ERP с быстрым результатом
1С-Отчетность: Добро пожаловать! Подключись до 31.12.2016 и получи скидку 50% на годовую лицензию!
Дарим отчет для пользователей 1С:Бухгалтерии 8.3
Абонентское
ИТ-обслуживание
Корпоративная почта или IP-телефония в подарок!
Аренда сервера 1С
в облаке
Работайте в 1С удаленно с экономией до 70%!

В век высоких технологией и информатизации общества информация становится одним из самых важных ресурсов бизнеса и главным элементом производственных сил. В связи с этим растет спрос и стоимость на эксклюзивное право владения информацией. Поэтому все чаще мы сталкиваемся с тем, что право на владение информацией может быть нарушено тем или иным способом, и бизнес терпит колоссальные убытки или вообще прекращает свою деятельность.

Таким образом, одним из важных аспектов деятельности любого предприятия является защита информационных ресурсов компании, т.е. ее информационная безопасность, и диверсификация рисков связанных с утечкой информации.

Наиболее оптимальным вариантом защиты информации является удаленный сервер управленческой информации.

Удаленный сервер управленческой информации представляет собой виртуальный сервер под управление Windows Server 2008 R2 со следующими ролями: терминальный сервер, файловый сервер. На сервере размещаются любые бухгалтерские, офисные программы, позволяющие вести управление бизнесом из любой точки мира. Сам виртуальный сервер размещается в датацентре на профессиональном оборудовании, позволяющем организовать работу в режиме 24/7 без простоев и перебоев в работе.

Использование удаленного сервера управленческой информации позволяет применять такие средства защиты информации:

  • аппаратные (использование оборудования с аппаратным шифрованием);

  • законодательные (сервер может размещаться в датацентре другой страны с более либеральными законами);

  • программные (шифрование дисков, использование ПО, шифрующего исходящий на сервер и с сервера трафик).

  • организационные (ИТ персонал, обслуживающий сервер управленческой информации, может территориально находиться далеко (в другой стране) от места ведения бизнеса и не заинтересован в завладении информации и ее передаче).

Таким образом, такое решение применяет практически весь комплекс мер по защите информации и к тому же не требует больших капиталовложений.

Однако поскольку сервер удаленный, важным аспектом является безопасность данных в процессе их передачи от клиента к серверу. Существует несколько способов организовать доступ клиента к серверу и каждый из них имеет свои плюсы и минусы. Рассмотрим их по очереди.


Вариант 1. Прямой доступ к серверу с помощью клиента удаленного рабочего стола.


Рисунок 1 - Принцип работы сервера терминалов

С точки зрения технической реализации, то для клиента не нужны никакие дополнительные ресурсы и оборудование. Клиент удаленного рабочего стола или Remote Deskop Client – программное обеспечение кросс-платформенное и поэтому может быть реализовано где угодно, вплоть до планшетов и смартфонов. Такой клиент использует свой протокол RDP (Remote Desktop Protocol), купленный Microsoft у компании Citrix.

Безопасность же этого решения может только желать лучшего. Но используя это решение, мы подвергаем опасности не только передаваемую информацию, но и открываем серьезную «дыру» в безопасности самого сервера, что не может отвечать требованиям адекватной концепции безопасности. «Дыра» в безопасности сервера обуславливается тем, что мы открываем прямой доступ на сервер не только клиентам, но и всем пользователям Интернет и соответственно сервер подвергается различным атакам из вне, что очень небезопасно, поскольку в истории протокола RDP можно насчитать несколько найденных критичных уязвимостей, с помощью которых взламывали сервера.

И если безопасность передаваемой информации на сервер с помощью этой технологии можно зашифровать встроенными средствами клиента удаленного рабочего стола (возможность использования 128-битовое шифрование по алгоритмам RC4, AES или 3DES с проверкой целостности хешем MD5 или SHA1, использование TLS шифрования), то «дыру» в безопасности сервера при прямом доступе к серверу закрыть невозможно. Плюсы и минусы такой технологии представим в виде таблицы:

Плюсы
Минусы
Удобный и быстрый доступ из любого места с любого устройства без предварительной настройки
«Дыра» в безопасности сервера
Слабая защищенность передаваемой информации

Таким образом, такой способ подключения к серверу и метод передачи информации не может быть рекомендован для использования на практике, хотя очень часто используется.


