Zdalne dylematy

Wybór rozwiązania umożliwiającego bezpieczny dostęp do zasobów sieci firmowej wcale nie jest oczywisty. Trzeba wziąć pod uwagę m.in. docelowy model przetwarzania i rodzaj udostępnianych zdalnie aplikacji.

Wybór rozwiązania umożliwiającego bezpieczny dostęp do zasobów sieci firmowej wcale nie jest oczywisty. Trzeba wziąć pod uwagę m.in. docelowy model przetwarzania i rodzaj udostępnianych zdalnie aplikacji.

Konieczność udostępniania sieci firmowej zdalnym pracownikom to dla administratorów prawdziwe utrapienie. I nic dziwnego - nawet najbardziej restrykcyjne metody zabezpieczeń zdalnego dostępu są w praktyce mniej bezpieczne niż praca w pilnie strzeżonej sieci lokalnej. Na zasadniczą zmianę trendów jednak się nie zanosi. Wręcz odwrotnie - działy biznesowe będą potrzebowały zdalnego dostępu do coraz większej liczby firmowych aplikacji i to za pośrednictwem wielu mediów: łączy dial-up, publicznego Internetu, GPRS, a wkrótce także poprzez sieci radiowe typu 802.11. Istnieje więc pilna potrzeba zorganizowania zdalnego dostępu w sposób elastyczny, otwarty na nowe standardy i technologie, a jednocześnie maksymalnie bezpieczny.

Podstawowe wymagania

Jak zapewnić bezpieczeństwo zdalnego dostępu? Trzeba wziąć pod uwagę co najmniej kilka czynników. Po pierwsze, musi istnieć możliwość sprawdzenia tożsamości zdalnego użytkownika i sposób na przełożenie jej na zestaw uprawnień do określonych zasobów. Po drugie, identyfikacja zdalnego użytkownika powinna być co najmniej dwustopniowa. Pojedynczy zestaw haseł - bez względu na ich formę - raczej nie powinien umożliwiać penetracji firmowej sieci przez osoby, które celowo lub choćby przypadkiem wejdą w ich posiadanie.

Po trzecie, rozwiązanie powinno uwzględniać fakt, że zdalny użytkownik może - całkiem nieświadomie - łączyć się z siecią firmową za pośrednictwem komputera kontrolowanego przez potencjalnego włamywacza. W związku z tym bardzo istotnym zastrzeżeniem jest to, by rozwiązanie nie pozwalało użytkownikowi na tzw. split tunneling, czyli równoległe korzystanie z bezpiecznego połączenia z firmą i zwykłego połączenia z Internetem. Intruz mógłby wtedy podszyć się pod autoryzowanego użytkownika i bez przeszkód myszkować po firmowej sieci.

Po czwarte, rozwiązanie powinno zapewniać ochronę przed podsłuchaniem transmisji - zarówno podczas nawiązywania połączenia, jak i po uzyskaniu dostępu do firmowej sieci. Po piąte, szyfrowanie komunikacji powinno zachodzić nie tylko między zdalnym użytkownikiem a obrzeżem sieci firmowej, lecz w wielu przypadkach na całej drodze między użytkownikiem a wykorzystywanym przez niego systemem (np. w systemach finansowych).

W szerszej perspektywie

Choć to truizm, wybór metody zdalnego dostępu powinien wynikać z analizy potrzeb. Te same problemy można rozwiązywać na różne sposoby, warto więc przyjąć nieco szerszą - nie tylko stricte techniczną - perspektywę. Przykładowo, jeżeli zdalne połączenia z zasobami firmy występują bardzo często, m.in. w przypadku terenowego biura sprzedaży korzystającego z centralnych aplikacji, warto zastanowić się, czy tymczasowych połączeń nie można by zastąpić stałym łączem WAN. Zdalne komputery zyskałyby wtedy wyższy stopień bezpieczeństwa, oczywiście przy założeniu że nie korzystałyby z lokalnego wyjścia do Internetu.

Jeżeli zestawienie stałego łącza nie jest możliwe bądź celowe, można podjąć próbę wykorzystania technologii terminalowej MetaFrame firmy Citrix, zapewniającej duży komfort pracy nawet przez analogowe łącza dial-up. Umożliwia ona szyfrowanie zarówno procesu logowania, jak i późniejszej komunikacji między klientem ICA a serwerem terminalowym z zastosowaniem algorytmów RC5 z kluczami o długości do 128 bitów. Zastosowanie dodatkowo bezdyskowych terminali nie daje włamywaczowi praktycznie żadnej możliwości zainstalowania na nim złośliwego kodu. Konfiguracja terminalowa jest również bardzo bezpieczna w przypadku wykorzystania zwykłych komputerów z systemem Windows XP, który prawidłowo separuje sesje terminalowe od podstawowego środowiska pracy użytkownika. Dodatkowe mechanizmy bezpieczeństwa zapewnia także serwer terminalowy, który można uruchomić w tzw. trybie opublikowanych aplikacji, nie umożliwiającym użytkownikowi dostępu do niczego więcej poza wybranymi aplikacjami.

VPN kontra SSL

Zwłaszcza w przypadku użytkowników mobilnych zastosowanie typowych rozwiązań zdalnego dostępu: VPN (Virtual Private Network) oraz SSL (Secure Socket Layer) może okazać się nieuniknione. Poziom bezpieczeństwa obu technologii jest podobny, różnice leżą jednak w zakresie funkcjonalnym.


TOP 200