Невероятные факты

Наверняка практически каждый пользователь сети встречался хотя бы один раз с призывом не заниматься поиском какого-либо обычного на первый взгляд слова, сразу же гуглил его, чтобы тут же пожалеть о своём любопытстве.

Изучив целый мир некорректного ранжирования, предоставляем вашему вниманию 13 на первый взгляд безобидных запросов, которые могут надолго лишить вас аппетита.

Синие вафли

Это один из тех случаев, когда при установке "безопасного поиска" на этот запрос вам Гугл покажет несколько фото черничных вафель и несколько обработанных в фотошопе изображений синих вафель.

Однако, если вы отключите безопасный поиск, то поисковик выдаст вам изображения женской интимной инфекции. Впервые фото этой инфекции появилось в интернете в 2010 году.

Несмотря на то, что это может быть более сложной формой другого известного женского заболевания, поговаривали, что изображения являются мошенничеством и частью интернет – обмана.

Но независимо от того, реальными были снимки или нет, они ужасны и не стоит их смотреть.

Не гуглите это

Ферма тел

Институт антропологических исследований университета Теннесси есть ничто иное, как настоящее скопление тел животных и людей, где изучается их разложение в различных условиях.

Укус коричневого паука отшельника

Укусы этих ядовитых пауков страшны и смертельно опасны, несмотря на то, что сами пауки выглядят довольно обычно. Не стоит искать их в поисковике, вы не продержитесь долго, чувство отвращение вас захлестнет.

Кластерные

Этот вполне безобидный запрос поисковая система связывает с намного более жуткой трипофобией, которая представляет собой страх перед скоплениями различного размера отверстий, как на человеческой коже, так и на растениях.

В сети по этому слову можно найти очень много изображений, от которых чесаться вы будете ещё долго.

Перламутровые

Это слово означает не только остров и окраску, напоминающую жемчужины, но и является частью названия косметического дефекта "перламутровые папулы". В этом случае поисковик не щадит ничьих чувств и выдаёт только эти самые папулы.

Тем не менее, несмотря на их отвратительный вид, они не считаются венерическим заболеванием.

Принц Альберт

Если вы зададите Гуглу это словосочетание для поиска, то вы узнаете, что это не только князь Монако и известный вариант завязывания узла для галстука, но и популярный вид мужского интимного пирсинга.

Никогда не гугли

Моллюск

Почему-то Гугл полагает, что моллюск – это в первую очередь не морской житель, а детское кожное заболевание – контагиозный моллюск.

Гуро

По незнанию это слово может показаться безобидным, но на самом деле – это слово, с которым связано много крови. По этому запросу поисковик выдаст вам изображения расчленённых девушек в стиле аниме.

В искусстве Японии гуро (или эрогуро) возникло ещё в начале 20 века, и в нём будто собрали всё, что провоцирует появление у человека чувства отвращения.

Лоскут

Если вы, слыша это слово, первым делом представляете себе лоскутное одеяло, то у знаменитого поисковика на этот счёт гораздо менее приятные ассоциации. На первых фото по запросу вы увидите мужчину, которому новую кожу на лице вырастили с помощью его руки.

Кrokodil

Когда вы наберете этот запрос, то Гугл вам действительно покажет этих пресмыкающихся, но рядом с ними вы увидите фотографии наркотика с таким же названием и с последствиями его применения. Если же вы напишите запрос латинскими буквами, то жуткие снимки появляются сразу.

Жесть

Работник металлургического завода вряд ли сможет найти в поисковике информацию о стали в листах по данному запросу. Бойтесь этого слова, Гугл тут беспощаден.

Пупырышки

Многим пользователям сети нравится приписывать себе различные вымышленные болезни, а потом вместе с реально болеющими выкладывать в сеть на медицинских форумах фотографии интимных частей тела с непонятными высыпаниями, поэтому по данному запросу ничего хорошего вам найти не удастся.

Остроконечные

Довольно большое количество вещей могут быть остроконечными, однако Гугл всему предпочитает показывать нам, обычным пользователям, что из себя представляют остроконечные кондиломы, маленькие наросты, появляющиеся из-за наличия в организме вируса папилломы. Неприятное зрелище.

VPN сети вошли в нашу жизнь очень серьезно, и я думаю, надолго. Данная технология используется как в организациях для объединения офисов в единую подсеть или для обеспечения доступа к внутренней информации мобильных пользователей, так и дома при выходе в интернет через провайдера. Можно с уверенностью сказать, что каждый из администраторов обязательно занимался настройкой VPN, как и каждый пользователь компьютера с выходом в интернет использовал данную технологию.

Фактически, в настоящий момент, очень сильно распространена технология IPSec VPN. Про нее написано много различных статей как технических, так и обзорно-аналитических. Но сравнительно недавно появилась технология SSL VPN, которая сейчас очень популярна в западных компаниях, но в России на нее пока не обратили пристального внимания. В этой статье я постараюсь описать, чем отличается IPSec VPN от SSL VPN и какие преимущества дает применение SSL VPN в рамках организации.

IPSec VPN - его преимущества и недостатки

В первую очередь хотелось бы обратить внимание на определение VPN, наиболее распространенное – «VPN - это технология, которая объединяет доверенные сети, узлы и пользователей через открытые сети, которым нет доверия» (©Check Point Software Technologies).

