Как Организовать Удаленный Доступ И Не Пострадать От Хакеров

Когда руководство компании срочно требует перевести всех сотрудников на удаленный доступ, вопросы безопасности зачастую отходят на второй план.

В результате у злоумышленников появляется отличное поле для деятельности.

Так что же следует и чего нельзя делать при организации безопасного удаленного доступа к корпоративным ресурсам? Об этом мы подробно поговорим ниже под катом.

Безопасная публикация ресурсов

Для быстрого развертывания и базовой защиты достаточно будет использовать стандартные профили защиты для Топ-10 OWASP .

Поначалу вам придется сильно закрутить гайки с точки зрения отлова ложноположительных событий.

Если у вас сейчас нет WAF, не отчаивайтесь! Если вы тестируете какую-то пробную версию WAF, попробуйте использовать ее для решения этой проблемы или установите open-source решение Nginx + ModSecurity. Если вам не удалось использовать WAF, то быстро (по возможности) переключите приложение на HTTPS, проверьте все пароли (пользовательский, администраторский) к опубликованному приложению на соответствие установленной в компании политике паролей.

Не забудьте проверить операционные системы и CMS на свежесть, а также наличие всех необходимых патчей, словом – санировать все сферы будущего госсервиса.

Разверните Kali Linux и используйте встроенный набор утилит для сканирования уязвимостей; если у вас нет на это времени, воспользуйтесь одним из общедоступных сканеров уязвимостей (Detectify, ImmuniWeb и т. д.).

Чего не делать? Не стоит выставлять в Интернете свое чудесное самодельное HTTP-приложение, в котором могут быть тысячи уязвимостей.

Вам не нужно настраивать SSH-доступ к серверу или сетевому оборудованию, если вы не хотите, чтобы на вас обрушился брутфорс, а также вам не нужно напрямую публиковать RDP на целевые станции (привет, уважаемый аудит).

Если вы не уверены в конкретном приложении, к которому хотите получить доступ, поместите его за VPN.

VPN

Для этого нам потребуется организовать VPN. Что следует учитывать при настройке VPN? Прежде всего, оцените, сможете ли вы быстро развернуть программное обеспечение VPN-клиента на рабочих местах или лучше использовать бесклиентский подход. Есть ли у вас VPN-шлюз или брандмауэр с возможностью удаленного доступа? Если, например, в вашей сети установлен межсетевой экран Fortinet или Check Point с любой связкой (NGFW/NGTP/NGTX), поздравляем, поддержка функциональности IPsec VPN идет «из коробки», и вам не нужно ничего покупать или устанавливать дополнительно.

.

Остается только установить клиенты на их рабочие станции и настроить фаервол.

Если у вас сейчас нет VPN-шлюза или брандмауэра, обратите внимание на решения с открытым исходным кодом (OpenVPN, SoftEther VPN и т. д.), которые можно довольно быстро развернуть на любом сервере, благо есть пошаговые руководства.

в Существует много Интернета.

Кроме того, желательно, чтобы ваш VPN-шлюз интегрировался с AD/RADIUS для централизованного управления учетными записями.

Также не забудьте проверить политику паролей и настроить защиту от перебора.

Если вы решите пойти по пути установки клиента удаленного доступа на рабочие станции пользователей, вам нужно будет решить, какой режим VPN использовать: полный туннель или разделенный туннель.

Если доступ для отдельной группы пользователей предполагает работу с конфиденциальной или особо важной информацией, то я бы рекомендовал использовать режим Full Tunnel. Таким образом, весь трафик будет заруливаться в туннель, доступ пользователей в Интернет можно будет организовать через прокси, а при желании трафик можно будет прослушивать и через DLP. В остальных случаях можно ограничиться обычным режимом Split Tunnel, при котором трафик в туннель загоняется только во внутренние сети компании.

После успешной аутентификации пользователя следует определиться с авторизацией: куда предоставить пользователям доступ, как и где это сделать.

Есть несколько вариантов.

1. Прямой доступ.

   Пользователь получил IP-адрес из своего VPN-пула и может напрямую перейти к необходимым ресурсам (читать через брандмауэр).

   Здесь следует отметить, что если у вас простой межсетевой экран L4, на котором уже настроены политики доступа (а их много!), то у вас может не получиться быстро адаптировать их к новым пулам IP-адресов.

   Даже если у вас NGFW с политиками для пользователей или групп пользователей, логи в AD не будут записываться (если у вас нет специального клиента на каждой рабочей станции), и политики тоже не будут работать.

   В этом случае политики придется создавать непосредственно на VPN-шлюзе или использовать RADIUS для аутентификации и интегрировать его с клиентом межсетевого экрана для отслеживания входов пользователей.

2. Доступ к терминалу.

   Если у вас есть NGFW с пользовательскими политиками и терминальным сервером, то вы можете это сделать.

   При реализации терминального доступа (например, с помощью MS RDS) пользователь, получивший удаленный доступ, авторизуется на терминальном сервере.

   Установите на него специальный агент от производителя межсетевого экрана (например, FSSO TS).

