Як організувати віддалений доступ і не постраждати від хакерів

Коли керівництво компанії екстрено вимагає перевести всіх працівників на віддалений доступ, питання безпеки часто відходять на другий план. Як результат – зловмисники отримують відмінне поле для діяльності.

Так що ж потрібно і що не можна робити при організації безпечного віддаленого доступу до корпоративних ресурсів? Детальніше про це розповімо під катом.

Безпечна публікація ресурсів

Публікуйте веб-ресурси через Web Application Firewall (в простолюдді – WAF). Для швидкого розгортання і базової захисту досить буде використовувати стандартні профілі захисту за OWASP Top 10. У перший час доведеться багато підкручувати гайки в частині відлову false positive подій. Якщо прямо зараз у вас немає WAF – не впадайте у відчай! Якщо у вас стоїть на тестуванні якась триальна версія WAF, спробуйте задіяти її для вирішення цієї задачі, або встановіть open-source рішення Nginx + ModSecurity.

Якщо скористатися WAF не вдалося, то спішно (по можливості) переводите приклад на HTTPS, перевіряйте всі паролі користувача, адмінських) для публікується програми на відповідність встановленої в компанії захищений політиці. Не забудьте перевірити операційні системи і CMS на свіжість, а також присутність усіх необхідних патчів, словом – санитизируйте всі ділянки майбутнього загальнодоступного сервісу. Розгорніть Kali Linux і скористайтеся вбудованим набором утиліт для сканування вразливостей, якщо часу на це немає – скористайтесь одним з публічних сканерів вразливостей (Detectify, ImmuniWeb та ін).

Чого робити не треба? Не варто виставляти на показ в Інтернет ваш чудовий самописний приклад на HTTP, в якому можуть бути тисячі вразливостей. Не треба виставляти і доступ по SSH до сервера або мережного обладнання, якщо не хочете, щоб на вас полився брутфорс, а також не потрібно безпосередньо публікувати RDP до цільових станцій (привіт, esteemaudit). Якщо є сумніви в конкретному додатку, до якого потрібно забезпечити доступ, додайте його через VPN.

VPN

З публікацією ресурсів розібралися, перейдемо до сервісів, доступ до яких опублікувати не вдалося. Для цього нам знадобиться організувати VPN.

Що слід врахувати при організації VPN?

В першу чергу оцініть, чи зможете ви швидко розгорнути клієнтське ПО VPN на робочих місцях, або краще скористатися Clientless підходом. Чи є у вас VPN-шлюз або міжмережевий екран з можливістю організувати віддалений доступ?

Якщо, наприклад, у вашій мережі варто міжмережевий екран Fortinet або Check Point з будь-яким бандлом (NGFW/NGTP/NGTX), вітаю, підтримка функціоналу IPsec VPN йде «з коробки», і нічого додаткового купувати і встановлювати не потрібно. Залишиться тільки поставити клієнти на робочі місця і настроювати міжмережевий екран.

Якщо прямо зараз у вас немає VPN-шлюзу або міжмережевого екрану, подивіться в сторону open-source рішень (OpenVPN, SoftEther VPN тощо), які можна досить швидко розгорнути на будь-якому сервері, благо, step-by-step гайдів в Інтернеті предостатньо.

Крім того, бажано, щоб ваш VPN-шлюз інтегрувався з AD/RADIUS для централізованого управління обліковими записами. Також не забудьте перевірити парольну політику і налаштуйте захист від брутфорса.

Якщо ви вирішили йти шляхом установки клієнта віддаленого доступу на робочі місця користувачів, потрібно буде визначитися, який режим VPN використовувати: Full Tunnel або Split Tunnel. Якщо доступ для окремої групи користувачів припускає роботу з конфіденційною або высококритичной інформацією, то я б порекомендував використовувати Full Tunnel режим. Таким чином весь трафік буде заруливаться в тунель, вихід в Інтернет для користувачів можна буде організувати через проксі, при бажанні трафік можна буде слухати ще і через DLP. В інших випадках можна обмежитися звичайним Split Tunnel режимом, при якому трафік заруливается в тунель тільки до внутрішніх мереж компанії.

Після успішної аутентифікації користувачів вам слід визначитися з авторизацією: куди давати користувачам доступ, як і де це робити. Є кілька варіантів.

  1. Прямий доступ. Користувач отримав IP-адресу зі свого VPN-пулу і може йти напряму до необхідних ресурсів (читай – через міжмережевий екран). Тут слід зазначити, що якщо у вас стоїть простий L4 міжмережевий екран, на якому вже були налаштовані політики доступу (і їх багато!), то швидко адаптувати їх до нових пулам IP-адрес може не вийти. Навіть якщо у вас стоїть NGFW з політиками користувачів або груп користувачів, лог-они в AD не будуть зафіксовані (якщо тільки у вас не стоїть спеціальний клієнт на кожному робочому місці), і політики теж не будуть працювати. У такому разі політики доведеться створювати безпосередньо на VPN-шлюзу або використовувати при аутентифікації RADIUS і інтегрувати його з клієнтом міжмережевого екрану для трекінгу лог-онів користувачів.
  2. Термінальний доступ. Якщо у вас є NGFW з політиками за користувачам і термінальний сервер, то можна зробити так. При реалізації термінального доступу (наприклад, за допомогою MS RDS) користувач, який віддалений доступ, логинится на термінальний сервер. Поставте на нього спеціальний агент від виробника міжмережевих екранів (наприклад, FSSO TS). Цей агент буде повідомляти міжмережевого екрану IP-адреса залогинившегося користувача, в результаті чого написані політики безпеки користувачів або груп користувачів залишаться без змін, і не доведеться спішно міняти політики на NGFW.

