Чек-лист: проверьте настройки безопасности удаленного доступа

В экстренном режиме IT-специалисты настроили доступ к рабочим ресурсам с использованием VPN, либо иных способов публикации ресурсов (включая RDP, SSL-VPN, веб-порталы).

При организации бизнес-процессов в условиях самоизоляции скорость развертывания сервисов удаленного доступа была более приоритетна, чем безопасность. Однако сейчас, когда сервисы уже работают в боевом режиме и оптимально настроены с точки зрения производительности - пришло время позаботиться об их безопасности.

Проверьте, насколько безопасна ваша система.

1. Авторизация пользователей.

- при настройке удаленного доступа использована технология единого входа (Single Sign-On), либо ключи удаленного доступа (например, при настройке OpenVPN).

- неудобство администрирования нескольких систем или баз данных аутентификации неизбежно приведет к проблемам в будущем — сложности администрирования и возможные ошибки (например, когда увольняющийся сотрудник не был отключен в одной из систем, не были отозваны сертификаты доступа и т.п.).

Рекомендуем начать переход на технологию единого входа.

В VPN-сервере, входящем в состав Ideco UTM, вы можете использовать авторизацию пользователей с помощью Active Directory.

2. Доступ к вашей локальной сети без шифрования и аутентификации на сетевом уровне.

- крайне не рекомендуется включать возможность прямого проброса портов (portmapping, DNAT) к ресурсам локальной сети. Конечно, это довольно простой способ публикации, например RDP-сервера, но при этом не безопасный.

- рекомендуем отключить все правила проброса портов и перенастроить доступ пользователей с использованием VPN.

3. Безопасные VPN протоколы.
Устаревшие протоколы, прежде всего PPTP не обеспечивают надежного шифрования трафика и легко подвержены DoS и брутфорс-атакам.

- не используйте PPTP. Если возможно, используйте только надежные протоколы в порядке приоритета: IKEv2/IPSec, OpenVPN, WireGuard, SSTP, L2TP/IPSec.

- воздержитесь от использования общего PSK-ключа. Он может быть легко скомпрометирован, т.к. известен большому числу пользователей.

В Ideco UTM мы рекомендуем использовать протокол IKEv2/IPSec, как наиболее защищенный и производительный.

4. Защита VPN от подбора паролей.
По данным экспертов по безопасности Varonis, 45% атак на VPN-сервера связаны с подбором паролей.

- настройте политики сложности паролей: не менее 8-ми символов с обязательным использованием прописных букв, цифр и спецсимволов.

- настройте двойную защиту от перебора паролей: на централизованном сервере аутентификации (в Active Directory параметры блокировки учетной записи при неверно набранном более 8-ми раз пароле), а также на самом VPN-сервере (здесь можно использовать меньшее число “разрешенных” ошибок при вводе паролей — до 6 раз.

- настройте блок IP-адреса атакующего не менее чем на 40 минут, т.к. злоумышленники будут пытаться подобрать пароль с большого числа IP-адресов).

В Ideco UTM VPN-сервер для всех протоколов уже защищен от подбора паролей и не требует специальной настройки.

5. Защита от доступа к ресурсам из стран, популярных у атакующих.

- заблокируйте страны по GeoIP для предотвращения DDoS и брутфорс атак.

Большинство атак на российские VPN-сервера фиксируется из Китая, стран Юго-Восточной Азии, Украины, Португалии, Африки и Южной Америки.

В Ideco UTM система предотвращения вторжений блокирует попытки подключения к серверу из перечисленных выше стран, правила автоматически обновляются при изменении географии текущих фиксированных атак.

6. Ограничьте доступ по VPN только нужными ресурсами.

- с помощью правил файрвола разрешите доступ из VPN-сети только до нужных ресурсов

- терминального сервера и корпоративных веб-порталов.

7. Фильтрация и контроль VPN-трафика.

- настройте более глубокий анализ трафика от удаленных компьютеров и устройств.

- ограничьте полосу пропускания для VPN-пользователей, чтобы они не заняли весь интернет-канал.

- предотвратите доступ из VPN-сети к скачиванию торрентов (на домашних компьютерах может работать постоянно запущенный торрент-клиент) и других пожирателей трафика (онлайн-игр и сервисов просмотра видеоконтента).

- заблокируйте доступ к командным центрам ботнетов, зараженным и фишинговым сайтам.- по-возможности ограничьте VPN-сеть доступом только к ресурсам локальной сети, без возможности доступа из нее в Интернет.

В Ideco UTM для фильтрации трафика в VPN вы можете использовать контент-фильтр, контроль приложений и систему предотвращения вторжений. При использовании IKEv2 вы также можете раздавать маршруты к локальным ресурсам по VPN, отключив у клиентов использование основного шлюза в VPN-сети. Таким образом интернет-трафик пользователей не будет проходить через ваш сервер, что снимет нагрузку с сервера и интернет-канала.

8. Защита опубликованных веб-ресурсов.

Традиционные межсетевые экраны не смогут защитить опубликованный веб-портал, ERP или CRM-систему.

- используйте решения класса Web Application Firewall. Они позволяют принимать http(s)-запросы, проверять их и только хорошие запросы перенаправлять на веб-сервер. Это очень эффективно для защиты от sql-инъекций и других популярных атак.

В Ideco UTM вы можете опубликовать веб-ресурсы с помощью обратного прокси-сервера с защитой соединения модулем WAF.

9. Запретите несанкционированный удаленный доступ к сети.

- заблокируйте программы удаленного доступа, которые пользователи установили самостоятельно — TeamView, AmmyAdmin, AnyDesk, Radmin и подобное ПО.

В сети должен быть только один хозяин — ваш IT-отдел.

10. Защита конечных устройств — домашних компьютеров.

Позаботьтесь о защите рабочих станций, включая домашние компьютеры пользователей, с которых они осуществляют удаленный доступ.

- оптимальным будет использование на них корпоративного антивирусного ПО (с подключением к единой консоли управления антивирусом, для контроля его работы и алертов об инцидентах безопасности).

- для усиления защиты домашних компьютеров от ботнетов (самой распространенной угрозе безопасности) - настройте у пользователей фильтрующие DNS-сервера (например, на Wi-Fi роутерах) — SkyDNS или Yandex.DNS.

Удаленная работа может быть эффективной и удобной — наверняка вы убедились в этом за последние два месяца. И также может быть безопасной, а настройка защиты сети - легкой. В Ideco UTM мы уже “из коробки” активировали защиту от большинства векторов атак на удаленный доступ. Мы постарались сделать так, чтобы настроить сервер небезопасным образом практически невозможно, поэтому даже развертывание его в “пожарных” условиях не откроет доступ в вашу сеть злоумышленникам.

44
5 комментариев

Блокировка учетной записи при неверно введенном N-раз пароле это отличный вектор для DOS-атаки. Админов которые так делают - расстреливать за вредительство перед строем.

1
Ответить

На VPN-сервере блокируется IP-адреса подбирающих паролей, на общую учетку это не повлияет. Но если подбирают уже серьезно с помощью большой сетки - то в Active Directory настроить политику блокировок учетных записей все-таки не лишнее, иначе и подобрать могут.

2
Ответить

Port knocking и все

Ответить