Get best of the week

Como organizar o acesso remoto e não sofrer hackers

Quando o gerenciamento da empresa exige urgentemente que todos os funcionários sejam acessados ​​remotamente, os problemas de segurança geralmente retrocedem. Como resultado, os atacantes obtêm um excelente campo de atividade.


Então, o que é necessário e o que não pode ser feito ao organizar o acesso remoto seguro aos recursos corporativos? Falaremos sobre isso em detalhes sob o corte.

Publicação segura de recursos


Publique recursos da Web através do Web Application Firewall (em pessoas comuns - WAF). Para implementação rápida e proteção básica, é suficiente o uso dos 10 principais perfis de segurança OWASP padrão . No começo, você precisará apertar bastante nozes em termos de captura de eventos falsos positivos. Se agora você não tem WAF - não se desespere! Se você estiver testando algum tipo de versão de avaliação do WAF, tente usá-lo para resolver esse problema ou instale a solução de código aberto Nginx + ModSecurity.

Se não for possível usar o WAF, transfira rapidamente (sempre que possível) o aplicativo para HTTPS, verifique todas as senhas (usuário, administrador) do aplicativo publicado para verificar a conformidade com a política de senhas estabelecida pela empresa. Não se esqueça de verificar a atualização dos sistemas operacionais e do CMS, bem como a presença de todos os patches necessários, em uma palavra - higienize todas as áreas do futuro serviço público. Expanda o Kali Linux e use o conjunto interno de utilitários para verificar vulnerabilidades; se não houver tempo para isso, use um dos scanners de vulnerabilidade públicos (Detectify, ImmuniWeb etc.).

O que não faz? Não exiba na Internet seu maravilhoso bumbum feito por si mesmo no HTTP, no qual pode haver milhares de vulnerabilidades. Você não precisa definir o acesso SSH ao servidor ou equipamento de rede, se não quiser que o bruteforce caia sobre você e não precise publicar diretamente o RDP nas estações de destino (olá, esteemaudit). Se você tiver dúvidas sobre um aplicativo específico ao qual precisa fornecer acesso, coloque-o atrás de uma VPN.

VPN


Descobrimos a publicação de recursos, vamos para os serviços cujo acesso não pudemos publicar. Para fazer isso, precisamos organizar uma VPN.

O que deve ser considerado ao organizar uma VPN?

Antes de tudo, avalie se é possível implantar rapidamente o software cliente VPN no local de trabalho ou se é melhor usar a abordagem Sem Cliente. Você tem um gateway ou firewall VPN com capacidade de organizar o acesso remoto?

Se, por exemplo, você possui um firewall Fortinet ou Check Point com qualquer pacote (NGFW / NGTP / NGTX) na sua rede, parabéns, o suporte à funcionalidade IPsec VPN está pronto para uso e você não precisa comprar ou instalar nada adicional. Tudo o que resta é colocar os clientes nos locais de trabalho e configurar um firewall.

Se, no momento, você não possui um gateway ou firewall VPN, procure soluções de código aberto (OpenVPN, SoftEther VPN etc.) que possam ser implantadas rapidamente em qualquer servidor, felizmente, guias passo a passo em Há muita Internet.

Além disso, é desejável que o seu gateway VPN se integre ao AD / RADIUS para gerenciamento centralizado de contas. Além disso, não se esqueça de verificar a política de senha e configurar a proteção contra força bruta.

Se você decidir seguir o caminho de instalação do cliente de acesso remoto nas estações de trabalho dos usuários, precisará decidir qual modo VPN usar: Full Tunnel ou Split Tunnel. Se o acesso a um grupo específico de usuários envolve trabalhar com informações confidenciais ou altamente críticas, eu recomendaria o uso do modo Full Tunnel. Assim, todo o tráfego será direcionado para o túnel, o acesso à Internet para os usuários pode ser organizado por meio de um proxy; se desejado, o tráfego também poderá ser ouvido através do DLP. Noutros casos, pode restringir-se ao modo habitual de Split Tunnel, no qual o tráfego é encaminhado para o túnel apenas para as redes internas da empresa.

Após a autenticação bem-sucedida do usuário, você deve decidir sobre a autorização: onde conceder aos usuários acesso, como e onde fazê-lo. Existem várias opções.

  1. . IP- VPN- ( – ). , L4 , ( !), IP- . NGFW , - AD ( ), . VPN- RADIUS - .
  2. . NGFW , . (, MS RDS) , , . (, FSSO TS). IP- , , NGFW.

– ?


Vamos para a segurança no local de trabalho.

Avalie a segurança das estações de trabalho de usuários remotos: você fornece estações de trabalho com uma imagem dourada instalada com todos os recursos de segurança necessários (antivírus, IPS / Sandbox com base em host, etc.) ou ficam em seus laptops domésticos com software desconhecido? Se a resposta a esta pergunta for dispositivos domésticos, seria melhor, depois de conceder acesso remoto, direcionar tráfego para o NGFW com IDS / IPS e, idealmente, também para uma caixa de proteção de rede.

Uma das boas opções é também publicar no VDI um aplicativo específico para o trabalho (navegador, cliente de email etc.). Isso permitirá o acesso apenas a aplicativos específicos usados.

Se sua empresa não permitir a conexão de mídia removível, no caso de acesso remoto, não se esqueça disso, limitando essa opção aos laptops corporativos recém-emitidos.

Como de costume, verifique se os serviços e protocolos não seguros estão desabilitados; será útil ativar a criptografia de disco (e se o usuário trabalhar em coworking e o laptop da empresa for roubado?), Não esqueça de selecionar direitos de acesso privilegiados (se o laptop for corporativo).

Autenticação


Use o gerenciamento centralizado de contas com acesso remoto (AD / RADIUS) e lembre-se de considerar os cenários nos quais o seu Identity Store estará indisponível (por exemplo, crie contas locais adicionais).

É uma boa prática usar certificados de cliente, certificados autoassinados também podem ser emitidos na Microsoft CA.

Suponha que, devido a circunstâncias imprevistas, seus usuários remotos ainda tenham credenciais removidas. A autenticação de dois fatores ajudará a lidar com esse flagelo (envio OTP em dispositivos móveis, SMS). Mas eu não recomendaria a autenticação de dois fatores via email corporativo (geralmente para autenticação com acesso remoto, as mesmas contas são usadas como email, e, portanto, seu segundo fator será fácil de retirar). Se você precisar organizar rapidamente a autenticação de dois fatores, poderá procurar os serviços públicos - por exemplo, o Google Authenticator.

Exploração


Considere como seu departamento de TI operará estações de trabalho remotas e ajude os usuários a resolver problemas do dia a dia. Explicitamente, a equipe de suporte remoto precisará de acesso remoto às estações de trabalho dos usuários.

É aconselhável que as estações de trabalho "transbordem" da imagem dourada, e você não precisa restaurar os computadores domésticos dos funcionários devido ao fato de terem instalado algo errado ou, o que é bom, eles pegaram algum ransomware. É melhor distribuir laptops corporativos com capacidades pré-conhecidas e a composição do software instalado para não ter dor de cabeça com os PCs domésticos dos funcionários, porque eles podem ser usados ​​por crianças, o sistema pode desacelerá-los muito ou pode não haver equipamento de proteção necessário.

Antes de mudar para o trabalho remoto, será útil lembrar aos usuários que a empresa possui políticas de segurança existentes: você nunca sabe como um usuário comum gostaria de relaxar durante o almoço em casa.

Lista de verificação: verifique se você não esqueceu nada para tornar o acesso remoto seguro


  • Publique os recursos da Web necessários com segurança e sabedoria (use WAF, verifique senhas, verifique a atualização do SO, CMS).
  • Procure vulnerabilidades (usando seus próprios scanners de vulnerabilidade ou scanners públicos).
  • Forneça acesso a recursos internos via VPN (não exponha RDP / SSH ou aplicativos com os quais a troca de dados na rede não esteja protegida).
  • Publique aplicativos específicos por meio do VDI (Citrix, VMware).
  • Configure a autenticação de dois fatores (envio por OTP em dispositivos móveis, SMS).
  • ( NGFW ID FW ).
  • (, , , , ).

More articles:


All Articles