И действительно, в случае доверенных узлов применение IPsec VPN – это наиболее экономичный путь. Например, для соединения сетей удаленных офисов в единую корпоративную сеть не требуется прокладка или аренда выделенных линий, а используется сеть Интернет. В результате построения защищенных туннелей между доверяемыми сетями образуется единое IP-пространство.

А вот при организации удаленного доступа сотрудников IPsec-решения используются для ограниченного количества только доверенных устройств, например для ноутбуков корпоративных пользователей. Для применения IPsec VPN ИТ-служба должна установить и настроить на каждое доверенное устройство (с которого требуется обеспечить удаленный доступ) VPN-клиент, и поддерживать работу этого приложения. При инсталляции IPsec-решений необходимо учитывать их «скрытую» стоимость, связанную с поддержкой и сопровождением, так как для каждого типа мобильного клиента (ноутбук, PDA и др.) и каждого типа сетевого окружения (доступ через интернет-провайдера, доступ из сети компании-клиента, доступ с использованием адресной трансляции) требуется оригинальная конфигурация IPsec-клиента.

Помимо поддержки есть несколько очень важных проблем:

• Не для всех доверенных мобильных устройств, используемых в компании есть VPN клиенты;
• В различных подсетях, из которых производится доступ (например, корпоративная сеть партнера или заказчика) необходимые порты могут быть закрыты и требуется дополнительное согласование их открытия.

Таких проблем не возникает при использовании SSL VPN.

SSL VPN – алгоритм работы пользователя

Предположим, вы находитесь в командировке, в вашей компании вам не смогли предоставить на время командировки ноутбук. Но вам необходимо:

• Во время вашего отсутствия в офисе не выпадать из рабочего процесса;
• Передавать и получать электронную почту;
• Использовать данные из каких-либо бизнес систем, которые функционирую в вашей компании.

У вас под рукой в лучшем случае компьютер в сети организации, куда вы приехали в командировку, с доступом в Интернет только по протоколу http/https, в худшем случае – обычное Интернет-кафе в вашей гостинице.

SSL VPN успешно решает все эти задачи, причем уровень обеспечения безопасности будет достаточным, для работы с критичной информацией из Интернет кафе…
Фактически вы выполняете следующие действия:

• Вам нужен только Интернет-обозреватель (Internet Explorer, FireFox и т.п.);
• В Интернет-обозревателе набираете адрес SSL VPN устройства;
• Далее автоматически скачивается и запускается Java апплет или ActiveX компонент, который предлагает вам аутентифицироваться;
• После аутентификации автоматически применяются соответствующие политики безопасности:
  • выполняется проверка на вредоносный код (в случае обнаружения который блокируется);
  • создается замкнутая среда обработки информации – все данные (включая временные файлы), переданные из внутренней сети, после завершения сеанса будут удалены с компьютера, с которого осуществлялся доступ;
  • Также в процессе сеанса используются дополнительные средства защиты и контроля;
• После успешного прохождения процедур безопасности вам становятся доступны все необходимые ссылки «в один клик мышкой»:
  • Доступ к файловым серверам с возможностью передачи файлов на сервер;
  • Доступ к Web-приложениям компании (например, внутренний портал, Outlook Web Access и т.п.);
  • Терминальный доступ (MS, Citrix);
  • Инструменты для администраторов (например, ssh консоль);
  • И, конечно, возможность полноценного VPN через https протокол (без необходимости предварительной установки и настройки VPN клиента) – конфигурация передается напрямую из офиса, в соответствии с аутентификационными данными.

Таким образом, применение SSL VPN решает несколько задач:

• Значительное упрощение процесса администрирования и поддержки пользователей;
• Организация защищенного доступа к критичной информации с недоверенных узлов;
• Возможность применения на любых мобильных устройствах, а так же на любых компьютерах (включая интернет киоски) с выходом в Интернет (без предварительных установок и настроек специального программного обеспечения).

SSL VPN – производители и возможности

На рынке SSL VPN доминируют аппаратные решения. Среди поставщиков решений SSL VPN – все известные производители активного сетевого оборудования:

• Cisco
• Huawai
• Juniper
• Nokia
• И т.д.

Среди программных реализаций специалисты компании «Алатус» выделяют решение на базе SSL Explorer компании 3SP Ltd , которое наиболее точно соответствует требованиям заказчиков.

Так же хотелось бы привести таблицу сравнения возможностей IPSec VPN и SSL VPN:

Характеристика	IPSec VPN
Поддержка приложений
Поддержка бизнес приложений
Поддержка HTTP приложений
Поддержка доступа к файловым серверам
Поддержка терминального доступа
Сетевая архитектура
Корпоративный ПК
Мобильный ПК
Работа из сторонней сети (за межсетевым экраном)	- (Требует открытия портов)	+ (Работа через https)
Публичный компьютер (интернет-кафе)	- (Требует установки клиента)
КПК, коммуникатор	-+ (Для устройства должен быть VPN клиент)
Обеспечение защиты
Возможность строгой аутентификации	+ (В большинстве случаев)
Web single sign-on	-
Автоматическое применение политик безопасности в зависимости от типа объекта и пользователя	- (Требует дополнительных решений)
Дополнительно
Безклиентная технология		+ (достаточно Internet Explorer)
Легкость внедрения	Зависит от решения
Легкость конфигурирования	Зависит от решения
Легкость поддержки	Зависит от решения

SSL VPN в России

На сегодняшний день в России уже реализовано достаточно большое количество проектов, по внедрению в компаниях удаленного доступа на базе технологии SSL VPN. Но как уже говорилось ранее, пока данная технология в России не набрала своей популярности, в то время как производители данных решений сообщают об очень высоком спросе на них среди западных компаний.