Вариант 2. VPN

Следующий способ доступа к серверу основывается на технологии VPN, то есть обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, интернет).

Логическую сеть мы будем строить на основе программного обеспечения OpenVPN. Это Open Source программное обеспечение и может быть использовано бесплатно. Мы на практике применяем несколько типов соединений, используя это программное обеспечение:

  • точка-точка;
  • сеть-сеть.

Вариант 2.1. Туннель точка-тока на основе OpenVPN

Туннель типа точка-точка используется в случаях, когда необходимо подключить одно рабочее место. Скажем, например, Ваши сотрудники территориально разбросаны по всей стране, тогда логичнее будет использовать именно такой тип соединения.


Рисунок 2 - VPN-туннель

Для организации такого подключения необходимо будет установить клиент OpenVPN и провести предварительные настройки (описать конфигурационный файл – куда подключаться, какой алгоритм шифрования использовать, какие сертификаты использовать). Для подключения, пользователю необходимо обладать специальным сертификатом (точнее даже несколькими сертификатами), с помощью которых и будет шифроваться информация, передаваемая на сервер. Сертификаты выполняют и еще одну важную функцию – возможность идентифицировать, кто именно подключился на сервер.


Рисунок 3 - Создание VPN-туннеля

Клиент OpenVPN также является крос-платформенным и может быт установлен как на Windows, так и на MacOS, Linux. В последнее время появился клиент и для смартфонов.

Для обеспечения безопасности управляющего канала и потока данных, OpenVPN использует библиотеку OpenSSL. Благодаря этому задействуется весь набор алгоритмов шифрования, доступных в данной библиотеке.

Плюсом использования туннеля точка-точка может быть использования специального ключа для хранения сертификатов для подключения к серверу. Такой электронный ключ называют донгл. Сейчас донгл чаще встречается с usb форм-фактором. Суть такого решения заключается в том, что на донгл записывается и шифруется сертификат пользователя. Подключение к серверу осуществляется только при условии подключенного к устройству донгла. Сертификат на донгле шифруется и обычно защищен паролем, поэтому доступ на сервер получается с 3-х факторной защитой:

  • получение физического доступа к донглу и подключение его к устройству;

  • пароль к сертификату на донгле для построения туннеля между клиентом и сервером;

  • пароль для входу на сервер.

В таблице ниже представлены плюсы и минусы такого решения:

Плюсы
Минусы
Кросс-платформенное решение
Необходимость предварительной настройки рабочей станции пользователя
Использование личных сертификатов пользователей для безопасности информации и идентификации пользователя
Поддержка рабочей станции пользователя ПО OpenVPN.
Использование шифрования трафика между сервером и клиентом
Предварительная настройка каждого устройства, с которого необходимо получить доступ
Возможность использования аппаратных ключей для доступа

Использование такой технологии очень удобно в том случае, когда рабочее место сотрудника, который работает с севером управленческой информации, находится в публичном месте с открытым доступом.


Вариант 2.2 Тунель сеть-сеть на основе OpenVPN.

Следующий тип соединения, используя OpenVPN, является сеть-сеть. Использовать такой тип VPN я рекомендую использовать только небольшим предприятиям. Как раз для таких предприятий, которым нет смысла приобретать профессиональное сетевое оборудование в виду отсутствия большой нагрузки, можно приобрести устройства типа SOHO и донастроить его. Используя специального программное обеспечение для такого типа устройств, можно добиться его работоспособности для построения туннеля OpenVPN. Кроме использования SOHO устройств, можно использовать Linux маршрутизаторы. Примером, таких SOHO устройств могут послужить маршрутизаторы Mikrotik.


Рисунок 4 - VPN-туннель типа «сеть-сеть»

Представим плюсы и минусы данного решения в виде таблицы:

Плюсы
Минусы
Одна логическая сеть между серверов и офисом предприятия
Не может выдержать серьезную нагрузку
Требуется предварительная настройка только одного устройства, отвечающего за канал между сервером и пользователями
Возможность использования на сервере ресурсов офиса заказчика (сетевые принтера, файловые хранилища, хранилища резервных копий)
Для шифрования и передачи трафика на стороне сервера используется не специализированное оборудование, а ресурсы сервера
Невысокая стоимость владения

Таким образом, как и говорилось выше, такой тип подключения рекомендуется небольшим компаниям с численностью сотрудников в среднем до 15 человек или меньше, находящихся территориально в одной локально-вычислительной сети.


