Audyt stanowiska pracy zdalnej - od czego zacząć

Praca zdalna wkradła się na dobre w naszą codzienność. Szczególnie ostatnie dwa lata, z uwagi na ogłoszoną pandemię SARS-CoV-2 wywarły istotny wpływ na zmianę modelu pracy. Szerokopasmowy dostęp do sieci Internet, technologie zapewniające możliwości realizacji wysokiej jakości połączeń, oszczędność czasu potrzebnego wcześniej na przemieszczanie się, zmniejszenie kosztów – to tylko wybrane spośród wielu korzyści jakie niesie ze sobą model pracy zdalnej. Jednak jak to zwykle bywa, jeśli są korzyści występują również koszty.

Analiza publikowanych w Internecie danych statystycznych i wykresów ukazuje stały, sukcesywny wzrost udanych ataków hackerskich aż do 2019 roku, kiedy to wzrost stał się gwałtowny. Właśnie w tym roku sytuacja zmusiła nas aby pozostać w domu. Komputery przenośne zaczęły masowo opuszczać biura, zamiast firmowych sieci LAN łącząc się do bardzo słabo zabezpieczonych sieci domowych.

Jak zatem podejść do kwestii bezpieczeństwa w domowym zaciszu?

Należy pamiętać, że wychodząc poza infrastrukturę informatyczną użytkownik służbowego laptopa zwykle uzyskuje połączenie z Internetem poprzez przewodową, lub (częściej) bezprzewodową sieć w domu. Często są to również rozgłaszane sieci hotspot (np. w galeriach handlowych), sieci w hotelach czy gościnne WIFI u partnerów biznesowych. Taka aktywność niesie ze sobą duże ryzyko i zdecydowanie wymaga regulacji.

Kiedy w otoczeniu sieciowym widnieje nazwa sieci WIFI adekwatna do lokalizacji (np. nazwa galerii, lotniska) to jedyne czego można być pewnym to tego, że połączenie nawiązywane jest do sieci o takiej właśnie nazwie (SSID), nic więcej. W rzeczywistości sieć może być rozgłaszana przez przestępcę siedzącego klika metrów obok. Może on rozgłaszać sieć WIFI o nazwie podobnej, lub nawet takiej samej jak autoryzowana usługa. System klienta nawiąże połączenie z tym punktem dostępowym, który zapewnia większą moc sygnału.

Podobna sytuacja może mieś miejsce w przypadku domowego WIFI. Punkt dostępowy rozgłasza SSID najczęściej daleko poza obszar mieszkania i nie jest on żadną tajemnicą. Fakt, w przeciwieństwie do ogólnodostępnych sieci hotspot zazwyczaj użyty jest klucz dostępowy. Pomijam już fakt, że aby uzyskać dostęp do takiej sieci wystarczy przeprowadzić atak brute force, proste hasło (najczęściej słownikowe) złamać nawet w kilka minut. Pytanie po co? Wystarczy rozgłosić sieć o tej samej nazwie, odpowiednio wzmocnić sygnał, Windows 10 (i wcześniejsze) połączy się pomimo, że to sieć otwarta (nie wymaga klucza PSK).

Kiedy użytkownik służbowego laptopa (lub smartfonu) nawiąże już połączenie z siecią rozgłaszaną przez przestępcę, zgodnie z oczekiwaniem nastąpi automatyczna konfiguracja karty sieciowej (DHCP), w ramach której oprócz adresu IP, maski podsieci, adresu bramy domyślnej przypisany zostanie adres serwera odpowiedzialnego za rozwiązywanie nazw (DNS), najpewniej obsługiwanego przez hakera. Od tego momentu może on w sposób dowolny zarządzać połączeniami. Cały ruch i tak przechodzi przez komputer włamywacza, wszystkie niezaszyfrowane połączenia (w tym hasła) od razu mogą być rejestrowane. Niemal każdą witrynę WWW może on skopiować na swój komputer, odpowiednio spreparować tworząc jej „atrapę”, opublikować pod swoim adresem IP, a ponieważ dodatkowo zarządza systemem rozpoznawania nazw to bez problemu dla adresu URL tej witryny może przypisać IP swój, pod którym jest „atrapa”. Wpisane poświadczenia zostaną zarejestrowane, połączenie zostanie przekierowane do prawdziwej witryny, a użytkownik nawet nie zauważy przeprowadzonego ataku „Man in the middle”. To tylko prosty przykład, lista działań jaką może przeprowadzić haker mając komputer potencjalnej ofiary w swojej sieci, będąc na drodze transmisji i zarządzając systemem nazw DNS.

Jeśli laptopy firmowe nie posiadają wdrożonych żadnych restrykcji w dostępie do niezaufanych sieci bezprzewodowych, to zdecydowanie zaleca się pilne wdrożenie odpowiednich regulacje w tym zakresie, zarówno dla notebooków jak i smartfonów. Przede wszystkim dopilnować aby opcja automatycznego nawiązywania połączenia z siecią, która jest na liście było wyłączone. Użytkownik powinien świadomie nawiązywać połączenia. Poprzez świadome łączenie rozumie się również unikanie hot spotów oraz innych nieznanych, niezaufanych sieci. Można rozważyć zapewnienie użytkownikom pracującym zdalnie dedykowanych rozwiązań, np. modemy LTE i administracyjnie zezwolić na łączenie się jedynie z firmowym WIFI. Jeśli jednak możliwość nawiązywania połączeń do sieci poza organizacją jest konieczna poniżej znajduje się rozwiązanie.