Published on Февраль 3, 2009 by · Комментариев нет

Если вы пропустили предыдущие части этой серии статей, пожалуйста прочтите:

В первых двух частях этой серии статей о том, как создавать сервер SSL VPN на базе Windows Server 2008, мы рассматривали некоторые основы построения сетей VPN и затем обсудили настройку сервера. На данном этапе мы готовы завершить выполнение некоторых мелких изменений в конфигурации Active Directory и на CA веб сайте. После того как мы выполним этим изменения, мы сконцентрируемся на конфигурации клиента VPN и в конце создадим SSL VPN соединение.

Настройка учетной записи пользователя на использование Dial-up соединений

Учетные записи пользователей требуют разрешений для доступа dial-up, прежде чем смогут подключиться к серверу Windows VPN, который входит в домен Active Directory. Самый лучший способ сделать это – это использовать сервер Network Policy Server (NPS), а также разрешение учетной записи пользователя по умолчанию, которое разрешает удаленный доступ на основе политики NPS. Однако в нашем случае мы не устанавливали сервер NPS, поэтому нам придется настраивать разрешение пользователю для доступа dial-in вручную.

Следующую статью я посвящу использованию NPS сервера и аутентификации EAP User Certificate для создания соединений с SSL VPN сервером.

Для того чтобы разрешить определенной учетной записи пользователя доступ dial-in для подключения к SSL VPN серверу, нужно выполнить следующие шаги. В этом примере мы будем активировать разрешение dial-in доступа для учетной записи администратора домена по умолчанию:

Настройка IIS на сервере сертификации (Certificate Server) для разрешения HTTP соединений для CRL Directory

По каким-то причинам, когда мастер установки устанавливает Certificate Services (службы сертификации) веб сайт, он настраивает CRL директорию на запрос SSL соединения. Хотя с точки зрения безопасности это кажется вполне хорошей идеей, проблема заключается в том, что унифицированный идентификатор ресурса (URI) на сертификате не настроен под использование SSL. Полагаю, что вы сможете самостоятельно создать CDP запись для сертификата, чтобы он смог использовать SSL, но могу поспорить, что компания Microsoft нигде не упоминала об этой проблеме. Поскольку в этой статье мы используем стандартные параметры для CDP, нам необходимо отключить требование SSL на веб сайте CA для пути CRL директории.

Чтобы дезактивировать требование SSL для директории CRL выполните следующие шаги:

Настройка HOSTS файла для VPN клиента

Теперь мы можем уделить все внимание VPN клиенту. Первое что нам необходимо сделать с клиентом, это настроить HOSTS файл, чтобы мы смогли имитировать публичную DNS инфраструктуру. Есть два имени, которые нам необходимо внести в HOSTS файл (то же самое нужно сделать и для публичного DNS сервера, который вы будете использовать в производственных сетях). Первое имя – это имя VPN сервера, как определено общим/субъектным именем сертификата, который мы привязали к SSL VPN серверу. Второе имя, которое нам нужно ввести в HOSTS файл (и публичный DNS сервер), — это имя CDP URL, которое находится на сертификате. Мы рассматривали расположение информации CDP во второй части этой серии.

Два имени, которые необходимо ввести в HOSTS файл в этом примере будут:

192.168.1.73 sstp.msfirewall.org

192.168.1.73 win2008rc0-dc.msfirewall.org

Для настройки HOSTS файла для Vista SP1 VPN клиента выполните следующие процедуры:

1. Закройте файл и выберите опцию сохранить изменения .

Использование PPTP для подключения к VPN серверу

Мы постепенно приближаемся к созданию SSL VPN соединения! Следующим шагом будет создание VPN коннектора на Vista SP1 клиенте, который позволит нам создать начальное VPN соединение с VPN сервером. В нашем случае это нужно сделать, потому что компьютер клиента не является членом домена. Так как машина не является членом домена, сертификат CA не будет автоматически установлен в ее хранилище Trusted Root Certificate Authorities. Если бы машина входила в домен, автоматическая регистрация позаботилась бы за нас об этой проблеме, так как мы установили Enterprise CA.

Самый простой способ выполнить этот шаг заключается в создании PPTP подключения Vista SP1 VPN клиента к Windows Server 2008 VPN серверу. По умолчанию VPN сервер будет поддерживать PPTP соединения, и клиент сначала попробует PPTP, перед тем как пробовать L2TP/IPSec и SSTP. Для этого нам нужно создать VPN Коннектор или объект соединения.

Для создания коннектора на VPN клиенте выполните следующие шаги:

Получение CA Certificate с Enterprise CA

Клиент SSL VPN должен доверять CA, который выпустил сертификат, используемый VPN сервером. Чтобы создать это доверие, нам нужно установить CA сертификат на CA, выпустивший сертификат для VPN сервера. Мы можем это сделать, подключившись к веб сайту регистрации на CA во внутренней сети и установив сертификат VPN клиента в его хранилище Trusted Root Certification Authorities.

Для получения сертификата с сайта регистрации выполните следующие шаги:

1. Нажимаем Закрыть в диалоговом окне .
2. Закрываем Internet Explorer .

