Решения StoneGate SSL VPN позволяет легко организовать защищенный удаленный доступ клиентам к внутренним ресурсам. Для подключения понадобится обычный веб-браузер.
Сегодня все больше сотрудников работают за пределами корпоративной сети и требуют оперативного и, главное, безопасного доступа к данным, которое обычно решается при помощи виртуальной частной сети (VPN, Virtual Private Network).
Традиционными протоколами здесь являются IPSec, PPTP и OpenVPN. При этом во время выбора конкретного решения VPN необходимо учитывать ряд факторов: необходимость установки агента на клиентский ПК, блокировку нестандартных портов провайдером, возможность работы из-за NAT и другие. Именно поэтому сегодня все более популярны решения для организации VPN, базирующиеся на SSL и использующие стандартный порт (как правило, 443). Они обеспечивают требуемую безопасность и одновременно являются простыми в эксплуатации. Все настройки производятся на серверной стороне, пользователю не требуется устанавливать и настраивать клиентское ПО.
Одним из популярных решений является StoneGate SSL VPN [1], реализованный как в виде аппаратных устройств нескольких модификаций, поддерживающих от 10 до 15000 соединений, так и в виде OVF x64 образа, который можно запустить в любой современной виртуальной машине (продукт имеет статус VMware Ready).
Возможности StoneGate SSL VPN
Сервер StoneGate SSL VPN выступает в роли своеобразного прокси между клиентом и сервисом, к которому необходимо подключиться, обеспечивая аутентификацию, контроль состояния устройства и шифрование.
Принцип работы очень прост. Пользователь для доступа к корпоративным ресурсам запускает веб-браузер, подключается к порталу и выбирает способ аутентификации. После проверки учетных данных пользователю остается только подключиться к требуемому ресурсу, просто выбрав значок, причем в списке показываются только разрешенные. Это может быть веб-сервис, запуск определенных приложений на локальной системе, поддерживается синхронизация устройств посредством Microsoft Active Sync, есть передача видео и голоса. Если приложение сложное и требует туннелирование трафика, то в браузере потребуется поддержка технологий Java или ActiveX. Тогда после выбора значка приложения будет загружен агент, который и обеспечит создание туннеля для приложения. Какое-либо особое обучение сотрудника не требуется, он общается с обычным веб-порталом, все происходит прозрачно для пользователя.
Установки и политики настраиваются и применяются автоматически на шлюзе, в том числе администратор публикует доступные ресурсы. Сервер StoneGate при этом является единой точкой доступа ко всем приложениям, обеспечивая, в том числе, и однократную аутентификацию (SSO) избавляя пользователя от необходимости каждый раз вводить пароль для регистрации.
Подключение производится по 443 порту, которое используется для защищенного входа на веб-сайты, а поэтому не блокируется провайдерами. По умолчанию шифруется только подключение между клиентом и сервером StoneGate, трафик между StoneGate и самим сервисом остается открытым, но возможность его шифрования предусмотрена.
Поддерживаются более 20 методов аутентификации, в том числе при помощи сертификатов, смарт-карт и одноразового пароля. Для реализации OTP используются SMS- сообщение или специальный клиент StoneGate SSL VPN MobileID Client, доступный для всех популярных платформ iOS/OS X, Android, Windows/WinPhone, Linux, Java ME и других. Расширенные политики паролей позволяют устанавливать нужный уровень сложности. Ввод учетных данных можно произвести при помощи веб-клавиатуры, это поможет избежать перехвата программой кейлогером.
Доступ также может быть предоставлен или запрещен на основе: IP-адреса клиента, устройства, метода аутентификации, дате и времени, членстве в группе.
Еще один важный момент. При подключении и в процессе работы производится анализ удаленной системы, позволяя выполнить принятые политики безопасности (установлен и активен антивирус и брандмауэр, тип устройства и его состав, сетевые настройки, запущенные процессы и открытые порты и т.д.). Администратор может использовать скрипты, выполняющие дополнительные проверки. В результате всех факторов пользователю предоставляется полный или ограниченный доступ.
Например, при работе на неизвестном компьютере с неработающим антивирусом может быть запрещена передача файлов и подключение к особо охраняемым сервисам. Предусмотрено принудительное удаление всех данных по окончании сессии (временных файлов, истории, кэша, документов и т.д.), позволяя сохранить конфиденциальность.
Управление учетными записями упрощается за счет интеграции с LDAP –сервисами, включая Active Directory, полный список серверов приведен в документации. Сам StoneGate SSL VPN поставляется с встроенным LDAP- сервером OpenDJ. Продукт легко масштабируется, предусмотрена возможность автономной работы или работы в кластере. В этом случае один сервер играет роль основного. Реализовано простое резервирование и восстановление настроек, управление сертификатами, обновление, аудит и многое другое.
Все настройки производятся при помощи веб-браузера (Web Console) или Stonesoft Management Center, используемого для централизованного управления несколькими устройствами и поставляемого как отдельное приложение (для Linux или Windows).
Продукт ориентирован на организации разного уровня, в том числе и требующих особых мер безопасности, и обладает сертификатами ФСБ и ФСТЭК России. В частности, StoneGate SSL VPN имеет сертификат, удостоверяющий соответствие требованиям ФСБ России к СКЗИ класса КС1 и КС2 для криптографической защиты информации, не содержащей сведений, составляющих государственную тайну. Лицензируется по количеству одновременно подключенных пользователей.
Видео по тестированию можно посмотреть
здесь.
