В обзоре рассматриваются разработки компании ИнфоТеКС: ViPNet Client for Android, представляющий собой VPN-клиент, и ViPNet Connect — приложение для обмена сообщениями и голосовыми вызовами на базе технологии ViPNet. Данные продукты обеспечивают конфиденциальность коммуникаций пользователей и защиту информации на мобильных устройствах под управлением ОС Android.
Введение
Необходимость защищать информацию на мобильных устройствах, особенно при их корпоративном использовании, осознают не только специалисты по информационной безопасности, но и люди, не имеющие прямого отношения к этой отрасли. В то же время риски, связанные с использованием публичных сервисов, очевидны сегодня далеко не всем, хотя они не менее высоки.
В этом обзоре мы рассмотрим продукты, позволяющие решить две задачи информационной безопасности:
- Защитить информацию при передаче по открытым каналам связи (ViPNet Client for Android).
- Обеспечить возможность конфиденциальной связи между абонентами защищенной сети (ViPNet Connect for Android).
Общие сведения
Технология ViPNet — это собственная разработка компании ИнфоТеКС, которая позволяет не только строить полноценную VPN, но и обеспечивать межсетевое экранирование и защиту от несанкционированного доступа к конфиденциальной информации. ViPNet основана на проприетарном протоколе, не являющимся сессионным, как, например, IPSec. Основными преимуществами, которые обеспечивает технология ViPNet, являются устойчивость работы и бесшовное переключение между каналами связи. Продукты ViPNet исходно задумывались и создавались под сценарии корпоративного рынка: для всех них доступно централизованное управление политиками информационной безопасности, ключевой информацией, версиями программного обеспечения на любом узле сети ViPNet.
Архитектура продуктов ViPNet состоит из управляющих, серверных (сетевых) и клиентских компонентов. В ряде случаев для защиты достаточно установки серверных компонентов — программных и программно-аппаратных комплексов ViPNet Coordinator. При необходимости защиты пользовательских устройств применяются клиентские компоненты ViPNet Client, которые выпускаются под операционные системы Windows, Linux, Android, MacOS и iOS. Таким образом, к защищенной сети ViPNet могут быть подключены рабочие станции, серверы, мобильные и носимые устройства, а также любое интеллектуальное оборудование, которое управляется одной из перечисленных ОС.
Как уже упоминалось выше, ИнфоТеКС на данный момент предлагает клиентам два отдельных продукта для мобильных устройств под управлением ОС Android:
ViPNet Client for Android обеспечивает защищенное взаимодействие мобильного устройства с корпоративной сетью, в которой уже развернуты серверные продукты ViPNet. Он защищает каналы связи на базе российских алгоритмов шифрования при работе в IP-сети компании и при подключении через Internet. В большинстве случаев этого продукта достаточно для того, чтобы гарантировать конфиденциальность при работе сотрудников с корпоративными ресурсами.
ViPNet Connect for Android предназначен для обмена сообщениями и голосовыми вызовами с использованием технологии ViPNet. Пользователи взаимодействуют по зашифрованному каналу напрямую друг с другом — сеть ViPNet в этом случае нужна только для организации защищенного соединения. ViPNet Connect for Android предназначен для тех сотрудников компании, которые должны оперативно координировать свои действия с помощью голосовой связи или сообщений, но при этом соблюдать конфиденциальность. Таким образом, ViPNet Connect for Android незаменим при удаленной работе из дома или в командировке и является корпоративной альтернативой таким сервисам, как WhatsApp, Viber, Skype.
Технические характеристики
Испытание программных продуктов проводилось на нескольких устройствах производства Samsung — мобильном телефоне Samsung Galaxy S5 Mini и планшетном компьютере Samsung Galaxy Note 10.1 2014. Эти устройства были выбраны потому, что именно мобильный телефон и планшетный компьютер, как правило, используются сотрудниками, работающими вне офиса. ИнфоТеКС — серебряный партнер южнокорейской корпорации, и это позволяет обеспечить встраивание продуктов компании еще на этапе производства. Для устройств других производителей возможны два варианта установки: с помощью получения прав суперпользователя и с использованием стандартного Google VPN API.
Установку программного обеспечения ViPNet Client for Android необходимо доверить администратору защищенной сети, поскольку эта процедура требует определенной квалификации. Централизованная установка средств криптографической защиты информации также является стандартом корпоративного использования и удовлетворяет требованиям регуляторов рынка ИБ по распространению СКЗИ. При этом участие специалиста требуется лишь однажды — при первоначальном разворачивании ключей шифрования для подключения устройства к защищенной сети. Распространение продукта через Google Play хоть и кажется удобным, на деле при массовых установках таковым не является и противоречит требованиям законодательства РФ.
Выработка ключей шифрования и настройка связи между программными клиентами и защищенной корпоративной сетью также выполняется администратором защищенной сети. Процедура создания нового узла защищенной сети представлена на рис. 1.
