Знакомимся со StoneGate SSL VPN

 СЕРГЕЙ ЯРЕМЧУК, фрилансер. Автор более 800 статей и шести книг. С «СА» с первого номера. Интересы: сетевые технологии, защита информации, свободные ОС

Знакомимся со StoneGate SSL VPN

Решения StoneGate SSL VPN позволяют легко организовать защищенный удаленный доступ клиентам к внутренним ресурсам. Для подключения понадобится обычный веб-браузер

Сегодня все больше сотрудников работают за пределами корпоративной сети и требуют оперативного и, главное, безопасного доступа к данным, который обычно решается с помощью виртуальной частной сети (VPN, Virtual Private Network). Традиционными протоколами здесь являются IPSec, PPTP и OpenVPN.

При этом во время выбора конкретного решения VPN необходимо учитывать ряд факторов:

• необходимость установки агента на клиентский ПК;
• блокировку нестандартных портов провайдером;
• возможность работы из-за NAT;
• и другие.

Именно поэтому сегодня все более популярны решения для организации VPN, базирующиеся на SSL и использующие стандартный порт (как правило, 443). Они обеспечивают требуемую безопасность и одновременно являются простыми в эксплуатации. Все настройки производятся на серверной стороне, пользователю не требуется устанавливать и настраивать клиентское ПО.

Одним из популярных решений является StoneGate SSL VPN [1], реализованный как в виде аппаратных устройств нескольких модификаций, поддерживающих от 10 до 15 000 соединений, так и в виде OVF x64-образа, который можно запустить в любой современной виртуальной машине (продукт имеет статус VMware Ready).

Возможности StoneGate SSL VPN

Сервер StoneGate SSL VPN выступает в роли своеобразного прокси между клиентом и сервисом, к которому необходимо подключиться, обеспечивая аутентификацию, контроль состояния устройства и шифрование.

Принцип работы очень прост. Пользователь для доступа к корпоративным ресурсам запускает веб-браузер, подключается к порталу и выбирает способ аутентификации. После проверки учетных данных пользователю остается только подключиться к требуемому ресурсу, просто выбрав значок, причем в списке показываются только разрешенные.

Это может быть веб-сервис, запуск определенных приложений на локальной системе, поддерживается синхронизация устройств посредством Microsoft Active Sync, есть передача видео и голоса. Если приложение сложное и требует туннелирования трафика, то в браузере потребуется поддержка технологий Java или ActiveX.

Тогда после выбора значка приложения будет загружен агент, который и обеспечит создание туннеля для приложения. Какое-либо особое обучение сотрудника не требуется, он общается с обычным веб-порталом, все происходит прозрачно для пользователя.

Установки и политики настраиваются и применяются автоматически на шлюзе, в том числе администратор публикует доступные ресурсы. Сервер StoneGate при этом является единой точкой доступа ко всем приложениям, обеспечивая в том числе и однократную аутентификацию (SSO), избавляя пользователя от необходимости каждый раз вводить пароль для регистрации.

Подключение производится по 443-му порту, который используется для защищенного входа на веб-сайты, а поэтому не блокируется провайдерами. По умолчанию шифруется только подключение между клиентом и сервером StoneGate, трафик между StoneGate и самим сервисом остается открытым, но возможность его шифрования предусмотрена.

Поддерживается более 20 методов аутентификации, в том числе с помощью сертификатов, смарт-карт и одноразового пароля.

Для реализации OTP используются SMS-сообщение или специальный клиент StoneGate SSL VPN MobileID Client, доступный для всех популярных платформ iOS/OS X, Android, Windows/WinPhone, Linux, Java ME и других.

Расширенные политики паролей позволяют устанавливать нужный уровень сложности. Ввод учетных данных можно произвести с помощью веб-клавиатуры, это поможет избежать перехвата программой кейлогером.

Доступ также может быть предоставлен или запрещен на основе IP-адреса клиента, устройства, метода аутентификации, даты и времени, членства в группе.

