ПОВЫШЕНИЕ БЕЗОПАСНОСТИ СИСТЕМ УДАЛЕННОГО АДМИНИСТРИРОВАНИЯ: ЗАЩИТА ИНФОРМАЦИИ

АННОТАЦИЯ

Безопасный удаленный доступ один из наиболее важных аспектов сети и безопасности сегодня, особенно из-за пандемии COVID-19, которая вынудила работодателей расширять и укреплять свои возможности удаленной работы. Компаниям необходимо предоставлять сотрудникам и деловым партнерам удаленный доступ к ресурсам, таким как приложения и данные, без ущерба для безопасности. Программное обеспечение прикладного клиента и данные в состоянии покоя на конечной точке методов удаленного доступа, таких как: туннелирование, портал, настольные приложения и прямой доступ, не обеспечивают защиту связи между VPN-шлюзом и внутренними ресурсами. Для решения этих проблем предлагается метод удаленного доступа для обеспечения безопасного обмена данными с конечными точками. Статья носит описательный характер и основан на обзорном анализе стратегий безопасного удаленного администрирования и защиты информации.

ABSTRACT

Secure remote access is one of the most important aspects of networking and security today, especially due to the COVID-19 pandemic, which has forced employers to expand and strengthen their remote work capabilities. Companies need to provide employees and business partners with remote access to resources such as applications and data without compromising security. The application client software and data at rest on the endpoint of remote access methods such as tunneling, portal, desktop applications, and direct access do not secure the communication between the VPN gateway and internal resources. To solve these problems, a remote access method is proposed to ensure secure communication with endpoints. The article is descriptive in nature and is based on an overview analysis of strategies for secure remote administration and information protection.

Ключевые слова: удаленный доступ, информационная безопасность, туннелирование, портал, шлюз, VPN

Keywords: remote access, information security, tunneling, portal, gateway, VPN

Введение

Информационные инфраструктуры во многих государственных и частных доменах имеют несколько общих атрибутов в отношении информационных и коммуникационных технологий (ИКТ). Это особенно верно в области промышленных систем управления, где все большее число организаций используют современные сети для повышения производительности и снижения затрат за счет увеличения интеграции внешних сетей, сетей бизнеса и систем управления. Однако эти стратегии интеграции часто приводят к уязвимостям, которые могут значительно снизить уровень кибербезопасности организации и могут подвергнуть критически важные промышленные системы управления киберугрозам. Возможности для улучшения бизнес-операций кажутся безграничными, и одним из основных преимуществ является возможность расширения функций управления и контроля за счет использования возможностей удаленного доступа. Без применения соответствующих мер безопасности функции удаленного доступа могут создавать возможности для киберпреступников, желающих причинить вред или ущерб критически важным процессам, которые могут серьезно повлиять на жизнь людей, здоровье, общество, экономику и окружающую среду.

Цель данного исследования заключается в обзорном анализе стратегий безопасного удаленного администрирования и защиты информации.

Метод исследования заключается в обзорном анализе научной литературы, а сама статья носит описательный характер. В ходе исследования для анализа были выбраны научные статьи по теме за последнее десятилетие. Поиск статей проходил в базе данных Scopus, Web of science, research gate, academic edu и google scholar.   

Результаты и обсуждение

Все системы удаленного доступа предназначены для установления подключения к частным компьютерным ресурсам, при условии соблюдения соответствующих политик безопасности, для законных пользователей и сайтов, расположенных вдали от основного корпоративного кампуса. Существует множество таких систем, каждая со своим набором сильных и слабых сторон. Однако в сетевой среде, где защита конфиденциальности, целостность данных и доступность имеют первостепенное значение. Для обеспечения безопасной связи требуется, чтобы удаленный пользователь был законным, а для обеспечения этой легитимности удаленные пользователи должны аутентифицировать себя для поставщиков услуг.

Аутентификация — это процесс идентификации человека, обычно основанный на имени пользователя и пароле. До сих пор было предложено множество схем удаленной аутентификации пользователей на основе пароля [1, с. 770]. Анализ литературы показывает, что было предложено несколько схем аутентификации удаленных пользователей. Первая схема аутентификации удаленного пользователя на основе пароля была предложена Лампортом [6, с.771]. В исследованиях Хван М., Чили Ч., Тан Ю., Хунг Ю.Ч., Джинн-Ке Дж., Ю-Мин Ц., Линь Ч. С. И других авторов было предложено несколько схем для обеспечения безопасной связи на основе меток времени [7, с.1367], [8, с. 19], [9, с. 82], [14, с. 103], [15, с. 372].  Авторы в своих работах предложили схему, основанную на криптосистеме Эль-Гамаля, но их схема не обеспечивает взаимную аутентификацию и, следовательно, подвергается атаке с подменой сервера. Хванг и Ли [7, c. 1365] и Хан и Чжан [9, c.84] также предложили схему, основанную на криптосистеме Эль-Гамаля, но она страдает от накладных расходов на синхронизацию времени. Ляо, Хван и многие другие предложили схему аутентификации удаленных пользователей, основанную на многосерверной среде [7, с.1367], [14, с. 105].

Аутентификация является лишь частью информационной безопасности. Информационная безопасность заключается в том, чтобы гарантировать, что информация и информационные системы не попадут в чужие руки для манипулирования или использования в неправильных или вредоносных целях. Анализ показывает, что существует недостаток литературы по использованию ИТ в качестве инструмента для ограничения человеческих слабостей в области информационной безопасности. Большая часть литературы посвящена обучению пользователей для повышения осведомленности о безопасности. В британском отчете о кибербезопасности за 2018 год указано, что большинство крупных корпоративных учреждений во всем мире отдают приоритет кибербезопасности по сравнению с более мелкими организациями и, следовательно, проводят обучение сотрудников кибербезопасности [8, с. 20].

В Казахстане же большинство организаций не проводят обучение, в то время как другие ждут, пока не произойдет атака, или в большинстве случаев проводят обучение, в котором очень мало содержания информационной безопасности. В сочетании с другими факторами это, способствует постоянному увеличению успеха кибератак, поскольку агенты угроз работают круглосуточно, имея в своем распоряжении сложные инструменты. Организациям необходиом осознать что, хотя обучение важно, необходимо дополнить его техническими механизмами, чтобы свести к минимуму уязвимости пользователей в цепочке кибербезопасности [13].

Ранее соединение для удаленного доступа устанавливалось с помощью традиционных технологий коммутируемого доступа. Технология коммутируемого доступа была дорогой либо из-за того, что организация приобретала выделенный канал в аренду в телефонной сети общего пользования, либо из-за частной установки проводных каналов. Джоти К.К., Редди Д. Б. отмечают, что в настоящее время технологии виртуальной частной сети (VPN) заменили традиционные методы коммутируемого доступа [5, с.920]. Независимо от средств, используемых для установления удаленного доступа, необходимо наличие некоторых технологий для реализации соединения доступа и установления связи. Некоторые из этих технологий включают протоколы, необходимые для установления соединения между клиентом и удаленным сервером, а также протоколы для безопасной передачи данных между конечными точками в соединении. Кроме того, должен быть предусмотрен метод доступа и механизм управления для облегчения связи между клиентом и удаленным сервером, а также для обеспечения удаленного доступа к ресурсам только легитимным пользователям.

Пинола М. рассматривает удаленный рабочий стол, который является методом удаленного доступа, который позволяет пользователю получать доступ к другому компьютеру и управлять им из удаленного места, как если бы удаленный компьютер был локальным. Удаленный пользователь может видеть удаленный компьютер, управлять им и взаимодействовать с ним. Доступ к удаленному рабочему столу требует установки поддерживаемого программного обеспечения как на локальных, так и на удаленных компьютерах для успешного подключения и связи. Удаленный рабочий стол обычно используется техническим персоналом для удаленной помощи пользователям в технической или другой поддержке пользователей. Он также используется системными и сетевыми администраторами для контроля, администрирования и поддержки систем и пользователей в сети [10].

