VPN dla użytkowników – fundamentalne zasady bezpieczeństwa

Praca zdalna w ciągu ostatnich niespełna dwóch lat stała się czymś całkowicie naturalnym i powszechnym. Coś, co do tej pory zarezerwowane było dla niszowych i nietypowych stanowisk pracy szczególnie tego wymagających, obecnie jest dla wielu codziennością. Nieodzownie jednak, jak zawsze w przypadku konfigurowania nowych opcji w infrastrukturze firmowej, administrator staje przed wyzwaniem poprawnego zabezpieczenia VPN dla pracowników. Tak jak niemal wszędzie tak i tutaj – można to zrobić bardzo dobrze, lub też bardzo źle. O czym należy szczególnie pamiętać chcąc udostępnić zasoby sieci firmowej pracownikom przebywającym poza fizyczną siedzibą firmy?

Po pierwsze, róbmy wszystko, by połączenie zdalnego pracownika było tak zbliżone do jego bezpośredniego połączenia z fizyczną siecią firmy, jak to tylko możliwe. Co to oznacza? Otóż zadbajmy o to, by VPN tunelował nie tylko ruch do wybranych obszarów w sieci lokalnej, ale również „zawijał” przez centralnego firewalla połączenia do Internetu. Chodzi o to, by wszystkie rodzaje połączenia (zarówno do sieci lokalnej, jak i do Internetu) były objęte ochroną firmowych systemów zabezpieczeń, mogły być przez nie logowane oraz zarządzane. Wielu administratorów na tym etapie pracy popełnia błąd, przyznając użytkownikom dostęp do sieci lokalnej firmy w ramach połączenia VPN, nie przekierowując jednak połączenia z Internetem. Osoba pracująca w domu może być takim faktem zachwycona, wszak może przeglądać social media i platformy streamingowe bez żadnych ograniczeń i co najlepsze – bez wiedzy działu IT bądź przełożonego. I pół biedy, jeżeli tylko do tego jest Internet używany – gorzej, jeśli na komputer dostanie się malware (np. jako załącznik do wiadomości e-mail), który uruchomiony przez użytkownika bezproblemowo połączy się z hackerskim serwerem CNC (Command’N’Control), ponieważ ruch nie będzie podlegał inspekcji przez firmowego firewalla, najpewniej wyczulonego na tego typu połączenia. Próba taka nie zostanie udaremniona – malware pobierze z serwera CNC wszelkie niezbędne do działania składniki i instrukcje, bądź wprost umożliwi hackerowi dostęp do zainfekowanego komputera, który pozostaje przecież w kontakcie z serwerami firmowymi, gdzie zagrożenie może się rozprzestrzenić… Podobny scenariusz może wydarzyć się w przypadku próby wejścia na phishingowe strony internetowe, zwykle przez firmowe firewalle blokowane. Tutaj jednak ruch do Internetu nie podlega inspekcji, zatem wszelkie strony phishingowe stoją przed użytkownikiem otworem. Przykładów scenariuszy i skutków braku inspekcji połączenia z Internetem można w ten sposób mnożyć, wszystkie jednak mają wspólny mianownik: stanowią zagrożenie dla zasobów lokalnych przedsiębiorstwa oraz niejednokrotnie mogą przyczynić się do powstania bezpośrednich strat finansowych i wizerunkowych firmy.

