Dziesięć zasad bezpiecznego VPN

Zdalny dostęp przez VPN to potężne narzędzie. Umożliwia zdalną pracę, zdalną diagnostykę i support, ale może być także ziejącą dziurą w bezpieczeństwie. Opisujemy dziesięć podstawowych zasad bezpiecznego korzystania z technologii VPN.

Na rynku dostępne jest kilkadziesiąt różnych produktów umożliwiających zdalny dostęp do sieci. Własne oprogramowanie klienckie oferują producenci dedykowanych bramek VPN, firewalli i routerów. Microsoft kusi wbudowanymi w Windows funkcjami VPN i Remote Access. Istnieje kilkanaście implementacji VPN w wersji open-source. Co wybrać i jak to wdrażać? Poniżej dziesięć zalece, które mogą ułatwić wybór.

1. Używaj najsilniejszej dostępnej metody uwierzytelnienia. Producenci oferują różne alternatywne protokoły bądź metody uwierzytelnienia dla użytkownika logującego się do sieci. W przypadku produktów Microsoftu najsilniejszym protokołem jest EAP-TLS (Extensible Authentication Protocol-Transport Level Security) z uwierzytelnieniem przy pomocy kart kryptograficznych. Inni producenci oferują podobne rozwiązania oparte bądź o karty i infrastrukturę klucza publicznego (PKI), bądź o tokeny z hasłami jednorazowymi (RSA SecurID). Bezpieczne są rozwiązania oparte o protokół ISAKMP (nazywany też IKE lub po prostu IPSec). Tolerowane mogą być protokoły MS-CHAPv2 (Microsoft Challenge Handshake Authentication Protocol Version 2) i EAP (Extensible Authentication Protocol). Unikać należy słabych protokołów PAP (Password Authentication Protocol), SPAP (Shiva Password Authentication Protocol) i CHAP (Challenge Handshake Authentication Protocol).

2. Używaj najsilniejszej dostępnego protokołu szyfrowania danych. Ze względu na oszczędności lub amerykańskie ograniczenia na eksport kryptografii, które obowiązywały do 2000 r. część produktów stosuje protokoły lub algorytmy kryptograficzne, nie zapewniające wystarczającego bezpieczeństwa. Należy do nich zaprojektowany przez Microsoft protokół PPTP, ale produktów stosujących tajne i podejrzane protokoły komunikacji jest więcej. Odporność na ataki przeciwko poufności transmisji zagwarantuje nam stosowanie powszechnie uznanych protokołów takich jak IPSec - w tym ESP (Encapsulation Security Payload), SSL (Secure Sockets Layer) oraz TLS (Transport Level Security). W przypadku produktów Microsoftu jest to protokół L2TP (Layer 2 Tunelling Protocol), ale enkapsulowany w IPSec. Z protokołu PPTP można korzystać tylko w wersji drugiej (PPTPv2, pierwsza jest tragicznie dziurawa) oraz jeśli możemy na 100% zagwarantować stosowanie przez użytkowników bardzo silnych haseł - czyli prawie nigdy.

3. Ogranicz dostęp przez VPN do tych, którzy tego naprawdę potrzebują. Polityka bezpieczeństwa firmy powinna przewidywać dostęp przez VPN tylko dla tych osób, które faktycznie tego potrzebują. Im mniej osób będzie miało dostęp z zewnątrz, tym mniejsza szansa że czyjaś tożsamość zostanie wykorzystana przez osoby niepowołane. Wykorzystaj dostępne w danym produkcie funkcje do ograniczenia logowania przez VPN w nietypowych godzinach. Dając dostęp pracownikom wynajętym do wykonania jakiegoś zadani korzystaj z możliwości zakładania "tymczasowych użytkowników" z ściśle określonym terminem ważności konta ("temporary user" w RSA SecurID).

