Carder
Professional
- Messages
- 2,619
- Reaction score
- 1,877
- Points
- 113
Подключения к виртуальной частной сети (VPN) могут быть эффективным средством обеспечения удаленного доступа к сети; однако злоумышленник может использовать VPN-соединения для получения доступа к сети, не полагаясь на вредоносные программы и скрытые каналы связи. Этот документ определяет меры безопасности, которые следует учитывать при реализации VPN-подключений.
Этот документ определяет меры безопасности, которые следует учитывать при реализации VPN-подключений. В этом документе не обсуждаются различные технологии, участвующие в установлении соединений VPN, протоколы и алгоритмы, используемые для защиты соединений VPN, а также способы установления соединений VPN.
В целях данного документа термин «сеть VPN типа« сеть-сеть »используется для обозначения соединения между двумя сетями либо через выделенные каналы связи, либо через Интернет, а термин« VPN с удаленным доступом »используется для обозначения для пользователей, подключающихся к сети из удаленного местоположения через Интернет.
Кроме того, разрешения, применяемые к учетным записям пользователей VPN, должны быть ограничены требуемым уровнем доступа каждого пользователя. Это минимизирует серьезность успешного компромисса. Учетные записи пользователей VPN с минимальными разрешениями, которые могут выполнять только основные операции в сети, также будут препятствовать способности злоумышленника закрепиться в сети.
Наконец, доступ к приложениям, серверам и общим ресурсам в сети должен предоставляться только там, где это необходимо пользователям для выполнения своих обязанностей. Например, если пользователю нужен только доступ к почтовым службам, ему следует запретить доступ к файловым серверам.
Для VPN-подключений следует использовать многофакторную аутентификацию. Если многофакторная аутентификация реализована правильно, злоумышленнику будет труднее успешно использовать сеть, поскольку для получения доступа необходимо скомпрометировать несколько факторов аутентификации для учетных записей.
Если конечная точка VPN получает запрос на подключение, она должна аутентифицировать устройство в дополнение к пользователю. VPN-соединение должно быть прервано, если аутентификация устройства или пользователя не удалась. Попытку подключения с устройства, не прошедшего проверку подлинности, следует рассматривать как подозрительную и регистрировать ее для дальнейшего расследования.
На следующей схеме показан упрощенный пример правильного завершения VPN-соединения в DMZ.
На следующей диаграмме показан упрощенный пример неправильного завершения соединения VPN в DMZ.
Если реализация VPN типа «сеть-сеть» не поддерживает управление источниками подключения, записи журнала подключений VPN следует отслеживать на предмет аномалий. Если в журналах VPN-подключений появляется неутвержденный источник, его следует рассматривать как подозрительный и регистрировать для дальнейшего расследования.
Информация о VPN-соединении, которая должна регистрироваться, если доступна, включает:
Введение
Подключения к виртуальной частной сети (VPN) могут быть эффективным средством обеспечения удаленного доступа к сети; однако злоумышленник может использовать VPN-соединения для получения доступа к сети, не полагаясь на вредоносные программы и скрытые каналы связи.Этот документ определяет меры безопасности, которые следует учитывать при реализации VPN-подключений. В этом документе не обсуждаются различные технологии, участвующие в установлении соединений VPN, протоколы и алгоритмы, используемые для защиты соединений VPN, а также способы установления соединений VPN.
В целях данного документа термин «сеть VPN типа« сеть-сеть »используется для обозначения соединения между двумя сетями либо через выделенные каналы связи, либо через Интернет, а термин« VPN с удаленным доступом »используется для обозначения для пользователей, подключающихся к сети из удаленного местоположения через Интернет.
Учетные записи пользователей
Учетные записи пользователей для VPN-подключений должны быть отделены от стандартных учетных записей пользователей. Это ограничит действия, которые может выполнить злоумышленник в случае взлома учетной записи пользователя VPN.Кроме того, разрешения, применяемые к учетным записям пользователей VPN, должны быть ограничены требуемым уровнем доступа каждого пользователя. Это минимизирует серьезность успешного компромисса. Учетные записи пользователей VPN с минимальными разрешениями, которые могут выполнять только основные операции в сети, также будут препятствовать способности злоумышленника закрепиться в сети.
Наконец, доступ к приложениям, серверам и общим ресурсам в сети должен предоставляться только там, где это необходимо пользователям для выполнения своих обязанностей. Например, если пользователю нужен только доступ к почтовым службам, ему следует запретить доступ к файловым серверам.