Теперь нам нужно установить сертификат CA в хранилище Trusted Root Certification Authorities Certificate Store машины клиента VPN. Для этого нужно сделать следующее:

1. Закрываем консоль MMC.

Настройка клиента на использование SSTP и подключение к VPN серверу через SSTP

И вот почти все готово! Теперь нам нужно отключить VPN соединение и настроить VPN клиента на использование SSTP для VPN протокола. В производственном окружении вам не придется использовать этот шаг для пользователей, так как вы будете использовать пакет Connection Manager Administration Kit для создания VPN объекта соединения для пользователя, который будет включать клиента, использующего SSTP, или вы будете настраивать только SSTP порты на VPN сервере.

Все зависит от конфигурации окружения, поскольку вам нужно распределить время так, чтобы пользователи смогли в течение некоторого времени использовать PPTP, пока вы устанавливаете сертификаты. Конечно, вы можете установить сертификаты CA не через сеть, то есть посредством загрузки с веб сайта или по электронной почте, и в этом случае вам не придется разрешать пользователям PPTP. Но тогда, если какие-то клиенты не поддерживают SSTP, вам потребуется разрешить PPTP или L2TP/IPSec, и вы не сможете отключить все не-SSTP порты. В таком случае вам придется полагаться на ручную настройку или на обновленный пакет CMAK.

Еще одним вариантом здесь может стать привязка SSTP клиента к определенному IP адресу на RRAS сервере. В этом случае вы сможете создать пользовательский пакет CMAK, который ссылается только на IP адрес на SSL VPN сервере, прослушивающем сеть на предмет входящих SSTP соединений. Другие адреса на сервере SSTP VPN будут прослушивать сеть на предмет PPTP и/или L2TP/IPSec соединений.

Выполните следующие шаги для того, чтобы отключить PPTP сеанс и настроить объект подключения VPN клиента на использование SSTP:

Рисунок 29

Заключение

В этой заключительной части нашей серии статей о том, как собрать вместе SSL VPN сервер, используя Windows Server 2008, мы закончили настройку учетной записи пользователя, CRL веб сайта и SSL VPN клиента. Мы также закончили создание SSTP соединения и подтвердили, что оно было успешным. Благодарю!

Источник www.windowsecurity.com

Смотрите также:

Readers Comments (Комментариев нет)

Exchange 2007

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ...

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ...

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть...

В настоящее время существует два типа пользовательских VPN:
SSL VPN и IPSec VPN и каждая из них имеет свои преимущества и недостатки.

Основное преимущество SSL VPN есть простота его внедрения: все браузеры поддерживают SSL, все провайдеры пропускают и не ограничивают SSL.
Некоторые виды доступа через SSL VPN можно осуществить буквально любым браузером и на любой платформе.

IPSec VPN считается более безопасным протоколом.

SSL и TLS

Очень часто в технической литературе можно встретить понятия SSL и TLS.

Оба протокола являются cryptographic protocols , обеспечивающие безопасную передачу данных поверх интернет(e-mail, web browsing, instant messaging).
Протоколы обеспечивают confidentiality, integrity, authentication services.
SSL и TLS работают на уровне Session Layer модели OSI или выше.
Протоколы могут использовать public key infrastructure (PKI) а также сертификаты для аутентификации и передачи друг другу симметричных ключей.
Также как и IPSec для шифрования данных они используют симметричные ключи.

Большинство безопасных передач на браузере производятся через SSL или TLS.
Изначально появился SSL, его разработала компания Netscape.
TLS является дальнейшим развитием SSL, а также стандартом, разработанным Internet Engineering Task Force (IETF) .
Например TLS 1.0 основан на SSL3.0.
Что конкретно использовать SSL или TLS решают сами браузеры: предпочтителен TLS но возможно переключение и на SSL.

Таким образом, важно понимать, что используя термин SSL мы подразумеваем SSL или TLS.
К примеру Cisco SSL VPN реально использует TLS.

Операции SSL

Итак, SSL используется в большинстве онлайновых сервисах, требующих безопасности.
Давайте рассмотрим пошагово, что происходит когда клиент подключается к банковскому серверу, использующему SSL:

• Клиент инициализирует подключение к серверу на его IP адрес и порт 443. В качестве источника используется соответственно IP клиента и порт выше чем 1023
• Происходит стандартный процесс TCP подключения, использующий three-way handshake
• Клиент запращивает подключение по SSL и сервер отвечает высылая свой digital certificate, который содержит public key этого сервера.
• Получив сертификат, клиент должен решить: доверять этому сертификату или нет.
  Здесь начинают работать механизмы PKI.
  Если digital certificate подписан CA, которой клиент доверяет + сертификат валидный по дате + серийник сертификата не числится в certificate revocation list (CRL) - клиент может доверять сертификату и использовать public key этого сертификата.
• Клиент генерирует симметричный ключ shared secret , который будет использоваться для шифрования данных между клиентом и сервером. Далее клиент шифрует shared secret с использованием public key и передает это серверу.
• Сервер, используя свой private key , расшифровывает полученный симметричный ключ shared secret .
• Обе стороны теперь знают shared secret и могут шифровать SSL Session.