4. Nie używaj VPN do udostępniania plików. Jeśli musisz bezpiecznie udostępnić zewnętrznej grupie użytkowników jakieś pliki (np. cenniki dla partnerów) to wystaw je na serwerze WWW zamiast dawać im dostęp przez VPN do udziału na serwerze plików. Bezpieczeństwo plików zagwarantuj przez zastosowanie SSL/TLS oraz silnego uwierzytelnienia użytkowników (HTTP Digest lub certyfikaty X.509). Pamiętaj, że dostęp przez VPN to dostęp do wszystkich twoich zasobów, niekoniecznie tylko tych, których potrzebują użytkownicy.

5. Nie uyżywaj VPN do ściągania poczty. Do ściągania poczty daj użytkownikom dostęp przez protokół RPC/HTTP w MS Exchange dla klientów Outlookowych, POP3 lub IMAP dla wszystkich pozostałych. Bezpieczeństwo zagwarantuj wymuszając dostęp do danej usługi po protokole SSL/TLS, który jest albo wbudowany w daną usługę albo realizowany przy pomocy narzędzi takich jak stunnel). W ten sposób ograniczysz zagrożenia opisane w punktach 3 i 4.

6. Wymuszaj stosowanie silnych haseł. Jeśli nie stosujesz silnego uwierzytelnienia za pomocą kart kryptograficznych albo tokenów to musisz liczyć się z tym, że statyczne hasło może zostać odgadnięte lub skradzione. Setki użytkowników Allegro straciły konta, ponieważ ktoś odgadnął trywialne hasła i oszukał innych na ich rachunek. Blokuj ustawianie trywialnych haseł słownikowych ("jola123"). Sprawdź czy Twój produkt pozwala na stosowanie jako haseł całych zdań ("Lytfo Ojczyzno Moia!") i zmuszaj użytkowników do ich stosowania - można je ukraść, ale ich zgadnięcie jest praktycznie niemożliwe. Jeśli użytkownicy VPN uwierzytelniają się hasłem, nie stosuj tego samego hasła do poczty - większość programów pocztowych umożliwia zapamiętywanie haseł, a wyciągnięcie ich z rejestru jest trywialne.

7. Chroń użytkowników przed wirusami i trojanami. Wymuszaj stosowanie antywirusów oraz firewalli osobistych na komputerach klienckich łączących się przez VPN. Jeden zarażony komputer po podłączeniu się do sieci lokalnej przez VPN może zarazić wszystkie pozostałe.

8. Nie dawaje pełnego dostępu do sieci niepewnym komputerom. Jeśli do Twojej sieci przez VPN podłącza się zdalny konsultant i nie masz pewności, co jest zainstalowane w jego systemie, nie dawaj mu pełnego dostępu dopóki nie upewnisz się, że nie rozsiewa wirusów lub koni trojańskich.

9. Określ jednoznacznie politykę korzystania z Internetu. Niektóre firmy wymuszają na zdalnych użytkownikach łączenie do Internetu przez VPN, inne pozwalają na wychodzenie na Internet łączem użytkownika, VPN wykorzystując tylko do korzystania z sieci firmowej. Pierwsze jest oczywiście bezpieczniejsze, drugie - szybsze dla użytkownika. Jeśli z powodu wymogów bezpieczeństwa użytkownicy mają korzystać z Internetu przez firmowy serwer proxy (np. z antywirusem), to upewnij się że na pewno łączą się do VPN ze służbowego notebooka gdzie nie mogą np. zmienić konfiguracji klienta VPN.

10. Pamiętaj o sieciach WLAN po stronie klienta. Wielu użytkowników korzysta w domu z tanich access-pointów WLAN, które domyślnie mają wyłączone zabezpieczenia takie jak WPA (Wifi Protected Access) lub oferuje tylko słabe szyfrowanie WEP (Wired Equivalent Privacy). Intruz w sieci użytkownika szybko może znaleźć się także w sieci firmowej, jeśli na dodatek komputer użytkownika będzie dziurawy. Edukuj użytkowników w zakresie bezpieczeństwa sieci WLAN i powiedz im, jak można włączyć proste ale skuteczne zabezpieczenia takie jak WPA-PSK (WPA Pre-Shared Key).

Na podstawie: "10 tips to secure client VPNs", Martin Heller, Computerworld