Знакомимся со StoneGate SSL VPN::Журнал СА 4.2013
www.samag.ru
Журнал «БИТ. Бизнес&Информационные технологии»      
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Сетевая инфраструктура  

Как удаленная работа меняет подход к сетевой инфраструктуре?

С увеличением числа сотрудников, работающих из дома, организации сталкиваются с необходимостью создания

 Читать далее...

Мониторинг  

Какой мониторинг нужен сегодня?

По мнению экспертов ГК InfoWatch, действия сотрудников – самая распространенная причина инцидентов

 Читать далее...

Книжная полка  

Руководство для тех, кто увлечен ИИ, программированием. И дизайном

Накануне лета издательство «БХВ» выпустило книжные новинки, от которых любителям чтения будет

 Читать далее...

Мобильные приложения  

Искусственный интеллект в мобильных приложениях: возможности и перспективы

Обзор современных применений ИИ в мобильных приложениях, анализ перспектив развития этой технологии,

 Читать далее...

ИТ-образование  

Как сделать ИТ-образование эффективным?

Эксперты ИТ-отрасли отвечают на вопросы «СА». Обсуждаем ключевые аспекты для улучшения образовательных

 Читать далее...

Work-life balance  

Как айтишнику найти баланс между работой и личной жизнью?

Обсуждаем инструменты для эффективного управления временем, снижения уровня стресса и достижения гармонии. На

 Читать далее...

Книжная полка  

Всё самое нужное – под одной обложкой

Отличительная черта книжных новинок, выпущенных недавно издательством «БХВ» – это их универсальность. Не просто

 Читать далее...

ИТ-инфраструктура  

Системы мониторинга ИТ-инфраструктуры-2025

Без мониторинга ИТ-инфраструктуры не обходится ни одна компания, хотя бы потому, что

 Читать далее...

Открытое ПО  

Безопасность Open Source: рискуем или контролируем?

Компания «Кросс технолоджис» изучила, как используется ПО с открытым кодом в компаниях

 Читать далее...

Работа с нейросетью  

Скажи, есть ли у тебя AI, и я скажу, кто ты

Недавно сервис по поиску работы SuperJob выяснил, что каждый второй россиянин уже

 Читать далее...

Опрос  

Защита личных и клиентских данных: как мошенники используют ИИ и как защититься?

По данным RED Security, общее число кибератак на российские компании в 2024

 Читать далее...

Опрос  

Облачные инструменты для разработчиков

Эксперты ИТ-отрасли отвечают на вопросы «Системного администратора» > Как с помощью облака сделать

 Читать далее...

Опрос  

Рынок мобильных приложений: что будет актуальным в 2025 году?

Эксперты ИТ-отрасли отвечают на вопросы «Системного администратора» > Ваши прогнозы: чего ожидать от

 Читать далее...

Рынок труда  

Как успешно пройти все этапы собеседования на ИТ-должность?

По оценкам государства, дефицит ИТ-специалистов составляет от 740 тысяч до 1 миллиона

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 8146
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 8408
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 5735
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3606
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 4393
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 4402
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6951
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3747
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 4018
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7922
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 11279
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 13000
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14762
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9703
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7656
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5945
Комментарии: 4
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 5125
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3969
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3673
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3896
Комментарии: 1
Рецензия на книгу «MongoDB в действии»

 Читать далее...

Друзья сайта  

 Знакомимся со StoneGate SSL VPN

Архив номеров / 2013 / Выпуск №4 (125) / Знакомимся со StoneGate SSL VPN

Рубрика: Безопасность /  Тестирование

Сергей Яремчук СЕРГЕЙ ЯРЕМЧУК, фрилансер. Автор более 800 статей и шести книг. С «СА» с первого номера. Интересы: сетевые технологии, защита информации, свободные ОС

Знакомимся со StoneGate SSL VPN

Решения StoneGate SSL VPN позволяют легко организовать защищенный удаленный доступ клиентам к внутренним ресурсам. Для подключения понадобится обычный веб-браузер

Сегодня все больше сотрудников работают за пределами корпоративной сети и требуют оперативного и, главное, безопасного доступа к данным, который обычно решается с помощью виртуальной частной сети (VPN, Virtual Private Network). Традиционными протоколами здесь являются IPSec, PPTP и OpenVPN.