Рисунок 1. Определение параметров соединения для вновь созданного клиента
В данном случае мобильные устройства подключались к демозоне ИнфоТеКС. В частности, там установлен координатор сети ViPNet, который для мобильных устройств выполняет роль сервера IP-адресов, сообщая им актуальные IP-адреса в любой момент времени. Без связи с координатором пользоваться защищенным режимом взаимодействия ViPNet Connect for Android возможно только в рамках локальной IP-сети.
Подготовка к работе
Для установки соединения с другим абонентом сети ViPNet через приложение ViPNet Connect for Android необходимо сначала включить VPN-соединение. Для этого после запуска приложения нужно набрать локальный пароль, как на рис. 2.
Рисунок 2. Проверка пароля перед подключением к защищенной корпоративной сети ViPNet
После ввода пароля открывается интерфейс, показанный на рис. 3, с возможностью выбора конфигурации для работы VPN-клиента, на котором также виден статус подключения к защищенной сети.
Рисунок 3. Диалог при подключении к защищенной сети ViPNet
Рассмотрим доступные конфигурации для работы с защищенной сетью пользователя с максимальными полномочиями.
Конфигурация «Прямой доступ» подразумевает, что мобильное устройство будет подключено к корпоративной сети через VPN-канал. При этом доступ к открытым интернет-ресурсам будет организован напрямую, но под контролем персонального сетевого экрана, работающего в режиме пропуска инициативных соединений от смартфона или планшета и блокирующего любой трафик, не инициированный устройством.
Конфигурация «Шлюзовой координатор» обеспечивает шифрование всего трафика мобильного устройства, включая трафик, адресованный в интернет, и пересылку его на корпоративный криптомаршрутизатор (в терминологии ViPNet — Координатор). При этом персональный сетевой экран работает только в режиме пропуска VPN-трафика: весь открытый трафик или блокируется, или маршрутизируется на Координатор. Если пользователь попытается обратиться по IP-адресу или имени для доступа к интернет-ресурсу, то этот запрос будет направлен вначале на Координатор, а потом — на объекты инфраструктуры существующей ИС (и уже там к нему будут применены все правила и политики информационной безопасности) и далее в интернет. Этот механизм признан разработчиком и регулятором как наиболее защищенный режим работы продукта.
Конфигурация «Отключить защиту» выключает функции защиты ViPNet Client for Android. Данная конфигурация доступна пользователю лишь в том случае, если Администратор безопасности наделил его максимальными полномочиями. Если это не так, то у пользователя нет возможности выключить приложение и функции защиты.
Администратор ViPNet может в режиме реального времени управлять полномочиями пользователей путем отправки политик информационной безопасности на мобильные устройства.
Следует отметить, что устройства с установленным ПО ViPNet Client for Android взаимодействуют друг с другом напрямую. Координатор сети знает реальные IP-адреса устройств и сообщает их обеим сторонам. Это делается автоматически и не требует вмешательства пользователя, что исключает возможность перехвата зашифрованного трафика на стороне сервера и защищает сервер от перегрузки медиапотоками.
Кроме того, технология ViPNet, в отличие от IPSec, позволяет узлам взаимодействовать по виртуальным адресам, закрепленным за устройствами. Если устройство перешло в другую сеть и получило другой реальный IP-адрес, то связь с ним не прерывается, меняется лишь маршрут прохождения IP-пакетов. В это время координатору передается новый IP, и все остальные устройства перенаправляют медиапотоки на этот адрес.
Отличительной особенностью ViPNet Client for Android является возможность работы через любые каналы связи, прозрачное переключение между ними, автозагрузка приложения, запрет удаления приложения с мобильного устройства, а также автоматическое восстановление VPN-канала после утери связи. Эта особенность позволяет сотруднику не следить за подключением к защищенной сети и спокойно работать с корпоративными ресурсами.
Настройка соединения
Когда соединение с Координатором установлено, можно инициировать работу ViPNet Connect for Android, достаточно лишь запустить приложение с помощью отдельной иконки (см. рис. 4).
Рисунок 4. Основной экран телефона Samsung с установленными приложениями компании ИнфоТеКС
В основном окне программы (рис. 5) показан список устройств корпоративной сети (не подключенные в текущий момент выделены светлым). Предоставленные нам смартфон и планшет подключены к сети и готовы взаимодействовать друг с другом. На данный момент в ViPNet Connect for Android реализована только передача сообщений и голосовое взаимодействие. В этом году разработчики планируют добавить возможность передачи файлов, а также режим конференции и подключения к внешним SIP-серверам.
Рисунок 5. Основной интерфейс ViPNet Connect for Android
Вначале мы протестировали передачу сообщений между устройствами, и все прошло успешно — см. рис. 6.
