Конфигурация пользовательской  VPN Преимущества пользовательских

86 
модемами могут добиться увеличения скорости при использовании линий 
телефонной связи со скоростями 56 Кбит/с. Все больше гостиничных номеров 
оборудуются соединениями для доступа в 
сеть
, поэтому для пользователей, 
находящихся в поездке, создаются все условия для высокоскоростного доступа 
в сеть.
 
Проблемы, связанные с пользовательскими
 VPN 
Правильное использование пользовательских 
VPN
может снизить 
затраты
организации, но пользовательские 
VPN
не являются решением всех возможных 
проблем. При их использовании имеют 
место
значительные риски, связанные с 
безопасностью, и проблемы реализации, с которыми приходится считаться. 
Возможно, 
самой 
большой 
проблемой 
безопасности 
при 
использовании 
VPN
сотрудником является одновременное соединение с другими 
сайтами интернета. Как правило, 
программное обеспечение
VPN
на компьютере 
пользователя определяет, должен ли трафик передаваться через 
VPN
, либо его 
необходимо отправить на какой-либо другой 
сайт
в открытом виде. Если 
на 
компьютер
пользователя была произведена 
атака
с использованием 
"
троянского коня
", возможно, что некий внешний нелегальный 
пользователь
использует 
компьютер
сотрудника для подключения к внутренней сети 
организации (см. рис. 3). Атаки данного типа осуществляются довольно сложно, но 
они совершенно реальны. 
Рис. 3
. 
Использование "троянского коня" для проникновения во внутреннюю сеть 
организации 
Если управление 
VPN
-пользователями не связано с центральной системой 
управления пользователями, этот факт должен учитываться в процедурах 
управления пользователями, покидающими организацию. 
Пользователи должны проходить аутентификацию перед использованием 
сетей 
VPN
. Так как 
VPN
позволяет осуществлять удаленный 
доступ
ко внутренней 
сети организации, эта 
аутентификация
должна быть двухфакторной, то есть 

87 
запрашивать два аутентификационных параметра. Одним из параметров может 
являться сам 
компьютер
пользователя. В этом случае вторым параметром должно 
быть нечто известное пользователю или непосредственно с ним связанное. В 
любом случае, второй 
параметр
не должен находиться на компьютере и не должен 
быть с ним связан. 
В организациях должна приниматься в расчет нагрузка трафиком. Главной 
точкой нагрузки является 
VPN
-
сервер
в узле организации. 
Ключевым 
параметром
нагрузки является ожидаемое число одновременных соединений. При 
установке каждого соединения 
VPN
-
сервер
должен иметь возможность 
расшифровывать дополнительный трафик. Хотя 
процессор
может обеспечивать 
поддержку больших объемов трафика, он может не обеспечивать 
шифрование
и 
расшифровку 
большого 
числа 
пакетов 
без 
значительных 
задержек. 
Следовательно, 
сервер
VPN
должен создаваться с учетом ожидаемого числа 
единовременных соединений. 
Еще один момент может повлиять на использование организацией 
пользовательской 
VPN
. Он связан с использованием трансляции сетевых адресов 
(
NAT
) на противоположном конце соединения. Если ожидается, что сотрудники 
организации будут пытаться использовать 
VPN
с узлов, защищенных межсетевыми 
экранами, могут возникнуть проблемы. Например, если организация А является 
консалтинговой компанией с сотрудниками, работающими в организации
 
Б, в А 
может 
возникнуть 
потребность 
предоставить 
своим 
сотрудникам 
обратную 
связь
для работы с электронной почтой и получения доступа к файлам. 
Однако, если эти сотрудники работают с компьютеров, входящих в состав 
внутренней сети организации Б, в которой используется 
динамическая
NAT
для 
скрытия адресов внутренних систем, это окажется невозможным. Если в вашей 
организации предпочтение отдается использованию 
VPN
именно таким образом, 
следует проверить возможности программного обеспечения 
VPN
. 

жүктеу/скачать 4,61 Mb.

Достарыңызбен бөлісу: