02
אוק
07

גישה מאובטחת מרחוק (Remote Access)

ארגונים רבים נזקקים לספק גישה מרחוק לגורמים שונים כגון אנשי תמיכה טכנית, לקוחות, עובדים. מנהלי רשת אשר נתנו את דעתם לאבטחת הקישור, הגדירו באופן מסורתי קישור VPN (בד"כ IPSec). בארגונים אחרים המצב עגום יותר ולעיתים תמצאו שמנהל רשת מאפשר גישה בתוכנת השתלטות (כגון VNC) לשרתי ייצור – אופן שנחשב כלא מאובטח.

אומנם פתרון IPSec (למשל ע"י התקנת Secure Client) מצפין את הקישור בין המשתמש המרוחק לארגון, אך אין לפתרון יכולת לסנן ברמת האפליקציה את תעבורת המידע. כלומר, אם אפשרתם למישהו להתחבר לרשת, אתם יכולים אומנם להיות בטוחים שלא מאזינים לתעבורה בדרך, אך אין לכם שליטה על מה הוא עושה ואתם צריכים לסמוך עליו.

מצב זה היה אינו מקובל עוד והוביל לפיתוח פתרונות מסוג SSL VPN. במקרה זה, השם מרמז על אופי הפתרון. בעידן שבו הרבה אפליקציות נחשפות החוצה בצורת Web, זה אך טבעי לנצל את יכולות ה – SSL.

היתרונות של פתרונות SSL VPN הנפוצים בשוק כיום:

  1. ניצול פרוטוקול SSL שהינו סטנדרטי ונפוץ.
  2. יכולת אריזה (Encapsulation) של תקשורת אחרת מעל SSL.
  3. הגדרה מדויקת איזה משאבים ייחשפו למשתמש המרוחק.
  4. אפשרות לחשוף מערכות או מידע לפי רמת אבטחת המידע בתחנת הקצה.
  5. סינון תוכן ברמת האפליקציה מבלי צורך להתערב באפליקציה עצמה. למשל, מניעת יכולת העלאת קבצים מכיוון האינטרנט למרות שהאפליקציה מאפשרת זאת.
  6. אכיפת רמת אבטחת מידע בתחנת הקצה. למשל, רק תחנות עם Anti-Virus עדכני או תחנות ללא Key Loggers יוכלו להתחבר למערכת/לרשת.
  7. אכיפת חוזק זיהוי של המשתמש לפי מדיניות הארגון.
  8. לא צריך להתקין תוכנה (Client) על תחנת המשתמש.
  9. אפשרות לעבוד בתחנת קצה מזוהמת בסביבת עבודה סטרילית (מעין Secure Terminal/Workspace) מבלי לסכן את הארגון.

בפתרון IPSec לא ניתן, למשל, לממש את האפשרות לאפשר גישה למערכות על בסיס של רמת אבטחת תחנת הקצה בפועל (סעיף 4).
השרטוט הבא מדגים באופן סכמטי כיצד מתחברים מרחוק לרשת/מערכות עם התקן SSL VPN. התקשורת מנותבת ע"י ה – FW להתקן ה – SSL VPN. ההתקן (ראו סימון 1 בשרטוט) בודק את תחנות הקצה (אם כך הוגדר בהתקן לגבי אותה אוכלוסיית משתמשים), קובע לפי המדיניות האם ניתן לגשת למערכת/מידע, פונה למערכות הפנימיות (ראו סימון 2 בשרטוט) וחושף את המידע החוצה.

ssl-vpn.jpg

לסיכום:

  • למשתמשים מרחוק אין גישה ישירה למשאבי רשת פנימיים בארגון.
  • ניתן לסנן את התעבורה ברמת האפליקציה (בעוד שב – IPSec זה הכל או כלום).
  • ניתן לבדוק את רמת אבטחת המידע של תחנות הקצה ולחשוף מידע בהתאם.
  • לא מצריך התקנה בתחנת הקצה (יתרון גדול).

CISO

מודעות פרסומת

0 Responses to “גישה מאובטחת מרחוק (Remote Access)”



  1. להגיב

להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת / לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת / לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת / לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת / לשנות )

מתחבר ל-%s


אוקטובר 2007
א ב ג ד ה ו ש
« ספט   נוב »
 123456
78910111213
14151617181920
21222324252627
28293031  

%d בלוגרים אהבו את זה: