Get best of the week

Bagaimana mengatur akses jarak jauh dan tidak menderita peretas

Ketika manajemen perusahaan secara mendesak mengharuskan semua karyawan untuk diakses dari jarak jauh, masalah keamanan sering surut ke latar belakang. Akibatnya, penyerang mendapatkan bidang yang sangat baik untuk aktivitas.


Jadi apa yang dibutuhkan dan apa yang tidak bisa dilakukan ketika mengatur akses jarak jauh yang aman ke sumber daya perusahaan? Kami akan membicarakan ini secara rinci di bawah potongan.

Penerbitan Sumber Daya Aman


Publikasikan sumber daya web melalui Web Application Firewall (pada orang umum - WAF). Untuk penyebaran cepat dan perlindungan dasar, menggunakan standar keamanan OWASP Top 10 sudah cukup . Pada awalnya, Anda harus mengencangkan banyak kacang dalam hal menangkap peristiwa positif palsu. Jika sekarang Anda tidak memiliki WAF - jangan putus asa! Jika Anda menguji beberapa versi WAF versi percobaan, coba gunakan untuk menyelesaikan masalah ini, atau instal solusi open-source Nginx + ModSecurity.

Jika WAF tidak dapat digunakan, maka dengan tergesa-gesa (jika memungkinkan) mentransfer aplikasi ke HTTPS, periksa semua kata sandi (pengguna, admin) untuk aplikasi yang dipublikasikan untuk kepatuhan dengan kebijakan kata sandi yang dibuat oleh perusahaan. Jangan lupa untuk memeriksa sistem operasi dan CMS untuk kesegaran, serta keberadaan semua tambalan yang diperlukan, dengan kata lain - membersihkan semua area layanan publik di masa depan. Perluas Kali Linux dan gunakan perangkat utilitas bawaan untuk memindai kerentanan, jika tidak ada waktu untuk ini, gunakan salah satu pemindai kerentanan publik (Deteksi, ImmuniWeb, dll.).

Apa yang tidak dilakukan Jangan tampilkan di Internet pantat indah buatan Anda sendiri di HTTP, di mana mungkin ada ribuan kerentanan. Anda tidak perlu mengatur akses SSH ke server atau peralatan jaringan, jika Anda tidak ingin bruteforce mencurahkan pada Anda, dan Anda tidak perlu mempublikasikan langsung RDP ke stasiun target (halo, esteemaudit). Jika Anda ragu tentang aplikasi tertentu yang harus Anda sediakan akses, letakkan di balik VPN.

VPN


Kami telah menemukan publikasi sumber daya, mari beralih ke layanan yang aksesnya tidak dapat kami terbitkan. Untuk melakukan ini, kita perlu mengatur VPN.

Apa yang harus dipertimbangkan ketika mengatur VPN?

Pertama-tama, evaluasi apakah Anda dapat dengan cepat menggunakan perangkat lunak klien VPN di tempat kerja, atau lebih baik menggunakan pendekatan tanpa klien. Apakah Anda memiliki gateway VPN atau firewall dengan kemampuan untuk mengatur akses jarak jauh?

Jika, misalnya, Anda memiliki firewall Fortinet atau Check Point dengan bundel apa pun (NGFW / NGTP / NGTX) di jaringan Anda, selamat, dukungan fungsionalitas IPsec VPN sudah ketinggalan zaman dan Anda tidak perlu membeli atau menginstal apa pun tambahan. Yang tersisa hanyalah menempatkan klien di tempat kerja dan mengkonfigurasi firewall.

Jika saat ini Anda tidak memiliki gateway VPN atau firewall, lihat solusi open-source (OpenVPN, SoftEther VPN, dll.) Yang dapat digunakan dengan cepat di server mana pun, untungnya, panduan langkah demi langkah di Ada banyak Internet.

Selain itu, sebaiknya gateway VPN Anda terintegrasi dengan AD / RADIUS untuk manajemen akun terpusat. Juga, jangan lupa untuk memeriksa kebijakan kata sandi dan mengkonfigurasi perlindungan terhadap kekerasan.

Jika Anda memutuskan untuk mengikuti jalur menginstal klien akses jarak jauh ke workstation pengguna, Anda harus memutuskan mode VPN mana yang akan digunakan: Full Tunnel atau Split Tunnel. Jika akses untuk kelompok pengguna tertentu melibatkan bekerja dengan informasi rahasia atau sangat kritis, maka saya akan merekomendasikan menggunakan mode Full Tunnel. Dengan demikian, semua lalu lintas akan didorong ke dalam terowongan, akses Internet untuk pengguna dapat diatur melalui proxy, jika diinginkan, lalu lintas juga dapat didengarkan melalui DLP. Dalam kasus lain, Anda dapat membatasi diri ke mode Split Tunnel biasa, di mana lalu lintas dialihkan ke terowongan hanya ke jaringan internal perusahaan.

Setelah otentikasi pengguna berhasil, Anda harus memutuskan otorisasi: di mana memberi pengguna akses, bagaimana dan di mana melakukannya. Ada beberapa opsi.

  1. . IP- VPN- ( – ). , L4 , ( !), IP- . NGFW , - AD ( ), . VPN- RADIUS - .
  2. . NGFW , . (, MS RDS) , , . (, FSSO TS). IP- , , NGFW.

– ?


Mari kita beralih ke keselamatan di tempat kerja.

Mengevaluasi keamanan workstation pengguna jarak jauh: apakah Anda memberi mereka workstation dengan gambar emas yang diinstal dengan semua fitur keamanan yang diperlukan (antivirus, IPS / Sandbox berbasis host, dll.), Atau apakah mereka duduk dari laptop di rumah dengan perangkat lunak yang tidak dikenal? Jika jawaban untuk pertanyaan ini adalah perangkat rumah, akan lebih baik, setelah memberikan akses jarak jauh, untuk mengarahkan lalu lintas ke NGFW dengan IDS / IPS, dan idealnya juga ke kotak pasir jaringan.

Salah satu opsi yang baik adalah untuk mempublikasikan di VDI aplikasi spesifik untuk pekerjaan (browser, klien email, dll.). Ini akan memungkinkan akses hanya ke aplikasi spesifik yang digunakan.

Jika perusahaan Anda tidak mengizinkan koneksi media yang dapat dilepas, maka dalam hal akses jarak jauh, Anda tidak boleh melupakan hal ini, membatasi kemungkinan ini untuk laptop perusahaan yang baru dikeluarkan.

Seperti biasa, pastikan protokol dan layanan yang tidak aman dinonaktifkan, akan sangat berguna untuk mengaktifkan enkripsi disk (bagaimana jika pengguna Anda bekerja di tempat kerja dan laptop perusahaannya dicuri?), Jangan lupa untuk memilih hak akses istimewa (jika laptop tersebut korporat).

Autentikasi


Gunakan manajemen akun terpusat dengan akses jarak jauh (AD / RADIUS), dan juga ingat untuk mempertimbangkan skenario di mana Toko Identitas Anda tidak akan tersedia (misalnya, buat akun lokal tambahan).

Merupakan praktik yang baik untuk menggunakan sertifikat klien, sertifikat yang ditandatangani sendiri juga dapat dikeluarkan di Microsoft CA.

Asumsikan bahwa karena keadaan yang tidak terduga, pengguna jarak jauh Anda masih dicuri kredensial. Otentikasi dua faktor akan membantu mengatasi momok ini (push OTP pada perangkat seluler, SMS). Tetapi saya tidak akan merekomendasikan otentikasi dua faktor melalui email perusahaan (seringkali untuk otentikasi dengan akses jarak jauh, akun yang sama digunakan dalam email, dan, oleh karena itu, faktor kedua Anda akan mudah ditarik). Jika Anda perlu mengatur otentikasi dua faktor dengan cepat, Anda dapat melihat ke arah layanan publik - misalnya, Google Authenticator.

Eksploitasi


Pertimbangkan bagaimana departemen TI Anda akan mengoperasikan stasiun kerja jarak jauh dan membantu pengguna memecahkan masalah sehari-hari. Secara eksplisit, staf dukungan jarak jauh akan membutuhkan akses jarak jauh ke stasiun kerja pengguna.

Dianjurkan agar workstation “tumpah” dari gambar emas, dan Anda tidak harus mencoba mengembalikan komputer yang berfungsi dari karyawan karena fakta bahwa mereka menginstal sesuatu yang salah, atau, yang bagus, mereka menangkap ransomware. Lebih baik memberikan laptop korporat dengan kapasitas yang sudah diketahui sebelumnya dan komposisi perangkat lunak yang diinstal agar tidak sakit kepala dengan PC karyawan rumahan, karena mereka dapat digunakan oleh anak-anak, sistem mungkin secara lambat memperlambatnya atau mungkin tidak ada peralatan pelindung yang diperlukan.

Akan bermanfaat untuk mengingatkan pengguna sebelum beralih ke pekerjaan jarak jauh bahwa perusahaan memiliki kebijakan keamanan: Anda tidak pernah tahu bagaimana pengguna biasa ingin bersantai saat makan siang di rumah.

Daftar periksa: pastikan Anda tidak melupakan apa pun untuk membuat akses jarak jauh aman


  • Publikasikan sumber daya web yang diperlukan dengan aman dan bijaksana (gunakan WAF, periksa kata sandi, periksa kesegaran OS, CMS).
  • Pindai kerentanan (menggunakan pemindai kerentanan Anda sendiri atau pemindai publik).
  • Memberikan akses ke sumber daya internal melalui VPN (jangan memaparkan RDP / SSH atau aplikasi yang pertukaran datanya di dalam jaringan tidak terlindungi).
  • Publikasikan aplikasi spesifik melalui VDI (Citrix, VMware).
  • Menyiapkan otentikasi dua faktor (push OTP pada perangkat seluler, SMS).
  • ( NGFW ID FW ).
  • (, , , , ).

More articles:


All Articles