Ochrona punktów końcowych sieci - najlepsze praktyki
- Józef Muszyński,
- Linda Musthaler,
- 05.09.2012, godz. 09:00
Dobre praktyki w zakresie określania lokalizacji
Poziom bezpieczeństwa musi opierać się nie tylko na użytkowniku, który jest aktualnie zalogowany, ale także na lokalizacji, z której się łączy i kontekstu takiego połączenia. Obejmuje to typ połączenia, jego poziom bezpieczeństwa itp.
W przypadku laptopa, w stosunku do tego urządzenia należy zastosować trzy różne poziomy polityki, w zależności od jego lokalizacji: wewnątrz sieci korporacyjnej, poza nią lub połączony internetem przez VPN. Inne typy połączeń - takie jak próba łączenia się z internetem przez niezabezpieczone sieci Wi-Fi, które nie przechodzą przez korporacyjna VPN - mogą być blokowane.
Do określania lokalizacji potrzebne jest rozwiązanie, które może wykrywać aktywowane interfejsy sieciowe (jest to konieczne dla VPN Control); może zbierać informacje o IP dla danej maszyny (adres IP, DNS itp.); może używać lokalnych i sieciowych informacji Active Directory do określenia typu maszyny, roli, grupy itp.
Niebezpieczne jest używanie prostej obecności serwera do testowania lokalizacji maszyny, ponieważ w sytuacji, gdy serwer przejdzie w stan offline, lokalizacja przestanie być aktualna i wszystkie stacje robocze będą działać w ramach fałszywych reguł polityki, tak jakby nie były podłączone do sieci korporacyjnej.
W większości organizacji za przydatne można przyjąć następujące rodzaje lokalizacji:
Lokalizacja wewnętrzna: z aktywowanym jedynie interfejsem LAN - należy skontrolować, czy stacja robocza jest uwierzytelniana przez LDAP.
Lokalizacja VPN: z aktywowanym interfejsem VPN i właściwym adresem IP z podsieci VPN.
Lokalizacja zewnętrzna: inna niż wewnętrzna czy VPN.
Przy określaniu trzech ww. lokalizacji, mogą być zastosowane następujące rodzaje polityki:Polityka wewnętrzna: jedyne dopuszczalne interfejsy LAN to te, które są na białej liście interfejsów sieciowych. Taka reguła uniemożliwia tworzenie nieoczekiwanych (potencjalnie złośliwych lub w inny sposób niebezpiecznych) mostów między innymi interfejsami sieciowymi.
Polityka VPN: ogranicza połączenia wchodzące/wychodzące do wymaganego minimum. Pomaga w zakresie bezpieczeństwa, jak również pozwala oszczędzać pasmo VPN.
Polityka zewnętrzna: zewnętrzne połączenia sieciowe powinny być dostępne przez ograniczony czas i tylko do ustanawiania połączeń VPN. Scenariusz użytkownika podłączonego przez hot spot musi być testowany w pierwszej kolejności. Następnie użytkownik powinien mieć otworzone okno dopuszczenia. Dobry przedział czasowy to 3 minuty, podczas którego może otworzyć połączenie webowe (http/https), w celu uwierzytelnienia na portalu hot spota (np. w hotelu). Po jego uwierzytelnieniu, może być ustanowione połączenie VPN.