Рисунок 6. Передача сообщений между устройствами
Впрочем, интереснее всего было проверить голосовое взаимодействие (см. рис. 7).
Рисунок 7. Интерфейс голосового вызова
ViPNet Connect обеспечивает высокое качество по всем возможным каналам связи – 3G, 4G, Wi-Fi, LAN. В ходе тестирования удалось проверить переключение с одного IP-адреса на другой. Для этого достаточно было на одном устройстве отключить беспроводную сеть. При этом отмечалось пропадание сигнала на период от 1 до 5 секунд, но без разрыва соединения, то есть заново устанавливать связь не приходилось. Максимально длительное прерывание было в первый раз, а в дальнейшем оставалось незначительным. Если же были постоянно включены мобильная и беспроводная сети, то при удалении от базовой станции переход на передачу данных по другому каналу связи почти не ощущался.
Дополнительные возможности
Зашифрованный с помощью ViPNet Client for Android VPN-канал позволяет подключиться к различным ресурсам корпоративной сети. В частности, в демонстрационной сети ИнфоТеКС был сервер с виртуальными рабочими местами VMware ESX, что позволило проверить работу с планшета на виртуальном рабочем столе Windows по протоколу RDP через защищенное соединение (см. рис. 8). При этом дополнительных задержек за счет шифрования трафика в работе удаленного клиента отмечено не было.
Рисунок 8. Подключение с виртуального рабочего стола Windows к внутрикорпоративному сайту (схема демосети ViPNet)
Впрочем, через защищенную сеть вполне могут работать практически любые приложения, которые ориентированы на IP-технологию. В частности, в состав демозоны входит камера видеонаблюдения с подключением по IP, которая показывает реальное изображение самой демозоны. С помощью специального приложения есть возможность получить картинку с этой камеры на планшет (см. рис. 9). При этом ни приложение, ни камера не были специально адаптированы для работы в сети ViPNet.
Рисунок 9. Изображение с камеры видеонаблюдения, установленной в демозоне ИнфоТеКС
Выводы
Технология построения защищенной корпоративной сети ViPNet компании ИнфоТеКС удобна, хоть и ориентирована на корпоративное использование. Решения для защиты данных на мобильных устройствах позволяют сотрудникам, которые часто путешествуют, удобно, быстро и безопасно подключаться к внутренней корпоративной сети. Важно отметить, что продукты ViPNet созданы на основе российских алгоритмов шифрования и соответствуют требованиям регуляторов. ViPNet Client for Android не накладывает ограничений на использование приложений на мобильном устройстве: они продолжают работать так, как и работали ранее. Все вопросы организации доверенного канала ViPNet Client for Android берет на себя, избавляя пользователей от необходимости следить за состоянием VPN-подключения.
ViPNet Connect обладает простым и понятным интерфейсом, соответствующим принципу «включи и работай». Высокоскоростное соединение через 3G и 4G позволяет воспользоваться преимуществами защищенной корпоративной голосовой связи, минимизируя расходы на телефонную связь и обеспечивая при этом конфиденциальность переговоров. Приложение постоянно совершенствуется: компания планирует также добавить сервис передачи файлов и режим конференции. Для администраторов разработчики сделали возможным соблюдение корпоративных политик безопасности на мобильных устройствах.
В ViPNet Client for Android реализован режим работы, при котором доступ к интернету организуется через корпоративный шлюз. Он уникален для мобильных VPN-клиентов и защищенных коммуникаторов, поскольку мобильное устройство как бы всегда находится внутри корпоративной сети. В таком случае на него не нужно устанавливать дополнительные механизмы защиты. Например, контроль трафика и защита от утечек конфиденциальных данных будут работать на уровне существующей инфраструктуры информационной безопасности. Для многих корпоративных клиентов именно такой режим подключения своих мобильных сотрудников является предпочтительным, поскольку в этом случае все их действия контролируются администраторами безопасности.
Существенным преимуществом ViPNet Connect for Android является передача защищенных медиапотоков напрямую, не задействуя корпоративный координатор. Продукт позволяет оптимизировать трафик, не теряя при этом всех возможностей по защите мобильных устройств.
Преимущества:
- безопасное подключение к корпоративной сети из любых публичных Wi-Fi-сетей, а также сетей связи 2G/3G/4G;
- наличие сертификата ФСБ;
- использование российского алгоритма шифрования ГОСТ 28147-89;
- наличие дополнения ViPNet Connect for Android для организации защищенных коммуникаций;
- переключение между IP-сетями без разрыва сеанса связи;
- оптимизация зашифрованных потоков данных;
- интеграция с другими продуктами, входящими в инфраструктуру ViPNet.
Недостатки:
- гарантированная корректная работа только для небольшого списка совместимых устройств;
- ViPNet Connect for Android пока имеет минимальный набор функций, однако разработчики обещают в скором времени добавить сервис обмена файлами и режим конференции.