При этом во время выбора конкретного решения VPN необходимо учитывать ряд факторов:

  • необходимость установки агента на клиентский ПК;
  • блокировку нестандартных портов провайдером;
  • возможность работы из-за NAT;
  • и другие.

Именно поэтому сегодня все более популярны решения для организации VPN, базирующиеся на SSL и использующие стандартный порт (как правило, 443). Они обеспечивают требуемую безопасность и одновременно являются простыми в эксплуатации. Все настройки производятся на серверной стороне, пользователю не требуется устанавливать и настраивать клиентское ПО.

Одним из популярных решений является StoneGate SSL VPN [1], реализованный как в виде аппаратных устройств нескольких модификаций, поддерживающих от 10 до 15 000 соединений, так и в виде OVF x64-образа, который можно запустить в любой современной виртуальной машине (продукт имеет статус VMware Ready).

Возможности StoneGate SSL VPN

Сервер StoneGate SSL VPN выступает в роли своеобразного прокси между клиентом и сервисом, к которому необходимо подключиться, обеспечивая аутентификацию, контроль состояния устройства и шифрование.

Принцип работы очень прост. Пользователь для доступа к корпоративным ресурсам запускает веб-браузер, подключается к порталу и выбирает способ аутентификации. После проверки учетных данных пользователю остается только подключиться к требуемому ресурсу, просто выбрав значок, причем в списке показываются только разрешенные.

Это может быть веб-сервис, запуск определенных приложений на локальной системе, поддерживается синхронизация устройств посредством Microsoft Active Sync, есть передача видео и голоса. Если приложение сложное и требует туннелирования трафика, то в браузере потребуется поддержка технологий Java или ActiveX.

Тогда после выбора значка приложения будет загружен агент, который и обеспечит создание туннеля для приложения. Какое-либо особое обучение сотрудника не требуется, он общается с обычным веб-порталом, все происходит прозрачно для пользователя.

Установки и политики настраиваются и применяются автоматически на шлюзе, в том числе администратор публикует доступные ресурсы. Сервер StoneGate при этом является единой точкой доступа ко всем приложениям, обеспечивая в том числе и однократную аутентификацию (SSO), избавляя пользователя от необходимости каждый раз вводить пароль для регистрации.

Подключение производится по 443-му порту, который используется для защищенного входа на веб-сайты, а поэтому не блокируется провайдерами. По умолчанию шифруется только подключение между клиентом и сервером StoneGate, трафик между StoneGate и самим сервисом остается открытым, но возможность его шифрования предусмотрена.

Поддерживается более 20 методов аутентификации, в том числе с помощью сертификатов, смарт-карт и одноразового пароля.

Для реализации OTP используются SMS-сообщение или специальный клиент StoneGate SSL VPN MobileID Client, доступный для всех популярных платформ iOS/OS X, Android, Windows/WinPhone, Linux, Java ME и других.

Расширенные политики паролей позволяют устанавливать нужный уровень сложности. Ввод учетных данных можно произвести с помощью веб-клавиатуры, это поможет избежать перехвата программой кейлогером.

Доступ также может быть предоставлен или запрещен на основе IP-адреса клиента, устройства, метода аутентификации, даты и времени, членства в группе.

Еще один важный момент. При подключении и в процессе работы производится анализ удаленной системы, позволяя выполнить принятые политики безопасности (установлен и активен антивирус и брандмауэр, тип устройства и его состав, сетевые настройки, запущенные процессы и открытые порты и т.д.).

Администратор может использовать скрипты, выполняющие дополнительные проверки. В результате всех факторов пользователю предоставляется полный или ограниченный доступ.

