Резюме

Теперь многие читатели могут подвергнуть сомнению надежность общей концепции систем удаленного доступа, основанных как на технологии виртуальных частных сетей, так и на использовании старых добрых телефонных линий. И это правильно. Расширение пределов организаций до размеров тысяч (или миллионов) по определению надежных конечных пользователей — чрезвычайно рискованное дело, и авторы это доказали. Они предлагают исходить из предположения о том, что удаленные пользователи работают в наихудших с точки зрения безопасности условиях (обычно это достаточно близко к действительности). Вот некоторые советы по обеспечению безопасности удаленного доступа.

  •  Политика назначения паролей, оправдывающая зарплату администратора по вопросам безопасности, приобретает еще более важное значение, если речь идет о выделении паролей для удаленного доступа к внутренним сетям. Удаленные пользователи должны использовать сложные пароли, надежность которых необходимо периодически контролировать. Рассмотрите возможность реализации механизма двухуровневой аутентификации на основе интеллектуальных плат или аппаратных ключей. Выясните у производителей, совместимы ли предлагаемые ими продукты с текущей инфраструктурой системы удаленного доступа. Многие компании предлагают простые надстройки, позволяющие легко реализовать схему аутентификации на основе аппаратных ключей для популярных серверов удаленного доступа типа Shiva LANRover. Таким образом, достичь требуемого уровня безопасности станет значительно легче.
  •  Обеспечивая безопасное соединение с Internet, не упускайте из виду обычные удаленные соединения. Разработайте политику контроля удаленных соединений внутри организации и регулярно проверяйте соблюдение принятых норм с использованием программ автопрозвона.
  •  Найдите и запретите несанкционированное использование программного обеспечения удаленного доступа во всей организации (более подробная информация об этом содержится в главе 13).
  •  Помните, что через телефонные линии хакеры могут получить доступ не только к модемам организации. Под их "обстрелом" могут оказаться офисные телефонные станции, факс-серверы, системы голосовой почты.
  •  Научите обслуживающий персонал и конечных пользователей предельно внимательному обращению с информацией об учетных записях для удаленного доступа, чтобы предотвратить возможность угрозы утечки информации через каналы социальной инженерии. Используйте дополнительные формы идентификации для получения информации по вопросам удаленного доступа через доску объявлений, например, введите систему персональных номеров.
  •  При всех своих достоинствах виртуальные частные сети могут подвергаться таким же атакам, как и другие "защищенные" технологии. Не верьте на слово уверениям разработчиков по поводу абсолютной защищенности VPN (вспомните статью Шнеера и Маджа, посвященную протоколу РРТР), разработайте строгую политику их использования и периодически контролируйте ее выполнение как и для удаленных соединений через обычные телефонные линии.