Get best of the week

كيفية تنظيم الوصول عن بعد ولا تعاني من المتسللين

عندما تطلب إدارة الشركة بشكل عاجل الوصول إلى جميع الموظفين عن بُعد ، غالبًا ما تنحسر مشكلات الأمان في الخلفية. ونتيجة لذلك ، يحصل المهاجمون على مجال ممتاز للنشاط.


إذن ما هو المطلوب وما لا يمكن القيام به عند تنظيم الوصول الآمن عن بعد إلى موارد الشركة؟ سنتحدث عن هذا بالتفصيل تحت القطع.

نشر الموارد الآمنة


نشر موارد الويب من خلال جدار حماية تطبيق الويب (لعامة الناس - WAF). للنشر السريع والحماية الأساسية ، يكفي استخدام ملفات تعريف الأمان القياسية OWASP Top 10 . في البداية ، سيكون عليك تشديد الكثير من المكسرات من حيث اصطياد الأحداث الإيجابية الكاذبة. إذا لم يكن لديك الآن WAF - لا تيأس! إذا كنت تختبر نوعًا ما من الإصدار التجريبي من WAF ، فحاول استخدامه لحل هذه المشكلة ، أو قم بتثبيت حل Nginx + ModSecurity مفتوح المصدر.

إذا تعذر استخدام WAF ، فقم بنقل التطبيق بسرعة (كلما أمكن ذلك) إلى HTTPS ، وتحقق من جميع كلمات المرور (المستخدم ، المشرف) للتطبيق المنشور للامتثال لسياسة كلمة المرور التي وضعتها الشركة. لا تنس التحقق من أنظمة التشغيل و CMS للتحديث ، بالإضافة إلى وجود جميع التصحيحات اللازمة ، في كلمة واحدة - تعقيم جميع مجالات الخدمة العامة المستقبلية. قم بتوسيع Kali Linux واستخدم مجموعة الأدوات المساعدة المدمجة لفحص الثغرات الأمنية ، إذا لم يكن هناك وقت لذلك ، استخدم أحد أدوات فحص الثغرات الأمنية العامة (Detectify ، ImmuniWeb ، إلخ.).

ماذا لا تفعل؟ لا تعرض على الإنترنت مؤخرتك الرائعة التي تم صنعها ذاتيًا على HTTP ، حيث قد يكون هناك الآلاف من نقاط الضعف. لا تحتاج إلى ضبط وصول SSH إلى الخادم أو معدات الشبكة ، إذا كنت لا تريد أن تصب عليك القوة الوحشية ، ولا تحتاج إلى نشر RDP مباشرة إلى المحطات المستهدفة (مرحبًا ، esteemaudit). إذا كانت لديك شكوك حول تطبيق معين تحتاج إلى توفير الوصول إليه ، فضعه خلف VPN.

VPN


لقد توصلنا إلى نشر الموارد ، فلننتقل إلى الخدمات التي لم نتمكن من نشرها. للقيام بذلك ، نحتاج إلى تنظيم VPN.

ما الذي يجب مراعاته عند تنظيم VPN؟

بادئ ذي بدء ، قم بتقييم ما إذا كان يمكنك نشر برنامج عميل VPN بسرعة في مكان العمل ، أو استخدام نهج Clientless بشكل أفضل. هل لديك بوابة VPN أو جدار حماية مع القدرة على تنظيم الوصول عن بعد؟

على سبيل المثال ، إذا كان لديك جدار حماية Fortinet أو Check Point مع أي حزمة (NGFW / NGTP / NGTX) على شبكتك ، فتهانينا ، فإن دعم وظائف IPsec VPN غير ملائم ولا تحتاج إلى شراء أو تثبيت أي شيء إضافي. كل ما تبقى هو وضع العملاء في أماكن العمل وتكوين جدار الحماية.

إذا لم يكن لديك الآن بوابة VPN أو جدار حماية ، فابحث عن حلول مفتوحة المصدر (OpenVPN و SoftEther VPN وما إلى ذلك) يمكن نشرها بسرعة على أي خادم ، ولحسن الحظ ، أدلة خطوة بخطوة في هناك الكثير من الإنترنت.

بالإضافة إلى ذلك ، من المستحسن أن تتكامل بوابة VPN الخاصة بك مع AD / RADIUS لإدارة الحساب المركزية. أيضًا ، لا تنس التحقق من سياسة كلمة المرور وتكوين الحماية ضد القوة الغاشمة.

إذا قررت اتباع مسار تثبيت عميل الوصول عن بعد إلى محطات عمل المستخدمين ، فستحتاج إلى تحديد وضع VPN الذي ستستخدمه: نفق كامل أو نفق مقسم. إذا كان الوصول لمجموعة معينة من المستخدمين يتضمن العمل بمعلومات سرية أو بالغة الأهمية ، فإنني أوصي باستخدام وضع النفق الكامل. وبالتالي ، سيتم توجيه كل حركة المرور إلى النفق ، ويمكن ترتيب الوصول إلى الإنترنت للمستخدمين من خلال وكيل ، إذا رغبت في ذلك ، يمكن أيضًا الاستماع إلى حركة المرور من خلال DLP. في حالات أخرى ، يمكنك قصر نفسك على وضع تقسيم النفق المعتاد ، حيث يتم توجيه حركة المرور إلى النفق فقط إلى الشبكات الداخلية للشركة.

بعد مصادقة المستخدم الناجحة ، يجب أن تقرر التفويض: أين تمنح المستخدمين الوصول ، وكيف وأين يتم ذلك. هناك عدة خيارات.