   Этот агент сообщит IP-адрес вошедшего в систему пользователя межсетевому экрану, в результате чего записанные политики безопасности для пользователей или групп пользователей останутся неизменными, и не возникнет необходимости быстро менять политики на NGFW.

Защищены ли рабочие станции пользователей?

Оцените безопасность рабочих станций удаленных пользователей: предоставляете ли вы им рабочие станции с установленным золотым образом со всеми необходимыми функциями безопасности (антивирус, хост-система IPS/песочница и т. д.), или они используют свои домашние ноутбуки с неизвестным программным обеспечением? Если ответ на этот вопрос — домашние устройства, то лучше после предоставления удаленного доступа гнать трафик на NGFW с IDS/IPS, а в идеале еще и на сетевую песочницу.

Одним из хороших вариантов также будет публикация конкретного приложения для работы (браузера, почтового клиента и т. д.) на VDI. Это позволит получить доступ только к определенным приложениям, которые вы используете.

Если в вашей компании запрещено подключение съемных носителей, то и в случае удаленного доступа об этом тоже не стоит забывать, ограничивая эту возможность только что выпущенными корпоративными ноутбуками.

Как обычно, убедитесь, что небезопасные протоколы и сервисы отключены, неплохо было бы включить шифрование диска (что, если ваш пользователь пойдет на работу в коворкинг, а его корпоративный ноутбук украдут?), не забудьте забрать привилегированные права доступа (если ноутбук корпоративный).

Аутентификация

Хорошей практикой является использование клиентских сертификатов; Самозаверяющие сертификаты также могут быть выданы в центр сертификации Microsoft. Предположим, что по непредвиденным обстоятельствам учетные данные ваших удаленных пользователей были украдены.

Двухфакторная аутентификация поможет справиться с этой напастью (OTP push-уведомления на мобильных устройствах, СМС).

Но я бы не рекомендовал двухфакторную аутентификацию через корпоративную почту (часто для аутентификации при удаленном доступе используются одни и те же учетные записи, что и в электронной почте, а значит, ваш второй фактор будет легко вытащить).

Если вам нужно быстро организовать двухфакторную аутентификацию, можно посмотреть в сторону государственных сервисов — например, Google Authenticator.

? операция

Очевидно, что потребуется удаленный доступ сотрудников технической поддержки к удаленным рабочим местам пользователей.

Желательно, чтобы рабочие станции «вылились» из золотого образа, и вам не пришлось пытаться восстановить работоспособность домашних компьютеров ваших сотрудников из-за того, что они установили что-то не так, или, что лучше всего, поймали какого-нибудь вымогателя.

Корпоративные ноутбуки с известной мощностью и установленным ПО лучше выдавать заранее, чтобы не мучиться с домашними компьютерами сотрудников, ведь ими могут пользоваться дети, система на них может работать дико медленно или у них может отсутствовать необходимые меры безопасности.

Прежде чем переходить на удаленную работу, было бы неплохо напомнить пользователям о существующих политиках безопасности компании: никогда не знаешь, как среднестатистическому пользователю захочется расслабиться во время обеденного перерыва дома.

Контрольный список: убедитесь, что вы ничего не забыли, чтобы обеспечить безопасность удаленного доступа.

• Публикуйте необходимые веб-ресурсы безопасно и разумно (используйте WAF, проверяйте пароли, проверяйте свежесть ОС, CMS).

• Проведите сканирование уязвимостей (используя свои собственные сканеры уязвимостей или общедоступные сканеры).

• Обеспечьте доступ к внутренним ресурсам через VPN (не выставляйте RDP/SSH или приложения, с которыми обмен данными внутри сети не защищен).

• Публикуйте определенные приложения через VDI (Citrix, VMware).

• Настройте двухфакторную аутентификацию (PUSH-уведомления OTP на мобильных устройствах, SMS).

• Не забудьте принять во внимание существующие настроенные политики безопасности на межсетевых экранах (адаптируйте их для пользователей удаленного доступа или воспользуйтесь преимуществом объединения NGFW с политиками ID FW и терминальным сервером).

• Предоставьте пользователям корпоративные ноутбуки для использования вместо домашних ПК (убедитесь, что все необходимые меры безопасности установлены и обновлены, права пользователей удалены, политика паролей соблюдается, операционная система обновлена и исправлена).

• Как Компания-Разработчик Программного Обеспечения Crm Обеспечивает Качественную Интеграцию Crm На Предприятиях?

  19 Oct, 24

• Продукты Для Управления Знаниями

  19 Oct, 24

• Программное Обеспечение Для Связи: Подключение Удаленных Команд

  19 Oct, 24

• Что Такое Сапр

  19 Oct, 24

• Мегамозг Запускает Программу Поддержки Стартапов

  19 Oct, 24

• Acer Predator 15: Когда Игра Стоит Свеч

  19 Oct, 24

• Рождение Российской Частной Космонавтики. Первая Часть

  19 Oct, 24

• Как Изменится Рынок Веб-Разработки И Цены На Сайты В Период Кризиса?

  19 Oct, 24

• Лампы Для Проекторов. Мой Рассказ О Рынке Услуг Для Проекторов

  19 Oct, 24

• О Матовой И Нематовой Рекламе

  19 Oct, 24