Masz VPN i myślisz, że twoja firma jest bezpieczna? Niekoniecznie, jeśli pominąłeś te kwestie
Karolina Pałys
08 maja 2020, 14:22·4 minuty czytania
Publikacja artykułu: 08 maja 2020, 14:22
Właściwe połączenie zdalne to nie tylko VPN – przekonuje Tadeusz Selbirak, Dyrektor Techniczny spółki Softinet i wyjaśnia najważniejsze aspekty dotyczące właściwej konfiguracji.
Reklama.
Wydarzenia na świecie zmuszają nas do przejścia na pracę zdalną. Tylko czy jesteśmy na to gotowi? Z taką operacją, jak szybko przekonało się wielu z nas, wiąże się sporo problemów, związanych z brakiem odpowiedniego sprzętu czy spadkami wydajności.
Sporym problemem okazał się również przesył wrażliwych danych za pośrednictwem ogólnodostępnych protokołów. W związku z tym wiele firm zdecydowało się na wdrożenie rozwiązań dzięki którym komunikacja pracownik-firma będzie odbywała się bezpiecznie. Takim rozwiązaniem jest VPN.
Informacji na temat zastosowania Virtual Private Network znajdziemy w internecie mnóstwo, ale przeglądając większość pojawiających się artykułów czy webinarów natrafimy głównie na te, w których poruszany jest sam problem konfiguracji tunelu VPN. Czy to wystarczy, aby zapewnić firmie bezpieczeństwo?
Mam już tunel - czy to wystarczy?
Załóżmy, że skonfigurowaliśmy już tunel VPN: skorzystaliśmy z rekomendowanych technologii, dwuskładnikowego uwierzytelniania itd.
To, nad czym musimy skupić się teraz, to kwestia związana z politykami dostępu poszczególnych użytkowników do konkretnych zasobów. Polityki zapory sieciowej powinny być szczegółowo zdefiniowane – i zezwalać tylko i wyłącznie na ruch niezbędny produkcyjnie.
Operując na niższych warstwach sieciowych (L3, L4) jesteśmy w stanie odfiltrować niezbędny ruch sieciowy, bez generowania dużego obciążenia dla naszych urządzeń. Unikamy polityk typu „zezwól na wszystko” – zarówno w przypadku adresów, jak i wykorzystywanych portów/protokołów.
Czy jeden tunel wystarczy?
Tunel VPN zazwyczaj wykorzystywany jest przez konkretną grupę użytkowników, którzy mają, najczęściej, zbliżone uprawnienia. Należy tworzyć oddzielne tunele VPN dla różnych grup użytkowników, np. administratorzy, księgowość, magazyn.
W ten sposób, w razie kompromitacji tunelu (czyli w przypadku gdy np. ktoś stracił niezaszyfrowany komputer, zawierający konfigurację/poświadczenia) minimalizujemy skutki nieautoryzowanego dostępu.
Dodatkowo, pamiętajmy o redundancji tuneli VPN – jeśli dysponujemy więcej niż jednym łączem, pozwoli to na dalszą pracę w przypadku awarii.
Czy ruch pochodzący od klienta dialup jest bezpieczny?
Pewności, że dany ruch jest bezpieczny nie możemy mieć nigdy, a już zwłaszcza w sytuacji, gdy pochodzi on spoza naszej sieci. Dlatego kolejnym kluczowym elementem, składającym się na bezpieczeństwo, jest konieczność wykorzystania funkcji Next Generation Firewall na regułach opisujących ruch związany z tunelami VPN.
Kompleksowa analiza ruchu, włączając w to wszystkie warstwy sieciowe, jest dużo bardziej obciążająca niż filtrowanie pakietów przez typową zaporę sieciową, jednak dopiero wykorzystanie nowoczesnych funkcji bezpieczeństwa dostarczanych np. przez urządzenia FortiGate, takich jak Antywirus, IPS czy Kontrola Aplikacji, daje nam przekrojową wiedzę o tym, co dzieje się w naszej sieci.
Pozwoli nam to na ochronę infrastruktury w przypadku ataków odbywających się z poziomu podłączonej przez VPN stacji. Nie ma tu znaczenia, czy będzie to szkodliwe działanie złośliwego użytkownika, czy atak w przypadku, kiedy ktoś przejął kontrolę nad jego komputerem.
