Get best of the week

Comment organiser l'accès à distance et ne pas souffrir de pirates

Lorsque la direction de l'entreprise requiert un accès à distance urgent à tous les employés, les problèmes de sécurité disparaissent souvent en arrière-plan. En conséquence, les attaquants obtiennent un excellent champ d'activité.


Alors, qu'est-ce qui est nécessaire et qu'est-ce qui ne peut pas être fait lors de l'organisation d'un accès distant sécurisé aux ressources de l'entreprise? Nous en parlerons en détail sous la coupe.

Publication de ressources sécurisées


Publier des ressources Web via le pare-feu d'application Web (en commun - WAF). Pour un déploiement rapide et une protection de base, l'utilisation de profils de sécurité OWASP Top 10 standard est suffisante . Au début, vous devrez resserrer beaucoup de noix en termes de capture d'événements faux positifs. Si en ce moment vous n'avez pas de WAF - ne désespérez pas! Si vous testez une sorte de version d'essai de WAF, essayez de l'utiliser pour résoudre ce problème ou installez la solution open source Nginx + ModSecurity.

Si WAF n'a pas pu être utilisé, transférez rapidement (chaque fois que possible) l'application vers HTTPS, vérifiez que tous les mots de passe (utilisateur, administrateur) de l'application publiée sont conformes à la politique de mot de passe établie par l'entreprise. N'oubliez pas de vérifier la fraîcheur des systèmes d'exploitation et du CMS, ainsi que la présence de tous les correctifs nécessaires, en un mot - désinfectez tous les domaines de la future fonction publique. Développez Kali Linux et utilisez l'ensemble intégré d'utilitaires pour analyser les vulnérabilités.Si vous n'avez pas le temps, utilisez l'un des scanners de vulnérabilité publics (Detectify, ImmuniWeb, etc.).

Que ne fais-tu pas? N'exposez pas sur Internet vos magnifiques fesses self-made sur HTTP, dans lesquelles il peut y avoir des milliers de vulnérabilités. Vous n'avez pas besoin de définir l'accès SSH au serveur ou à l'équipement réseau, si vous ne voulez pas que bruteforce vous déverse et que vous n'avez pas besoin de publier directement RDP sur les stations cibles (bonjour, esteemaudit). Si vous avez des doutes sur une application spécifique à laquelle vous devez fournir un accès, placez-la derrière un VPN.

VPN


Nous avons compris la publication des ressources, passons aux services dont nous n'avons pas pu publier l'accès. Pour ce faire, nous devons organiser un VPN.

Que faut-il considérer lors de l'organisation d'un VPN?

Tout d'abord, évaluez si vous pouvez déployer rapidement le logiciel client VPN sur le lieu de travail, ou mieux utiliser l'approche sans client. Avez-vous une passerelle VPN ou un pare-feu avec la possibilité d'organiser l'accès à distance?

Si, par exemple, vous disposez d'un pare-feu Fortinet ou Check Point avec un ensemble (NGFW / NGTP / NGTX) sur votre réseau, félicitations, la prise en charge de la fonctionnalité VPN IPsec est prête à l'emploi et vous n'avez pas besoin d'acheter ou d'installer quoi que ce soit supplémentaire. Il ne reste plus qu'à placer les clients sur les lieux de travail et à configurer un pare-feu.

Si vous ne disposez pas actuellement d'une passerelle VPN ou d'un pare-feu, recherchez des solutions open source (OpenVPN, SoftEther VPN, etc.) qui peuvent être déployées assez rapidement sur n'importe quel serveur, heureusement, des guides pas à pas dans Il y a plein d'Internet.

De plus, il est souhaitable que votre passerelle VPN s'intègre à AD / RADIUS pour une gestion centralisée des comptes. N'oubliez pas non plus de vérifier la politique de mot de passe et de configurer la protection contre la force brute.

Si vous décidez de suivre le chemin d'installation du client d'accès à distance sur les postes de travail des utilisateurs, vous devrez décider du mode VPN à utiliser: Tunnel complet ou Tunnel divisé. Si l'accès pour un groupe particulier d'utilisateurs implique de travailler avec des informations confidentielles ou hautement critiques, je recommanderais d'utiliser le mode Tunnel complet. Ainsi, tout le trafic sera acheminé dans le tunnel, l'accès Internet pour les utilisateurs peut être organisé via un proxy, si vous le souhaitez, le trafic peut également être écouté via DLP. Dans d'autres cas, vous pouvez vous limiter au mode habituel de tunnel partagé, dans lequel le trafic est acheminé dans le tunnel uniquement vers les réseaux internes de l'entreprise.

Une fois l'authentification des utilisateurs réussie, vous devez décider de l'autorisation: où accorder aux utilisateurs l'accès, comment et où le faire. Il existe plusieurs options.

  1. . IP- VPN- ( – ). , L4 , ( !), IP- . NGFW , - AD ( ), . VPN- RADIUS - .
  2. . NGFW , . (, MS RDS) , , . (, FSSO TS). IP- , , NGFW.

– ?


Passons à la sécurité au travail.

Évaluez la sécurité des postes de travail des utilisateurs distants: leur donnez-vous des postes de travail avec une image or installée avec toutes les fonctionnalités de sécurité nécessaires (antivirus, IPS / Sandbox basé sur l'hôte, etc.), ou sont-ils assis à partir de leurs ordinateurs portables à domicile avec des logiciels inconnus? Si la réponse à cette question est des appareils domestiques, il serait préférable, après avoir accordé l'accès à distance, de générer du trafic vers NGFW avec IDS / IPS, et idéalement également vers un sandbox réseau.

L'une des bonnes options est également de publier sur VDI une application spécifique pour le travail (navigateur, client de messagerie, etc.). Cela permettra l'accès uniquement aux applications spécifiques utilisées.

Si votre entreprise n'autorise pas la connexion de supports amovibles, dans le cas d'un accès à distance, vous ne devez pas l'oublier, en limitant cette option aux ordinateurs portables d'entreprise fraîchement émis.

Comme d'habitude, assurez-vous que les protocoles et services dangereux sont désactivés, il sera utile d'activer le chiffrement du disque (que faire si votre utilisateur travaille au coworking et que son ordinateur portable d'entreprise est volé?), N'oubliez pas de sélectionner des droits d'accès privilégiés (si l'ordinateur portable est d'entreprise).

Authentification


Utilisez la gestion centralisée des comptes avec accès à distance (AD / RADIUS) et n'oubliez pas de prendre en compte les scénarios dans lesquels votre Identity Store ne sera pas disponible (par exemple, créez des comptes locaux supplémentaires).

Il est recommandé d'utiliser des certificats clients, des certificats auto-signés peuvent également être émis sur Microsoft CA.

Supposons qu'en raison de circonstances imprévues, vos utilisateurs distants continuent de se faire voler des informations d'identification. L'authentification à deux facteurs aidera à faire face à ce fléau (push OTP sur les appareils mobiles, SMS). Mais je ne recommanderais pas l'authentification à deux facteurs via le courrier électronique d'entreprise (souvent pour l'authentification avec accès à distance, les mêmes comptes sont utilisés que dans le courrier électronique, et, par conséquent, votre deuxième facteur sera facile à retirer). Si vous avez besoin d'organiser rapidement une authentification à deux facteurs, vous pouvez regarder dans le sens des services publics - par exemple, Google Authenticator.

Exploitation


Examinez comment votre service informatique exploitera les postes de travail distants et aidera les utilisateurs à résoudre les problèmes quotidiens. De manière explicite, le personnel d'assistance à distance aura besoin d'un accès à distance aux postes de travail des utilisateurs.

Il est conseillé que les postes de travail «débordent» de l'image dorée, et vous n'avez pas à essayer de restaurer les ordinateurs de travail des employés en raison du fait qu'ils ont installé quelque chose de mal ou, ce qui est bien, ils ont attrapé un ransomware. Il est préférable de donner des ordinateurs portables d'entreprise avec des capacités pré-connues et la composition du logiciel installé afin de ne pas avoir de maux de tête avec les ordinateurs personnels des employés, car ils peuvent être utilisés par des enfants, le système peut les ralentir sauvagement ou il peut ne pas y avoir d'équipement de protection nécessaire.

Il sera utile de rappeler aux utilisateurs avant de passer au travail à distance que l'entreprise a des politiques de sécurité existantes: on ne sait jamais comment un utilisateur ordinaire aimerait se détendre pendant la pause déjeuner à la maison.

Liste de contrôle: assurez-vous de n'avoir rien oublié pour sécuriser l'accès à distance


  • Publiez les ressources Web nécessaires en toute sécurité et à bon escient (utilisez WAF, vérifiez les mots de passe, vérifiez la fraîcheur de l'OS, du CMS).
  • Recherchez les vulnérabilités (en utilisant vos propres scanners de vulnérabilité ou scanners publics).
  • Fournissez l'accès aux ressources internes via VPN (n'exposez pas RDP / SSH ou les applications avec lesquelles l'échange de données au sein du réseau n'est pas protégé).
  • Publiez des applications spécifiques via VDI (Citrix, VMware).
  • Configurez l'authentification à deux facteurs (push OTP sur les appareils mobiles, SMS).
  • ( NGFW ID FW ).
  • (, , , , ).

More articles:


All Articles