Например, при работе на неизвестном компьютере с неработающим антивирусом могут быть запрещены передача файлов и подключение к особо охраняемым сервисам. Предусмотрено принудительное удаление всех данных по окончании сессии (временных файлов, истории, кэша, документов и т.д.), позволяя сохранить конфиденциальность.

Управление учетными записями упрощается за счет интеграции с LDAP-сервисами, включая Active Directory, полный список серверов приведен в документации. Сам StoneGate SSL VPN поставляется с встроенным LDAP-сервером OpenDJ. Продукт легко масштабируется, предусмотрена возможность автономной работы или работы в кластере. В этом случае один сервер играет роль основного. Реализовано простое резервирование и восстановление настроек, управление сертификатами, обновление, аудит и многое другое.

Все настройки производятся с помощью веб-браузера (Web Console) или Stonesoft Management Center, используемого для централизованного управления несколькими устройствами и поставляемого как отдельное приложение (для Linux или Windows).

Продукт ориентирован на организации разного уровня, в том числе и требующие особых мер безопасности, и обладает сертификатами ФСБ и ФСТЭК России. В частности, StoneGate SSL VPN имеет сертификат, удостоверяющий соответствие требованиям ФСБ России к СКЗИ класса КС1 и КС2 для криптографической защиты информации, не содержащей сведений, составляющих государственную тайну. Лицензируется по количеству одновременно подключенных пользователей.

Знакомимся ближе

Наличие образа для виртуальной машины позволяет легко протестировать StoneGate SSL VPN или быстро развернуть VPN на имеющемся оборудовании, не ожидая поставки устройства. Возможности по количеству соединений в этом случае полностью зависят от мощности компьютера. В настоящее время актуальной является версия 1.5.200, ее и будем дальше рассматривать.

Процесс получения образа тривиален. Вначале необходимо зарегистрироваться, указав рабочий почтовый ящик, на который придет ключ, после чего номер ключа указываем в форме для закачки, затем откроются нужные ссылки.

После запуска виртуальной машины потребуется указать сетевые настройки для интерфейса конфигурирования, имя узла, установить пароль root и веб-администратора (admin, по умолчанию Pass1234) и активировать SSH. Остальное можно задать уже в веб-консоли, которая доступна на 10 000-му порту (например, https://192.168.1.100:10000/).

Настроек немного, они разбиты на группы, назначение которых понятно и без перевода. Последовательность действий хорошо расписана в руководстве, от администратора не требуется правка конфигурационных файлов, следует просто внимательно заполнить предложенные поля.

Рисунок 1. Настройка сетевых интерфейсов к консоли StoneGate SSL VPN

Рисунок 1. Настройка сетевых интерфейсов к консоли StoneGate SSL VPN

После загрузки активны только два сетевых интерфейса (LAN eth0 и lo), поэтому первым шагом необходимо добавить остальные сетевые интерфейсы, прописав имя и параметры, разрешив активацию при загрузке, затем настроить маршрутизацию, сгенерировать сертификат и активировать сервисы.

При наличии Stonesoft Management Center подключение к нему настраивается в Initial contact. Остальные настройки производятся в Stonesoft SSL VPN Administrator, который слушает на 8443-м порту. Именно здесь подключается файл лицензии, прописываются правила доступа и настраиваются ресурсы.

Рисунок 2. Настройки параметров доступа и публикация сервисов производятся в Stonesoft SSL VPN Administrator

Рисунок 2. Настройки параметров доступа и публикация сервисов производятся в Stonesoft SSL VPN Administrator

***

На поверку StoneGate SSL VPN – это больше, чем средство организации безопасного доступа к сети. Его возможности на порядок больше и позволяют контролировать состояние устройства, определять правила доступа и метод аутентификации, обеспечивать SSO. При этом настройки гораздо проще, чем другие системы для организации VPN.

Сайт StoneSoft – http://ssl.stonesoft.ru.


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru