|
VPN orqali ulanishlar uchun xavfsizlik choralari
|
| bet | 10/15 | | Sana | 11.09.2024 | | Hajmi | 2,74 Mb. | | #270890 |
Bog'liq Ergashev Tursunmurod diplom ishi| VPN orqali ulanishlar uchun xavfsizlik choralari
Shuning uchun eng katta qiyinchilik foydalanuvchi va ulangan mashinaning buzilmasligini ta'minlashga harakat qilishdir. Tashkilotlar ushbu maqsadda ko'rayotgan chora-tadbirlardan ba'zilari:
VPN hisoblari uchun MFA (Ko‘p faktorli autentifikatsiya) ni yoqing , shunda biz ulanayotgan shaxs tajovuzkor emas, biz ruxsat bergan shaxs ekanligini nazorat qilamiz.
VPN serverlarini yamoqlang , ularning ma'lum zaifliklardan xoli bo'lishiga yo'l qo'ymaslik va ularga hujum qilish ehtimolini minimallashtirish.
Imtiyozli hisoblarni yanada chuqurroq nazorat qiling , foydalanuvchilar o'z kompyuterlariga kirishlari mumkin, lekin xatolik bilan boshqa tarmoq resurslari ustidan nazoratni o'z zimmalariga olmasliklari uchun.
Antivirusni o'rnating , ular ishlatilmasa ham, shaxsiy jihozlarning xavfsizlik darajasini oshirishga imkon beradi.
Biroq, mumkin bo'lgan tajovuzkorning maqsadi nima ekanligini va biz ushbu chora-tadbirlarni amalga oshirish sababini unutmasligimiz kerak: tajovuzkorning asosiy maqsadi bizning ma'lumotlarimizga, u foyda olishi mumkin bo'lgan eng nozik hujjatlarga kirishdir. ko'p jihatdan. Masalan, uni nashr etish va hamma uchun ochiq qilish, deb do'q-po'pisa qilish, foyda olish maqsadida sotish, unga kirishni to'sib qo'yish va buning uchun "to'lov" talab qilish.
Bu maʼlumotlar foydalanuvchilar VPN orqali kiradigan fayl serverlarimizda, lekin VPNʼdan oflayn rejimda ishlash uchun uni nusxalagan foydalanuvchilarning shaxsiy kompyuterlarida ham boʻlishi mumkin va hokazo.
SealPath bilan masofaviy VPN kirish muhitida ma'lumotni himoya qilish
Oldingi maqolalarda biz SealPath foydalanuvchilar masofadan ishlaganda, bulutli tizimlarda saqlangan korporativ hujjatlarga kiradigan muhitda ma'lumotni qanday himoya qilishini yoki Microsoft Teams yoki Slack kabi hamkorlikdagi ish vositalaridan foydalanganda ma'lumotni qanday himoya qilishini ko'rsatgan edik .
SealPath VPN orqali masofaviy tarmoqqa kirish muhitida biz boshqaradigan nozik ma'lumotlarni himoya qilishga qanday yordam berishi mumkin?
Birinchidan, fayl serverlari uchun SealPath boshqa hujjat boshqaruvchilari va bulutli ilovalardan tashqari fayl serverlarida saqlanadigan hujjatlarni avtomatik ravishda himoya qiladi : foydalanuvchilar hujjatlarni VPN orqali kirishdan keyin umumiy tarmoq papkalariga nusxalash yoki ko‘chirishda ushbu hujjat avtomatik ravishda himoyalanadi.
Agar siz ushbu papkalardan himoyalangan hujjatlarni kompyuterlaringizga olib qo'ysangiz yoki nusxa ko'chirsangiz yoki ularni elektron pochta orqali yuborsangiz, hujjatlar kompaniyaning nazorati ostida bo'ladi : Foydalanuvchi unga kirish, o'zgartirish, lekin uni himoya qilish uchun ruxsatlarga ega bo'lishi mumkin. Ya'ni, foydalanuvchi ishlaganda, bizda dam olish, tranzit va foydalanishda himoyalangan hujjatlar bo'ladi.
Kompaniya hujjatlarga kirishni to'liq tekshirishga ega bo'ladi . VPN orqali tashqaridan amalga oshirilayotgan ulanishlarni kuzatish ko'p hollarda qiyin, ammo bizda maxfiy korporativ ma'lumotlarga kim, qachon va hokazo kirishni tekshiramiz .
Administrator ma'lum maxfiy ma'lumotlarni tashqi kompyuterlar yoki kichik tarmoqlardan kirishni imkonsiz qilishi mumkin . Ya'ni, biz maxsus maxfiy hujjatlarga faqat tarmoq ichidan kirishimiz mumkin , lekin agar biz ularni shaxsiy kompyuterlarimizga nusxalagan bo'lsak. Shaxsiy kompyuterdan nusxa ko'chirish yoki boshqa hujjatlar bilan ishlash mantiqiy bo'lishi mumkin, ammo biz yanada nozik hujjatlarga tarmoqdan tashqaridan kirishni cheklashni xohlashimiz mumkin.
Masofadan ishlash bosqichi tugagandan so'ng, biz shaxsiy jihozlarga tarqalgan bo'lishi mumkin bo'lgan nozik hujjatlarni "masofadan yo'q qilish" imkoniyatiga ega bo'lamiz . SealPath yordamida administrator ma'lum hujjatlar yoki foydalanuvchilarga kirishni bekor qilish imkoniyatiga ega.
SealPath hujjatlarni shifrlangan va nazorat ostida istalgan joyda va foydalanuvchilar uchun qulay tarzda saqlash imkonini beradi. Bu ma'murlarga maxfiy biznes ma'lumotlari nazorat ostida bo'lishini ta'minlash uchun himoya siyosati va muayyan boshqaruv elementlarini sozlash uchun juda ko'p moslashuvchanlikni beradi.
Quyidagi Webinarda SealPath -ni VPN-ga kirish orqali masofaviy ish muhitida ma'lumotlarni himoya qilishda ko'rishingiz mumkin .
SealPath’da biz sizga masofaviy ish muhitida nozik korporativ hujjatlar ustidan xavfsizlik va nazorat darajasini oshirishga yordam bera olamiz. Biz bilan bog'lanishdan tortinmang, biz bilan bog'laning va mutaxassis sizga maslahat beradi va qayerda bo'lsangiz ham, nozik ma'lumotlaringiz himoyalangan va nazorat ostida bo'lishi uchun sizga yordam beradi.
VPN - virtual xususiy tarmoq kontseptsiyasi, Internet kabi ommaviy aloqa kanallari orqali xavfsiz aloqa uchun moliyaviy muqobil sifatida paydo bo'ldi va tez orada texnologiyaga aylandi, axborotning yaxlitligi, maxfiyligi va haqiqiyligini kafolatlaydigan keng qo'llaniladigan xavfsizlikka yo'naltirilgan xizmat.
VPN ulanishidan foydalanib, barcha trafik dunyoning boshqa joyida joylashgan server orqali xavfsiz tarzda yo'naltirilishi mumkin. Bu mahalliy snooping va xakerlik urinishlaridan himoya qiladi va hatto haqiqiy Internet protokoli manzilini kirilayotgan veb-saytlar va xizmatlardan yashiradi.
VPN shuningdek, ayrim hududlarda mavjud bo'lmagan onlayn kontentga kirish uchun ishlatiladi, garchi bu kontent egalari cheklovlarni qanchalik yaxshi bajarishiga bog'liq. Xizmat ko'rsatuvchi provayderlar odatda dunyoning ko'plab mamlakatlarida serverlarni boshqaradi va foydalanuvchilarga ular o'rtasida osongina almashish imkonini beradi. Misol uchun, foydalanuvchilar o'zlarining yoki boshqa mamlakatdagi cheklangan kontentga kirish uchun bir mamlakatdagi server orqali ulanishlari mumkin.
Hukumatlar siyosiy sabablarga ko'ra muayyan veb-saytlarga kirishni muntazam ravishda to'sib qo'yadigan Xitoy yoki Turkiya kabi mamlakatlardagi foydalanuvchilar odatda ushbu cheklovlarni chetlab o'tish uchun VPN-dan foydalanadilar.
Kibertahdidlarning xilma-xilligi va intensivligi ortib borayotganligi sababli, tarmoq ma'murlari Internetga kirish uchun o'z tashkilotining ichki tarmoqlarini to'liq blokirovka qilish istagini muvozanatlashi kerak, shu bilan birga ichki tarmoqqa ko'plab masofaviy qurilmalar, xodimlar, mijozlar va hamma joyda IoT orqali kirishni ta'minlash kerak. Ushbu muvozanatga virtual tarmoqqa xavfsiz kirishni ta'minlash uchun internetdan foydalanadigan virtual xususiy tarmoq (VPN) yordamida erishish mumkin.
Kriptografiya, hisoblash va internet sohasidagi yutuqlar tufayli ma'lumotlar trafigini shifrlash va uni internet orqali xususiy tarmoqda joylashgan serverga tunnel qilish mumkin.
Tarmoqlar o'rtasida virtual ulanishni yaratish uchun ishlatiladigan texnologiya foydalanuvchi qurilmalarini shaxsiy tarmoqqa ulash uchun ham ishlatilishi mumkin. VPN-dan keng tarqalgan foydalanish masofaviy xodimlarga o'z kompaniyasining IT xizmatlariga xavfsiz Internetga kirishni ta'minlashdir. Xodimlar kompaniyaning shaxsiy tarmog'ida mavjud bo'lgan VPN serveriga ulanish uchun korporativ noutbuklar yoki mobil qurilmalarga o'rnatilgan VPN mijozlaridan foydalanadilar. Masofaviy kirishdan foydalanish holatlari faqat xodimlarning kirishi bilan cheklanmaydi. Internetga ulangan har qanday qurilma shaxsiy tarmoqning bir qismi bo'lish uchun VPN-dan foydalanishi mumkin. Qurilmalar noutbuklar kabi umumiy hisoblash qurilmalaridan ixtisoslashtirilgan sanoat sensorlari yoki smart televizorlar kabi maishiy elektronikagacha bo'lishi mumkin.
Ko'proq qurilmalar va xizmatlar global tarmoqqa ulangani sayin kiberhujumlar xavfi ortadi. Sizga kerak bo'lgan qurilmalarga VPN orqali kirish mumkin bo'lgan tahdidlarni kamaytiradi. To'g'ri amalga oshirilgan VPN faqat ishonchli qurilmalarga shaxsiy tarmoqqa kirishga imkon beradi va eng kam imtiyozli kirishni ta'minlash uc hun kuchli kirish boshqaruvini ta'minlaydi. Ushbu chora-tadbirlar tarmoq xavfsizligini buzish uchun xakerlar uchun mavjud bo'lgan hujumlar sonini kamaytiradi. VPN yechimlari o'zaro autentifikatsiyani ham ta'minlaydi, bunda VPN serveri ham, ulanuvchi qurilma ham bir-birini autentifikatsiya qiladi. Muvaffaqiyatli bo'lganda, tarmoqqa kirayotgan foydalanuvchi foydalanuvchi nomi/parol yordamida autentifikatsiya qilinadi va ixtiyoriy ravishda mobil telefon yoki smart-kartadan foydalanish kabi xavfsizlik belgisi bo'lishi mumkin bo'lgan autentifikatsiyaning boshqa shaklidan foydalanadi. Qurilma va foydalanuvchi autentifikatsiya qilingandan so'ng, VPN server foydalanuvchi faqat kirish huquqiga ega bo'lgan tizimlar/xizmatlar to'plamiga kirishini ta'minlash uchun kirish qoidalarini qo'llashi mumkin.
VPN-dan foydalanishning yana bir xavfsizlik afzalligi ma'lumotlarni shifrlash bo'lib, u tinglash va ma'lumotlarni yo'qotishdan himoya qiladi.
Xavflarni bartaraf etish uchun VPN turini tanlashda qo'shimcha VPN xavfsizlik xususiyatlarini hisobga olish kerak. Bularga xavfsizlikning quyidagi majburiy xususiyatlari kiradi : kuchli autentifikatsiyani qo'llab-quvvatlash; kuchli shifrlash algoritmlari; antivirus dasturlari va hujumlarni aniqlash va oldini olish vositalaridan foydalanish; boshqaruv va texnik portlar uchun sukut bo'yicha mustahkam xavfsizlik; raqamli sertifikatni qo'llab -quvvatlash; ro'yxatga olish va auditni qo'llab-quvvatlash; barcha manzillarni maxfiy saqlagan holda shaxsiy tarmoqdagi mijozlarga manzillarni belgilash imkoniyati.
Bundan tashqari, tarmoq va xavfsizlik ma'murlari, shuningdek, yordamchi xodimlari va masofaviy foydalanuvchilar VPN ni amalga oshirish va doimiy foydalanish vaqtida xavfsizlikning ilg'or tajribalariga rioya qilish uchun o'qitilishi kerak.
VPN xavfsizligini yaxshilashning yana bir usuli - Perfect Forward Secrecy (PFS). Agar PFS ishlatilsa, oldin yozilgan shifrlangan xabarlar va seanslar uzoq muddatli maxfiy kalitlar yoki parollar buzilgan bo'lsa, qabul qilinmaydi va shifrlanmaydi.
PFS bilan har bir VPN seansi shifrlash kalitlarining turli xil kombinatsiyasidan foydalanadi, shuning uchun buzg'unchilar bitta kalitni o'g'irlasa ham, boshqa VPN seanslarini shifrlay olmaydilar.
VPN tunnel protokollari turli xil xususiyatlar va xavfsizlik darajalarini taklif qiladi va ularning har birining afzalliklari va kamchiliklari mavjud. Beshta asosiy VPN tunnel protokollari mavjud: Secure Sockets Tunneling Protocol (SSTP), Point-to-Point Tunneling Protocol (PPTP), Layer 2 Tunnel Protocol (L2TP), OpenVPN va Internet Key Exchange Version 2 (IKEv2).
SSTP boshqa protokollar bloklashi mumkin bo'lgan xavfsizlik devorlari va veb-proksi-serverlar orqali trafikni o'tkazish uchun HTTPS protokolidan foydalanadi. SSTP SSL kanali orqali nuqtadan nuqtaga protokol (PPP) trafigini o'tkazish mexanizmini taqdim etadi. PPP dan foydalanish kuchli autentifikatsiya usullarini qo'llab-quvvatlash imkonini beradi, SSL esa kengaytirilgan kalit kelishuvi, shifrlash va yaxlitlik tekshiruvlari bilan transport darajasidagi xavfsizlikni ta'minlaydi.
PPTP ko'p protokolli trafikni shifrlash va keyin Internet Protocol (IP) tarmog'i orqali jo'natish uchun sarlavhaga o'rash imkonini beradi. PPTP dial -up va nuqtadan nuqtaga VPN ulanishlari uchun ishlatilishi mumkin. Internetdan foydalanilganda, PPTP serveri Internetda bitta interfeys va korporativ intranetda ikkinchi interfeysga ega bo'lgan PPTP-ni qo'llab-quvvatlaydigan VPN-serverdir. PPTP tunnellarni boshqarish uchun uzatishni boshqarish protokoli ulanishidan foydalanadi va tunnelli ma'lumotlar uchun PPP ramkalarini tashish uchun umumiy marshrutni qamrab oladi.
L2TP sizga ko'p protokolli trafikni shifrlash imkonini beradi va keyin IP yoki asinxron uzatish rejimi kabi PPP ma'lumotlarini yetkazib berishni qo'llab-quvvatlaydigan har qanday vositadan foydalanishga imkon beradi. L2TP - bu PPTP va Layer 2 Forwarding (L2F) kombinatsiyasi. L2TP PPTP va L2F ning eng yaxshi xususiyatlarini taqdim etadi. PPTPdan farqli o'laroq, L2TP shifrlash xizmatlari uchun transport rejimida IP xavfsizligiga (IPSec) tayanadi. L2TP va IPSec kombinatsiyasi L2TP/IPSec sifatida tanilgan. L2TP va IPSec ikkalasi ham VPN mijozi, ham VPN serveri tomonidan qo'llab-quvvatlanishi kerak. L2TP/IPSec - bu ilg'or maxfiylikning eng yaxshisidir.