Большинство исследователей как: Авани П., Анкита Г., Вигнеш У., Аша С., Сандип П. рассматривают виртуальную частную сеть (VPN) — это расширение локальной сети путем создания туннеля между двумя конечными точками с помощью таких технологий, как Secure Socket Layer, Open VPN и т. д. [1, с. 409], [3, с. 511], [11, с. 1177].  VPN позволяет удаленному пользователю стать частью корпоративной сети и получить доступ к корпоративным ресурсам. В большинстве реализаций VPN используется протокол туннелирования уровня 2 (L2TP), который позволяет поставщикам услуг предоставлять клиентам удаленный коммутируемый доступ к VPN. Для защиты данных при передаче через общедоступный Интернет данные шифруются и инкапсулируются с помощью технологии IP Security (IPSec). Это гарантирует, что данные, проходящие через туннель, не могут быть перехвачены или перехвачены атаками «человек посередине». Благодаря этим мерам безопасности, предусмотренным при внедрении VPN-подключений, организации в определенной степени полагаются на VPN для повышения производительности, поскольку работники могут получать доступ к ресурсам из любого места за пределами рабочего помещения. VPN-соединение может быть реализовано в двух вариантах: клиент-сайт и/или сайт-сайт. Соединения «клиент-сайт» включают корпоративную сеть и удаленного пользователя, тогда как соединение «сайт-сайт» включает две (2) или более корпоративные сети. Другие методы включают глобальную сеть (WAN), цифровую сеть с интегрированными услугами (ISDN) или цифровую абонентскую линию (xDSL) [11, с. 1178].

Вармаркен A. пишет, что некоторые VPN-приложения имеют протоколы туннелирования без шифрования. Кроме того, было отмечено, что другие приложения VPN не туннелируют трафик IPv6 и DNS через туннельный интерфейс соответственно из-за отсутствия поддержки IPv6, неправильных настроек или ошибок, вызванных разработчиками. Как отсутствие надежного шифрования, так и утечка трафика могут облегчить онлайн-отслеживание, выполняемое промежуточными устройствами на пути, такими как коммерческие точки доступа Wi-Fi, собирающие пользовательские данные, и агентствами по наблюдению [2, с.134].

Эрнест Д. и соавторы предложили передовые технологии для оказания огромной поддержки сетевым администраторам путем внедрения безопасного приложения для удаленного системного администрирования, которое работает на смартфонах Android, чтобы помочь им удаленно администрировать свои серверы, когда они (сетевые администраторы) находятся вне офиса, используя свои смартфоны. Приложение для Android, разработанное в eclipse, устанавливает безопасное соединение с удаленным сервером, на котором запущено приложение PHP. Приложение было разработано на основе протокола удаленного буфера кадров (RFB). Протокол RFB, протокол отображения, имеет некоторые недостатки в безопасности, в том числе уязвимость к атаке «человек посередине» (MITM) с использованием нескольких инструментов. Поэтому в приложение для Android включен самозаверяющий сертификат Secure Socket Layer (SSL) для обеспечения безопасного зашифрованные соединения, которые должны быть установлены между приложением Android и удаленным сервером, чтобы обеспечить сквозную защиту от атак, таких как Man-In-The-Middle (MITM) [18, с.163].

Шехзад А.  также рассматривает данную систему. Автор проводит сравнение безопасного протокола RFB, предложенный и реализованный в приложении для Android, с другим существующим программным обеспечением для удаленного системного администрирования, таким как удаленный рабочий стол (RDP) и протоколы RFB с использованием команды ICMP ping. Результаты показывают, что среднее время отклика для протокола RDP составило 436 мс, для протокола RFB — 496 мс, а для приложения Android, основанного на предложенном защищенном протоколе RFB, — 474 мс. Предлагаемое приложение для Android, которое будет действовать как интерфейс к сетевому серверу, будет подключаться к серверу с использованием технологии виртуальной частной сети (VPN). С помощью этой системы системный администратор может удаленно создавать пользователя, удаленно создавать, просматривать и изменять текстовые файлы, проверять состояние сети, выключать сервер и устанавливать права пользователя. Система была разработана на основе предлагаемого безопасного протокола RFB с самозаверяющим сертификатом Secure Socket Layer (SSL), включенным в этот протокол RFB, для обеспечения сквозного зашифрованного соединения между интеллектуальным устройством (клиентом) и сервером. Приложения для управления мобильными устройствами (MDM) разработаны для решения некоторых проблем, связанных с мобильными устройствами (например, управление политиками, распространение программного обеспечения и управление запасами), которые не связаны с безопасностью BYOD. Функциональность MDM аналогична инструментам управления жизненным циклом конфигурации ПК (PCCLM); однако специфические требования к мобильной платформе часто также включаются в комплекты MDM [17, с. 3783].

Шехзад А.  также рассматривает схему аутентификации удаленного пользователя по паролю на основе симметричного ключа и смарт-карты, которая была предназначена для обеспечения анонимности при одновременном сопротивлении всем известным атакам, по-прежнему уязвима для атак с нарушением анонимности, а также для атак с кражей смарт-карт [17, с. 3782].

Чин-Линг С. и соавторы продемонстрировали, что схемы, в которых две надежные схемы аутентификации удаленных пользователей с использованием смарт-карт по-прежнему уязвимы для атак с целью кражи идентификаторов, атак с подбором пароля в автономном режиме, необнаруживаемых атак с подбором пароля в сети и выдачи себя за пользователя. Это особенно верно в ситуациях, когда пользователь потерял смарт-карту или злонамеренный легальный пользователь [16, c.19]. Кроме того, Эрнест Д. также показала, что схема удаленной аутентификации пользователей на основе смарт-карт, состоящая из четырех этапов, уязвима для атак с подбором пароля в автономном режиме при их предположении об устойчивости смарт-карт к взлому; и он не может обеспечить прямую секретность [18, c.165]. Проблема аутентификации WBAN заключается в том, что TTP распределяет все учетные данные без применения каких-либо криптографических функций или каких-либо математических вычислений. Это требует, чтобы инсайдер мог легко идентифицировать разные ключи разных пользователей. Как только важные учетные данные станут доступны любому злонамеренному внутреннему лицу, он / она может незаконно распространять конфиденциальные данные другим лицам.

В другом исследовании Свапнонил Р., Чанчал К. отмечают, что взаимная аутентификация была введена для удаленной проверки пользователей и контроля доступа. Однако пароль может быть скомпрометирован во время передачи, если не следовать эффективной схеме. Для решения этой проблемы в многофакторной аутентификации широко применяется криптография на эллиптических кривых (ECC). Однако вычислительная стоимость одного билинейного спаривания (важная операция ECC) примерно в два раза выше, чем у одной операции модульного возведения в степень при том же уровне безопасности. Таким образом, ресурсоемкий характер ECC оставляет лазейку в безопасности протоколов, которые его используют. Злоумышленник может заставить сервер или клиент повторно выполнять операции ECC, чтобы заблокировать их, что приведет к тому, что один или все из них будут тратить ресурсы впустую, выполняя ненужные вычисления [12, c. 11].

Заключение

Увеличивающаяся скорость, с которой развиваются технологии, привела ко многим изменениям в том, как работают корпоративные институты. Удаленная работа стала частью многих организаций, а также внедрением различных мобильных устройств в корпоративную сеть. Однако организации сталкиваются с множеством проблем безопасности, связанных со свободой, которую предоставляет ИТ, или с ее повсеместной распространенностью. Хотя пользователям удобно работать из любого места и с любого устройства, это может быть не самым безопасным выбором для киберактивов организации. Поэтому существует необходимость внедрить и обеспечить соблюдение политик и решений удаленной аутентификации конечных пользователей, а также программ обучения и повышения осведомленности для защиты корпоративных ресурсов. Пользователь неизменно представляет собой наибольший фактор риска для информационной безопасности организации, и поэтому ему необходимо уделять максимальное внимание, чтобы смягчить последствия уязвимостей аутентификации пользователя. Предприятиям необходимо повышать уровень обучения и осведомленности о кибербезопасности, предоставляемых конечным пользователям, однако одного обучения недостаточно для смягчения киберугроз. Предприятиям необходимо проводить регулярные оценки безопасности, отслеживать сетевой трафик на предмет любых вредоносных действий и внедрять усовершенствованные механизмы аутентификации для устранения лазеек в безопасности аутентификации пользователей. Обзорный анализ показывает, что многие авторы в своих исследованиях рекомендуют двухфакторную аутентификацию в качестве решения для безопасности удаленного доступа пользователей. Многие авторы также подчеркнули, что единственным решением уязвимостей аутентификации является внедрение биометрической аутентификации. Это связано с тем, что биометрическая аутентификация предлагает надежное доказательство присутствия подлинного пользователя. Однако из этого исследования одной только биометрической аутентификации недостаточно для обеспечения безопасности удаленных подключений. Удаленное устройство также должно быть аутентифицировано, даже если присутствует настоящий пользователь.

Список литературы:

1. Авани П., Анкита Г. Обзор оценки эффективности VPN // Journal on Recent and Innovation Trends in Computing. – 2017. – Т. 5, - №5. – С.409 – 413.
2. Вармаркен A. AntMonitor: система для Мониторинг с мобильных устройств // Journal of Advanced Computer Science and Applications. – 2015. - №3. – С.134 - 142.
3. Вигнеш У., Аша С. Изменение политик безопасности в отношении BYOD // 2-й Международный симпозиум по большим данным и облачным вычислениям. – 2018. - №50. - С. 511 – 516.
4. Департамент цифровых технологий, культуры, СМИ и спорта. Обзор нарушений кибербезопасности [Электронный ресурс]. – Режим доступа: URL:https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/702074/Cyber_Security_Breaches_Survey_2018_-_Main_Report.pdf (дата обращения: 5 мая 2022).
5. Джоти К.К., Редди Д. Б. Исследование виртуальной частной сети (VPN), протоколов VPN и безопасности // Journal of Scientific Research in Computer Science, Engineering and Information Technology. – 2018. - №3. – С. 919-932.
6. Лампорт Л. Аутентификация по паролю при небезопасной связи // Communications of the ACM. – 1981. – Т. 11, №24. - С. 770–772.
7. Ли С., Ню Ц., Хан М.Х., Ляо Дж. Усовершенствованная схема аутентификации удаленного пользователя по паролю на основе смарт-карты // Journal of Network and Computer Applications. – 2013. - №36. – С. 1365–1371.
8. Линь Ч. С., Лай И-И. Гибкая биометрическая схема аутентификации удаленных пользователей // Computer Standards & Interfaces. – 2004. - №27. – С. 19–23.
9. Мухаммад Хуррам Хан, Цзяшу Чжан. Повышение безопасности «гибкой биометрической схемы аутентификации удаленных пользователей» // Computer Standards & Interfaces. – 2007. - №29. – С. 82–85.
10. Пинола М. Что такое удаленный доступ? [Электронный ресурс]. – Режим доступа: URL: https://www.lifewire.com/what-is-remote-access-2377975 (дата обращения: 7 мая 2022).
11. Сандип П. Обзор мобильного VPN Технологии // IEEE Communications Surveys. – 2016. – Т. 2, №18. – С. 1177-1196.
12. Свапнонил Р., Чанчал К. Криптоанализ и улучшение протоколов аутентификации и обмена ключами на основе ECC // MDPI. – 2017. – Т. 9, - №1. – С. 1-25.
13. Умбеталы К.Н. Информационная безопасность республики Казахстан [Электронный ресурс]. – Режим доступа: URL:  https://articlekz.com/article/19962 (дата обращения: 4 мая 2022).
14. Хван М., Чили Ч., Тан Ю. Простая схема аутентификации удаленного пользователя // Mathematical and Computer Model. – 2002. - №36. – С. 103-107.
15. Хунг Ю.Ч., Джинн-Ке Дж., Ю-Мин Ц. Эффективное и практичное решение для удаленной аутентификации: смарт-карта // Computers & Security. – 2002. – Т. 4, №21. – С. 372-375.
16. Чин-Линг С. и др. Улучшение схем аутентификации удаленных пользователей с использованием смарт-карт // MDPI. – 2018. - №7 – С. 19.
17. Шехзад А. Улучшенная схема аутентификации удаленных пользователей с сохранением конфиденциальности и доказанной безопасностью // Security Comm. Networks. – 2015. - №8. – С. 3782–3795.
18. Эрнест Д. и др. Сравнительное исследование технологий удаленного доступа и реализации приложения для смартфона для удаленного системного администрирования на основе предлагаемого безопасного протокола RFB // Международный журнал науки и инженерных приложений. – 2015. – Т. – 4, - №4. – С. 163-168.