Журнал "Information Security/ Информационная безопасность" #2, 2024

Решение Ideco VPN пред- назначено не только для малых, но и для больших организаций: успешно про- ведены тесты более чем с 20 тыс. подключенных VPN- пользователей с включен- ной двухфакторной аутенти- фикацией и всеми возмож- ностями контроля подключе- ний. Защита в момент сетевого подключения В момент инициализации сетевого подключения Ideco VPN позволяет ограничить доступ к VPN по GeoIP либо по любому источнику трафика, а система предотвращения вторжений выполнит проверку, используя большую базу IP Reputation, агрегируя несколь- ких сторонних баз и базу НКЦКИ. Система предотвраще- ния вторжений VPN-сервера защитит и от базовых сетевых атак на сервер, включая DoS. Поэтому злоумышленники, которые часто атакуют объекты в России, будут блокированы на этапе сетевого подключения еще до аутентификации. Аутентификация пользователя Для аутентификации пользо- вателей используется как локальная база пользователей Ideco VPN, так и каталоги Active Directory, ALDPro, Samba Domain Controller. Возможно и даже рекомен- дуется использование двухфак- торной аутентификации. Она реализована с помощью либо OTP-токенов через Яндекс- или Google-аутентификаторы, либо с использованием отечествен- ных сервисов SMS Aero и Multi- factor. В этих сервисах можно выбрать второй фактор из боль- шого списка вариантов. Ideco VPN также защищает аутентификацию от атак типа MITM c помощью сертификатов, причем их настройка автомати- зирована: по умолчанию для IKEv2, SSTP и агента Ideco VPN сам запросит сертификат Let's Encrypt для используемого домена и будет обновлять его. Сервер также защищен от Brute Force, то есть от подбора паролей, и будет эффективно блокировать такие атаки. Аутентификация устройства Кроме аутентификации поль- зователя, в качестве дополни- тельного уровня защиты в Ideco VPN предусмотрена аутентифи- кация подключающегося устройства: проверяется, какая установлена операционная система, есть ли и какой версии антивирус, давно ли обновля- лись антивирусные базы. Под- ключение будет установлено, только если выполнены все кри- терии, предусмотренные настроенными в Ideco VPN политиками. Проверки устройства являют- ся частью реализации концеп- ции ZTNA. Фильтрация VPN-трафика Ideco VPN предоставляет мощные возможности для фильтрации трафика. Защититься от атак можно с помощью тех же модулей, кото- рые работают в Ideco NGFW: потоковый антивирус, система предотвращения вторжений, геофильтрация, а с помощью контроля приложения можно отфильтровать мусорный тра- фик (торренты, онлайн-игры, пожиратели трафика различных видов и т. п.). Удобное подключение пользователей Предусмотрено два варианта подключения удаленных поль- зователей к Ideco VPN: натив- ные VPN-протоколы, агенты для которых встроены в операцион- ные системы, и собственный агент Ideco VPN. Преимущество нативных под- ключений в том, что, если ОС поддерживает нужный протокол (например, IKEv2 или IPsec), пользователю не требуется никакого дополнительного ПО. На пользовательском портале Ideco можно найти документа- цию по созданию таких под- ключений, а также PowerShell- скрипты для автоматической настройки. В свою очередь, Ideco Agent позволяет пользователям удобнее подключаться к Ideco VPN, скры- вая ряд технических аспектов. Политики безопасности поз- воляют ограничивать для поль- зователей список используемых протоколов, геопозицию, время подключения, а также требовать обязательную двухфакторную аутентификацию. Решение Ideco VPN предна- значено не только для малых, но и для больших организаций: успешно проведены тесты более чем с 20 тыс. подключен- ных VPN-пользователей с вклю- ченной двухфакторной аутен- тификацией и всеми возмож- ностями контроля подключений. Заключение Формально Ideco VPN – это новый продукт, решающий задачи, отличающиеся от задач Ideco NGFW. Но при этом оба продукта устанавли- ваются из одного ISO-образа, поскольку с точки зрения про- граммной части VPN и NGFW – это одна система. Разница лишь в способе ее использо- вания, ведь и для удаленного подключения, и для эффектив- ной работы на периметре при фильтрации трафика приме- няются одни и те же модули. Похожая практика, к слову, есть у некоторых ведущих ино- странных вендоров. На сегодняшний день при лицензировании Ideco VPN дей- ствует та же схема лицензиро- вания (лицензируются одновре- менно подключенные пользо- ватели) и те же цены, что и для Ideco NGFW. На 40 дней доступен бесплат- ный пилот Ideco VPN с ограниче- нием до 10 тыс. пользователей. Ideco VPN можно разверты- вать на серверах, соответствую- щих техническим требованиям, или на гипервизорах, включая VMWare, Hyper-V, а также на любом отечественном гиперви- зоре. l • 15 Безопасный удаленный доступ www.itsec.ru Таблица. Поддержка VPN-протоколов клиентскими ОС АДРЕСА И ТЕЛЕФОНЫ IDECO см. стр. 72 NM Реклама

RkJQdWJsaXNoZXIy Mzk4NzYw