Планиране на политиката за мрежова сигурност

5.10Планиране на политиката за мрежова сигурност

Административните мероприятия се отнасят до:

• 
  подбор на персонала – при назначаване на нови служители и при промяна на йерархията трябва да се вземе под внимание и риска от злонамерени действия на служителите;
  
• 
  административни нареждания – забрана за инсталиране на програмни продукти; съгласие и информираност за работа с конфиденциална информация; забрана за изнасяне на файлове с документи и други данни.
  

• 
  създаване на документи с правила за инсталиране на компютърните системи, правила за полагане на кабелните системи на локалната мрежа;
  
• 
  създаване на длъжностни характеристики на служителите в частта им за работата с компютърни системи и електронни документи.
  

• 
  въвеждане на нива на сигурност на операционната система;
  
• 
  политика за използване на паролите;
  
• 
  криптиране на файловете;
  
• 
  използване на цифрови подписи;
  
• 
  използване на протоколи за сигурност при предаване на данните по мрежата;
  
• 
  използване на защитни стени и прокси сървъри;
  
• 
  спазване на правилата за антивирусна защита;
  
• 
  физическа сигурност на данните.
  

• Мрежов администратор

• Контрол за инсталиране на програмни продукти на работното място

За надеждното функциониране на информационните системи в организацията се препоръчва инсталирането на Active-X компонентите да бъде забранено със средствата на браузера, за всички сайтове извън описаните в списъка "Доверени сайтове". Свалянето от Интернет на програми и инсталирането от потребителите без разрешение на мрежовия администратор на какъвто и да е софтуер, следва да бъде забранено.

• Нива на сигурност на ниво операционна система

• 
  права за достъп до системата и нейните ресурси;
  
• 
  време за влизане;
  
• 
  потребителска директория;
  
• 
  дата на изтичане.
  

• Криптиране на файлове

При криптиране на файловете в една компютърна система единствено техният създател ще има достъп до тях. Криптирането използва код или ключ за разбъркване (шифриране) на данните и след това за тяхното подреждане (дешифриране). Разработени са програмни продукти за криптиране на информацията (писма, документи, бази от данни и др.). Те се базират на следните основни криптографски методи: криптиране с публичен ключ, криптиране със секретен ключ и др.

21. 
    Използване на шифриране с публичен ключ
    

• Цифрови подписи

Използването на системи за криптиране със секретен ключ може да доведе до много голямо ниво на сигурност. Методът DES (Data Encryption Standard) с достатъчно дълъг ключ се използва за правителствени и военни цели. За целите на обикновените граждани достатъчно ниво на сигурност може да осигури дори криптиращата система на архиватори като WinZip и WinRar. Проблемът при такава криптирана комуникация е в доверието. Тъй като криптиращият ключ е известен и на изпращача и на получателя, и двамата могат да създадат подменено копие на данните, като по никакъв начин не е възможно да се докаже кой е направил подмяната.

Използването на PKI – услуги с публичен ключ решава този проблем. PKI извършва две действия – подписване и криптиране.

За да се подпише цифрово писмо или документ е необходимо изпращачът да притежава електронен подпис. За изпращане на подписано писмо с Outlook Express след създаване на писмото е необходимо да се избере бутона ‘Sign’. След избор на ‘Send’ – операционната система извежда запитване за персоналния идентификационен номер (PIN) и изпраща писмото. Подписването на данните не ги ‘скрива’ от получателите. Всеки може да отвори подписан файл или писмо. Цифровото подписване гарантира:

• 
  автентичност: получателят на съобщението е сигурен, че подписващият е този, за който се представя;
  
• 
  цялост: съдържанието не е променено или фалшифицирано след поставяне на цифровия подпис;
  
• 
  неотменимост: цифровият подпис доказва съдържанието, подписалият го не може да го отрече.
  

В Република България поставянето на цифрови подписи е регламентирано от Закона за електронния подпис и електронния документ. Комисията за регулиране на съобщенията (КРС) регистрира доставчиците на удостоверителни услуги. Те предлагат Удостоверения за универсален електронен подпис (УУЕП), който има силата на собственоръчно поставен подпис. Останалите цифрови подписи, които се използват (например за целите на електронно банкиране) се наричат Обикновени електронни подписи и те нямат правна сила. УУЕП се признават от държавната и общинската администрации, включително Националната агенция по приходите (НАП), Националния осигурителен институт (НОИ), Агенцията по вписванията и др.

