|
 Dynamiczny rozwój zastosowań VPN (Virtual Private Networks – wirtualne sieci prywatne) doprowadził do sytuacji, w której coraz więcej wewnętrznych zasobów sieciowych korporacji jest dostępnych z lokalizacji zewnętrznych. Coraz bardziej rośnie liczba odległych klientów VPN, korzystających z publicznych łączy Internetowych za pośrednictwem modemów i łączy dzierżawionych. W konsekwencji mamy coraz mniejsze panowanie nad tymi rozległymi środowiskami, a nieprzerwane (always-on) połączenie z Internetem naszych odległych użytkowników jedynie zwiększa ryzyko ataku intruzów na indywidualną, odległą maszynę i co za tym idzie – na naszą wewnętrzną sieć.
 |
Powszechną praktyką jest także koncentrowanie się inżynierów bezpieczeństwa na ochronie sieci przed atakami zewnętrznymi, mimo, że od dawna wiadomo, iż najwięcej włamań i największe straty przyniosły ataki z wnętrza organizacji. Oznacza to, że często stosowane w odniesieniu do dostępu z zewnątrz mechanizmy takie jak kontrola dostępu, szyfrowanie i autentykacja użytkowników powinny być wdrażane także w wewnętrznych sieciach przedsiębiorstwa. Dane gromadzone na stacjach roboczych powinny być chronione przed nieuprawnionym dostępem innych użytkowników sieci, a wymiana krytycznych informacji z serwerami nie może być „podsłuchana" przez naszych własnych pracowników. Każda stacja robocza – zarówno lokalna jak i odległa – stanowi potencjalne boczne wejście do naszej sieci w przypadku braku odpowiednich mechanizmów zabezpieczających.
Rozwiązaniem tego problemu jest VPN-1 SecureClient firmy Check Point, który wymusza stosowanie mechanizmów zabezpieczających na stacjach roboczych. Jest to rozszerzenie dobrze znanego pakietu VPN-1 SecuRemote - który przeznaczony jest do standardowej budowy kanałów VPN oferując autentykację użytkowników i szyfrowanie po stronie klienta – o nowe mechanizmy takie jak kontrola dostępu i sterowanie konfiguracją bezpieczeństwa stacji roboczej. VPN-1 SecureClient podnosi stopień bezpieczeństwa całej, rozległej sieci korporacyjnej upewniając nas, że potencjalni intruzi – tacy jak współużytkownicy określonego segmentu sieciowego lub ogólnodostępnych zasobów poza naszą siecią – nie skorzystają z okazji włamując się do niechronionej stacji roboczej i rozszyfrowania aktywnego połączenia VPN. Istotną wartością VPN-1 SecureClient jest także możliwość automatycznego sprawdzenia, że wszystkie stacje robocze w dowolnie szerokiej sieci korporacyjnej są poprawnie zabezpieczone, pozostając w zgodzie z przyjętą polityką bezpieczeństwa.
|
Podstawowe cechy produktu
|
|
|
|
- Szyfruje komunikację z odległych i lokalnych stacji roboczych
- Realizuje funkcję personalnego systemu zaporowego dla PC pracujących w ogólnozakładowej sieci
- Wymusza bezpieczne konfiguracje na każdym systemie typu klient
|
|
|
|
|
|
|
Podstawowe korzyści
- Ochrania połączenia klient-pomost i klient-serwer przed nieuprawnionym przechwytywaniem danych
- Zabezpiecza całą sieć wymuszając kontrolę dostępu na każdej stacji roboczej
- Podnosi bezpieczeństwo sieci korporacyjnej wymagając bezpiecznej konfiguracji od każdej stacji roboczej.
Elastyczność
VPN-1 SecureClient oferuje bezpieczne połączenia dla odległych stacji roboczych jak i lokalnych, intranetowych użytkowników. Może być zainstalowane na dowolnej stacji Windows 95/98/NT i obsługuje wszystkie protokoły IP. W odniesieniu do użytkowników odległych (np. pracowników w ruchu) umożliwia korzystanie zarówno ze stałych jak i dynamicznie przydzielanych adresów IP. W przypadku instalacji lokalnych chroni krytyczne połączenia stacji roboczej z wybranymi serwerami typu bastion host (VPN-1 SecureServer) lub pomostami VPN-1.