Вариант 2.3 Туннель на основе IPSEC.

Последним из рассмотренных в этой статье типов соединения с серверов будет IPSEC. Этот тип VPN соединения мы используем для подключения VPN типа сеть-сеть. Для организации такого туннеля мы используем профессиональное сетевое оборудование таких вендоров как Cisco, Juniper. При настройке туннелей мы можем учитывать следующую информацию:

1. Симметричные алгоритмы для шифрования/расшифровки данных.

2. Криптографические контрольные суммы для проверки целостности данных.

3. Способ идентификации узла. Самые распространнённые способы - это предустановленные ключи (pre-shared secrets) или RSA сертификаты.

4. Использовать ли режим туннеля или режим транспорта.

5. Какую использовать группу Diffie Hellman.

6. Как часто проводить переидентификацию узла.

7. Как часто менять ключ для шифрования данных.

Все это позволяет нам установить нужный уровень шифрования, а также балансировать между уровнем шифрования и быстродействием маршрутизатора.


Рисунок 5 - Построение системы на VPN-туннелях IPSEC

Соответственно такое решение мы можем рекомендовать как большим, так и маленьким предприятиям с высоким и не очень уровнем передачи данных.

Использование профессионального оборудования позволяет нам организовать работу пользователей даже несмотря на возможные ограничения провайдеров и корпоративных фаерволов. Примером такой технологии может быть Cisco SSL VPN, который обеспечивает шифрованное соединения типа точка-сеть и использует HTTPS (порт 443) для пересылки трафика между клиентом и сервером. Такая технология также называется WebVPN. Логин и аутентификация конечного пользователя осуществляется с помощью веб-браузера с помощью запроса HTTP. Этот процесс создает сессию, на которую ссылается Cookies.

После аутентификации удаленного пользователь попадает на страницу портала, которая позволяет получить доступ к SSL VPN сетям. Все запросы, отправляемые браузером включают аутентификацию Cookies.Страница портала предоставляет все ресурсы, имеющиеся во внутренней сети. Например, на странице портала удаленный пользователь может скачать и установить тонкий клиент Java апплет (для переадресации TCP-порт) или туннельный клиент.

Плюсы
Минусы
Аппаратные модули шифрования
Высокая стоимость владения (приобретение, настройка, обслуживание)
Профессиональное стандартизированное производителем оборудование, использующееся для управления трафиком
Быстрый и безопасный доступ к сети сервера
Надежность и бесперебойность работы туннеля
Высокий уровень обеспечения конфиденциальности данных за счет использования различных методов шифрования

Таким образом, такое решения можно рекомендовать любым предприятиям, способным вложить определенное количество финансовых средств в развитие ИТ-инфраструктуры.

Подытожим характеристику рассмотренных способов подключения в сравнительной таблице:

Характеристика
RDP
OpenVPN
IPSEC
Стоимость внедрения
Отсутствует
Небольшая. Используются недорогие устройства типа SOHO
Требует значительных финансовых вложений для покупки оборудования, внедрения и дальнейшей поддержки
Уровень безопасности передаваемых данных
Не высокий
Удовлетворительный
Высокий
Уровень защищенности сервера
Не защищен
Защищен
Защищен
Масштабируемость решения
Да
Нет
Да
Надежность решения
Не высокая
Не высокая
Предусмотрены технологии резервирования
Промышленное (уровня Enterprise)
решение
Нет
Нет
Да
Возможность использования в ограниченной среде (корпоративные фаерволы или фаерволы провайдера)
Нет
Нет
Да

Таким образом, OpenVPN мы рекомендуем использовать в случаях, когда отсутствует централизованное место работы клиента, есть необходимость использования аппаратных ключей защиты или в случаях использования не профессионального оборудования типа SOHO в небольших организациях. IPSEC же предполагается использовать в средних и крупных организациях для построения надежных решений на основе профессионального оборудования с целью обеспечения бесперебойной и безопасной работы с информацией в режиме 24/7.



EFSOL

Системная интеграция. Консалтинг

Корпоративное облако

обязательные поля
* Антиробот:
Введите ответ

Корпоративное облако

Все поля формы выделенные значком * обязательны к заполнению
* Антиробот:
Введите ответ
Поделиться:

У вас конкретная задача? Свяжитесь с нами прямо сейчас!


Обратный звонок RedConnect