Данните, които пътуват по мрежата могат лесно да бъдат прихванати и прочетени от други потребители. За да се гарантира сигурност на данните изпращани по мрежата са разработени отделни програми и протоколи.

• 
  IPsec (Internet Protocol security) представлява набор от протоколи за защита на данните, обменяни в мрежа, с помощта на услуги за защита и цифрови сертификати с публични и частни ключове. Той работи в мрежовия слой на OSI модела и реализира сигурност на данните на ниво пакети. IPSec използва два протокола:
  

• 
  Authentication Header (AH) – осъществява проверка на самоличността на изпращащия IPsec.
  
• 
  Encapsulating Security Payload (ESP) – гарантира конфиденциалност на самите данни;
  

• 
  SSL (Secure Sockets Layer) е друго средство за гарантиране на сигурността на данните. Той използва криптиране с публичен и частен ключ. Работи в приложния слой на OSI модела.
  

• Програми за защита на електронната поща

• Защитни стени

• Прокси сървъри

• NAT като защитна стена

Използване на компютър за ‘сървър’ на споделената интернет връзка има много недостатъци. Първо, ако компютърът се използва като работно място, на неговия потребител ще се наложи да го рестартира поради някаква причина, което ще доведе до прекратяване на достъпа на останалите потребители към Интернет. Програмен или апаратен срив на компютърната система на ‘сървъра’ ще спре достъпа на потребителите в локалната мрежа. Обикновено такъв компютър се оставя включен денонощно – при това дори разходите за електрическа енергия не бива да се подценяват.

Значително по-добро решение е закупуването и инсталирането на устройство – Broadband Router – рутер за споделяне на интернет връзка. Той е самостоятелно устройство, обикновено включва 4 портов 10/100Mbps суич, в много от моделите и безжична мрежа 802.11. Рутерът е надеждно устройство, конфигурира се лесно – през WEB интерфейс. Рутерът осъществява NAT за компютрите в локалната мрежа, предлага им DNS и DHCP сървър за автоматично конфигуриране – аналогично на ICS. За разлика от него той позволява използване на произволно частно адресно пространство, а не само 192.168.0.0/24. Съществуват случаи, в които е необходимо услуга, предлагана от компютър в локалната мрежа да бъде достъпна и за интернет потребителите. Тази възможност обикновено се нарича ‘Virtual Servers’, ‘Mapped Links’ и др.

• Антивирусна защита

Работоспособността на тези програми трябва да се проверява. Не трябва да се забравя, че те могат да опазят компютъра само от известните им програми. Рискът от заразяване остава. Най-чести са атаките от програми от типа "троянски кон". Те разпознават и елиминират антивирусната програма. Липсата или невъзможността за инсталиране на антивирусна програма почти винаги е доказателство за наличието на вирус.

Един от основните канали за разпространение на злонамерен софтуер е електронната поща. Най-често достъпа до служебната кореспонденция се осъществява с програмата Outlook Express. Съществуват много пропуски в програмата, открити от кракерите и използвани за инсталиране на програми тип червеи, без намесата на потребителя. Актуализирането на Windows чрез инсталация на всички service pack-ове и кръпки (patch) намалява рисковете. Много често нежеланите програми се маскират като zip архиви, картинки и други, като представят името си примерно ‘message.zip’, следвано от много интервали и накрая разширението ‘.exe’. Тъй като разширението за изпълним файл не се вижда, доверчивият потребител го стартира, отговаря на всички въпроси от Windows за неговата безопасност и се заразява.

Ако във фирма/организация има проблеми с получаване на заразени писма, е необходимо да се вземат мерки срещу това. Ако се използва собствен сървър, е необходимо да се инсталира антивирусна програма на сървъра за електронна поща. Съществуват и анти-спам програми за сървърите за електронна поща. Те използват евристични алгоритми за разпознаване на нежеланата поща. Добра идея е да се забрани категорично получаването като прикачени файлове на всички изпълними програми и скриптове.

Основни правила за антивирусна защита:

• 
  Не стартирайте програми, получени от несигурни източници. Проверката с антивирусна програма на всеки чужд дисков носител е задължителна!
  
• 
  При инсталацията на пиратски софтуер винаги се подлагате на риска от заразяване!
  
• 
  Не стартирайте .EXE файлове, получени по електронна поща, без потвърждение от изпращача!
  
• 
  Не оставяйте дискети във флопидисковото устройство!
  