Типы SSL VPN

SSL VPN можно разделить на два вида:

• Clientless SSL VPN - также называется Web VPN . Не требует установки клиента. Ограниченные возможности.
• Full Cisco AnyConnect Secure Mobility Client SSL VPN Client - полноценный SSL клиент, требующий установки на клиента ПО, обеспечивающее полноценный доступ к корпоративной сети

Настройка SSL VPN

1. Копируем файл Anyconnect PKG.
   В нашем случае это anyconnect-win-3.1.08009-k9.pkg
2. Указываем на файл pkg, и включаем сервис Webvpn Anyconnect service.
   

   webvpn anyconnect image disk0:/anyconnect-win-3.1.08009-k9.pkg 1 enable outside2 anyconnect enable

3. Исключаем (exempt) трафик SSL WebVPN от проверок на outside interface ACL . Нам нужно либо сделать в ACL правила permit, либо использовать команду:
   

   msk-asa-01(config)# sysopt connection permit-vpn

4. Для удобства настроим перенаправление с 80 на 443:
   

   http redirect outside2 80

5. Создадим IP address pool . Эти адреса будут выдаваться удалённым пользователям.
   

   ip local pool vpnpool_pool 192.168.93.10-192.168.93.254 mask 255.255.255.0

6. Создаём NAT exemption для трафика между LAN Network и сетью vpnpool. Мы делаем данное исключение, поскольку шифрованный трафик не должен проходить через NAT. Данный шаг необходим в случае если на ASA настроен этот NAT.
   object network vpnpool_obj

   object network vpnpool_obj subnet 192.168.92.0 255.255.255.0 object-group network RFC1918_objg network-object 192.168.0.0 255.255.0.0 network-object 172.16.0.0 255.240.0.0 network-object 10.0.0.0 255.0.0.0 nat (inside,outside) source static RFC1918_objg RFC1918_objg destination static vpnpool_obj vpnpool_obj no-proxy-arp route-lookup

7. Создаём Split-Tunnel ACL, данная настройка позволит пользователям при подключении по VPN одновременно пользоваться интернетом. Без этой настройки в туннель будет заворачиваться весь трафик.
   

   access-list split-tunnel_acl standard permit 192.168.10.0 255.255.255.0

   Данная настройка будет заворачивать в туннель только трафик в сети той же RFC1918.

8. Создаём Group Policy .
   Мы можем создать несколько Group Policy, и в каждой настроить сетевые атрибуты типа DNS server addresses, split-tunneling settings, default domain, протокол(SSL или IPSec) и т.д.

   group-policy anyconnect_gp internal group-policy anyconnect_gp attributes dns-server value 192.168.10.5 vpn-tunnel-protocol ssl-client ssl-clientless split-tunnel-policy tunnelspecified split-tunnel-network-list value split-tunnel_acl webvpn anyconnect keep-installer installed anyconnect dpd-interval client 20 anyconnect ask none default anyconnect

9. Создадим Tunnel Group .
   Tunnel Group в интерфейсе ASDM называется как Connection Profile.
   Tunnel Group должна в себя включать только что нами настроенную Group Policy и объединяет её с IP address pool.
   Мы можем создать несколько таких групп, а пользователь при логине может выбрать для себя нужную Tunnel Group со всеми нужными характеристиками: наследуемые параметры из Group Policy + address-pool

   tunnel-group vpn-users_tg type remote-access tunnel-group vpn-users_tg general-attributes address-pool vpnpool_pool default-group-policy anyconnect_gp tunnel-group vpn-users_tg webvpn-attributes group-alias vpn_users-alias enable webvpn tunnel-group-list enable

   Последняя команда позволяет пользователям выбирать для себя tunnel-group.
   Для пользователей данная группа будет выглядеть с именем "vpn_users-alias"

Anyconnect уже должно заработать, - можно заходить под админской учёткой.

Мониторинг SSL VPN

• ASDM: Monitoring > VPN > VPN Statistics > Sessions
• Из CLI:
  

  vpn# show uauth Current Most Seen Authenticated Users 1 1 Authen In Progress 0 0 remote access VPN user "vpn_video_user1" at 192.168.92.25, authenticated access-list #ACSACL#-IP-video_dacl-54ddc357 (*)

  vpn# show access-list access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300 access-list split-tunnel_acl; 1 elements; name hash: 0xb6fb0e access-list split-tunnel_acl line 1 standard permit 192.168.10.0 255.255.255.0 (hitcnt=0) 0x13482529 access-list #ACSACL#-IP-video_dacl-54ddc357; 1 elements; name hash: 0x6c7d7b7f (dynamic) access-list #ACSACL#-IP-video_dacl-54ddc357 line 1 extended permit ip any4 host 192.168.10.45 (hitcnt=0) 0x4ce5deb8

  Смотрим кто залогинен

  show vpn-sessiond summary

  show vpn-sessiond anyconnect

  Выкинуть юзера из впн:

  vpn-sessiondb logoff name langemakj

Технология VPN возникла как сложная замена специализированным фирменным вариантам передачи данных между удаленными сетями. Целью разработчиков было избавиться от дорогостоящих услуг телекоммуникационных компаний и обеспечить возможность пересылки частных данных через виртуальные туннели по Интернету. Безопасность туннелей, обеспечиваемая шифрованием, почти столь же высока, как у выделенных каналов при практически полном отсутствии текущих затрат. Такая экономия компенсирует существенные усилия, необходимые для организации VPN, требующей дорогостоящего оборудования, утомительной настройки и согласования специализированных IP-протоколов VPN с брандмауэром компании.

