Get best of the week

如何组织远程访问而不遭受黑客攻击

当公司管理层紧急要求所有员工都可以远程访问时,安全问题通常会退到后台。结果,攻击者获得了极好的活动场所。


那么,在组织对公司资源的安全远程访问时,需要做什么而不能做什么?我们将在裁切下详细讨论这一点。

安全资源发布


通过Web应用程序防火墙(普通人-WAF)发布Web资源。为了快速部署和提供基本保护,使用标准OWASP Top 10安全配置文件就足够了首先,在捕获误报事件方面,您必须拧紧很多螺母。如果现在您没有WAF,请不要绝望!如果您正在测试某种形式的WAF试用版,请尝试使用它来解决此问题,或者安装开源解决方案Nginx + ModSecurity。

如果无法使用WAF,则尽快(尽可能)将应用程序传输到HTTPS,检查发布的应用程序的所有密码(用户,管理员)是否符合公司建立的密码策略。总之,请不要忘记检查操作系统和CMS的最新性以及所有必要补丁的存在-清理将来的公共服务的所有区域。扩展Kali Linux并使用内置的实用程序集扫描漏洞,如果没有时间,请使用一个公共漏洞扫描程序(Detectify,ImmuniWeb等)。

怎么办?不要在Internet上展示您用HTTP制作的奇妙的自制对接,在HTTP中可能存在成千上万的漏洞。如果不想让蛮力攻击您,则不需要设置对服务器或网络设备的SSH访问,也不需要直接将RDP发布到目标站(您好,esteemaudit)。如果对需要向其提供访问权限的特定应用程序有疑问,请将其放在VPN后面。

虚拟专用网


我们已经确定了资源的发布,让我们继续访问那些无法发布的服务。为此,我们需要组织一个VPN。

组织VPN时应考虑什么?

首先,评估您是否可以在工作场所中快速部署VPN客户端软件,或者更好地使用无客户端方法。您是否具有能够组织远程访问的VPN网关或防火墙?

例如,如果您的网络上有任何捆绑包(NGFW / NGTP / NGTX)的Fortinet或Check Point防火墙,那么恭喜您,IPsec VPN功能支持是开箱即用的,您不需要购买或安装其他任何东西。剩下的就是将客户端放在工作场所并配置防火墙。

如果您目前尚没有VPN网关或防火墙,请查看可快速部署到任何服务器的开源解决方案(OpenVPN,SoftEther VPN等),所幸的是,逐步指南有大量的互联网。

另外,最好将您的VPN网关与AD / RADIUS集成以进行集中帐户管理。另外,不要忘记检查密码策略并配置防止暴力破解的保护措施。

如果决定遵循将远程访问客户端安装到用户工作站的路径,则需要决定使用哪种VPN模式:完整隧道或拆分隧道。如果特定用户组的访问涉及使用机密或高度关键的信息,那么我建议使用“完全隧道”模式。因此,所有流量都将被驱动到隧道中,可以通过代理为用户安排Internet访问,如果需要,还可以通过DLP侦听流量。在其他情况下,您可以将自己限制为通常的“拆分隧道”模式,在这种模式下,流量仅路由到隧道中,到达公司的内部网络。

成功进行用户身份验证后,您应该确定授权:在何处授予用户访问权限,如何以及在何处进行访问。有几种选择。

  1. . IP- VPN- ( – ). , L4 , ( !), IP- . NGFW , - AD ( ), . VPN- RADIUS - .
  2. . NGFW , . (, MS RDS) , , . (, FSSO TS). IP- , , NGFW.

– ?


让我们继续工作场所安全。

评估远程用户工作站的安全性:您是否给他们的工作站安装了带有所有必要安全功能(防病毒,基于主机的IPS / Sandbox等)的金色映像,还是让他们坐在装有未知软件的家用笔记本电脑上?如果此问题的答案是家用设备,则最好在提供远程访问后将流量驱动到具有IDS / IPS的NGFW,并且最好将其驱动到网络沙箱。

一个不错的选择是在VDI上发布特定的工作应用程序(浏览器,电子邮件客户端等)。这将仅允许访问所使用的特定应用程序。

如果您的公司不允许连接可移动媒体,则在进行远程访问时,您不应忘记这一点,从而限制了新发行的公司笔记本电脑的这种可能性。

与往常一样,请确保禁用了不安全的协议和服务,这将对打开磁盘加密很有用(如果您的用户在共同工作中工作并且他的公司笔记本电脑被盗了,该怎么办?),请不要忘记选择特权访问权限(如果笔记本电脑是公司的)。

认证方式


使用具有远程访问权限(AD / RADIUS)的集中式帐户管理,并且还请记住考虑不使用身份存储的情况(例如,创建其他本地帐户)。

使用客户端证书是一种很好的做法,也可以在Microsoft CA上颁发自签名证书。

假定由于不可预见的情况,您的远程用户仍被盗用。两因素身份验证将有助于应对这一祸害(移动设备上的OTP推送,SMS)。但是我不建议通过公司电子邮件进行两因素身份验证(通常用于远程访问身份验证的帐户与电子邮件中使用的帐户相同,因此,第二个因素很容易提取)。如果您需要快速组织两因素身份验证,可以着眼于公共服务的方向-例如Google Authenticator。

开发


考虑一下您的IT部门将如何操作远程工作站并帮助用户解决日常问题。明确地说,远程支持人员将需要对用户工作站的远程访问。

建议工作站从金色映像“溢出”,并且您不必尝试恢复员工的家用计算机,因为他们安装了错误的东西,或者说,好的东西是他们捕获了一些勒索软件。最好提供具有已知功能和已安装软件组成的公司笔记本电脑,以免让员工的家用PC头疼,因为它们可能会被儿童使用,系统可能会大大减慢它们的速度或可能没有必要的防护设备。

在切换到远程工作之前提醒用户公司具有安全政策将很有用:您永远不知道普通用户希望在午餐时间在家中放松一下。

清单:确保您没有忘记任何确保远程访问安全的内容


  • 安全,明智地发布必要的Web资源(使用WAF,检查密码,检查OS和CMS的最新性)。
  • 扫描漏洞(使用您自己的漏洞扫描程序或公共扫描程序)。
  • 通过VPN提供对内部资源的访问权限(不要公开RDP / SSH或不受网络保护的数据交换应用程序)。
  • 通过VDI(Citrix,VMware)发布特定的应用程序。
  • 设置两因素身份验证(移动设备上的OTP推送,SMS)。
  • ( NGFW ID FW ).
  • (, , , , ).

More articles:


All Articles