86
модемами могут добиться увеличения скорости при использовании линий
телефонной связи со скоростями 56 Кбит/с. Все больше гостиничных номеров
оборудуются соединениями для доступа в
сеть
, поэтому для пользователей,
находящихся в поездке, создаются все условия для
высокоскоростного доступа
в сеть.
Проблемы, связанные с пользовательскими
VPN
Правильное использование пользовательских
VPN
может снизить
затраты
организации, но пользовательские
VPN
не являются решением всех возможных
проблем. При их использовании имеют
место
значительные риски, связанные с
безопасностью, и проблемы реализации, с которыми приходится считаться.
Возможно,
самой
большой
проблемой
безопасности
при
использовании
VPN
сотрудником является одновременное соединение с другими
сайтами интернета.
Как правило,
программное обеспечение
VPN
на компьютере
пользователя определяет, должен ли трафик передаваться через
VPN
, либо его
необходимо отправить на
какой-либо другой
сайт
в открытом виде. Если
на
компьютер
пользователя была произведена
атака
с использованием
"
троянского коня
", возможно, что некий внешний нелегальный
пользователь
использует
компьютер
сотрудника для подключения к внутренней сети
организации (см. рис. 3). Атаки данного типа осуществляются довольно сложно, но
они совершенно реальны.
Рис. 3
.
Использование "троянского коня" для проникновения
во внутреннюю сеть
организации
Если управление
VPN
-пользователями не связано с центральной системой
управления пользователями, этот факт должен учитываться в процедурах
управления пользователями, покидающими организацию.
Пользователи должны проходить аутентификацию перед использованием
сетей
VPN
. Так как
VPN
позволяет осуществлять удаленный
доступ
ко внутренней
сети организации, эта
аутентификация
должна быть двухфакторной, то есть
87
запрашивать два аутентификационных параметра. Одним из параметров может
являться сам
компьютер
пользователя. В этом случае вторым параметром должно
быть нечто известное пользователю или непосредственно с ним связанное. В
любом случае, второй
параметр
не должен находиться на компьютере и не должен
быть с ним связан.
В организациях должна приниматься в расчет нагрузка трафиком. Главной
точкой нагрузки является
VPN
-
сервер
в узле организации.
Ключевым
параметром
нагрузки является ожидаемое число одновременных соединений. При
установке каждого соединения
VPN
-
сервер
должен
иметь возможность
расшифровывать дополнительный трафик. Хотя
процессор
может обеспечивать
поддержку больших объемов трафика, он может не обеспечивать
шифрование
и
расшифровку
большого
числа
пакетов
без
значительных
задержек.
Следовательно,
сервер
VPN
должен создаваться с учетом ожидаемого числа
единовременных соединений.
Еще один момент может повлиять на использование организацией
пользовательской
VPN
. Он связан с использованием трансляции сетевых адресов
(
NAT
) на противоположном конце соединения.
Если ожидается, что сотрудники
организации будут пытаться использовать
VPN
с узлов, защищенных межсетевыми
экранами, могут возникнуть проблемы. Например, если организация А является
консалтинговой компанией с сотрудниками, работающими в организации
Б, в А
может
возникнуть
потребность
предоставить
своим
сотрудникам
обратную
связь
для работы с электронной почтой и получения доступа к файлам.
Однако, если эти сотрудники работают с компьютеров, входящих в состав
внутренней сети организации Б, в которой используется
динамическая
NAT
для
скрытия адресов внутренних систем, это окажется невозможным. Если в вашей
организации предпочтение отдается использованию
VPN
именно таким образом,
следует проверить возможности программного обеспечения
VPN
.
Достарыңызбен бөлісу: