Get best of the week

Cómo organizar el acceso remoto y no sufrir hackers

Cuando la administración de la empresa requiere urgentemente el acceso remoto a todos los empleados, los problemas de seguridad a menudo pasan a un segundo plano. Como resultado, los atacantes obtienen un excelente campo de actividad.


Entonces, ¿qué se necesita y qué no se puede hacer al organizar el acceso remoto seguro a los recursos corporativos? Hablaremos de esto en detalle debajo del corte.

Publicación segura de recursos


Publique recursos web a través del firewall de aplicaciones web (en personas comunes - WAF). Para una implementación rápida y protección básica, es suficiente usar los perfiles de seguridad estándar de OWASP Top 10 . Al principio, tendrá que apretar muchas tuercas en términos de detectar eventos falsos positivos. Si en este momento no tiene WAF, ¡no se desespere! Si está probando algún tipo de versión de prueba de WAF, intente usarlo para resolver este problema o instale la solución de código abierto Nginx + ModSecurity.

Si no se pudo utilizar WAF, entonces apresuradamente (siempre que sea posible) transfiera la aplicación a HTTPS, verifique todas las contraseñas (usuario, administrador) para la aplicación publicada para el cumplimiento de la política de contraseña establecida por la empresa. No olvide verificar la actualización de los sistemas operativos y CMS, así como la presencia de todos los parches necesarios, en una palabra: desinfecte todas las áreas del futuro servicio público. Expanda Kali Linux y use el conjunto incorporado de utilidades para escanear vulnerabilidades. Si no hay tiempo para esto, use uno de los escáneres de vulnerabilidad pública (Detectify, ImmuniWeb, etc.).

Que no hacer No muestre en Internet su maravilloso trasero hecho a mano en HTTP, en el que puede haber miles de vulnerabilidades. No necesita configurar el acceso SSH al servidor o al equipo de red, si no desea que brote fuerza bruta sobre usted, y no necesita publicar directamente RDP en las estaciones de destino (hola, esteemaudit). Si tiene dudas sobre una aplicación específica a la que necesita proporcionar acceso, colóquela detrás de una VPN.

VPN


Hemos descubierto la publicación de recursos, pasemos a los servicios cuyo acceso no pudimos publicar. Para hacer esto, necesitamos organizar una VPN.

¿Qué se debe considerar al organizar una VPN?

En primer lugar, evalúe si puede implementar rápidamente el software de cliente VPN en el lugar de trabajo o utilizar mejor el enfoque sin cliente. ¿Tiene una puerta de enlace o firewall VPN con la capacidad de organizar el acceso remoto?

Si, por ejemplo, tiene un cortafuegos Fortinet o Check Point con algún paquete (NGFW / NGTP / NGTX) en su red, felicidades, el soporte de la funcionalidad IPsec VPN está listo para usar y no necesita comprar ni instalar nada adicional. Todo lo que queda es poner a los clientes en los lugares de trabajo y configurar un firewall.

Si en este momento no tiene una puerta de enlace o firewall VPN, busque soluciones de código abierto (OpenVPN, SoftEther VPN, etc.) que pueden implementarse rápidamente en cualquier servidor, afortunadamente, guías paso a paso en Hay mucha internet.

Además, es deseable que su puerta de enlace VPN se integre con AD / RADIUS para la administración centralizada de cuentas. Además, no olvide verificar la política de contraseña y configurar la protección contra la fuerza bruta.

Si decide seguir el camino de instalación del cliente de acceso remoto a las estaciones de trabajo de los usuarios, deberá decidir qué modo VPN usar: túnel completo o túnel dividido. Si el acceso para un grupo particular de usuarios implica trabajar con información confidencial o altamente crítica, entonces recomendaría usar el modo de túnel completo. Por lo tanto, todo el tráfico se dirigirá al túnel, el acceso a Internet para los usuarios se puede organizar a través de un proxy, si se desea, el tráfico también se puede escuchar a través de DLP. En otros casos, puede restringirse al modo habitual de túnel dividido, en el que el tráfico se enruta hacia el túnel solo a las redes internas de la compañía.

Después de una autenticación de usuario exitosa, debe decidir sobre la autorización: dónde dar acceso a los usuarios, cómo y dónde hacerlo. Hay varias opciones

  1. . IP- VPN- ( – ). , L4 , ( !), IP- . NGFW , - AD ( ), . VPN- RADIUS - .
  2. . NGFW , . (, MS RDS) , , . (, FSSO TS). IP- , , NGFW.

– ?


Pasemos a la seguridad laboral.

Evalúe la seguridad de las estaciones de trabajo de los usuarios remotos: ¿les da estaciones de trabajo con una imagen dorada instalada con todas las características de seguridad necesarias (antivirus, IPS / Sandbox basado en host, etc.), o se sientan desde sus computadoras portátiles con software desconocido? Si la respuesta a esta pregunta son los dispositivos domésticos, sería mejor, después de otorgar acceso remoto, dirigir el tráfico a NGFW con IDS / IPS, e idealmente también a un entorno limitado de red.

Una de las buenas opciones es también publicar en VDI una aplicación específica para el trabajo (navegador, cliente de correo electrónico, etc.). Esto permitirá el acceso solo a aplicaciones específicas utilizadas.

Si su empresa no permite la conexión de medios extraíbles, en el caso de acceso remoto, no debe olvidarse de esto, limitando esta opción a las computadoras portátiles corporativas recién emitidas.

Como de costumbre, asegúrese de que los protocolos y servicios inseguros estén deshabilitados, será útil activar el cifrado de disco (¿qué pasa si su usuario va a trabajar en coworking y le roban su computadora portátil corporativa?), No olvide seleccionar los derechos de acceso privilegiado (si la computadora portátil es corporativa).

Autenticación


Use la administración de cuentas centralizada con acceso remoto (AD / RADIUS) y también recuerde considerar los escenarios en los que su Identity Store no estará disponible (por ejemplo, cree cuentas locales adicionales).

Es una buena práctica usar certificados de cliente, los certificados autofirmados también se pueden emitir en Microsoft CA.

Suponga que debido a circunstancias imprevistas, sus usuarios remotos siguen siendo credenciales robadas. La autenticación de dos factores ayudará a hacer frente a este flagelo (OTP push en dispositivos móviles, SMS). Pero no recomendaría la autenticación de dos factores a través del correo electrónico corporativo (a menudo, para la autenticación con acceso remoto, se utilizan las mismas cuentas que en el correo electrónico y, por lo tanto, su segundo factor será fácil de eliminar). Si necesita organizar rápidamente la autenticación de dos factores, puede mirar en la dirección de los servicios públicos, por ejemplo, Google Authenticator.

Explotación


Considere cómo su departamento de TI operará estaciones de trabajo remotas y ayudará a los usuarios a resolver problemas cotidianos. Explícitamente, el personal de soporte remoto necesitará acceso remoto a las estaciones de trabajo de los usuarios.

Es aconsejable que las estaciones de trabajo "se derramen" de la imagen dorada, y no tenga que intentar restaurar las computadoras de los empleados en el hogar debido al hecho de que instalaron algo incorrecto o, lo que es bueno, atraparon un ransomware. Es mejor entregar computadoras portátiles corporativas con capacidades previamente conocidas y la composición del software instalado para no tener dolor de cabeza con las PC de los empleados en el hogar, ya que pueden ser utilizadas por niños, el sistema puede ralentizarlas o puede que no sea necesario el equipo de protección.

Será útil recordarles a los usuarios antes de cambiarse al trabajo remoto que la compañía tiene políticas de seguridad existentes: nunca se sabe cómo un usuario común desearía relajarse durante el almuerzo en casa.

Lista de verificación: asegúrese de no haber olvidado nada para asegurar el acceso remoto


  • Publique los recursos web necesarios de forma segura y sabia (use WAF, verifique las contraseñas, verifique la actualización del sistema operativo, CMS).
  • Busque vulnerabilidades (utilizando sus propios escáneres de vulnerabilidad o escáneres públicos).
  • Proporcione acceso a recursos internos a través de VPN (no exponga RDP / SSH o aplicaciones con las cuales el intercambio de datos dentro de la red no está protegido).
  • Publique aplicaciones específicas a través de VDI (Citrix, VMware).
  • Configure la autenticación de dos factores (OTP push en dispositivos móviles, SMS).
  • ( NGFW ID FW ).
  • (, , , , ).

More articles:


All Articles