Jak zapewnić bezpieczeństwo klientów VPN?
30 sierpnia 2007 09:11
Kamil Folga
W sieciach korporacyjnych mamy do czynienia ze zdalnym dostępem zaufanych pracowników oraz kluczowych klientów. Dostęp do sieci korporacyjnej możliwy jest dzięki wykorzystaniu połączeń VPN. Utrzymywanie bezpiecznych sieci zawierających wirtualne sieci prywatne jest wymagającym zadaniem. Każdy zdalny i niekontrolowany komputer, tworzy potencjalną furtkę dla włamywaczy. Przedstawiamy 10 rad dotyczących bezpieczeństwa klientów sieci VPN.
1. Użyj możliwie najmocniejszej metody uwierzytelniania dla dostępu VPN.
Szczegóły konfiguracji będą zależały od wykorzystywanej infrastruktury sieciowej. Warto sprawdzić dostępne opcje w dokumentacji. W sieciach wykorzystujących serwery Microsoft, bezpieczne uwierzytelnianie jest możliwe przez EAP-TLS (Extensible Authentication Protocol-Transport Level Security). W takich sieciach można także wykorzystywać MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol Version 2) oraz EAP (Extensible Authentication Protocol). Protokoły PAP (Password Authentication Protocol), SPAP (Shiva Password Authentication Protocol) oraz CHAP (Challenge Handshake Authentication Protocol) są zbyt słabe, aby wykorzystać je w bezpiecznej komunikacji.
2. Użyj możliwie najmocniejszej metody szyfrowania dla dostępu VPN.
W sieciach wykorzystujących serwery Microsoft, można zrealizować szyfrowanie za pomocą L2TP (Layer Two Tunnelling Protocol) / IPSec (Internet Protocol Security). Protokól PPTP (Point-to-point Tunnelling Protocol) jest zbyt słaby do tego zastosowania. Można używać PPPTP w przypadku, gdy klient zagwarantuje wykorzystywanie mocnego hasła. Inne popularne rozwiązanie OpenVPN - SSL (Sungle Socket Layer) VPN - może pracować na podstawie uwierzytelnienia bazującego na TLS, Blowfish, AES-256 oraz SHA1.
3. Zezwalaj na dostęp VPN tylko dla istotnych użytkowników i tylko wtedy, gdy jest to niezbędne.
Połączenia VPN są drzwiami do sieci LAN i powinny być otwierane tylko w przypadkach koniecznych. Zdalni pracownicy oraz kooperatorzy nie powinni być przyłączeni do VPN cały dzień tylko dlatego, że zamierzają sprawdzać pocztę. Nie powinni także wykorzystywać VPN do pobierania niezbędnych plików.
4. Stwórz dostęp do wybranych plików przez intranet lub Internet, nie przez VPN.
Wykorzystanie HTTPS (Http Secure) z uwierzytelnianiem bezpiecznym hasłem, umożliwia udostępnienie wyłącznie wybranych plików na danym serwerze. Nie pozwalamy na dostęp do całej sieci, w zamian otrzymujemy bardzo skalowalna usługę dostępu do plików.
5. Uruchom dostęp do poczty elektronicznej bez potrzeby wykorzystania do tego celu VPN.
Na serwerach Microsoft Exchange należy skonfigurować serwer Exchange Proxy. Pozwoli to klientom Outlook na dostęp do Exchange przez protokół HTTP chroniony szyfrowaniem SSL. Na innych serwerach poczty, warto uruchomić POP3 (Post Office Protocol) / IMAP (Internet Message Access Protocol) do odbioru poczty i SMTP (Simple Mail Transfer Protocol) do wysyłania poczty. Dobrą praktyką jest zapewnienie bezpiecznego uwierzytelniania SPA (Secure Password Authentication) oraz szyfrowania SSL w celu udoskonalenia bezpieczeństwa systemów pocztowych. Bezpieczny dostęp do poczty przez stronę Web jest dobrą opcją dla zdalnych pracowników, szczególnie gdy podróżują i wykorzystują do obsługi poczty obce komputery.
6. Zaimplementuj i wykorzystuj politykę mocnych haseł.
Użytkownicy nie powinni używać ciągle tych samych haseł, wykorzystywać jako hasło słów znalezionych w bazach haseł, numerów podobnych do własnego numeru telefonu, itp. Hasła powinny być trudne do odgadnięcia, długie, zawierające małe i duże litery, znaki. Tylko w ten sposób będą trudne do odnalezienia dla programu łamiącego. Dobre hasła zdecydowanie ułatwiają pracę administratorom.
7. Zaimplementuj dobre oprogramowanie antywirusowe, antyspamowe oraz zaporę ogniową na komputerach zdalnych użytkowników.
Wymagaj, aby wymienione oprogramowanie było używane. Każdy komputer w pełni przyłączony do VPN może rozprzestrzeniać infekcje przez sieć, potencjalnie zatrzymując całą pracę w sieci komputerowej przedsiębiorstwa.
8. Przenoś użytkowników w kwarantannę do czasu uznania ich komputerów za bezpieczne.
Gdy komputer klienta rozpoczyna pracę w sesji VPN, nie powinien mieć pełnego dostępu do sieci. Powinna zostać sprawdzona jego zgodność z sieciową polityką bezpieczeństwa. Ten etap zawiera sprawdzenie aktualnych sygnatur antywirusowych i antyspamowych, potwierdzenie zainstalowania najnowszych poprawek systemu operacyjnego, brak podatności na oprogramowanie zdalnej kontroli, konie trojańskie, itp. Sprawdzenie wszystkich wymienionych elementów spowoduje opóźnienie w pracy użytkownika. Można udoskonalić ten proces poprzez konfigurację serwera pamiętającego historię skanowania każdego klienta. Zredukuje to potrzebę skanowania przez kilka dni po każdym pomyślnym przejściu procesu.
9. Nie pozwalaj na używanie innego połączenia VPN oraz oprogramowania do zdalnej kontroli, w czasie połączenia z wirtualną siecią prywatną.
Dostęp VPN nie może rozszerzać wejścia do naszej sieci LAN na obce sieci. Większość oprogramowania VPN ustawia trasy na komputerze, które odpowiednio ograniczają możliwość dostępu obcych sieci. Często jest to opcja, którą użytkownik może wyłączyć. Warto ustanowić jasne zasady, które użytkownik powinien zaakceptować łącząc się do VPN.
10. Zabezpiecz zdalne sieci bezprzewodowe.
Pracownicy łączący się z firmową siecią LAN z domu, najczęściej używają komputerów przenośnych. Komputery przeważnie podłączone są do modemu kablowego lub DSL przez ich własny punkt bezprzewodowy. Tworzy to potencjalne zagrożenie bezpieczeństwa dla sieci firmowej. Wiele bezprzewodowych routerów nie jest skonfigurowanych bezpiecznie - po prostu są podłączone i włączone. Warto nauczyć pracowników sposobów bezpiecznej konfiguracji bezprzewodowych routerów. Komputery powinny przyłączać się do sieci bezprzewodowej przy wykorzystaniu mechanizmu WPA. Użytkownicy powinni zostać poinformowani w jaki sposób skonfigurować zapory ogniowe oraz dlaczego tak ważne jest utrzymanie bezpiecznej sieci domowej.
Zarządzanie bezpieczeństwem sieci VPN wymaga stałego nadzoru oraz mądrego zarządzania dostępem. Jeżeli zastosujemy się do przedstawionych 10 rad z pewnością unikniemy wielu problemów z połączeniami VPN.
AudioBot - odsłuchaj materiał
wydrukuj
wyślij do znajomego
odpowiada...