Praca zdalna zwykle wymaga dostępu do zasobów i usług udostępnianych w ramach infrastruktury informatycznej organizacji. W tym celu od dawna stosuje się polaczenia VPN, często określając je jako bezpieczne połączenie. Najczęściej termin ten odnosi się do szyfrowanej transmisji, i zabezpieczenia w ten sposób przesyłanych danych przed nieautoryzowanym do nich dostępem. Pomijając kwestię wykorzystywanych protokołów i sposobu uwierzytelniania realizację połączenia można z grubsza podzielić na dwa modele:

• Split Tunnel -  inicjowane przez użytkownika, połączenia z infrastrukturą organizacji realizowane poprzez szyfrowany tunel. Dostęp do sieci Internet odbywa się bezpośrednio, przez aktywne połączenie internetowe.

• Full Tunnel – inicjowane przez użytkownika, zarówno połączenia z infrastrukturą organizacji jak i dostęp do sieci Internet odbywa się poprzez szyfrowany tunel.

Pierwsza opcja, po dzień dzisiejszy najczęściej stosowana nie zapewnia wystarczającego poziomu bezpieczeństwa. Można pokusić się nawet o stwierdzenie, że w ogóle nie pasuje do dzisiejszych wymagań jakie niesie ze sobą aktywność w cyberprzestrzeni. W modelu tym ochronie podlega jedynie wymiana danych z organizacją, natomiast komputer użytkownika narażony jest w takim samym stopniu co bez połączenia VPN. Celem jest jedynie uzyskanie dostępu do infrastruktury.

Druga opcja, czyli pełen tunel w sposób znaczny zwiększa bezpieczeństwo, i to pod wieloma względami. Po pierwsze cały ruch sieciowy jaki inicjowany i odbierany jest na karcie sieciowej jest zaszyfrowany. Kiedy połączenie VPN jest nawiązane opisane wyżej zagrożenia wynikające z dostępu do niezaufanej sieci WIFI nie mają znaczenia. Jedyne czego intruz może być świadkiem to szyfrowana komunikacja. Poza tym, ponieważ dostęp do usług w Internecie odbywa się również za pośrednictwem bramy VPN podlega ochronie przez firmowy firewall tak samo jak w przypadku komputerów podłączonych w sieci lokalnej.

Słabość drugiej opcji w dużej mierze to czynnik ludzki. Bezpieczeństwo wynikające z pełnego tunelowania będzie miało miejsce dopiero wtedy, kiedy użytkownik nawiąże połączenie VPN. Może to zrobić, jak już to zrobi to może jednak wyłączyć, a może też w ogóle się nie połączyć jeśli nie ma na przykład potrzeby dostępu do zasobów IT w organizacji. Właściwie to może cały weekend korzystać z komputera służbowego, surfować po Internecie wchodząc na kolejne mniej lub bardziej bezpieczne witryny. Jeśli system już został zainfekowany to przestępcy potrzebują nawiązywać połączenia C&C (command and control), które można skutecznie blokować jeśli ruch sieciowy przechodzi przez firmowy firewall, jednak bez pełnego tunelowania komunikacja może się udać (pozostaje lokalne oprogramowanie antywirusowe).

Zdecydowanie zaleca się implementację połączeń VPN w modelu pre-logon. Połączenie tunelowe powinno być nawiązywane zanim użytkownik zaloguje się do komputera, jak tylko karta sieciowa rozpocznie wymianę danych. Zanim nastąpi logowanie następuje aktualizacja zasad grup Active Directory (GPO), dostęp do sieci Internet podlega ochronie firmowego firewalla. Użytkownik logując się do komputera uwierzytelnia się online w domenie AD. Wszystko odbywa się tak, jakby komputer był podłączony do sieci lokalnej. Najlepiej przy nawiązywaniu połączenia VPN uwierzytelniać komputer za pomocą certyfikatu TLS, który jeśli wystawiony i zainstalowany bez możliwości eksportu klucza prywatnego jest nie do użycia poza firmowym komputerem. Użytkownik może łączyć się z organizacją jedynie za pomocą służbowego sprzętu, a ten z kolei jest mniej narażony na kompromitację, niezależnie od tego poprzez jaką sieć łączy się z Internetem.

Jeśli opcja pre-logon nie jest możliwa to można chociaż zmusić użytkowników do nawiązywania połączeń VPN poprzez konfigurację (np. za pomocą GPO) statycznych adresów IP serwerów DNS na bezprzewodowej (i przewodowej) karcie sieciowej. Dopóki usługa rozpoznawania nazw nie będzie dostępna korzystanie z zasobów Internetu w praktyce nie będzie możliwe.

To tylko jeden ze sposób na poprawę bezpieczeństwa dla pracowników zdalnych, w przypadku pytań lub wątpliwości, zapraszamy do kontaktu.

TJ