Czytasz dzięki

Największe wyzwania bezpieczeństwa pracy zdalnej. Pomoże bezpłatny audyt

  • Materiał partnera
opublikowano: 08-05-2020, 12:06

Informacji na temat zastosowania Virtual Private Network znajdziemy w Internecie mnóstwo, ale przeglądając większość pojawiających się artykułów czy webinarów natrafimy głównie na te, w których poruszany jest sam problem konfiguracji tunelu VPN. Czy to wystarczy, aby zapewnić firmie bezpieczeństwo?

Konieczność pojawiła się nagle – więc trzeba było sobie poradzić z podstawową konfiguracją tuneli, rozwiązać problemy związane z brakiem sprzętu czy wydajności. O Virtual Private Network mówi każdy – ale przeglądając większość pojawiających się artykułów czy webinarów - poruszany jest sam problem konfiguracji tunelu VPN. Czy to zapewnia bezpieczeństwo? Poruszmy więc teraz temat bezpieczeństwa.

Mam już tunel - czy to wystarczy?

Zakładamy, że każdy skonfigurował już tunel VPN, z wykorzystaniem rekomendowanych technologii, dwuskładnikowego uwierzytelniania itd. - tunel się zestawia, dostęp do aplikacji jest zapewniony…

Czy to wystarczy? Czy teraz jestem bezpieczny?

Kto i do czego? Czyli kontrola dostępu

Należy skupić się przede wszystkim nad kwestią związaną z politykami dostępu poszczególnych użytkowników do konkretnych zasobów... Polityki zapory sieciowej powinny być szczegółowo zdefiniowane – i zezwalać tylko i wyłącznie na ruch niezbędny produkcyjnie. Operując na niższych warstwach sieciowych (L3,L4) jesteśmy w stanie odfiltrować niezbędny ruch sieciowy, bez generowania dużego obciążenia dla naszych urządzeń. Unikamy polityk typu „zezwól na wszystko”– zarówno w przypadku adresów, jak i wykorzystywanych portów/protokołów.

Czy jeden tunel wystarczy?

Tunel VPN zazwyczaj wykorzystywany jest przez konkretną grupę użytkowników – i tacy użytkownicy mają najczęściej zbliżone uprawnienia. Należy tworzyć oddzielne tunele VPN dla różnych grup użytkowników, np. administratorzy, księgowość, magazyn.

W razie kompromitacji tunelu, np. ktoś stracił niezaszyfrowany komputer, zawierający konfigurację/poświadczenia - minimalizujemy skutki nieautoryzowanego dostępu.

Dodatkowo pamiętajmy o redundancji tuneli VPN – jeśli dysponujemy więcej niż jednym łączem, pozwoli to na dalszą pracę w przypadku awarii.

Czy ruch pochodzący od klienta dialup jest bezpieczny?

Czy dany ruch jest bezpieczny? Nigdy nie możemy mieć pewności – a już zwłaszcza w sytuacji, kiedy pochodzi on spoza naszej sieci, dlatego kolejnym kluczowym elementem, składającym się na bezpieczeństwo, jest konieczność wykorzystania funkcji Next Generation Firewall na regułach opisujących ruch związany z tunelami VPN.

Kompleksowa analiza ruchu, włączając w to wszystkie warstwy sieciowe, jest dużo bardziej obciążająca niż filtrowanie pakietów przez typową zaporę sieciową, jednak dopiero wykorzystanie nowoczesnych funkcji bezpieczeństwa dostarczanych np. przez urządzenia FortiGate, takich jak Antywirus, IPS czy Kontrola Aplikacji, daje nam przekrojową wiedzę o tym, co dzieje się w naszej sieci.

Pozwoli nam to na ochronę infrastruktury, w przypadku ataków odbywających się z poziomu podłączonej przez VPN stacji – bez znaczenia, czy będzie to szkodliwe działanie złośliwego użytkownika, czy atak w przypadku, kiedy ktoś przejął kontrolę nad jego komputerem.