Сегодня сети VPN стали фактическим стандартом для взаимосвязанных корпоративных сетей. Они очень удачно применяются в межсетевых соединениях. К сожалению, сложность традиционной технологии VPN со временем повышается, поскольку разработчики VPN-продуктов пытаются обслуживать другие приложения, в том числе пользователей коммутируемых, широкополосных и беспроводных соединений. Количество настраиваемых параметров стремительно растет, и в результате настройка VPN превращается в испытание даже для опытных сетевых инженеров. Индивидуальные удаленные пользователи должны установить специальную клиентскую программу, которая порой мешает обычной работе сети и достаточно сложна в настройке и эксплуатации. Положение усугубляется тем, что некоторые Интернет-провайдеры блокируют протоколы VPN, такие как Cisco Generic Routing Encapsulation (GRE) и Layer 2 Tunneling Protocol (L2TP), взимая дополнительную плату за их использование.

В конце концов поставщики VPN придумали обходной прием: VPN на основе SSL. На самом простом уровне для подключения SSL VPN пользователю требуется лишь браузер. VPN функционирует через стандартный порт SSL-порт 443, отлично приспособленный для работы с брандмауэрами и Интернет-провайдерами без особых настроек и дополнительной платы. Тем не менее, передовые продукты SSL VPN обеспечивают почти полную функциональность IPSec VPN и даже более детализированное управление политиками. У всех продуктов SSL VPN есть одна отличительная черта - простота установки и обслуживания, за что вам будет особенно благодарен персонал службы поддержки.

Чтобы понять, как использовать сети SSL VPN вместо IPSec-разно­видности, необходимо знать спектр продуктов и различные реализованные в них наборы функций. Список продуктов данной категории приведен в таблице «Основные участники рынка SSL VPN» . Одни продукты SSL VPN функционируют совсем без клиентов, а в других используются небольшие апплеты Java или модули ActiveX, автоматически загружаемые из Web. В ряде продуктов применяется простая проверка подлинности с идентификатором пользователя/паролем; в других же используются очень надежные цифровые сертификаты и/или двухфакторная проверка подлинности. В некоторых продуктах подключенным пользователям предоставляется полный доступ к сети; в других доступ можно ограничить только ресурсами, определенными политиками. Такова картина на рынке.

Принципы действия

Чтобы разобраться в принципах действия SSL VPN, рассмотрим основы IPsec для индивидуальных удаленных пользователей, для которых хост-компьютер выглядит напрямую подключенным к частной сети за брандмауэром компании. В IPsec этот эффект достигается благодаря созданию виртуального интерфейса сети непосредственно на компьютере конечного пользователя, связанного туннелем со шлюзом IPsec (автономным устройством или встроенным в брандмауэр компании). Поведение и вид этого виртуального интерфейса похоже на любой другой адаптер локальной или распределенной сети; в действительности, большинство IPSec VPN выглядят как Ethernet-платы с собственным IP-адресом и записями в таблице маршрутов. После того, как установлен туннель IPSec, удаленные пользователи могут свободно обращаться ко всем сетевым ресурсам на другом конце туннеля с использованием своих частных IP-адресов.

В отличие от традиционных VPN, сети SSL VPN не обязательно создают виртуальный интерфейс сети. Удаленный пользователь инициирует соединение SSL VPN, направляя браузер на шлюз SSL VPN, который может быть специализированным устройством или сервером с программой SSL VPN, такой как Microsoft Forefront Unified Access Gateway (UAG) 2010. Соединение шифруется с использованием протокола SSL/TLS, и в результате могут применяться различные механизмы проверки подлинности, поддерживаемые SSL. Проверка подлинности пользователей в SSL VPN может выполняться через существующую инфраструктуру каталогов, будь то Active Directory (AD) или открытый стандарт Lightweight Directory Access Protocol (LDAP). В результате пользователям не приходится запоминать дополнительный пароль и исключается одна из точек входа, добавление/удаление которой нужно отслеживать.

После того как пользователь начинает сеанс браузера SSL VPN, шлюз SSL VPN играет роль посредника для трафика HTTP и HTTP Secure (HTTPS), поступающего в сеть компании. Возможности веб-доступа SSL VPN удивят администраторов, привычных к традиционному SSL веб-серверов. Вместо того чтобы просто подключать пользователей к единственному SSL-совместимому веб-серверу, шлюз SSL VPN обеспечивает маршрутизацию пользователей к любому веб-приложению внутренней сети, даже если сами эти приложения не предназначены для применения с SSL. Этим и ограничиваются потребности многих пользователей в удаленном доступе.

Если бы этим ограничивались и возможности SSL VPN, этого было бы достаточно. Но они шире. В отличие от базовых IPsec VPN, через которые удаленные пользователи подключаются напрямую к локальной сети компании с немногими ограничениями или без них, шлюз SSL VPN обеспечивает возможность управления тем, к каким внутренним серверам может подключиться каждый пользователь. С помощью некоторых шлюзов можно даже управлять доступом на уровне URL-адресов, определяя части приложений, доступные удаленным пользователям. Такая точность управления недоступна в продуктах IPsec VPN с любой ценой.

Если пользователям требуется полный дистанционный доступ на сетевом уровне, то применение виртуального сетевого интерфейса, подобного созданному традиционной VPN, и локальных для компании IP-адресов позволяет добиться этого через специфический для каждого продукта приложения-коннектора «виртуальный IPsec». Эти приложения взаимодействуют с операционной системой пользователя таким же образом, как IPsec, путем создания виртуального сетевого интерфейса. Но в отличие от IPsec, этим приложениям не требуется сложная настройка, так как пользователю не предоставляются параметры для выбора. Администратор шлюза SSL VPN выполняет все настройки, назначая различные политики доступа для шлюза. Таким образом, можно предоставить одному пользователю доступ по протоколу FTP к серверу финансового отдела, другому - возможность отправлять почту SMTP и третьему запретить оба этих действия.

Расширенные возможности SSL VPN зависят от поставщика, но, поскольку пользователям не нужно устанавливать никаких программ, проблем совместимости не возникает. Требуется лишь выяснить, поддерживает ли поставщик операционные системы, с которыми работают пользователи. Не все продукты совместимы со всеми операционными системами, но все поддерживают Windows и Internet Explorer (IE), пользователи которых формируют основной спрос на SSL VPN. Но кроме совместимости с операционной системой необходимо учитывать основные категории, на которые делятся продукты SSL VPN: простые, гибридные, многофункциональные и многофункциональные гибридные.

Разновидности SSL VPN

Простой шлюз. Простой шлюз обеспечивает минимальный набор функций SSL VPN, который в действительности достаточно широк: proxy HTTP и HTTPS, детальное управления доступом на уровне IP-адресов, проверка подлинности с использованием пароля и сертификата, учет доступа и управление аудитом. Пользователь почти любого браузера может обратиться к простому шлюзу, так как не применяется никаких приложений или элементов управления ActiveX. Простой шлюз размещается за брандмауэром компании, в локальной сети или демилитаризованной зоне, а трафик следует через порт 443. Простой шлюз не предназначен для функционирования в качестве брандмауэра и во многих случаях подключается к одному порту Ethernet, обслуживающему как сеансы SSL VPN, исходящие из глобальной сети, так и направляемый в локальную сеть пользовательский трафик.

Существенное преимущество простого шлюза перед базовым подключением IPSec заключается в том, что внутренняя сеть не открыта для разнообразных протоколов конечных пользователей. Это обеспечивает уровень защиты от вирусов и атак хакеров. Однако есть одна проблема безопасности, связанная с простыми шлюзами, как будет показано в следующем разделе.

Гибридный шлюз. Гибридный шлюз поддерживает как SSL, так и IPsec VPN, обеспечивая единую точку управления всем удаленным доступом. Он не располагает дополнительной функциональностью, но возможности SSL VPN часто можно получить путем модернизации шлюза IPsec. Обладателям шлюза IPsec следует в первую очередь подумать о приобретении SSL VPN у данного поставщика, так как в большинстве случаев проще иметь дело с одним поставщиком, чем с двумя.

Многофункциональный шлюз. Многофункциональный шлюз поддерживает не просто службу VPN. Он может служить пограничным брандмауэром, использоваться для размещения веб-портала компании, обнаруживать и предотвращать попытки несанкционированного доступа, фильтровать вирусный трафик и выполнять другие функции. Нет четких критериев многофункционального шлюза, как и веской причины для их существования, помимо удобства приобретения и администрирования. Возможно, разумнее отделить SSL VPN от других процессов безопасности сети; при этом сохраняется свобода выбора продукта в будущем и упрощается начальное развертывание и диагностика SSL VPN.

Многофункционально-гибридный шлюз. В многофункционально-гибридных продуктах сочетаются характеристики гибридных и многофункциональных шлюзов. Их разносторонние возможности могут быть полезны для крупных компаний, но, скорее всего, лягут тяжелой ношей на плечи рядового сетевого администратора. Поэтому будьте осторожны, выбирая эти универсальные продукты.

Известные уязвимые места

Легко поверить, что с установкой любого VPN-подключения немедленно решаются все проблемы безопасности для удаленных пользователей. Но, как хорошо известно пользователям IPsec, это не всегда так. От неправильно развернутой VPN может исходить такая же опасность, как от локальной сети, подключенной к Интернету без брандмауэра. Если удаленная сеть или конечный пользователь скомпрометированы (вирусом, шпионской программой или взломщиком), то VPN (традиционная или SSL) может стать каналом для проникновения вредоносных агентов во внутреннюю сеть компании.

В этом отношении SSL VPN менее опасны, так как в них автоматически применяются политики доступа, специфические для конечных точек, а в большинстве действуют также политики доступа для приложений. Если не активизировать истинный интерфейс виртуальной сети, соединения SSL VPN будут предназначены для отдельных приложений, что существенно снижает уязвимость для атаки. Возможность ограничить взаимодействия пользователей на уровне URL-адресов обеспечивает еще более детальное управление с применением политик. Но, как и в традиционных VPN, детальные политики принесут пользу, только если позаботиться об их настройке.

Однако у SSL VPN есть несколько уязвимых мест, которых нет в традиционных VPN. Простота, с которой пользователи могут установить соединение SSL VPN (только через браузер), вызывает соблазн подключаться из опасных мест, например с незащищенных ноутбуков и настольных компьютеров и даже из общедоступных интернет-киосков. Это опасно, так как компьютер может быть заражен программой, перехватывающей нажатия на клавиши или снимки экрана. Несмотря на более строгие политики, злоумышленник сможет увидеть и сделать все, что видит и делает конечный пользователь на скомпрометированной рабочей станции.

