В ковидном 2020 г. вышел в свет VPN-сервер Ideco UTM VPN Edition. С тех пор возможности решения заметно возросли как с точки зрения технологий и удобства подключения, так и в аспекте информационной безопасности.
Автор: Дмитрий Хомутов, директор компании Ideco
Корпоративный VPN-сервер обычно реализует сразу две технологии: Site-to-Site VPN для связи между удаленными офисами и Client-to-Site VPN для подключения удаленных сотрудников к корпоративным ресурсам.
Посмотрим, как именно Ideco VPN обеспечивает не только стабильное удаленное подключение, но и его защиту в каждом из этих режимов использования.
Site-to-Site VPN
Site-to-Site VPN, то есть подключение удаленных филиалов, возможно как в случае, если на обеих сторонах работают Ideco VPN, так и между Ideco VPN и устройствами других производителей. Причем настройка второй стороны подключения максимально упрощена: доступны конфигураторы для установки соединений с наиболее распространенными шлюзами и роутерами, в том числе иностранных вендоров. В документации также указаны параметры шифрования и аутентификации, которые необходимо указать на устройствах для установления соединения.
В Ideco VPN реализованы гибкие настройки маршрутизации, включая динамический BGP и агрегирование интернет-каналов. Это позволяет устанавливать соединение, используя каналы нескольких провайдеров, и в случае пропадания связи с одним из них соединение сразу же переключится на другой канал.
В системе заложены гибкие возможности для управления маршрутами. Например, можно настроить таким образом, чтобы все пользователи из филиалов выходили в Интернет через центральный офис, а можно указать, что определенный трафик должен выходить в Интернет через центральный офис, а остальной – через основной маршрутизатор филиала. По умолчанию включена настройка автоматического создания маршрутов.
К обычным характеристикам подключения (зоны, статус, сетевой интерфейс, адрес удаленного устройства и т.д.) в интерфейсе добавились и расширенные данные: мониторинг входящей и исходящей скоростей, режим работы, потеря пакетов, джиттер. Из новинок добавился транспортный режим работы IPsec, то есть GRE поверх IPsec.
Ideco VPN позволяет удобно управлять трафиком через зоны. Если инфраструктура небольшая, то в правилах межсетевого экрана в качестве субъектов и объектов доступа можно использовать сетевые интерфейсы. Но в случае большого количества подключений удобнее манипулировать зонами. К примеру, какие-то зоны можно указать более доверенными, какие-то – менее. Между ними можно по-особому маршрутизировать трафик и блокировать или разрешать его с помощью файрвола.
Реализована возможность аутентификации по сертификату с высоким уровнем безопасности либо PSKey.
Для подключения удаленных офисов поддерживаются 10-гигабитные интернет-каналы практически без потери скорости. В Ideco VPN системно поддерживаются процессоры современных поколений, в которых аппаратно ускорено AES-шифрование, поэтому проблем с производительностью не возникает.
Ideco VPN поддерживает отказоустойчивую кластеризацию с сохранением сессии авторизации, переключение между нодами происходит практически мгновенно.
Во второй половине 2024 г. планируется появление сертифицированной криптографии на основе ГОСТа.
Client-to-Site VPN
Client-to-Site – это возможность подключения удаленных пользователей к внутренним ресурсам корпоративной сети.
Ideco VPN поддерживает как старые VPN-протоколы для совместимости, так и современные безопасные протоколы. В таблице показаны поддерживаемые протоколы, как нативные IKEv2, L2TP, IPsec, SSTP, PPTP, так и проприетарный протокол Ideco-клиента, в основе VPN-туннеля которого лежит WireGuard, но с авторизацией и некоторыми другими возможностями. В 2024 г. появятся агенты для macOS, а также для отечественных операционных систем Astra и Altium.
Ideco VPN – это не просто сервер удаленного доступа, который может аутентифицировать пользователей, маршрутизировать трафик, обеспечивать доступ в Интернет. Особое внимание в решении уделено эшелонированной защите удаленного доступа. Рассмотрим этапы этой защиты.
Защита в момент сетевого подключения
В момент инициализации сетевого подключения Ideco VPN позволяет ограничить доступ к VPN по GeoIP либо по любому источнику трафика, а система предотвращения вторжений выполнит проверку, используя большую базу IP Reputation, агрегируя нескольких сторонних баз и базу НКЦКИ. Система предотвращения вторжений VPN-сервера защитит и от базовых сетевых атак на сервер, включая DoS.
Поэтому злоумышленники, которые часто атакуют объекты в России, будут блокированы на этапе сетевого подключения еще до аутентификации.
Аутентификация пользователя
Для аутентификации пользователей используется как локальная база пользователей Ideco VPN, так и каталоги Active Directory, ALDPro, Samba Domain Controller.
Возможно и даже рекомендуется использование двухфакторной аутентификации. Она реализована с помощью либо OTP-токенов через Яндекс- или Google-аутентификаторы, либо с использованием отечественных сервисов SMS Aero и Multifactor. В этих сервисах можно выбрать второй фактор из большого списка вариантов.
Ideco VPN также защищает аутентификацию от атак типа MITM c помощью сертификатов, причем их настройка автоматизирована: по умолчанию для IKEv2, SSTP и агента Ideco VPN сам запросит сертификат Let's Encrypt для используемого домена и будет обновлять его.
Сервер также защищен от Brute Force, то есть от подбора паролей, и будет эффективно блокировать такие атаки.
Аутентификация устройства
Кроме аутентификации пользователя, в качестве дополнительного уровня защиты в Ideco VPN предусмотрена аутентификация подключающегося устройства: проверяется, какая установлена операционная система, есть ли и какой версии антивирус, давно ли обновлялись антивирусные базы. Подключение будет установлено, только если выполнены все критерии, предусмотренные настроенными в Ideco VPN политиками.
Проверки устройства являются частью реализации концепции ZTNA.
Фильтрация VPN-трафика
Ideco VPN предоставляет мощные возможности для фильтрации трафика.
Защититься от атак можно с помощью тех же модулей, которые работают в Ideco NGFW: потоковый антивирус, система предотвращения вторжений, геофильтрация, а с помощью контроля приложения можно отфильтровать мусорный трафик (торренты, онлайн-игры, пожиратели трафика различных видов и т. п.).
Удобное подключение пользователей
Предусмотрено два варианта подключения удаленных пользователей к Ideco VPN: нативные VPN-протоколы, агенты для которых встроены в операционные системы, и собственный агент Ideco VPN.
Преимущество нативных подключений в том, что, если ОС поддерживает нужный протокол (например, IKEv2 или IPsec), пользователю не требуется никакого дополнительного ПО. На пользовательском портале Ideco можно найти документацию по созданию таких подключений, а также PowerShell-скрипты для автоматической настройки.
В свою очередь, Ideco Agent позволяет пользователям удобнее подключаться к Ideco VPN, скрывая ряд технических аспектов.
Политики безопасности позволяют ограничивать для пользователей список используемых протоколов, геопозицию, время подключения, а также требовать обязательную двухфакторную аутентификацию.
Решение Ideco VPN предназначено не только для малых, но и для больших организаций: успешно проведены тесты более чем с 20 тыс. подключенных VPN-пользователей с включенной двухфакторной аутентификацией и всеми возможностями контроля подключений.
Заключение
Формально Ideco VPN – это новый продукт, решающий задачи, отличающиеся от задач Ideco NGFW. Но при этом оба продукта устанавливаются из одного ISO-образа, поскольку с точки зрения программной части VPN и NGFW – это одна система. Разница лишь в способе ее использования, ведь и для удаленного подключения, и для эффективной работы на периметре при фильтрации трафика применяются одни и те же модули. Похожая практика, к слову, есть у некоторых ведущих иностранных вендоров.
На сегодняшний день при лицензировании Ideco VPN действует та же схема лицензирования (лицензируются одновременно подключенные пользователи) и те же цены, что и для Ideco NGFW.
На 40 дней доступен бесплатный пилот Ideco VPN с ограничением до 10 тыс. пользователей.
Ideco VPN можно развертывать на серверах, соответствующих техническим требованиям, или на гипервизорах, включая VMWare, Hyper-V, а также на любом отечественном гипервизоре.