Многофакторная аутентификация
Злоумышленники часто пытаются украсть учетные данные для взлома сети. Эти учетные данные позволяют им легко распространяться в сети и проводить вредоносные действия без установки дополнительных эксплойтов, тем самым снижая вероятность обнаружения. Злоумышленники также часто пытаются украсть учетные данные для VPN-подключений, поскольку это может еще больше замаскировать их действия.Для VPN-подключений следует использовать многофакторную аутентификацию. Если многофакторная аутентификация реализована правильно, злоумышленнику будет труднее успешно использовать сеть, поскольку для получения доступа необходимо скомпрометировать несколько факторов аутентификации для учетных записей.
Аутентификация устройства
Аутентификация устройства гарантирует, что устройство, устанавливающее VPN-соединение, одобрено для этих целей. Аутентификация устройства применима как к сетям VPN типа «сеть - сеть», так и к сетям VPN удаленного доступа и обычно принимает форму сертификата, выдаваемого устройству. Устройство и, соответственно, сертификат устройства могут быть привязаны или не быть привязаны к конкретному пользователю.Если конечная точка VPN получает запрос на подключение, она должна аутентифицировать устройство в дополнение к пользователю. VPN-соединение должно быть прервано, если аутентификация устройства или пользователя не удалась. Попытку подключения с устройства, не прошедшего проверку подлинности, следует рассматривать как подозрительную и регистрировать ее для дальнейшего расследования.
Точки подключения VPN
Устройства, используемые для соединений VPN, имеют такой же потенциал взлома, как и корпоративные рабочие станции. Если устройство, использующее VPN-соединение, скомпрометировано, существует угроза безопасности, оно может быть использовано для взлома подключенных сетей. Из-за этого весь VPN-трафик следует рассматривать как ненадежный и потенциально вредоносный и подвергать такому же контролю, как и любые внешние коммуникации. С этой целью точки завершения VPN должны находиться в DMZ, чтобы обеспечить надлежащую проверку и аудит незашифрованного трафика VPN до входа в сеть и выхода из нее.На следующей схеме показан упрощенный пример правильного завершения VPN-соединения в DMZ.
На следующей диаграмме показан упрощенный пример неправильного завершения соединения VPN в DMZ.
Раздельное туннелирование
Устройства, получающие доступ к сети через VPN-соединение, должны отключить раздельное туннелирование. Разделенное туннелирование позволяет одновременно подключать устройство к сети организации и напрямую к Интернету. Организации должны убедиться, что просмотр веб-страниц с устройства, подключенного к VPN-соединению, осуществляется через их интернет-шлюз, а не через прямое подключение к Интернету. Если устройство, используемое для VPN-подключений, уже было взломано, раздельное туннелирование может позволить злоумышленнику взаимодействовать с сетью организации в режиме реального времени, облегчая злоумышленнику достижение своих целей.Управление источниками подключения
Если реализация VPN типа «сеть-сеть» поддерживает управление источниками подключения, следует реализовать список утвержденных MAC- или IP-адресов, чтобы разрешать VPN-подключения только из утвержденных источников. Это предотвратит попытки несанкционированного подключения, даже если были предоставлены законные учетные данные.Если реализация VPN типа «сеть-сеть» не поддерживает управление источниками подключения, записи журнала подключений VPN следует отслеживать на предмет аномалий. Если в журналах VPN-подключений появляется неутвержденный источник, его следует рассматривать как подозрительный и регистрировать для дальнейшего расследования.
Эффективное ведение журнала и анализ журнала
Эффективная регистрация и анализ журналов VPN-подключений жизненно важны для учета действий, выполняемых в сети. Эффективное ведение журнала также обеспечивает центральное хранилище информации в случае попытки или успешного взлома. Эффективный анализ журналов также помогает своевременно обнаруживать вредоносные и другие несанкционированные действия.Информация о VPN-соединении, которая должна регистрироваться, если доступна, включает:
- Информация для аутентификации - любая информация о сертификате, предоставляемая при установке VPN-соединения с использованием сертификата, учетных данных пользователя VPN, а также любая информация об удаленном хосте и времени любых неудачных попыток аутентификации.
- Информация о сеансе - время установления VPN-соединения, продолжительность соединения и объем переданных данных.
- Выполненные действия - действия, выполняемые пользователями VPN, особенно связанные с конфиденциальными ресурсами.
- Информация об удаленном хосте - любая идентифицирующая информация об удаленном хосте, такая как операционная система, IP-адрес, MAC-адрес и имя хоста.