Большинство шлюзов SSL VPN автоматически отключают удаленных пользователей от общедоступного Интернета, пока активен туннель VPN, вынуждая пользователей обращаться в Интернет через него. Таким образом удается избежать атак типа split-network, в ходе которых взломщик получает доступ в реальном времени к локальной сети компании через туннель VPN. В SSL VPN для защиты от подобных угроз все обращения к браузеру просто направляются через VPN, а другие Интернет-протоколы блокированы. Но split-network - лишь одна из угроз.

Вторая угроза еще более коварна. На сегодня для нее не существует противоядия, известен только обходной прием. В результате взломщик может полностью завладеть компьютером пользователя; причина в неудачной реализации программы, устанавливаемой многими продуктами в начале сеанса SSL VPN. Если в приложении Java или Active X есть функция для запуска на компьютере пользователя локальной программы, например клиентского приложения, то взломщик сможет запустить вредную программу, в частности простой (но очень опасный) регистратор нажатий на клавиши. В целом эта функция удобна для конечных пользователей: автоматический запуск локальной программы, например для ввода заказов, упростит работу пользователя. Чтобы обойти эту проблему, необходимо отключить функцию запуска приложений.

Третий класс угроз - заражение вирусами и шпионскими программами, что может привести к внедрению опасных программ за брандмауэром. Вредные программы могут проникнуть вместе с вложенными файлами электронной почты и пересылаемыми файлами или (если используются коннекторы протоколов SSL VPN) через любой протокол TCP/IP. Такие угрозы иногда называют пассивными, так как они не направлены на конкретную цель и просто пытаются распространиться на все доступные компьютеры в сети. Благодаря SSL уязвимых мест становится меньше, но они не исчезают.

В действительности от двух последних угроз существует лишь одна защита: строгий контроль компьютеров, используемых для доступа к VPN. Для этого необходимо регулярно выполнять поиск вирусов и шпионских программ, запретить использование удаленных компьютеров в незащищенных сетях и объяснить пользователям риски, связанные с попытками обхода политик безопасности. В некоторых шлюзах SSL VPN для защиты от вредных программ применяются программы, которые проверяют целостность системы пользователя до подключения к сети, обнаруживают попытки несанкционированного доступа и запрещают удаленный трафик.

В дополнение к обычной односторонней проверке подлинности SSL следует назначить двустороннюю проверку как удаленного пользователя, так и VPN назначения. Проще всего сделать это с помощью цифровых сертификатов, распространяемых из инфраструктуры PKI. К счастью, все, кроме простейших шлюзов и SSL VPN, поддерживают такую проверку подлинности. Еще одно заслуживающее внимания средство безопасности - двухфакторная проверка подлинности. Наряду с обычным именем пользователя и паролем для регистрации требуется пароль второго уровня, вводимый через особое устройство или USB-накопитель или по специализированному каналу связи. Очень удачная разновидность последнего - шлюз, который передает на сотовый телефон удаленного пользователя SMS-сообщение, содержащее разовый пароль, который пользователь должен ввести, чтобы получить доступ.

Пакет SSL VPN

Подавляющее большинство шлюзов SSL VPN представляют собой специализированные устройства, но есть и программные продукты для серверов UNIX или Windows. Цена как аппаратных, так и программных продуктов определяется в основном количеством пользователей. В аппаратных устройствах это ограничение может зависеть от характеристик оборудования или строго заданного предельного числа пользователей. Для программных продуктов, в том числе Microsoft Forefront UAG, часто требуется отдельно покупать лицензии каждому пользователю.

Во многих аппаратных брандмауэрах имеются расширенные функции SSL VPN, которые можно получить, приобретая дополнительную лицензию, обычно с 30?дневным пробным периодом. Учтите, что процессы шифрования SSL VPN могут создать существенную нагрузку на брандмауэр компании, если в устройстве нет специализированного блока аппаратного шифрования. Даже в этом случае трафик SSL VPN может мешать незашифрованному трафику, например VoIP, поэтому может быть предпочтительно реализовать SSL VPN на отдельном устройстве или сервере. Как и в случае с телевизорами со встроенными функциями видеозаписи, встраивание SSL VPN может осложнить попытки модернизации в будущем как брандмауэра, так и компонента SSL VPN шлюзового устройства.

Наконец, рассматривая исключительно программные SSL VPN, помните, что без специальных устройств шифрования эти продукты обслуживают ограниченное количество пользователей. Приобретение лицензий из расчета на одного пользователя часто привлекательно при закупке продукта для 200 и более рабочих мест, а услуги SSL VPN иногда предоставляются по условиям существующей лицензии, но немногие готовые серверы обеспечивают даже часть такого числа одновременных VPN-туннелей.

Сначала пробуй, затем покупай

Вооружившись пониманием различий между традиционными VPN и SSL VPN и знанием преимуществ простоты использования, можно приступать к выбору шлюза SSL VPN. Обязательно учитывайте потребности пользователей и выбирайте продукт с достаточными возможностями для защиты от угроз, возникающих перед сообществом пользователей. Большинство VPN-продуктов, в том числе аппаратных устройств, предоставляются в недорогих вариантах ценой всего несколько сотен долларов. Их можно опробовать, прежде чем потратить деньги на полноценное решение для компании. Очень хорошо, что у продуктов SSL VPN нет проблемы совместимости с инфраструктурой, поэтому приступить к тестированию можно безотлагательно.

Мел Бекман ([email protected]) - старший технический редактор System iNEWS. Президент компании Beckman Software Engineering, специализирующейся на техническом консалтинге в области высокомасштабируемых широкополосных сетей