OpenVPN ochiq kodli dasturiy ta'minot ilovasi bo'lib, u yo'naltirilgan yoki ko'prikli konfiguratsiyalarda va masofadan kirishda xavfsiz nuqtadan nuqtaga yoki saytdan saytga ulanishlarni yaratish uchun VPN usullarini amalga oshiradi. U kalit almashinuvi uchun SSL/TLS dan foydalanadigan o'zining xavfsizlik protokolidan foydalanadi. OpenVPN tengdosh tugunlariga maxfiy kalit, sertifikat yoki foydalanuvchi nomi va parol yordamida bir-birini autentifikatsiya qilishga imkon beradi. OpenVPN-dan foydalanadigan VPN provayderlarining aksariyati to'g'ridan-to'g'ri maxfiylikdan foydalanadilar.
IKEv2 - Windows 7 va undan yuqori versiyalari tomonidan ishlatiladigan IPSec-ga asoslangan protokol. IKEv2 - bu VPN qurilmalari o'rtasida xavfsiz kalit almashinuvi uchun keyingi avlod standarti. IKEv2 ayniqsa foydalanuvchilar vaqtincha internet ulanishlarini yo'qotganda VPN ulanishini avtomatik ravishda qayta tiklashda foydalidir.
Ochiq manbalarga asoslangan bo'lsa ham, OpenVPN ko'pchilik tomonidan eng xavfsiz VPN protokoli hisoblanadi. U barqaror va ishonchli, har qanday portda ishlash uchun osongina sozlangan, tezlikni oshirish uchun apparat tezlashuvini qo'llab -quvvatlaydi, xavfsizlik devorlari va tarmoq manzillarini tarjima qilish (NAT) orqali o'ta oladi va shifrlash uchun OpenSSL kutubxonalaridan foydalanadi. Biroq, u mijoz dasturini talab qiladi va uni iPhone va faqat cheklangan miqdordagi Android telefonlarida ishlatib bo'lmaydi.
Yana bir xavfsiz protokol VPN - L2TP/IPSec hisoblanadi. U kuchli shifrlash algoritmiga ega, qo'shimcha qurilma dasturiy ta'minoti talab qilinmaydi, u ko'pgina ish stoli operatsion tizimlari va mobil qurilmalarga o'rnatilgan, amalga oshirish juda oson va ma'lum bo'lgan asosiy zaifliklarga ega emas. Biroq, uning xavfsizlik devorlari bilan bog'liq muammolari bor, Linux serverida sozlash qiyinroq va provayderlar tomonidan osonlik bilan bloklanadi.
VPN xavfsiz bo'lmagan umumiy tarmoqlar orqali xavfsiz korporativ tarmoqqa kirish vositasini taqdim etadi. VPN umumiy tarmoqlar orqali shifrlanmagan ma'lumotlarni uzatish bo'yicha yaxshi bo'lsa-da, VPN-ni o'rnatishni rejalashtirayotgan yoki texnologiyadan allaqachon foydalanayotgan foydalanuvchilar xavfsizlikning mumkin bo'lgan kamchiliklarini hisobga olishlari kerak. VPN-dan foydalanish taqsimlangan tugunlarning aloqa kanallari xavfsizligini sezilarli darajada oshiradi.
Aloqa kanallarini muntazam ishlashiga erishish uchun VPN xizmatlaridan foydalanish, ulanishda qulay imkoniyatlarni oshirish uchun, yaratilgan VPN tarmoqqa kira olmaslik, xavfsizlik, umumiy internetga kirish kanaliga qo'shimcha ravishda Juniper kompaniyasiga tegishli bo'lgan SRX qurilmasini yechim sifatida taklif etiladi. Qurilmaning imkoniyatlari hamda xavfsiz zonalar tashkil qilishi VPN dan foydalanishda tezlik ortishi, malumotlarning xavfsizligi ta'minlanadi. Taklif etilayotgan qurilma nafaqat kanal pog'onada, bir vaqtning o'zida tarmoq pog'onasidagi qurilmalarga kirishni ta'minlaydi. SRX qurilmasi yuqorida keltirib o'tilgan VPN tarmoq protokollarinini barchasini qo'llab quvvatlash bilan birga ularga veb ilovalar orqali boshqarishga yordam beradi. VPN tarmoq protokollari OpenVPN, L2TP/IPSec, IKEv2, PPTP larning barcha qulayliklarini o'zida mujassamlashtiradi. Protokollarni sozlashda shifrlash turlarini tanlash imkoniyati, qulay kengayuvchanlik, trafiklar nazoratini taqdim etadi.
|
| |