Oczywiście nie możemy zapominać o kwestii zabezpieczenia samej stacji, która łączy się z firmą z wykorzystaniem VPN. Należy zadbać o to, żeby był na niej zainstalowany odpowiedni program zabezpieczający (antywirus).
Tu z pomocą przyjdzie nam FortiClient EMS – kompleksowe rozwiązanie do ochrony stacji końcowych. Dodatkowo, dzięki ścisłej integracji rozwiązania z urządzeniem FortiGate, możemy wymusić pewne warunki, jakie musi spełniać stacja, przed dopuszczeniem jej do ruchu sieciowego.
Co z atakami wolumetrycznymi/DoS?
Bardzo często zapominamy o ochronie przed atakami bazującymi na dużej ilości wystąpień danego rodzaju ruchu sieciowego, nawet biorąc pod uwagę interfejsy inne niż VPN.
Zainfekowana stacja lub ciekawski, złośliwy użytkownik mogą skanować naszą sieć oraz wykonywać różnego rodzaju ataki, mogące doprowadzić do przeciążenia wewnętrznych serwerów. Wystarczą do tego proste, ogólnodostępne narzędzia.
Aby zapobiec tego typu atakom, należy skorzystać z polityk DoS, oferowanych przez urządzenia FortiGate.
Użytkownik "zajmuje" całe łącze. Co teraz?
Użytkownicy korzystający z naszych wewnętrznych zasobów, po uzyskaniu połączenia VPN muszą mieć możliwość przesyłania danych. To wiąże się z koniecznością zapewnienia odpowiedniej przepustowości łącza.
Łącze, niestety, ma swoje ograniczenia i nie zadziała powyżej określonej przepustowości. Aby uniknąć jego wysycenia, projektując tunele VPN należy mieć na uwadze konieczność zastosowania traffic shaperów, które określą przepustowość dla poszczególnych użytkowników.
Należy uwzględnić zarówno ruch do tunelu, jak i ruch do innych sieci z udostępnionego zasobu (np. serwera terminali).
Problem z przepustowością pojawia się zazwyczaj w przypadku braku zastosowania funkcjonalności split tunnelingu – ponieważ w takim przypadku ruch użytkowników do Internetu również odbywa się przez tunel VPN.
Logowanie
Powinniśmy bezwzględnie zapisywać każdą informację o aktywności naszych użytkowników w sieci – dotyczy to również ruchu przez tunel VPN. Urządzenie FortiGate ma możliwość logowania każdej sesji – tę opcję należy jednak skonfigurować na każdej z polityk, opisujących ruch.
Nie zapominajmy również o bezpiecznym przechowywaniu, oraz wygodnym przeglądaniu tak zgromadzonych informacji – w czym pomoże dedykowany analizator logów – FortiAnalyzer.
Czy jesteśmy już bezpieczni?
Uzyskaliśmy dostęp do pożądanego serwera. Sprawdziliśmy ruch odbywający się z podłączonej do VPN stacji. Czy teraz jesteśmy bezpieczni?
Niestety nie. Należy pamiętać o tym, że użytkownik, który dostał się do konkretnego zasobu w naszej infrastrukturze może działać bezpośrednio z tego zasobu, bazując na swoich uprawnieniach.
Oznacza to, że w momencie, gdy użytkownik uzyskał dostęp do pulpitu zdalnego na serwerze terminali czy konsoli SSH może działać z tego serwera, wykonując aktywność sieciową, zgodnie z tym, na co administrator zezwolił dla danego serwera.
Dlatego należy zadbać o bezpieczeństwo i izolację udostępnianych zasobów.
Obecnie w sposób szczególny musimy mieć na uwadze bezpieczeństwo danych naszych firm. Pandemia wyjątkowo „uwrażliwia” hakerów, którzy czyhają na luki. W przypadku wątpliwości co do tego, czy przygotowana konfiguracja umożliwiająca pracę zdalną, spełnia opisane zalecenia dotyczące bezpieczeństwa, warto skorzystać z bezpłatnego audytu, który oferujemy. Jesteśmy integratorem z ponad 13 letnim doświadczeniem. Wystarczy wypełnić formularz, a my zajmiemy się bezpieczeństwem.