Цель — определить руководящие принципы для VPN-соединений с интранетом Организации с применением УД на основе протоколов IPSec или L2TP.
Область действия. Политика применяется ко всем сотрудникам, временным рабочим, консультантам, внештатным сотрудникам и другим работникам Организации, включая всех третьих лиц, использующих VPN-доступ к интранету Организации. Данная политика распространяется на те реализации VPN, в которых используются концентраторы IPSec.
Основные положения. Имеющие на это разрешение сотрудники и третьи лица Организации (например, клиенты, поставщики и т. п.) могут пользоваться VPN-доступом, который считается сервисом, «управляемым пользователем». Это означает, что сам пользователь отвечает за выбор сервис-провайдера Интернета (Internet Service Provider, ISP), руководит настройкой, устанавливает требуемое ПО и платит арендную плату (детали изложены в политике УД). Дополнительно к этому:
- сотрудник, имеющий разрешение на VPN-доступ, должен гарантировать, что неуполномоченные пользователи не получают доступа к интранету Организации;
- использование VPN контролируется либо на основе аутентификации с одноразовыми паролями (типа токенов), либо системами с открытым/личным ключом со стойкими парольными фразами;
- при активном подключении к интранету VPN направляют весь трафик от и к ПК по VPN-туннелю; весь остальной трафик отбрасывается;
- одновременное соединение с несколькими VPN не разрешается;
- VPN-шлюзы устанавливаются и управляются соответствующей рабочей группой Организации;
- на всех компьютерах, включая ПК, соединенных с интранетом Организации посредством VPN или любой другой технологии, должно быть установлено стандартное для Организации современное антивирусное ПО;
- пользователь VPN будет автоматически отключаться от интранета Организации после 30 мин неактивности; после этого пользователь должен снова войти в систему для восстановления подключения; пингование (pings) или другие искусственные сетевые процессы не должны использоваться для поддержания соединения в открытом состоянии;
- время работы VPN-концентратора ограничивается 24 ч соединения;
- пользователи компьютеров, не являющихся оборудованием Организации, должны сконфигурировать их таким образом, чтобы они соответствовали политикам Организации для ВЧС и интранета;
- можно использовать только разрешенные Организацией VPN-клиенты;
- при использовании VPN-технологии на персональном оборудовании пользователи должны осознавать, что их компьютеры являются фактически расширением интранета Организации, и поэтому они подчиняются тем же правилам и положениям, которые применяются к собственному оборудованию Организации.
Ответственность. Любой сотрудник, нарушивший политику, может быть привлечен к дисциплинарному наказанию, вплоть до увольнения с работы.
Определения. Концентратор IPSec — это устройство, в котором заканчиваются виртуальные каналы.