Get best of the week

So organisieren Sie den Fernzugriff und leiden nicht unter Hackern

Wenn die Unternehmensleitung dringend den Fernzugriff auf alle Mitarbeiter erfordert, treten Sicherheitsprobleme häufig in den Hintergrund. Dadurch erhalten Angreifer ein hervorragendes Aktivitätsfeld.


Was wird also benötigt und was kann nicht getan werden, wenn ein sicherer Fernzugriff auf Unternehmensressourcen organisiert wird? Wir werden im Rahmen des Schnitts ausführlich darauf eingehen.

Secure Resource Publishing


Veröffentlichen Sie Webressourcen über die Web Application Firewall (in Common People - WAF). Für eine schnelle Bereitstellung und einen grundlegenden Schutz ist die Verwendung von Standard- OWASP Top 10- Sicherheitsprofilen ausreichend . Zuerst müssen Sie viele Nüsse festziehen, um falsch positive Ereignisse zu erkennen. Wenn Sie gerade kein WAF haben - verzweifeln Sie nicht! Wenn Sie eine Testversion von WAF testen, versuchen Sie, dieses Problem zu lösen, oder installieren Sie die Open-Source-Lösung Nginx + ModSecurity.

Wenn WAF nicht verwendet werden konnte, übertragen Sie die Anwendung schnell (wann immer möglich) an HTTPS. Überprüfen Sie alle Kennwörter (Benutzer, Administrator) für die veröffentlichte Anwendung auf Übereinstimmung mit den vom Unternehmen festgelegten Kennwortrichtlinien. Vergessen Sie nicht, die Betriebssysteme und das CMS auf Aktualität sowie das Vorhandensein aller erforderlichen Patches zu überprüfen - reinigen Sie alle Bereiche des zukünftigen öffentlichen Dienstes. Erweitern Sie Kali Linux und verwenden Sie die integrierten Dienstprogramme zum Scannen von Sicherheitslücken. Wenn dafür keine Zeit vorhanden ist, verwenden Sie einen der öffentlichen Schwachstellenscanner (Detectify, ImmuniWeb usw.).

Was nicht? Stellen Sie Ihren wunderbaren selbstgemachten Hintern auf HTTP, in dem es möglicherweise Tausende von Sicherheitslücken gibt, nicht im Internet zur Schau. Sie müssen keinen SSH-Zugriff auf den Server oder die Netzwerkausrüstung festlegen, wenn Sie nicht möchten, dass Bruteforce auf Sie einwirkt, und Sie müssen RDP nicht direkt auf den Zielstationen veröffentlichen (Hallo, Esteemaudit). Wenn Sie Zweifel an einer bestimmten Anwendung haben, auf die Sie Zugriff gewähren müssen, platzieren Sie sie hinter einem VPN.

VPN


Wir haben die Veröffentlichung von Ressourcen herausgefunden. Gehen wir nun zu Diensten über, auf deren Zugriff wir nicht veröffentlichen konnten. Dazu müssen wir ein VPN organisieren.

Was ist bei der Organisation eines VPN zu beachten?

Bewerten Sie zunächst, ob Sie VPN-Client-Software schnell am Arbeitsplatz bereitstellen oder besser den Clientless-Ansatz verwenden können. Haben Sie ein VPN-Gateway oder eine Firewall mit der Möglichkeit, den Remotezugriff zu organisieren?

Wenn Sie beispielsweise eine Fortinet- oder Check Point-Firewall mit einem Bundle (NGFW / NGTP / NGTX) in Ihrem Netzwerk haben, ist die Unterstützung der IPSec-VPN-Funktionalität sofort einsatzbereit und Sie müssen keine zusätzlichen Produkte kaufen oder installieren. Alles, was bleibt, ist, Clients an Arbeitsplätzen zu platzieren und eine Firewall zu konfigurieren.

Wenn Sie derzeit kein VPN-Gateway oder keine Firewall haben, suchen Sie nach Open-Source-Lösungen (OpenVPN, SoftEther VPN usw.), die schnell auf jedem Server bereitgestellt werden können. Glücklicherweise finden Sie schrittweise Anleitungen Es gibt viel Internet.

Darüber hinaus ist es wünschenswert, dass Ihr VPN-Gateway für eine zentralisierte Kontoverwaltung in AD / RADIUS integriert ist. Vergessen Sie auch nicht, die Kennwortrichtlinie zu überprüfen und den Schutz vor Brute Force zu konfigurieren.

Wenn Sie den Pfad für die Installation des RAS-Clients auf den Arbeitsstationen der Benutzer befolgen möchten, müssen Sie entscheiden, welcher VPN-Modus verwendet werden soll: Volltunnel oder Split-Tunnel. Wenn der Zugriff für eine bestimmte Benutzergruppe das Arbeiten mit vertraulichen oder äußerst kritischen Informationen umfasst, würde ich die Verwendung des Volltunnelmodus empfehlen. Somit wird der gesamte Datenverkehr in den Tunnel geleitet. Der Internetzugang für Benutzer kann über einen Proxy eingerichtet werden. Falls gewünscht, kann der Datenverkehr auch über DLP abgehört werden. In anderen Fällen können Sie sich auf den üblichen Split-Tunnel-Modus beschränken, bei dem der Datenverkehr nur in die internen Netzwerke des Unternehmens in den Tunnel geleitet wird.

Nach erfolgreicher Benutzerauthentifizierung sollten Sie sich für die Autorisierung entscheiden: Wo soll der Benutzer Zugriff erhalten, wie und wo. Es gibt mehrere Möglichkeiten.