• 
  Използвайте актуализирани антивирусни програми!.
  

• Физическа сигурност

Мрежовите кабели трябва да бъдат положени така, че да няма възможност за физически достъп до тях. При изграждане на локална компютърна мрежа е необходимо да бъде направено т.нар. структурно окабеляване. Мрежовите кабели трябва да бъдат положени в специални канали или да бъдат скрити в окачени тавани или подови настилки. Кабелите с усукани двойки проводници са особено лесни за подслушване. При оптичните кабели това е възможно, но е значително по-трудно.

Важен момент от сигурността на мрежата е ограничаване на физическия достъп за външни лица до компютрите и другите мрежови компоненти. Дейностите в тази насока могат да бъдат следните:

• 
  всяко устройство да се маркира с инвентарен номер;
  
• 
  да се изисква легитимиране на външните посетители, преди да бъдат допуснати до оборудването;
  
• 
  работните станции и сървърите да се държат в заключващи се помещения;
  
• 
  там където това не е възможно, да се въведе софтуерна защита.
  

• 
  система за видеонаблюдение;
  
• 
  алармена система (СОТ);
  
• 
  кодови брави;
  
• 
  система с персонални магнитни карти.
  

• Защита и възстановяване от сривове

Съществуват три начина за предотвратяване на загубите на информация:

• 
  Аварийно захранване;
  
• 
  Архивиране на данните;
  
• 
  Отказоустойчивост.
  

Гръмотевичните бури и пренапреженията, които могат да възникнат в електрическата мрежа могат да доведат не само до загуба на данни, но и до повреди в хардуера. Най-евтиният начин за предпазване от пренапрежения е чрез поставяне на предпазител от пренапрежение.

По-добрият вариант е използването на непрекъсваемо устройство – UPS (Uninterruptible power supply). UPS е автоматизирано външно захранващо устройство, което осигурява електроенергия за компютрите и други устройства, когато основното електрозахранване спре. UPS системите осигуряват:

• 
  захранване за компютрите и сървъра за кратко време;
  
• 
  безопасно изключване на системата.
  

При избор на UPS трябва да се съобразим със следните въпроси:

• 
  Колко системи, с каква обща мощност ще трябва да захранва UPS устройството?
  
• 
  Предлага ли се софтуер, осигуряващ възможност за уведомяване на потребителите и мрежовия администратор при прекъсване на захранването? Позволява ли софтуера безопасно изключване на захранваните системи?
  
• 
  За колко системи е защитата за безопасно изключване? Ако са включени няколко компютъра към UPS, поддържа ли се изключване на всички компютри?
  
• 
  Ефективна ли е защитата срещу токови удари?
  
• 
  Има ли допълнителна защита за пренапрежения към мрежовата карта?
  
• 
  Каква е продължителността на живот на батерията?
  

Независимо от положените усилия за защита на данните, винаги съществува възможност за тяхната загуба. Причините за загуба на данни са многобройни. Едни от най-честите са повреда на твърдия диск, повреда на инсталацията на операционната система, изтриване, вирусна атака, кражба, природни бедствия.

За да се предотврати загубата на данните е необходимо те да бъдат архивирани. Това е процес на създаване на копие на данните, обикновено на външен носител. Има различни програмни решения за архивиране, предлагани от операционната система или като самостоятелни продукти.

Всяка организация трябва да си създаде политика по архивирането. При архивиране на данните трябва да се отговори на следните въпроси:

Трябва да се създаде приоритет на различните типове документи, бази данни, файлове, които следва да се съхраняват. Очевидното решение – да се архивира всичко –е най-добро, но очевидно изисква най-много време и физически носители. Операционната система, инсталираните програмни продукти могат да се възстановят. Данните и документите, които потребителите създават са резултат на много време и усилия. Творческата работа, финансовата информация имат най-голям приоритет.

За да се архивира успешно, процесът на архивиране трябва се автоматизира. Това е невъзможно, ако данните са разпръснати по персоналните компютри на служителите. Политиката по архивирането трябва да реши: Къде да се съхраняват фирмените документи? Кои потребители имат право локално да съхраняват своите файлове и документи? Трябва да се създаде административна рамка, осигуряваща централизиране на документите на един компютър – сървър. Така при срив на компютърна система, когато тя не съдържа данни на служителя, тя може да се замени с друга, съдържаща идентичен инсталиран софтуер.

Кога да се архивира?