Еще один важный момент. При подключении и в процессе работы производится анализ удаленной системы, позволяя выполнить принятые политики безопасности (установлен и активен антивирус и брандмауэр, тип устройства и его состав, сетевые настройки, запущенные процессы и открытые порты и т.д.).

Администратор может использовать скрипты, выполняющие дополнительные проверки. В результате всех факторов пользователю предоставляется полный или ограниченный доступ.

Например, при работе на неизвестном компьютере с неработающим антивирусом могут быть запрещены передача файлов и подключение к особо охраняемым сервисам. Предусмотрено принудительное удаление всех данных по окончании сессии (временных файлов, истории, кэша, документов и т.д.), позволяя сохранить конфиденциальность.

Управление учетными записями упрощается за счет интеграции с LDAP-сервисами, включая Active Directory, полный список серверов приведен в документации. Сам StoneGate SSL VPN поставляется с встроенным LDAP-сервером OpenDJ. Продукт легко масштабируется, предусмотрена возможность автономной работы или работы в кластере. В этом случае один сервер играет роль основного. Реализовано простое резервирование и восстановление настроек, управление сертификатами, обновление, аудит и многое другое.

Все настройки производятся с помощью веб-браузера (Web Console) или Stonesoft Management Center, используемого для централизованного управления несколькими устройствами и поставляемого как отдельное приложение (для Linux или Windows).

Продукт ориентирован на организации разного уровня, в том числе и требующие особых мер безопасности, и обладает сертификатами ФСБ и ФСТЭК России. В частности, StoneGate SSL VPN имеет сертификат, удостоверяющий соответствие требованиям ФСБ России к СКЗИ класса КС1 и КС2 для криптографической защиты информации, не содержащей сведений, составляющих государственную тайну. Лицензируется по количеству одновременно подключенных пользователей.

Знакомимся ближе

Наличие образа для виртуальной машины позволяет легко протестировать StoneGate SSL VPN или быстро развернуть VPN на имеющемся оборудовании, не ожидая поставки устройства. Возможности по количеству соединений в этом случае полностью зависят от мощности компьютера. В настоящее время актуальной является версия 1.5.200, ее и будем дальше рассматривать.

Процесс получения образа тривиален. Вначале необходимо зарегистрироваться, указав рабочий почтовый ящик, на который придет ключ, после чего номер ключа указываем в форме для закачки, затем откроются нужные ссылки.

После запуска виртуальной машины потребуется указать сетевые настройки для интерфейса конфигурирования, имя узла, установить пароль root и веб-администратора (admin, по умолчанию Pass1234) и активировать SSH. Остальное можно задать уже в веб-консоли, которая доступна на 10 000-му порту (например, https://192.168.1.100:10000/).

Настроек немного, они разбиты на группы, назначение которых понятно и без перевода. Последовательность действий хорошо расписана в руководстве, от администратора не требуется правка конфигурационных файлов, следует просто внимательно заполнить предложенные поля.

Рисунок 1. Настройка сетевых интерфейсов к консоли StoneGate SSL VPN

После загрузки активны только два сетевых интерфейса (LAN eth0 и lo), поэтому первым шагом необходимо добавить остальные сетевые интерфейсы, прописав имя и параметры, разрешив активацию при загрузке, затем настроить маршрутизацию, сгенерировать сертификат и активировать сервисы.

При наличии Stonesoft Management Center подключение к нему настраивается в Initial contact. Остальные настройки производятся в Stonesoft SSL VPN Administrator, который слушает на 8443-м порту. Именно здесь подключается файл лицензии, прописываются правила доступа и настраиваются ресурсы.

Рисунок 2. Настройки параметров доступа и публикация сервисов производятся в Stonesoft SSL VPN Administrator

***

На поверку StoneGate SSL VPN – это больше, чем средство организации безопасного доступа к сети. Его возможности на порядок больше и позволяют контролировать состояние устройства, определять правила доступа и метод аутентификации, обеспечивать SSO. При этом настройки гораздо проще, чем другие системы для организации VPN.

Сайт StoneSoft – http://ssl.stonesoft.ru.

Комментарии могут оставлять только зарегистрированные пользователи