Пандемия или то , что пытаются в виде нее преподнести нам - заканчивается. Но давайте вспомним, что произошло в стране 25 марта 2020 года? Если бы мы писали книгу по истории IT, то мы бы обязательно включили отдельную главу посвященную этим событиям
IT - специалисты в экстренном, если не молниеносном режиме, вынуждены были настроить доступ к рабочим местам из дома с помощью VPN, RDP, VNC или иными способами.
Поскольку скорость перевода людей на "удаленку" была более приоритетна, чем безопасность сети, никто не думал о последней. Сейчас, когда все встало на круги своя, все сервисы настроены, все работают, встает вопрос: "А безопасно ли организован доступ?"
Разберем по пунктам, на что стоило бы обратить внимание:
1. Как настроена авторизация пользователя?
Используется один или несколько вариантов соединения?
Честно говоря, у нас с одним из клиентов встал вопрос о доступе одного из сотрудников из дома т.к. подключать проводной интернет он не планировал, а вот Билайн сказал "фигвам", а не VPN.
Решили этот вопрос креативно, подняли на рабочем месте VNC-сервер (считай рабочий стол был в офисе, а сотрудник дома), настроили порты...и автоматическую смену портов раз в сутки, с отправкой номера порта сотруднику, ну, и помимо этого, пароль к VNC.
Честно говоря, решение - так себе, но что не сделаешь, когда человек не хочет идти на встречу, когда компания идет навстречу ему.
Что мы бы рекомендовали в "идеале" - если сеть построена на Active Directory - настроить VPN авторизацию по логину паролю пользователя - удобно, безопасно и ничего не забудется (благо популярные Cisco и MIkrotik умеют это)
2. Есть ли шифрование и аутентификация?
RDP (он же терминальный сервер) - это хорошо, но не тогда, когда он смотрит портами "наружу". Переходите на VPN. Если оборудование не поддерживает его - поменяйте - 4000 рублей за какой-нибудь Mikrotik всяко дешевле утечки или шифрования базы данных
3. Безопасны ли ваши VPN?
Устаревшие протоколы, такие как PPTP уязвимы к атакам - не зря Apple на своих устройствах отказались от них.
Всегда, если, конечно, это возможно используйте надежные протоколы : IKEv2/IPSec, SSTP, L2TP/IPSec
Откажитесь от использования общих сертификатов или ключей. Разным профилям - разную жизнь, так сказать
4. Защищены ли ваши VPN сервера от перебора паролей?
Должны быть настроены политики сложности паролей: не менее 8-ми символов с обязательными прописными и строчными буквами, цифрами и спецсимволовами.
Настройте блокировку атакующей стороны, можно навечно, можно на какое-то время, но не менее часа
5. Отрезаны ли атакующие страны?
Просто заблокируйте доступ к шлюзу по геолокации, ведь большая часть атак на российские шлюзы и VPN-сервера приходят из Китая, Южной Кореи, Нидерландов, Украины, Африки, Португалии и Южной Америки
6. Дайте доступ только к разрешенным ресурсам через VPN
Если пользователь не пользуется RDP, а только сетевой папкой, нет смысла давать ему этот доступ
7. Фильтрация и контроль VPN-трафика.
Настройте анализ трафика и ограничьте полосу пропускания для VPN клиентов, чтобы они не забивали весь трафик
Вместо того, чтобы отрезать пользователям использование различных сервисов - проще будет запретить прохождение трафика через шлюз в интернет - отключите шлюз по умолчанию для VPN-соединения на стороне клиента
8. Удаленный рабочий стол брат удаленного рабочего стола?
Если пользователь или вы установили на рабочие места программы удаленного доступа — TeamView, AmmyAdmin, AnyDesk, Radmin - пришла пора их запретить. Внутри сети либо RDP, либо VNC
9. Защита домашних компьютеров.
Позаботьтесь о защите конечного пользователя и его домашнего компьютера, как говорится предупрежден - значит вооружен
Если вы не справитесь сами, оставляйте заявку у нас на сайте Tiger-IT.RU