Журнал "Information Security/ Информационная безопасность" #2, 2024

Ideco VPN – это не про- сто сервер удаленного доступа, который может аутентифицировать пользо- вателей, маршрутизировать трафик, обеспечивать доступ в Интернет. Особое внимание в решении уделе- но эшелонированной защи- те удаленного доступа. Корпоративный VPN- сервер обычно реализу- ет сразу две технологии: Site-to-Site VPN для связи между удаленны- ми офисами и Client-to- Site VPN для подключе- ния удаленных сотруд- ников к корпоративным ресурсам. Посмотрим, как именно Ideco VPN обеспечивает не только стабильное удаленное под- ключение, но и его защиту в каждом из этих режимов использования. Site-to-Site VPN Site-to-site VPN, то есть под- ключение удаленных филиа- лов, возможно как в случае, если на обеих сторонах рабо- тают Ideco VPN, так и между Ideco VPN и устройствами дру- гих производителей. Причем настройка второй стороны под- ключения максимально упро- щена: доступны конфигурато- ры для установки соединений с наиболее распространенны- ми шлюзами и роутерами, в том числе иностранных вен- доров. В документации также указаны параметры шифрова- ния и аутентификации, которые необходимо указать на устрой- ствах для установления соеди- нения. В Ideco VPN реализованы гиб- кие настройки маршрутизации, включая динамический BGP и агрегирование интернет-кана- лов. Это позволяет устанавли- вать соединение, используя каналы нескольких провайде- ров, и в случае пропадания связи с одним из них соедине- ние сразу же переключится на другой канал. В системе заложены гибкие возможности для управления маршрутами. Например, можно настроить таким обра- зом, чтобы все пользователи из филиалов выходили в Интернет через центральный офис, а можно указать, что определенный трафик должен выходить в Интернет через центральный офис, а осталь- ной – через основной марш- рутизатор филиала. По умол- чанию включена настройка автоматического создания маршрутов. К обычным характеристикам подключения (зоны, статус, сетевой интерфейс, адрес уда- ленного устройства и т.д.) в интерфейсе добавились и рас- ширенные данные: мониторинг входящей и исходящей скоро- стей, режим работы, потеря пакетов, джиттер. Из новинок добавился транспортный режим работы IPsec, то есть GRE поверх IPsec. Ideco VPN позволяет удобно управлять трафиком через зоны. Если инфраструктура небольшая, то в правилах межсетевого экрана в каче- стве субъектов и объектов доступа можно использовать сетевые интерфейсы. Но в случае большого количества подключений удобнее мани- пулировать зонами. К приме- ру, какие-то зоны можно ука- зать более доверенными, какие-то – менее. Между ними можно по-особому маршрути- зировать трафик и блокиро- вать или разрешать его с помощью файрвола. Реализована возможность аутентификации по сертифика- ту с высоким уровнем безопас- ности либо PSKey. Для подключения удален- ных офисов поддерживаются 10-гигабитные интернет-кана- лы практически без потери скорости. В Ideco VPN систем- но поддерживаются процес- соры современных поколений, в которых аппаратно ускорено AES-шифрование, поэтому проблем с производитель- ностью не возникает. Ideco VPN поддерживает отказоустойчивую кластериза- цию с сохранением сессии авто- ризации, переключение между нодами происходит практически мгновенно. Во второй половине 2024 г. планируется появление серти- фицированной криптографии на основе ГОСТа. Client-to-Site VPN Client-to-Site – это возмож- ность подключения удаленных пользователей к внутренним ресурсам корпоративной сети. Ideco VPN поддерживает как старые VPN-протоколы для совместимости, так и совре- менные безопасные протоко- лы. В таблице показаны под- держиваемые протоколы, как нативные IKEv2, L2TP, IPsec, SSTP, PPTP, так и проприе- тарный протокол Ideco-клиен- та, в основе VPN-туннеля кото- рого лежит WireGuard, но с авторизацией и некоторыми другими возможностями. В 2024 г. появятся агенты для macOS, а также для отече- ственных операционных систем Astra и Altium. Ideco VPN – это не просто сервер удаленного доступа, который может аутентифици- ровать пользователей, марш- рутизировать трафик, обеспечи- вать доступ в Интернет. Особое внимание в решении уделено эшелонированной защите уда- ленного доступа. Рассмотрим этапы этой защиты. 14 • СПЕЦПРОЕКТ Ideco VPN – гибкий, масштабируемый и защищенный доступ к корпоративным ресурсам ковидном 2020 г. вышел в свет VPN-сервер Ideco UTM VPN Edition. С тех пор возможности решения заметно возросли как с точки зрения технологий и удобства подключения, так и в аспекте информационной безопасности. В Дмитрий Хомутов, директор компании Ideco Фото: Ideco