A biztonságos távoli hozzáférés már nem luxus

A távoli hozzáférés tagadhatatlanul fellendülőben van, a globalizálódó és mobilabbá váló munkaerő bármikor, bárhonnan működő hálózati elérést igényel. Jó néhány cég hálózatát azonban alig védi több, mint a hagyományos felhasználónév – jelszó páros, a távoli hozzáférésből hiányzik a robusztus felhasználó-azonosítás és a titkosítás.

A Forrester Research felmérése szerint jelenleg már a nagy amerikai cégek 82 százaléka rendelkezik kiépített virtuális magánhálózattal (VPN), ami szembetűnő növekedés a 2003. évi 55 százalékos értékhez képest. A lendületes fejlődés hátterében olyan, a felhasználók távoli kapcsolódását lehetővé tevő és a telephelyek közötti olcsó, biztonságos összeköttetést biztosító technológiák állnak, mint az IPSec, az SSL és az MLS.

Az IETF testület által kifejlesztett IPSec – az Internet Protocol szabványos biztonsági bővítménye – bármely IP alapú forgalomtípus védelmére alkalmas, mint például a TCP, UDP és ICMP – vagyis az adatok, a multimédia anyagok és hálózatvezérlő információk. Az IPSec támogatja a felhasználó-azonosítást, a hozzáférés-szabályozást és az adatok bizalmas, illetéktelen módosítástól védett továbbítását. IPSec használatával a távoli helyek közötti titkosított és ellenőrzött információcsere zajlik, mintha egyetlen helyi hálózat részei lennének.

Ennek a képességnek azonban hátrányai is vannak. Az IPSec használatához VPN-kliens alkalmazás szükséges, amelynek az érintett gépekre történő feltelepítése és konfigurálása a rendszergazdákra, képzett felhasználókra váró feladat. Az SSL alapú magánhálózati megoldások által kínált alternatíva nem igényli VPN kliens telepítését, hiszen az erős titkosítás kezeléséhez szükséges programkönyvtárak minden modern webböngészőben megtalálhatók. Az SSL VPN megoldások a biztonságos webhelyek (HTTPS) eléréséhez egyébként is használt portokat veszik igénybe, ezért használatukhoz többnyire nem szükséges a tűzfalak átállítása, a megfelelő tanúsítvány vagy szerverazonosság elérésével az SSL megoldás máris működésre kész – feltéve, hogy kizárólag web alapú alkalmazásokat kívánunk távolról használni.

Egy távoli kapcsolat létrehozásával azonban mindig kockázatot vállalunk. Kiegészítő biztonsági megoldások alkalmazása nélkül a vállalatok és szervezetek a magánhálózaton keresztül különféle veszélyeknek, digitális fenyegetéseknek teszik ki magukat, amilyen például a személyes adatok eltulajdonítása, a hálózati feltörés vagy a hírhedt DDoS, az elosztott szolgáltatás-megtagadás típusú támadások.

Védelmi lehetőségek

A veszélyek minimalizálása érdekében egyre több cég létesít IPSec vagy SSL alapú VPN-megoldást, illetve megbízható azonosításra alkalmas rendszert. Ez azonban csak az egyik része a biztonsági kockázatok jelentette kihívásnak, a szakértők ezért javasolják személyi tűzfal, vírus- és kémprogram elleni védelem illetve hálózati betöréseket jelző szoftver alkalmazását az irodai és mobil gépeken. Sőt, a bizalmas vagy kritikus fontosságú adatokat tároló rendszereken helyi fájltitkosításra is szükség van. Ezen biztosítékok nélkül egy VPN-csővezeték könnyen szennycsatornává változhat, amelyen át a hackerek (sok esetben észrevétlenül) vírusokat és férgeket juttathatnak be a vállalati hálózatba.

Szerencsére számos VPN kliens tartalmaz beépített munkaállomás oldali védelmet, például tűzfalat, vírusirtó és reklámprogram eltávolító szoftvert. Az SSL alapú VPN megoldások esetén a munkaállomás védelme mellett a hozzáférési jogok kezelése, illetve egyes szervezeteknél a biztonságos felhasználó-azonosítás válhat szükségessé.

Az Evans Data Corp. felmérése szerint a nagyvállalatok az alábbi technológiákat használják leggyakrabban biztonságos távoli hozzáférés kiépítéséhez:

  • Nyilvános kulcsú titkosítás 15%
  • SSL/TLS alapú kapcsolat (webböngésző alapú VPN) 12%
  • Felhasználó-azonosítás 11%
  • WPA2 (vezetéknélküli kapcsolat erős titkosítása) 10.5%
  • Elektronikus aláírás 10.3%
  • VPN-kapcsolat 10.1%
  • Adattikosítás 6%
  • Biometrikus azonosítás 5%
  • Tűzfalak 4.5%
  • Titkosítás általában 4.1%
  • Egyéb 3%
  • Nem tudja 10%

Javaslatok egy biztonságos távoli hozzáférés kiépítése érdekében:

  1. Vásárlás előtt részletesen érdeklődjünk a termék biztonsági minősítéséről, tesztjeiről
  2. Vizsgáljuk meg, hogy az adott szoftver mennyi és milyen jellegű biztonsági funkciót tartalmaz
  3. Később is folyamatosan kövessük nyomon, hogy felmerült-e a terméket érintő biztonsági hiba
  4. A szükséges javításokat telepítsük fel – de előtte tájékozódjunk az esetleges működésbeli anomáliákról, hiszen néha egy hibajavítás is változtathat a szoftver futásának fontos részletein
  5. Új szoftver vagy hardver telepítése esetén rögtön telepítsük fel hozzá az ismert javításokat is
  6. Használjunk olyan hozzáférés-felügyeleti eszközt, amely automatikusan lekérdezi a magánhálózatba bejelentkező gépek és szoftverek biztonsági állapotát
  7. A rendszer kiépítésekor alkalmazzunk szabványos módszereket, mint amilyen a Security Assertion Markup Language
  8. Lehetőség szerint ne használjunk egy szerver gépet több célra, például a webkiszolgáló és a domén-név szerver feladat kombinálásával – minél több szolgáltatás fut, annál sebezhetőbb a rendszer
  9. Ne csak a vállalati hálózat peremén, hanem a belső hálózatban is telepítsünk több tűzfalat, különítsük el az egyes részlegek alkalmazásait
  10. Létesítsünk egységes behatolás-jelző rendszert a belső hálózatban, amelyet minden hálózati szegmens rendszergazdája figyelemmel kísérhet
  11. Alkalmazzunk egyszer-használatos jelszavakat, mert ezek még lehallgatásuk esetén sem használhatók fel a későbbiekben