Po drugie, dołóżmy wszelkich starań, by uniemożliwić działanie sieci w komputerze, do czasu skutecznego zestawienia połączenia VPN. To zagadnienie stanowi ogromne wyzwanie, zwłaszcza jeżeli dysponujemy sprzętem i środowiskiem, którego producent nie przewidział tego typu scenariusza działania. Czasami może się to okazać wręcz niewykonalne. Problematykę zagadnienia należy podzielić tutaj na dwie części: zdolność do zestawienia połączenia VPN ZANIM użytkownik zaloguje się do systemu operacyjnego, oraz blokowanie połączenia z Internetem i siecią lokalną w chwili, gdy komputer nie osiąga zasobów lokalnej sieci firmowej czy to poprzez VPN, czy też nie będąc bezpośrednio do tej sieci podłączonym. Tutaj tylko nieliczni użytkownicy rozwiązań renomowanych producentów są w stanie skonfigurować to w sposób względnie bezproblemowy i efektywny. Na myśl przychodzi mi od razu Palo Alto i jego Global Protect – aplikacja-agent, zawierająca w sobie m.in. klienta VPN, która w zależności od zastosowania uprzednio skonfigurowanej polityki, może zrealizować dokładnie taki „scenariusz idealny”, jak opisany powyżej. Co jednak, jeżeli producent naszego rozwiązania nie przewidział czegoś podobnego? Pozostaje nam improwizacja. Firmie VOL udało się wypracować autorską, skuteczną metodę realizacji automatycznego łączenia za pośrednictwem SSL VPN dla urządzeń wykorzystujących OpenVPN (Sophos, Cisco, TP-Link, Mikrotik, i wielu innych). Owa metoda działa transparentnie, zapewniając zestawienie połączenia SSL VPN z siecią firmową zanim nastąpi zalogowanie użytkownika do systemu Windows oraz posiada szereg zabezpieczeń, które uniemożliwiają użytkownikowi bez praw administratora ingerencję w połączenie, udaremniając także wszelkie inne próby rozłączenia tunelu, w sposób automatyczny ustanawiając połączenie ponownie i dbając tym samym, by komputer był zawsze skomunikowany poprzez VPN z siecią firmową. Oczywiście automatyka działa tak, by nie próbować zestawiać tunelu w chwili, gdy komputer znajdzie się w lokalnej sieci firmowej. Ma to kilka oczywistych zalet, wśród których wymienić należy znajdowanie się stacji roboczej pod stałym nadzorem centralnego firewalla i administratora sieci (bezpieczeństwo połączenia z Internetem i zasobami sieci lokalnej), nieprzerwaną łączność z lokalną siecią firmową (resetowanie zapomnianego przez użytkownika hasła w domenie to teraz żaden problem, ponieważ łączność z kontrolerem domeny zachowywana jest już od pierwszych chwil działania systemu Windows, podobnie problemu nie sprawi przetwarzanie zasad grup), czy brak konieczności, dla wielu kłopotliwej, obsługi klienta VPN oraz zapamiętywania hasła do celów zrealizowania takiego połączenia.

Wreszcie po trzecie, zwłaszcza jeżeli wdrożenie powyższego okaże się bardzo trudne bądź niemożliwe w realizacji, przemyślmy wybór najlepszej metody łączenia się komputerów z siecią firmową. Najczęściej realizowaną formą, jednocześnie najprostszą dla administratorów, jest stosowanie loginów i haseł. Jak wiemy, ta metoda ma szereg niedoskonałości i najbardziej zawodny jest tutaj czynnik ludzki, który albo hasła zapomni, albo zanotuje je sobie w nie do końca poufnym miejscu, czy wreszcie zdecyduje się podzielić z kimś nieuprawnionym tą wiedzą bez większej refleksji. Trudno z tym walczyć – ale przecież nie trzeba. Jeżeli tylko się da, zróbmy tak, by login i hasło uzupełnić dodatkowym składnikiem uwierzytelniającym, np. OTP (One Time Password), jakimś tokenem, kodem SMS/e-mail czy aplikacją na smartfona, co powinno znacznie utrudnić przyznanie dostępu do sieci firmowej poprzez VPN osobom do tego niepowołanym. Wreszcie chyba najlepszą metodą jest uwierzytelnianie za pomocą certyfikatu, który wyklucza konieczność zapamiętywania przez użytkownika hasła, bardzo trudno go skutecznie powielić na inny komputer oraz łatwo nim zarządzać z centralnej infrastruktury.

VPN to nie błahostka, nie należy traktować tego jako coś „plug and play”. Jest to połączenie jak wiele innych, o którego bezpieczeństwo trzeba zadbać przemyślaną konfiguracją. Wyżej opisałem zaledwie trzy bardzo istotne z punktu bezpieczeństwa zasady, oczywiście jest tego więcej, jednak można byłoby na ich temat napisać nie artykuł, a całkiem „mięsistą” książkę. Po więcej zapraszamy do firmy VOL, dla której inżynierów wdrożenia, zabezpieczenia i obsługa VPN to jeden z elementów codzienności.

KG