Dobre praktyki w zakresie określania lokalizacji

Poziom bezpieczeństwa musi opierać się nie tylko na użytkowniku, który jest aktualnie zalogowany, ale także na lokalizacji, z której się łączy i kontekstu takiego połączenia. Obejmuje to typ połączenia, jego poziom bezpieczeństwa itp.

W przypadku laptopa, w stosunku do tego urządzenia należy zastosować trzy różne poziomy polityki, w zależności od jego lokalizacji: wewnątrz sieci korporacyjnej, poza nią lub połączony internetem przez VPN. Inne typy połączeń - takie jak próba łączenia się z internetem przez niezabezpieczone sieci Wi-Fi, które nie przechodzą przez korporacyjna VPN - mogą być blokowane.

Do określania lokalizacji potrzebne jest rozwiązanie, które może wykrywać aktywowane interfejsy sieciowe (jest to konieczne dla VPN Control); może zbierać informacje o IP dla danej maszyny (adres IP, DNS itp.); może używać lokalnych i sieciowych informacji Active Directory do określenia typu maszyny, roli, grupy itp.

Niebezpieczne jest używanie prostej obecności serwera do testowania lokalizacji maszyny, ponieważ w sytuacji, gdy serwer przejdzie w stan offline, lokalizacja przestanie być aktualna i wszystkie stacje robocze będą działać w ramach fałszywych reguł polityki, tak jakby nie były podłączone do sieci korporacyjnej.

W większości organizacji za przydatne można przyjąć następujące rodzaje lokalizacji:

Lokalizacja wewnętrzna: z aktywowanym jedynie interfejsem LAN - należy skontrolować, czy stacja robocza jest uwierzytelniana przez LDAP.

Lokalizacja VPN: z aktywowanym interfejsem VPN i właściwym adresem IP z podsieci VPN.

Lokalizacja zewnętrzna: inna niż wewnętrzna czy VPN.

Przy określaniu trzech ww. lokalizacji, mogą być zastosowane następujące rodzaje polityki:

Polityka wewnętrzna: jedyne dopuszczalne interfejsy LAN to te, które są na białej liście interfejsów sieciowych. Taka reguła uniemożliwia tworzenie nieoczekiwanych (potencjalnie złośliwych lub w inny sposób niebezpiecznych) mostów między innymi interfejsami sieciowymi.

Polityka VPN: ogranicza połączenia wchodzące/wychodzące do wymaganego minimum. Pomaga w zakresie bezpieczeństwa, jak również pozwala oszczędzać pasmo VPN.

Polityka zewnętrzna: zewnętrzne połączenia sieciowe powinny być dostępne przez ograniczony czas i tylko do ustanawiania połączeń VPN. Scenariusz użytkownika podłączonego przez hot spot musi być testowany w pierwszej kolejności. Następnie użytkownik powinien mieć otworzone okno dopuszczenia. Dobry przedział czasowy to 3 minuty, podczas którego może otworzyć połączenie webowe (http/https), w celu uwierzytelnienia na portalu hot spota (np. w hotelu). Po jego uwierzytelnieniu, może być ustanowione połączenie VPN.