Oczywiście nie możemy zapominać o kwestii zabezpieczenia samej stacji, która łączy się z firmą z wykorzystaniem VPN – należy zadbać o to, żeby był na niej zainstalowany odpowiedni program zabezpieczający (antywirus). Tu z pomocą przyjdzie nam FortiClient EMS – kompleksowe rozwiązanie do ochrony stacji końcowych. Dodatkowo, dzięki ścisłej integracji rozwiązania z urządzeniem FortiGate, możemy wymusić pewne warunki, jakie musi spełniać stacja, przed dopuszczeniem jej do ruchu sieciowego.

A co z atakami wolumetrycznymi/DoS?

Bardzo często zapominamy o ochronie przed atakami, bazującymi na dużej ilości wystąpień danego rodzaju ruchu sieciowego, nawet biorąc pod uwagę interfejsy inne niż VPN. Zainfekowana stacja lub ciekawski, złośliwy użytkownik mogą skanować naszą sieć, oraz wykonywać różnego rodzaju ataki, mogące doprowadzić do przeciążenia wewnętrznych serwerów – choćby z wykorzystaniem prostych, ogólnodostępnych narzędzi. Żeby temu zapobiegać, należy skorzystać z polityk DoS, oferowanych przez urządzenia FortiGate.

A jak użytkownik "zajmie" całe łącze?

Użytkownicy korzystający z naszych wewnętrznych zasobów, po uzyskaniu połączenia VPN muszą mieć możliwość przesyłania danych – a to wiąże się z koniecznością zapewnienia odpowiedniej przepustowości łącza. Łącze niestety ma swoje ograniczenia i nie zadziała powyżej określonej przepustowości, co może doprowadzić do wysycenia przez użytkowników i uniemożliwienia pracy innym. Projektując tunele VPN, należy mieć na uwadze konieczność zastosowania traffic shaperów, które określą przepustowość dla poszczególnych użytkowników.

Należy uwzględnić zarówno ruch do tunelu, jak i ruch do innych sieci z udostępnionego zasobu (np. serwera terminali)

Problem z przepustowością pojawia się zazwyczaj w przypadku braku zastosowania funkcjonalności split tunnelingu – ponieważ w takim przypadku ruch użytkowników do Internetu również odbywa się przez tunel VPN.

Logowanie:

Powinniśmy bezwzględnie zapisywać każdą informację o aktywności naszych użytkowników w sieci – dotyczy to również ruchu przez tunel VPN. Urządzenie FortiGate ma możliwość logowania każdej sesji, należy to jednak skonfigurować na każdej z polityk, opisujących ruch.

Nie zapominajmy również o bezpiecznym przechowywaniu, oraz wygodnym przeglądaniu tak zgromadzonych informacji, w czym pomoże dedykowany analizator logów – FortiAnalyzer.

Finalne kroki

OK, uzyskaliśmy dostęp do pożądanego serwera. Sprawdziliśmy ruch generowany z podłączonej do VPN stacji. Czy teraz jesteśmy bezpieczni?

Niestety nie – należy pamiętać o tym, że użytkownik, który dostał się do konkretnego zasobu w naszej infrastrukturze, może działać bezpośrednio z tego zasobu, bazując na swoich uprawnieniach. Czyli w momencie, gdy użytkownik uzyskał dostęp do pulpitu zdalnego na serwerze terminali, czy konsoli SSH – może działać z tego serwera, wykonując aktywność sieciową, zgodnie z tym, na co administrator zezwolił dla danego serwera.

Dlatego należy zadbać o bezpieczeństwo i izolację udostępnianych zasobów. Obecnie w sposób szczególny musimy mieć na uwadze bezpieczeństwo danych naszych firm.

Pandemia wyjątkowo „uwrażliwia” hakerów, którzy czyhają na luki. W przypadku wątpliwości co do tego, czy przygotowana konfiguracja umożliwiająca pracę zdalną, spełnia opisane zalecenia dotyczące bezpieczeństwa, warto skorzystać z bezpłatnego audytu, który oferujemy. Jesteśmy integratorem z ponad 13 letnim doświadczeniem. Wystarczy wypełnić formularz, a my zajmiemy się bezpieczeństwem.

Skorzystaj z darmowego audytu>>>

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: MATERIAŁ PARTNERA

Polecane