Personalny system zaporowy
VPN-1 SecureClient chroni lokalną lub odległa stację roboczą używając tej samej technologii Stateful Inspection co FireWall-1 lub VPN-1. Pre-definiowane wzory polityki bezpieczeństwa określają dopuszczalny ruch sieciowy i sposoby szyfrowania transmisji dla wszystkich stacji roboczych. Przykładowo, możemy wymagać aby cały ruch do i ze stacji roboczej był szyfrowany. Przyjęcie określonej polityki bezpieczeństwa w odniesieniu do stacji typu klient nie tylko chroni dane określonej stacji roboczej, ale także – w przypadku odległych użytkowników VPN – eliminuje możliwość ataku pochodzącego z sąsiedniej stacji w dzielonej sieci.
Sterowanie konfiguracją bezpieczeństwa
VPN-1 SecureClient upewnia nas, że stacja robocza jest skonfigurowana bezpiecznie zgodnie z przyjętą, ogólnozakładową polityką bezpieczeństwa. Mamy możliwość zablokowania dostępu do zasobów sieciowych do momentu zainstalowania zaaprobowanej konfiguracji. Przykładowo, możemy wymóc konieczność stosowania jedynie protokołów IP, wyłączenia IP forwarding i zainstalowanie określonej polityki bezpieczeństwa. Tylko w przypadku pozytywnej weryfikacji stacja robocza będzie miała dostęp do pomostu Internetowego lub wewnętrznego serwera z krytycznymi danymi.
Centralny serwer polityki bezpieczeństwa
VPN-1 SecureClient korzysta z centralnego serwera zawierającego zdefiniowana politykę bezpieczeństwa dla stacji roboczych. W pierwszej kolejności administrator definiuje stopień zabezpieczania stacji roboczych w całej sieci korporacyjnej. Zarządzanie bazuje na dwóch elementach: polityka bezpieczeństwa instalowana na stacji roboczej i wymagana, bezpieczna konfiguracja tej stacji. Następnie, przyjęta polityka bezpieczeństwa jest „ładowana" z centralnego serwera do każdej stacji roboczej. Użytkownicy muszą zatem zostać poprawnie zidentyfikowani w procesie autentykacji, a ich stacje robocze muszą pozostać w zgodzie z oczekiwaną konfiguracją aby określone połączenie VPN zostało ustanowione.
Obsługa standardów przemysłowych
VPN-1 SecureClient pracuje w oparciu o przemysłowe standardy w odniesieniu do protokołów i algorytmów VPN.
|
Algorytm szyfrowania
|
Długość klucza
|
|
Triple DES1
|
168-bitów
|
|
DES
|
56-bitów
|
|
FWZ-1
|
48-bitów
|
|
DES-401
|
40-bitów
|
|
CAST-401
|
40-bitów
|
|
Autentykacja użytkownika
|
|
|
Cyfrowe certyfikaty X.5091
|
|
|
IKE Pre-shared secret1
|
|
|
RADIUS
|
|
|
TACACS/TACACS+
|
|
|
Bazująca na tokenach
|
|
|
Hasło systemu operacyjnego
|
|
|
Hasło FireWall-1
|
|
|
S/Key
|
|
|
Algorytmy klucza publicznego
|
|
|
RSA
|
512-10241 bity
|
|
Diffie-Hellman
|
512-10241 bity
|
|
Zarządzanie kluczami
|
|
|
IKE (ISAKMP/Oakley)
|
|
|
FWZ
|
|
|
1Obsługiwane w schemacie IKE
Integracja
VPN-1 SecureClient bezboleśnie pracuje z przodującą na rynku rodziną produktów VPN-1 firmy Check Point. Polityka bezpieczeństwa dla stacji roboczych definiowana jest za pośrednictwem konsoli zarządzającej VPN-1, tej samej która służy do zarządzania innymi produktami należącymi do tej rodziny. Dzięki temu, że VPN-1 SecureClient ustanawia kanały VPN z VPN-1 Gateway lub VPN-1 SecureServer możliwe jest wymuszanie wszystkich elementów polityki bezpieczeństwa takich jak: kontrola dostępu, autentykacja użytkowników i monitorowanie ruchu.
Wymagania systemowe
- System operacyjny: Windows 95/98/ME, Windows NT SP4/2000/XP - zweryfikuj tutaj
- PocketPC 2002 lub MAC OS
- Wolna powierzchnia dyskowa: 6MB
- Pamięć RAM: 32MB
- Karta sieciowe: każda obsługiwana przez system
Zobacz więcej
|
)