  1. . IP- VPN- ( – ). , L4 , ( !), IP- . NGFW , - AD ( ), . VPN- RADIUS - .
  2. . NGFW , . (, MS RDS) , , . (, FSSO TS). IP- , , NGFW.

– ?


Kommen wir zur Sicherheit am Arbeitsplatz.

Bewerten Sie die Sicherheit der Workstations von Remotebenutzern: Geben Sie ihnen Workstations mit einem Gold-Image, auf dem alle erforderlichen Sicherheitsfunktionen (Antivirus, hostbasiertes IPS / Sandbox usw.) installiert sind, oder sitzen sie mit unbekannter Software von ihren Heim-Laptops aus? Wenn die Antwort auf diese Frage Heimgeräte lautet, ist es nach Gewährung des Remotezugriffs besser, den Datenverkehr mit IDS / IPS an NGFW und im Idealfall auch an eine Netzwerksandbox zu leiten.

Eine der guten Möglichkeiten besteht auch darin, eine bestimmte Arbeitsanwendung (Browser, E-Mail-Client usw.) auf VDI zu veröffentlichen. Dies ermöglicht den Zugriff nur auf bestimmte verwendete Anwendungen.

Wenn Ihr Unternehmen den Anschluss von Wechselmedien nicht zulässt, sollten Sie dies beim Fernzugriff nicht vergessen, da dies die Möglichkeit für frisch ausgestellte Unternehmens-Laptops einschränkt.

Stellen Sie wie gewohnt sicher, dass unsichere Protokolle und Dienste deaktiviert sind. Es ist hilfreich, die Festplattenverschlüsselung zu aktivieren (was passiert, wenn Ihr Benutzer im Coworking arbeitet und sein Unternehmens-Laptop gestohlen wird?). Vergessen Sie nicht, privilegierte Zugriffsrechte auszuwählen (wenn der Laptop Unternehmen ist).

Authentifizierung


Verwenden Sie die zentralisierte Kontoverwaltung mit Remotezugriff (AD / RADIUS) und berücksichtigen Sie auch Szenarien, in denen Ihr Identitätsspeicher nicht verfügbar ist (z. B. zusätzliche lokale Konten erstellen).

Es wird empfohlen, Client-Zertifikate zu verwenden. Selbstsignierte Zertifikate können auch auf Microsoft CA ausgestellt werden.

Angenommen, Ihren Remotebenutzern werden aufgrund unvorhergesehener Umstände immer noch Anmeldeinformationen gestohlen. Die Zwei-Faktor-Authentifizierung hilft bei der Bewältigung dieser Geißel (OTP-Push auf Mobilgeräten, SMS). Ich würde jedoch keine Zwei-Faktor-Authentifizierung per Unternehmens-E-Mail empfehlen (häufig werden für die Authentifizierung mit Remotezugriff dieselben Konten wie in E-Mails verwendet, und daher ist Ihr zweiter Faktor leicht herauszuholen). Wenn Sie die Zwei-Faktor-Authentifizierung schnell organisieren müssen, können Sie in Richtung öffentlicher Dienste schauen, z. B. Google Authenticator.

Ausbeutung


Überlegen Sie, wie Ihre IT-Abteilung Remote-Workstations bedient und Benutzern bei der Lösung alltäglicher Probleme hilft. Ausdrücklich benötigen Mitarbeiter des Remote-Supports Remotezugriff auf Benutzerarbeitsstationen.

Es ist ratsam, dass die Workstations vom goldenen Image „überlaufen“ und Sie nicht versuchen müssen, die Heimcomputer der Mitarbeiter wiederherzustellen, da sie etwas falsch installiert haben oder, was gut ist, Ransomware abgefangen haben. Es ist besser, Unternehmens-Laptops mit bekannten Kapazitäten und der Zusammensetzung der installierten Software auszugeben, um bei Heim-PCs von Mitarbeitern keine Kopfschmerzen zu bekommen, da diese von Kindern verwendet werden können, das System sie möglicherweise stark verlangsamt oder es möglicherweise keine erforderliche Schutzausrüstung gibt.

Es ist hilfreich, Benutzer vor dem Wechsel zur Remote-Arbeit daran zu erinnern, dass das Unternehmen über eine Sicherheitsrichtlinie verfügt: Sie wissen nie, wie sich ein normaler Benutzer zur Mittagszeit zu Hause entspannen möchte.

Checkliste: Stellen Sie sicher, dass Sie nichts vergessen haben, um den Fernzugriff sicher zu machen


  • Veröffentlichen Sie die erforderlichen Webressourcen sicher und mit Bedacht (verwenden Sie WAF, überprüfen Sie Kennwörter, überprüfen Sie die Aktualität des Betriebssystems und des CMS).
  • Suchen Sie nach Schwachstellen (mit Ihren eigenen Schwachstellenscannern oder öffentlichen Scannern).
  • Stellen Sie den Zugriff auf interne Ressourcen über VPN bereit (setzen Sie RDP / SSH oder Anwendungen, mit denen der Datenaustausch innerhalb des Netzwerks nicht geschützt ist, nicht offen).
  • Veröffentlichen Sie bestimmte Anwendungen über VDI (Citrix, VMware).
  • Richten Sie die Zwei-Faktor-Authentifizierung ein (OTP-Push auf Mobilgeräten, SMS).
  • ( NGFW ID FW ).
  • (, , , , ).

More articles:


All Articles