Архивирането трябва да се извършва периодично. Времето за архивиране зависи от това колко данни може да си позволим да загубим: за 1 ден, 1 седмица, 1 месец? Архивирането може да се извършва автоматично по график след работно време.

Има три типа архивиране:

• 
  Пълно архивиране – съхраняват се всички данни;
  
• 
  Диференциално архивиране – съхраняват се данните, променени след пълното архивиране;
  
• 
  Инкрементално архивиране – архивират се данните, променени след последното архивиране (не след пълно архивиране).
  

Системите за архивиране, които са част от операционната система (ОС), например ntbackup за Windows, предлагат пълно архивиране. Проблемът при използването на такъв архив, е че трябва ОС да е стабилна, работоспособна. Това означава, че след срив трябва първо да се инсталира ново копие на ОС и след това да се разархивират данните, за да се възстанови системата към точката на архивиране.

Съществуват редица програми, които създават снимка (snapshot) на системата. Например Norton Ghost може да създаде снимка – архив на цял диск или на дял (partition) на твърдия диск. Това може да стане, когато ОС е неактивна. Трябва да се извърши първоначално зареждане на MS DOS операционна система например от компакт-диск (или дискета, флаш-памет) и след това да се направи архива. Това означава, че архивирането не може да стане автоматично, необходимо е системата да бъде спряна, за да се архивира. Предимството на архив ‘snapshot’ е, че най-лесно и бързо се възстановява. След рестартиране имаме състоянието на системата към момента на създаване на архива. Ако разархивирането се прави на същата компютърна система, не са необходими никакви допълнителни усилия за нейното възстановяване.

Добро решение е да се правят различни архиви с различни програмни продукти. Може веднъж в месеца да се прави архив – snapshot, всяка седмица по разписание – пълен архив и всяка вечер – инкрементален архив. На архивирането на базите данни трябва да се обърне особено внимание. Ако не е достатъчно архивиране веднъж на ден в извънработно време, ще се наложи да се архивира базата данни в момент, в който в нея се извършват операции. Системите за управление на бази данни (СУБД) като Oracle, предлагат инструмент за архивиране, позволяващ on-line архивиране – създаване на сполучлива снимка на работещата система.

Програмните продукти за архивиране създават архив обикновено на твърдия диск. Те позволяват запис на архива и на външен носител, но проблемът е, че размерът на твърдите дискове превишава в пъти размера на най-големия носител (най-голямата магнитна лента към момента (2008 г.) е SLR – до 70GB некомпресирани). За да има пълно архивно копие, то трябва да се съхранява извън предприятието/организацията. За това трябва да се съхрани на външен носител.

Най-често използваните носители са DVD-R, DVD+R дискове. Техният капацитет е 4.5GB. Следващата еволюционна стъпка в развитието на DVD устройствата са Blue Ray дисковете, с размер на CD/DVD, те позволяват до 25GB едностранен запис и до 50GB двустранен запис. Разбира се, като всяка нова технология, цената за архивиране на 1GB информация е в пъти по-висока в сравнение с цената на DVD дисковете.

В много организации, размерът на твърдите дискове достигна терабайт (1TB). Записът на цялата тази информация на външни носители е трудно осъществимо. Очевидното решение е да се извършва архивиране на друг твърд диск, за предпочитане външен, с USB или LAN интерфейс. Дори при най-високите скорости, архивирането ще отнеме денонощие и ще изисква през това време системата да е недостъпна за потребителите си.

Всички програми за архивиране извършват компресиране на информацията за икономия на дисково пространство и носители. Средно компресията е около 50%. Създадените архиви на външни носители трябва да се съхраняват в определено за целта помещение. Тъй като те съдържат особено важна информация, която трябва да си остане фирмена тайна, тяхното съдържание трябва да се криптира. Политиката за архивирането трябва да реши къде да се съхраняват архивите, как да се криптират и как да се съхраняват криптографските ключове. Добро решение е да се съхраняват архивите в банков сейф. Така отпада необходимостта от криптиране и защита на архивите от унищожение. Съхраняването на архива в предприятието/организацията, особено в сървърското помещение, не е добра идея. След бедствие като пожар, наводнение, кражба и други могат да бъдат загубени, както компютърните системи, така и архивите.

Кой да отговаря за извършване на архивирането?

Добре е да има определен служител, който да отговаря за архивирането на данните. Освен архивиране, той трябва периодично да проверява целостта на системата за архивиране чрез тестово разархивиране на данните. Грешка в процедурата за архивиране може да се открие късно – едва след като данните бъдат загубени завинаги.

Трябва да се създаде план за възстановяване след загуба на компютърни системи и данни. Да се предвиди закупуването на нови компютри, преинсталиране на програмните продукти. Част от използваните лицензни програмни продукти се инсталират само от дистрибуторите си. Трябва да се подържа контакт с тях, за да може да се възстанови специфичното приложение и неговите данни. Трябва да се предвиди заместник на служителя, отговорен за архивирането – може да е друг достатъчно квалифициран служител или да се наеме външна фирма.
Отказоустойчивост

Системите за отказоустойчивост предпазват данните от загуба чрез дублиране на самата хардуерна система. Например, много важни сървъри притежават по два захранващи блока, при авария на един от захранващите блокове, системата продължава своята работа като алармира системния администратор. Важна особеност на системите за отказоустойчивост е възможността за замяна без изключване на системата (hot spare). Така, авариралият захранващ блок може да бъде демонтиран и сменен с изправен без изключване електрозахранването на компютърната система.

В особено важни системи, например с космическо и военно предназначение се прави тройно дублиране на управляващите системи. Всяка управляваща система получава информация от наличните датчици и взема решения за промяна на траекторията, промяна на работната среда и др. При тройно-дублираните системи се приема за вярно това решение, което се взема от две от трите управляващи системи, когато другата система е повредена.

Съвременните операционни системи поддържат функция за горещо поправяне (hot fixing) на повредени дискови данни. При откриване на грешен сектор от диска, драйверът на отказоустойчивостта се опитва да премести данните в добър сектор и да отбележи повредения като лош – забранен за използване. Защо е възможно това? Ако секторът е физически повреден, той не може да се прочете, данните се губят и не е възможно да се възстановят. На практика дисковете се повреждат постепенно. Части от покритието на диска с по-лошо качество губят възможностите си за четене-запис. При това прочитането е възможно след няколко поредни опита. Входно-изходният драйвер проверява колко опита за четене са направени, ако е премината зададената граница, определя сектора като повреден и премества успешно прочетения сектор. Възможно е драйверът да извършва контролно четене на записаната информация, за да установи повреда на сектора. Това е известно като Read-After-Write и се използва при оптическите системи за съхраняване на информация. При твърдите дискове не се използва, тъй като ще доведе до голямо натоварване на дисковата система и забавяне на нейната работа.

Най-често се използват системи за отказоустойчивост на данните реализирани чрез RAID технология за защита на данните, съхранявани на твърди дискове. За да има устойчивост, системата трябва да е преосигурена, да има излишък, дублиране на информацията (redundancy). Създават се надеждни масиви от нескъпи дискове RAID (Redundant Array of Independent/Inexpensive Disks). Съществуват различни нива на RAID, с различни възможности.

RAID 0 – Лентов набор (Disk Stripping)

Съдържанието на дисковете се разглежда като блокове (клъстери) с размер 64KB. Данните се разполагат последователно във всички дискове от масива. Тъй като няма излишък на данните, няма никаква отказоустойчивост. Обратно, вероятността за дефект на системата се увеличава, при отказ на един от дисковете в масива се губи цялата информация. Въпреки това лентовите набори се използват защото позволяват създаване на голям обем дисков масив чрез обединяване на множество дискове и увеличават бързодействието на дисковата система в сравнение с бързодействието на всеки от твърдите дискове.

За дублиране са необходими два твърди диска, препоръчително е те да са с еднаква големина. Вторият диск съдържа точно (огледално) копие на първия диск. Първият диск е основен (primary), вторият е архивен (secondary). При RAID 1 времето за четене е два пъти по-малко отколкото на твърдия диск, времето за запис е същото. При използване на големи области от последователни блокове от данни (големи файлове), четните блокове се намират на първия диск, нечетните – на втория. При четене половината информация се прочита от диск 1, другата половина от диск 2 – съответно времето за четене е два пъти по-малко. При запис информацията се записва едновременно на двата твърди диска, времето за запис е без промяна. Ако един от дисковете се повреди системата продължава работа без прекъсване. RAID 1 се реализират чрез интегриран на дънната платка или външен RAID контролер. Препоръчва се използване на дуплексиране – всеки твърд диск работи със собствен дисков контролер. Ако двата диска използват общ дисков контролер, то неговото авариране спира цялата система, въпреки дублирането на информацията.