Робочі місця користувачів – захищені?

Перейдемо до безпеки робочих місць.

Оцініть безпеку робочих місць віддалених користувачів: ви даєте їм робочі станції з встановленим золотим чином з усіма необхідними фічами безпеки (antivirus, host-based IPS/Sandbox тощо), або вони сидять зі своїх домашніх ноутбуків з невідомо яким софтом? Якщо відповідь на це питання – домашні пристрої, то краще б після надання віддаленого доступу зарулити трафік на NGFW з IDS/IPS, а в ідеалі ще й на мережеву «пісочницю».

Одним з хороших варіантів також буде публікація на VDI конкретного додатка для роботи браузера, поштового клієнта тощо). Це дозволить вирішити доступ тільки до конкретних використовуваних додатків.

Якщо у вас в компанії заборонено підключення знімних носіїв, то у випадку віддаленого доступу про це також не варто забувати, обмеживши таку можливість для свежевыданных корпоративних ноутбуків.

Як зазвичай, переконайтеся, що відключені небезпечні протоколи і служби, незайвим буде включити шифрування диска (раптом ваш користувач піде попрацювати в коворкінг, і його корпоративний ноутбук вкрадуть?), не забудьте відібрати права привілейованого доступу (якщо ноутбук корпоративний).

Аутентифікація

Використовуйте централізоване управління обліковими записами при віддаленому доступі (AD/RADIUS), а також не забудьте продумати сценарій, при яких ваш Identity Store буде недоступний (наприклад, створіть додатково локальні облікові записи).

Хорошою практикою буде використання клієнтських сертифікатів, самоподписные сертифікати можна випустити і на Microsoft CA.

Припустимо, що у зв’язку з непередбаченими обставинами у ваших віддалених користувачів все-таки забрали облікові дані. Двофакторна аутентифікація допоможе впоратися і з цією напастю (OTP-пуши на мобільних пристроях, SMS). А ось двофакторну аутентифікацію через корпоративний email я б не рекомендував (найчастіше для аутентифікації при віддаленому доступі використовуються такі ж облікові записи, як і електронною поштою, і, стало бути, ваш другий фактор легко буде витягнути). Якщо потрібно швидко організувати двофакторну аутентифікацію, можна подивитися в бік публічних сервісів – наприклад, Google Authenticator.

Експлуатація

Продумайте, як ваш ІТ-департамент буде експлуатувати віддалені робочі місця і допомагати користувачам у вирішенні повсякденних проблем. Явно потрібно віддалений доступ співробітників техпідтримки до віддалених робочих місцях користувачів.

Бажано, щоб робочі станції «розливалися» золотого образу, і вам не довелося намагатися відновлювати працездатність домашніх комп’ютерів співробітників з-за того, що вони поставили щось не те, або, чого доброго, зловили якийсь ransomware. Краще видайте корпоративні ноутбуки з заздалегідь відомими потужностями і складом встановленого ПЗ, щоб не отримати головний біль з домашніми ПК співробітників, адже ними можуть користуватися діти, на них може дико гальмувати система або може не бути потрібних засобів захисту.

Незайвим буде нагадати користувачам перед переходом на віддалену роботу існуючі в компанії політики безпеки: мало як захочеться пересічному користувачеві розслабитися в обідню перерву будинку.

Чек-лист: перевірте, що ви нічого не забули, щоб зробити віддалений доступ безпечним

  • Публікуйте необхідні веб-ресурси безпечно і з розумом (використовуйте WAF, перевірте паролі, перевірте свіжість ОС, CMS).
  • Проведіть сканування на предмет уразливостей (власними сканерами вразливостей або публічними сканерами).
  • Надавайте доступ до внутрішніх ресурсів через VPN (не виставляйте назовні RDP/SSH або програми, з якими обмін даними всередині мережі не захищений).
  • Публікуйте конкретні програми через VDI (Citrix, VMware).
  • Налаштуйте двофакторну аутентифікацію (OTP-пуши на мобільних пристроях, SMS).
  • Не забудьте врахувати існуючі налаштовані політики безпеки на міжмережевих екранах (адаптуйте їх під користувачів віддаленого доступу або скористайтеся перевагами зв’язки NGFW з ID FW політиками і термінальним сервером).
  • Видайте користувачам корпоративні ноутбуки для використання замість домашніх ПК (переконайтеся, що всі необхідні засоби захисту встановлені і оновлені, права користувачів відібрані, парольний політика дотримується, ОС актуальна і пропатчена).

Джерело

Поділитися
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
Реклама

137

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

Схожі записи

Почніть набирати текст зверху та натисніть "Enter" для пошуку. Натисніть ESC для відміни.

Повернутись вверх