Szyfrowanie

Również w przypadku szyfrowania warto stosować najsilniejsze z dostępnych mechanizmów. W wypadku serwerów Windows jest to protokół L2TP/IPSec (Layer Two Tunneling Protocol over Internet Protocol Security). Protokół PPTP (Point-to-Point Tunneling Protocol) należy uznać za słabe zabezpieczenie, zwłaszcza gdy hasła po stronie klienta nie są szczególnie silne i dobrze zabezpieczone.

Natomiast kanały OpenVPN lub SSL (Single Socket Layer) VPN mogą być dobrze zabezpieczane przy wykorzystaniu autentykacji opartej na protokole TSL i SHA1 oraz algorytmów szyfrowania Blowfish lub AES-256.

Kontrola dostępu

Ponieważ każde połączenie VPN to otwarta furtka do sieci LAN, warto ją wykorzystywać tylko wtedy, gdy rzeczywiście jest to potrzebne. Utrzymywanie stałego łącza VPN tylko po to, by ciągle kontrolować napływ poczty elektronicznej lub ściągać standardowe publicznie dostępne pliki bądź dokumenty, jest mało efektywnym wykorzystaniem VPN, które należy odradzać.

Intranet i extranet zamiast VPN

Zamiast VPN do udostępniania poczty elektronicznej oraz standardowych plików i dokumentów warto wykorzystać nie kanały VPN, a serwery WWW i protokół HTTPS, których wydajność można łatwiej skalować, a przede wszystkim unika się otwarcia całej sieci LAN - użytkownik ma dostęp tylko do pojedynczych serwerów i ograniczonych zasobów.

W przypadku poczty elektronicznej obsługiwanej przez Microsoft Exchange wystarczy uruchomić serwer Exchange proxy, który umożliwi klientom Outlooka dostęp do e-maili przy wykorzystaniu protokołu RPC (Remote Procedure Call over HTTP) i SSL do szyfrowania transmisji danych.

W wypadku innych serwerów można uruchomić obsługę POP3 (Post Office Protocol 3) i/lub IMAP (Internet Message Access Protocol) oraz SMTP (Simple Mail Transfer Protocol) do zarządzania odpowiednio odbiorem i wysyłaniem listów, a jednocześnie zastosować SSL do szyfrowania ruchu i uruchomić funkcję bezpiecznego uwierzytelniania SPA (Secure Password Authentication).

W przypadku zdalnych użytkowników, którzy wymagają dostępu nie tylko do swojej poczty, ale również innych komputerów, dobrym rozwiązaniem może być Secure Web Mail.

Dobrze zabezpieczony klient

Warto zadbać, by każdy komputer uzyskujący pełny dostęp do sieci za pośrednictwem VPN był wyposażony w uruchomioną zaporę firewall i zaktualizowane oprogramowanie antywirusowe.

Po zainicjowaniu sesji VPN przez komputer kliencki dobrym rozwiązaniem jest początkowe ograniczenie jego dostępu do zasobów sieci, zanim nie zostanie skontrolowany stan jego zabezpieczeń (aktualizacja, aktywność programów) i ewentualna obecność szkodliwych kodów. Tego typu procedury mogą jednak istotnie spowolnić proces logowania.

Kilka kanałów naraz...

Poważnym zagrożeniem bezpieczeństwa może być jednoczesne uruchomienie kilku kanałów VPN lub niezależnego (omijającego kanał VPN) łącza z Internetem.

Większość aplikacji VPN po uruchomieniu kanału bezpiecznej transmisji z zasady kieruje ruch tylko do niego, ale jest to funkcja opcjonalna i zwykle może być zmieniona przez użytkownika, np. wtedy gdy jest on niezadowolony z wydajności przeglądarki, która nawiązuje łączność z Internetem za pośrednictwem firmowego routera. Niestety w ten sposób omija się wszystkie mechanizmy zabezpieczeń działające w firmowej sieci, a jednocześnie otwiera się ją na potencjalne ataki.

Dlatego warto zadbać, by połączenia z Internetem realizowane za pośrednictwem sieci firmowej były dostatecznie efektywne, a także określić jasną dla użytkowników politykę bezpieczeństwa wyraźnie definiującą, jakie aplikacje lub połączenia mogą oni aktywować po uruchomieniu kanału VPN, a jakich nie powinni.

Domowe sieci zagrożeniem dla korporacji

Wraz z szybko rosnącą popularnością sieci Wi-Fi coraz częściej pracownicy łączą się z siecią firmową w domu za pomocą służbowych notebooków i modemów DSL lub kablowych podłączonych do bezprzewodowego routera.

Niestety bardzo często domowe sieci bezprzewodowe nie mają odpowiednio skonfigurowanych nawet standardowych mechanizmów zabezpieczeń dostępu i są łatwym celem dla ataków hakerskich.

Dlatego z punktu widzenia bezpieczeństwa firmowego lub korporacyjnego systemu IT przeszkolenie pracowników również w zakresie podstawowej konfiguracji zapór firewall i domowych routerów Wi-Fi może tylko zwiększyć poziom bezpieczeństwa.