  1. . IP- VPN- ( – ). , L4 , ( !), IP- . NGFW , - AD ( ), . VPN- RADIUS - .
  2. . NGFW , . (, MS RDS) , , . (, FSSO TS). IP- , , NGFW.

– ?


دعنا ننتقل إلى السلامة في مكان العمل.

تقييم أمان محطات عمل المستخدمين البعيدين: هل تمنحهم محطات عمل بصورة ذهبية مثبتة بجميع ميزات الأمان الضرورية (مكافحة الفيروسات ، IPS / Sandbox المستندة إلى المضيف ، إلخ) ، أم أنهم يجلسون من أجهزة الكمبيوتر المحمولة في المنزل مع برامج غير معروفة؟ إذا كانت الإجابة على هذا السؤال هي الأجهزة المنزلية ، فسيكون من الأفضل ، بعد منح الوصول عن بُعد ، توجيه حركة المرور إلى NGFW باستخدام IDS / IPS ، ومن الناحية المثالية أيضًا إلى وضع حماية للشبكة.

أحد الخيارات الجيدة أيضًا هو نشر تطبيق محدد للعمل على VDI (المتصفح ، عميل البريد الإلكتروني ، وما إلى ذلك). سيسمح هذا بالوصول فقط إلى تطبيقات محددة مستخدمة.

إذا كانت شركتك لا تسمح بتوصيل الوسائط القابلة للإزالة ، ففي حالة الوصول عن بُعد ، يجب ألا تنسى ذلك ، مما يحد من هذه الإمكانية لأجهزة الكمبيوتر المحمولة للشركات التي تم إصدارها حديثًا.

كالعادة ، تأكد من تعطيل البروتوكولات والخدمات غير الآمنة ، وسيكون من المفيد تشغيل تشفير القرص (ماذا لو ذهب المستخدم للعمل في العمل الجماعي وسرقة الكمبيوتر المحمول الخاص بشركته؟) ، لا تنس تحديد حقوق الوصول المتميزة (إذا كان الكمبيوتر المحمول شركة).

المصادقة


استخدم إدارة الحساب المركزية مع الوصول عن بعد (AD / RADIUS) ، وتذكر أيضًا التفكير في السيناريوهات التي لن يتوفر بها متجر الهوية (على سبيل المثال ، إنشاء حسابات محلية إضافية).

من الممارسات الجيدة استخدام شهادات العميل ، كما يمكن إصدار الشهادات الموقعة ذاتيًا على Microsoft CA.

افترض أنه نظرًا لظروف غير متوقعة ، لا يزال المستخدمون البعيدون بيانات اعتماد مسروقة. ستساعد المصادقة ذات العاملين على التعامل مع هذه الآفة (دفع OTP على الأجهزة المحمولة ، والرسائل القصيرة). لكنني لا أوصي بالمصادقة ذات العاملين عبر البريد الإلكتروني للشركة (غالبًا للمصادقة مع الوصول عن بعد يتم استخدام نفس الحسابات كما هو الحال في البريد الإلكتروني ، وبالتالي ، سيكون من السهل سحب العامل الثاني). إذا كنت بحاجة إلى تنظيم المصادقة ذات العاملين بسرعة ، يمكنك البحث في اتجاه الخدمات العامة - على سبيل المثال ، Google Authenticator.

استغلال


فكر في كيفية تشغيل قسم تكنولوجيا المعلومات لمحطات العمل عن بُعد ومساعدة المستخدمين على حل المشكلات اليومية. بشكل صريح ، سيحتاج موظفو الدعم عن بُعد إلى الوصول عن بُعد إلى محطات عمل المستخدمين.

من المستحسن أن محطات العمل "تنتشر" من الصورة الذهبية ، ولا يتعين عليك محاولة استعادة أجهزة الكمبيوتر المنزلية للموظفين بسبب حقيقة أنهم قاموا بتثبيت شيء خاطئ ، أو ، ما هو جيد ، أنهم قبضوا على بعض برامج الفدية. من الأفضل إعطاء أجهزة الكمبيوتر المحمولة للشركات ذات القدرات المعروفة مسبقًا وتكوين البرامج المثبتة حتى لا تصاب بصداع مع أجهزة الكمبيوتر المنزلية للموظفين ، لأنه يمكن استخدامها من قبل الأطفال ، قد يبطئ النظام بشكل كبير أو قد لا تكون هناك معدات واقية ضرورية.

سيكون من المفيد تذكير المستخدمين قبل التحول إلى العمل عن بعد أن لدى الشركة سياسة أمان: فأنت لا تعرف أبدًا كيف يريد المستخدم العادي الاسترخاء في وقت الغداء في المنزل.

قائمة التحقق: تأكد من عدم نسيان أي شيء لجعل الوصول عن بعد آمنًا


  • نشر موارد الويب الضرورية بأمان وحكمة (استخدم WAF ، تحقق من كلمات المرور ، تحقق من نضارة نظام التشغيل ، CMS).
  • ابحث عن الثغرات الأمنية (باستخدام الماسحات الضوئية الخاصة بالثغرات أو الماسحات الضوئية العامة).
  • توفير الوصول إلى الموارد الداخلية عبر VPN (لا تكشف RDP / SSH أو التطبيقات التي لا يتم معها تبادل البيانات داخل الشبكة).
  • نشر تطبيقات محددة من خلال VDI (Citrix ، VMware).
  • قم بإعداد المصادقة ذات العاملين (دفع OTP على الأجهزة المحمولة ، والرسائل القصيرة).
  • ( NGFW ID FW ).
  • (, , , , ).

More articles:


All Articles