Използват се големи блокове данни. Използва се отделен диск за проверка на данните. RAID 3 включва три твърди диска. Подобно на RAID 0 информацията се разделя на блокове, които се записват последователно на първия и втория диск. В третия диск се записва блок данни, като всеки байт е изчислен като XOR ("изключващо или") на данните от първия и втория диск. Ако се повреди един от първите два диска, неговите данни се определят от другия и третия отново прилагайки XOR операцията. При повреда на третия – не е необходимо да се възстановява информация, той реално не съдържа данни. Ако се повредят два от дисковете информацията се губи. Времената за четене и запис са както при RAID 1.

Това е най-популярният RAID метод. Поддържат се минимум 3, максимум 32 твърди диска. За разлика от RAID 3 няма отделен диск за корекция на грешки, коригиращата информацията се разпределя и записва на всеки от дисковете в масива. При повреда на едно устройство, на останалите има достатъчно служебна (коригираща) информация за възстановяване на съдържанието на повреденото устройство. Повреда на два диска води до загуба на данните в масива.

RAID 10 създава два идентични RAID 0 дискови масива. За всеки твърд диск от първия масив се създава огледален образ върху друг твърд диск от другия масив.

Клъстер – група компютри, обединени чрез високоскоростни връзки, представляващи от гледна точна на потребителя един компютър. От гледна точна на мрежовите потребители клъстерът е един хост с един IP адрес.

Има различни видове клъстери:

• 
  Отказо-устойчиви клъстери (High-availability clusters): Създават се за гарантиране на непрекъсната работа на изчислителна система. Състои се обикновено от две компютърни системи, при срив на една от системите, клъстерът продължава работата си. Позволява се включване на възстановената компютърна система в клъстера без прекратяване работата на клъстера. За изграждането на клъстер е необходимо специфично програмно осигуряване. За Linux системи съществува безплатно решение Linux-HA;
  
• 
  Клъстери с балансирано натоварване (Load balancing clusters): Разпределят заявките на един или повече входни възли, като ги препращат за обработка към изчислителните възли. Целта е повишаване на производителността чрез паралелно изчисляване на конкурентни заявки от различни компютърни системи (изчислителни възли). Това води и до повишаване на надеждността на системата. Безплатното решение за Linux системи е Linux Virtual Server;
  
• 
  Високопроизводителни клъстери (High-performance clusters): Използват се за решаване на специфични изчислителни задачи, например в научните изследвания и моделиране на процеси и явления. Намалява времето за изчисление, разбивайки задачата на паралелно изпълняващи се нишки. Решението за Linux системите се нарича Beowulf.
  

Целта на отдалечения достъп е отдалечено свързване към ресурсите в една локална или корпоративна мрежа. С развитието си компютърните мрежи направиха възможен отдалечения достъп. Безжичният интернет достъп разшири възможностите за свързване към мрежата. Отдалеченият достъп дава възможности, които променят качеството на работата. Отдалеченият достъ се използва за:

Основна среда за отдалечен достъп е Интернет. За да се осъществи достъп до услуга, предоставена от компютър, е необходимо той да притежава реален IP адрес. Въведената политика за сигурност – за филтриране на трафика – трябва да позволява порта, използван от приложението, да бъде достъпен за външни потребители. Много компютри използват NAT за свързване към Интернет. Те имат IP адрес от частното адресно пространство и не са ‘видими’ от Интернет. Реален адрес има NAT рутерът. Рутерите притежават функционалност, която позволява пренасочване на портове – заявките получени към реалния IP адрес на зададения порт се пренасочват към компютър в локалната мрежа на зададен локален порт. За отдалечените компютри този процес е прозрачен – те използват услугата на зададен адрес и порт, така както ако компютърът предлагащ услугата притежава реален адрес. Ако пренасочването не може да се изпълни е възможно използване на VPN. Съществуват безплатни и комерсиални услуги за такива клиенти. При тях сървър в Интернет приема техния входен и изходен трафик и го пренасочва към друг компютър във VPN.

Не трябва да се забравя, че отдалечената връзка представлява врата към външния свят, от която могат да се възползват и ‘нежелани гости’. Отдалеченият достъп е риск в компютърната сигурност. Спазването на политиките за сигурност ограничава възможностите за нерегламентиран достъп. За защита се използват практики като: авторизация чрез парола; авторизация чрез ключове; ограничаване на достъпа до IP адреси; ограничаване на времето за достъп; заключване на акаунт.