> Zpět  


Bezpečný vzdálený přístup


Vzdálený přístup do sítě či k systému je dnes téměř standardním nástrojem pro zpřístupnění firemních výpočetních systémů pro zaměstnance mimo firmu. Tento článek nabízí příklad bezpečného řešení vzdáleného přístupu.


Co je to vzdálený přístup

Vzdálený přístup do sítě či k aplikaci je metoda zajišťující přímou nebo nepřímou komunikaci klienta (uživatele) se vzdáleným systémem (často umístěným v interní síti nebo DMZ).
Komunikace je zajištěna pomocí několika mechanismů:
  • Autentizace a Autorizace
  • Ochranné prvky (firewall nebo VPN koncentrátor)  zajišťující komunikaci


Typy vzdálených přístupů a jejich bezpečnost

V současné době jsou nejčastěji používány tyto typy vzdálených přístupů:
  • Dial-up – přístup pomocí vytáčené linky
  • On demand – přístup na požádání – uživateli je povolen přístup pouze z IP adresy, pro kterou proběhlo ověření, a to pouze na určitou dobu.
  • SSL VPN – přístup na bázi SSL spojení – vhodné především pro přístup k webovým aplikacím a tam, kde není možno použít IPSEC nebo plnohodnotného VPN klienta.
  • VPN – tunelovaný šifrovaný přístup za pomoci klientského software – hlavní výhodou je transparentnost tohoto přístupu, kdy se klient může jevit, jako by byl uvnitř vzdálené sítě.


Autentizace a autorizace

V případě vzdáleného přístupu mluvíme o autentizaci a autorizaci jako o jednom procesu, který má za cíl ověřit identitu uživatele (autentizace) a zajistit aplikaci přístupových oprávnění do systémů (autorizace). Obě metody by měly být zvoleny tak aby odpovídaly bezpečnostním požadavkům pro zajištění ochrany perimetru (viz. Tabulka).

Stupeň ochrany Metoda Popis
Základní Jméno a heslo Autentizace pomocí statického uživatelského jména a hesla
Střední Jméno a jednorázové heslo Autentizace pomocí jména a jednorázově platného hesla (například S/Key)
Standardní ochrana Dvoufaktorová autentizace bez interakce uživatele Uživatel vlastní autentizační předmět generující jednorázová hesla bez nutnosti vložení PIN, předmět je vázán na uživatelské jméno.
Silná ochrana Dvoufaktorová autentizace s interakcí uživatele Uživatel vlastní autentizační předmět generující jednorázová hesla s vazbou na své přihlašovací jméno. Pro použití předmětu musí navíc zadat PIN. (například řešení SecurID, Vasco, Cryptocard)
Velmi silná ochrana Dvoufaktorová autentizace s interakcí uživatele a kryptografickými funkcemi. Kryptografická autentizace za použití certifikátů a předmětu chránícího privátní klíč na základě hesla (např. Smart Card).

Jako databáze uživatelů je při budování vzdáleného přístupu vhodné využít stávající databázi uživatelů.

Nejčastější příklady použití jsou:

  • Adresářové služby LDAP (SunOne Directory Server, Active Directory, Novell NDS)
  • Kerberos
  • NIS, NIS+
  • RADIUS, TACACS a další.

Velmi důležité je nastavení bezpečnostních procesů pro správu adresářových služeb. Tyto procesy jsou důležité zejména pro sledování aktuálnosti uživatelských profilů (např. ověření, zda je uživatel stále ještě zaměstnancem společnosti) a při řešení incidentů (např. zneužití uživatelského přístupu apod.).


Ochranné prvky vzdáleného přístupu

Zde je třeba zmínit zejména firewall zajišťující na straně brány i na klientovi bezpečnost zařízení. Mnohé firewally mají integrován modul pro řízení vzdáleného přístupu, čímž odpadá nutnost nákupu VPN koncentrátoru. VPN koncentrátor je výkonné zařízení umožňující terminovat stovky až tisíce tunelů najednou. Většina firewallů je dnes rozšiřitelná o akcelerační karty, které umožňují zvýšit průchodnost a výkonovou kapacitu dnešních softwarových firewallů.

Příklad řešení bezpečného vzdáleného přístupu

obrazek

V našem případě je klient připojen pomocí vytáčené linky ke svému ISP, čímž je mu umožněn přístup k Internetu. Klient má nainstalovaného klienta Check Point SecureClient, který mu zajišťuje síťovou ochranu (personal firewall) a zároveň zajišťuje VPN připojení k bráně, kterou je v našem případě FireWall-1.
  1. Uživatel naváže VPN komunikaci buď pomocí transparentního režimu, tzn. snaží se navázat spojení se serverem za firewallem, nebo manuálně – zvolí Connect a klient se připojí k firewallu.
  2. Uživatel je dotázán na autentizační údaje – autentizace může proběhnout jménem a heslem nebo silnější autentizační metodou. V našem případě použijeme autentizaci pomocí certifikátu, který je vydán certifikační autoritou, které firewall důvěřuje. Platnost certifikátu uživatele je ověřena pomocí revokačního listu certifikační autority a jejího podpisu. V adresářové službě LDAP je ověřena existence uživatele a profil oprávnění pro přístup. Cesta k uživateli v adresářové službě je uložena v certifikátu uživatele. Jsou-li autentizační údaje v pořádku, je sestaveno VPN spojení.
  3. Firewallem může (a nemusí) být klientovi přidělena IP adresa interní sítě nebo DMZ, takže ten se pak při komunikaci chová, jako by byl uživatel připojen do dané sítě. Zároveň je možné díky nastavení bezpečnostní politiky klienta zabezpečit, že uživatel během připojení může komunikovat pouze s povolenými servery.


-vosa-
obrazek