Является ли клиентское VPN- программное обеспечение безопасным?

Все больше и больше работников в наши дни работают удаленно.

Проблема использования VPN-программного обеспечения для подключения к рабочим ресурсам заключается в том, что конечные пользователи создают открытый туннель между своим домом и корпоративными сетями. Этот метод позволяет полностью удаленно обращаться к всей рабочей сети из-за пределов офиса, обходя большинство правил брандмауэра (подключение VPN технически инициируется изнутри локальной сети). В большинстве случаев всю корпоративную сеть можно получить доступ, что подвергает риску все серверы и рабочие станции, а не только необходимые ресурсы.

В таком сценарии любые уязвимости безопасности или вредоносное ПО, присутствующее на компьютере и в сети удаленного сотрудника, могут инфицировать рабочую сеть на время действия VPN-подключения. Это включает вирусы. Например, если у удаленного ПК есть зловредный вирус, он может распространиться по VPN в корпоративную сеть и обойти защиту брандмауэра.

Кроме того, если ПК удаленного пользователя скомпрометирован, его можно использовать как канал напрямую в офисную LAN, где злоумышленники могут эксплуатировать уязвимости для получения несанкционированного доступа к системам.

Например, угрозы, такие как вирус Cryptolocker, обычно используют сетевые ресурсы Windows (SMB) для шифрования файлов.

Следующий сценарий — использование VPN дома, который держит ночами IT-менеджеров:

Удаленный сотрудник подключается к VPN со своего домашнего ПК и заражается Cryptolocker. В момент заражения он случайно подключен к корпоративному сетевому диску. Возможно, он платит выкуп или нет (может, потому что есть резервные копии работы на его домашнем компьютере). Время проходит, и сотрудник запускает средство очистки вредоносного ПО для удаления заражения. Он чувствует облегчение, но не знает, что за счет исходного заражения он зашифровал несколько файлов на нашем сетевом диске. Он не думает сообщить в ИТ-отдел, потому что это проблема его домашнего ПК, а не “рабочая”.

Проходит несколько недель, и другие сотрудники обнаруживают, что файл на сетевом диске не открывается. Они обращаются в ИТ-отдел. Команда ИТ восстанавливает файл из резервной копии, но, к сожалению, оказывается, что за последние 4 недели были сделаны только резервные копии зашифрованных файлов… Так что компания потеряла данные.

Эта ситуация может стать экспоненциально хуже, так как зашифровано может быть тысячи файлов в сети, и бизнес об этом никогда не узнает, пока кто-то не попытается их открыть и не сможет из-за инфекции.

Что делают люди для обеспечения безопасности своих VPN-клиентов, чтобы снизить эти опасения?

• вы можете ограничить доступ этих клиентов экстенсивно с помощью правил ACL/firewall
• современные клиенты, такие как Cisco AnyConnect, могут выполнять проверки состояния клиента. Вы можете запретить машины, на которых не запущен актуальный антивирус или отсутствуют важные обновления безопасности
• в рамках требований клиента вы можете навязать использование конкретного антивирусного продукта. Большинство корпоративных антивирусов теперь идут с правами на домашнее использование.
• создайте свои системы так, чтобы не требовался VPN, например, полностью настройте SharePoint / Office 365 для ограничения доступа по VPN только к нескольким внутренним приложениям
• NGFW могут помочь добавить слои защиты против потенциальных грязных клиентов.

Первое, что мы делаем — переводим как можно больше людей на наши серверы удаленного доступа. В настоящее время около 75% наших пользователей уже используют серверы удаленного доступа, поэтому большинству пользователей гораздо предпочтительнее иметь полностью доступный рабочий стол «дома». Мы не имеем пользователей, которым нужно печатать или передавать файлы. Мы используем шлюз удаленного рабочего стола в качестве фронт-энда к их реальному серверу. В политиках на шлюзе RDS есть ограничения, позволяющие ограничить их доступ только к тем серверам, которые им нужны.

Во-вторых, если это невозможно, мы используем SSL VPN с очень гранулярным контролем доступа. Пока что у меня не было необходимости разрешать кому-либо монтировать диски через это соединение. Политики на SSL VPN предотвращают доступ к файловым серверам.

SSLVPN, который мы используем — PulseSecure MAG 2600, если интересно.

Я не разрешаю монтировать диски на домашние компьютеры пользователей. Они подключаются через VPN, а затем им нужно подключиться к своему рабочему столу или виртуальной машине, которая уже подключена к сети.

VPN предназначены для соединения доверенных компьютеров через недоверенные сети. То, что вы делаете — это соединение недоверенных компьютеров с вашей сетью, и да, это не безопасно.

Спасибо, да, я думал об этом — у многих клиентов всё еще есть файловые серверы, поэтому использование WebDAV или браузерного доступа устраняет большинство требований VPN.

В основном трудно отучить пользователей монтировать диски через VPN. У нас есть SSL VPN, но пользователи (включая владельца компании) жалуются, что это слишком неудобно. В худших случаях они используют Microsoft VPN и ставят галочку «запомнить пароль», оставляя его включенным постоянно — ух!»},{