Die Konferenz, an der ich diese Woche hätte teilnehmen sollen, wurde kurzfristig aufgrund des Corona-Virus abgesagt. Da das Virus mittlerweile auch die Schweiz erreicht hat, werden sich viele Firmen Gedanken machen, wie sie ihre Mitarbeiter schützen und den Betrieb aufrechterhalten können. Ein beliebtes Konzept dürfte sein, dass die Mitarbeiter soweit möglich per Home-Office arbeiten. Deswegen möchte ich heute einige Tipps für einen sicheren Remote-Access geben, damit die bösen Viren oder Buben nicht vom Home-Office in das Firmen-Netzwerk übergreifen können.
Sichere Verschlüsselung verwenden
Damit die Daten zwischen Client und VPN-Gateway geheim bleiben, ist der Einsatz von sicheren Verschlüsselungs-Algorithmen von zentraler Bedeutung. Leider sehe ich in der Praxis immer wieder, dass bei dem Punkt nachlässig gearbeitet wird. Oftmals treffe ich VPN-Konfigurationen an, welche vor einigen Jahren erstellt wurden und seitdem nie mehr angepasst worden sind. Algorithmen und Hash-Funktionen, welche damals als sicher galten, sind heute längst gebrochen. Deswegen sollte die Konfiguration regelmässig überprüft und angepasst werden.
Sichere Authentisierung
Das A und O für sicheren Remote-Access ist die Authentisierung der Clients/Benutzer. Es ist haarsträubend wie oft ich VPN-Zugänge sehe, welche nur mit dem AD-Passwort abgesichert sind. Am besten bietet man dann noch ein Web-Portal an, damit die lieben Benutzer sich von jeglichen, mit Key-Loggern verseuchten Computern einwählen können. Man möchte es den Angreifern schliesslich nicht zu schwer machen. Spass beiseite, Multi-Factor-Authentication (MFA) ist für Remote-Access absolut Pflicht. Optimalerweise wird auf den Gebrauch des AD-Passworts komplett verzichtet. Am besten verwendet man zudem Zertifikate, um seine firmeneigenen Geräte zu identifizieren. Also wird z.B. der Client mittels Zertifikat authentifiziert, erst dann darf sich der Benutzer mittels MFA anmelden. Wer es ganz sicher mag, verwendet Smart-Cards für die Authentisierung.
Mehr Informationen zu dem Thema findet man hier (www.tec-bite.ch/was-ist-die-beste-authentication-part-1/) in den Posts von meinem Kollegen mephisto.
Kein Split-Tunneling
Auf Split-Tunneling sollte, Ausnahmen vorbehalten, verzichtet werden. Stattdessen sollte jeglicher Traffic (auch Internet-Verkehr) über das VPN geführt werden. Internet-Zugriffe können so von den Sicherheitsfunktionen im Firmennetzwerk geprüft werden. Andernfalls wäre es möglich, dass ein Angreifer über einen C&C-Kanal ins Internet direkten Zugriff auf das Firmen-Netzwerk erhält.
Eine sinnvolle Ausnahme wäre der Zugriff auf einen Cloud-Proxy wie Zscaler. Da das Firmen-Netzwerk bei dem Zugriff keine zusätzliche Sicherheit bringt, ist es aus Gründen der Latenz besser, dies direkt über das Internet zu senden. Wie das genau aufgebaut wird, könnt ihr hier nachlesen: www.tec-bite.ch/working-together-vpn-und-web-access-mit-split-tunneling-sauber-kombinieren/.
Compliance Checks
Nach dem Öffnen der Verbindung, sollte der Client noch geprüft werden. Wird beim Verbindungsaufbau nur der Benutzer authentisiert, sollte anschliessend geprüft werden, ob es sich um einen Corporate-Client handelt. Ist dies nicht der Fall, sollten entsprechend andere Policies greifen oder die Verbindung getrennt werden. Weitere Checks wären z.B. ob der Client über aktuelle Windows- oder AV-Patterns verfügt. Falls dem nicht so ist, sollte in einem ersten Schritt nur Zugriff auf die zugehörigen Update-Server erlaubt werden.
Identity based Policies
Die Firewall Policies für den Remote-Access sollten sinnvoll konfiguriert werden. Das beschränkt sich jetzt aber nicht nur auf die Policies für den Remote-Access, sondern ist generell ein anzustrebendes Ziel. Leider sehe ich bei vielen Firmen immer wieder Policies, welche den Zugriff ins gesamte interne Netz erlauben. Nicht selten kommt es vor, dass Benutzer über Remote-Access mehr Zugriffe haben, als wenn sie im internen Netz arbeiten. Um die Policies einfacher zu gestalten, können identitätsbasierende Regeln verwendet werden. Die Regeln gelten also nicht nur simpel für IP-Bereiche sondern speziell für spezifische Benutzer oder Gruppen. Dabei kann man sich Fragen stellen wie z.B. Muss ein HR-Mitarbeiter wirklich auf Applikationen der Buchhaltung zugreifen können? Abschliessend ist zu erwähnen, dass Identity based Policies natürlich auch im internen Netz Sinn machen. Mehr dazu vielleicht in einem späteren Post.
Das waren nun einige Tipps für sicheren Remote-Access. Die Liste ist natürlich nicht abschliessend, sollte aber einen groben Überblick über die wichtigsten Punkte geben. Am besten gleich implementieren bevor der Bundesrat den Home-Office-Zwang verordnet. Dann kann die neue Konfiguration gleich auf Herz und Nieren geprüft werden :-). Viele Firmen dürften übrigens in einem solchen Fall über zu wenige Lizenzen verfügen, da diese oftmals per «concurrent User» lizenziert werden. Hier lohnt es sich, das Lizenz-Modell zu prüfen. Einige Hersteller bieten sogenannte «In Case of Emergency (ICE)» Lizenzen an. Diese Lizenzen sind genau für solche Ausnahme-Situationen gedacht, in welchen gezwungenermassen die Anzahl verbundener Benutzer massiv ansteigt.
The_Unicorn
The_Unicorn ist Principal Security Engineer bei AVANTEC. Die Lösungen von Check Point, Fortinet und Vectra haben es ihm besonders angetan. The_Unicorn hat Informatik studiert. Seine Leidenschaft neben IT-Security ist Fussball.