GNU/Linux >> Znalost Linux >  >> Panels >> OpenVPN

Posilování VPN:Co to je a jak na to

Kybernetická bezpečnost je ze své podstaty složitá. Zahrnuje hardware a software, stejně jako nejsložitější součást – skutečné lidské bytosti. Někdy však mohou i ta nejjednodušší opatření znamenat významný rozdíl.

To je případ zpevnění VPN (virtuální privátní sítě).

Řešení VPN pro vzdálený přístup byla oblíbená u firem všech velikostí již v době, kdy udeřil COVID-19. Usnadňují zaměstnancům bezpečný přístup k firemní síti, aby získali data a aplikace, které potřebují ke své práci, když nejsou v kanceláři. Opatření související s COVID vytvořila velkou populaci vzdálených zaměstnanců pracujících na domácím nebo veřejném WiFi a VPN byly klíčem k udržení produktivity a obchodních operací tím, že umožňovaly zabezpečené přenosy.

Řešení VPN je klíčem k zachování tří základních principů zabezpečení informací, kterými jsou důvěrnost, integrita a dostupnost.

Kromě bezpečného připojení uživatelů k interní síti společnosti a zdrojům, které se v této síti nacházejí, je řešení VPN klíčem k zachování tří základních principů zabezpečení informací, kterými jsou důvěrnost, integrita a dostupnost:

  • Důvěrnost: Přístup k citlivým údajům a oprávnění je upravovat je omezeno na oprávněné uživatele (např. vícefaktorové ověřování, digitální certifikáty).
  • Integrita: Aby byla zajištěna přesnost dat, je zabráněno záměrné i neúmyslné úpravě dat.
  • Dostupnost: Zaměstnanci jsou oprávněni přistupovat ke zdrojům, které potřebují, bez ohledu na to, kde se nacházejí.

Jedna věc, kterou je třeba poznamenat:tento článek se zaměřuje na tunelovací protokol OpenVPN, nikoli na zabezpečení internetového protokolu (IPSec), protokol Tunneling Layer 2 (L2TP), protokol tunelování Point-to-Point (PPTP), Secure Sockets Layer (SSL) a Transport Layer Security (TLS) nebo Secure Shell (SSH).

Když poskytovatelé neplánují zabezpečení, implementují řešení s nebezpečnými zadními vrátky.

Zaměření na OpenVPN je způsobeno skutečností, že když se podíváte pod pokličku mnoha VPN, postavily své produkty na otevřeném zdrojovém kódu OpenVPN. Je to standard protokolu VPN. Ale jak jsme viděli u některých nedávných zranitelností, tito poskytovatelé musí být se svými implementacemi chytří. Pokud neplánují zabezpečení, implementují řešení s nebezpečnými zadními vrátky. Totéž platí pro to, jak nastavíte VPN pro vaši firmu. Zatímco naše firemní produkty VPN, OpenVPN Cloud a OpenVPN Access Server, poskytují silné zabezpečení a šifrování, způsob, jakým implementujete řešení ve vašem prostředí, vás může otevřít zranitelnostem. I když se ve výchozím nastavení snažíme věci nastavit bezpečně, mohou ve vašem prostředí existovat faktory, které by mohly způsobit problém. Je důležité dodržovat osvědčené postupy.

Naštěstí se správnými nástroji mohou správci sítě zajistit dostupnost vzdáleným pracovníkům, udržet firemní síť silnou a zastavit zlé aktéry pokoušející se o ransomware, DNS hijacking nebo řadu dalších kybernetických útoků.

Co je to VPN Hardening?

Když zaměstnanci pracují na dálku – z domova, hotelu nebo libovolného počtu dalších míst – posílají informace o společnosti tam a zpět ze svých mobilních zařízení. Pohodlí je skvělé, ale hackeři a kyberzločinci touží získat tyto informace. Pokud se však zaměstnanci připojují k podnikové síti pomocí připojení VPN, jejich internetová aktivita je zašifrována a skryta před kyberzločinci a jejich IP adresa může být skryta za IP adresou VPN serveru.

Síť VPN nebo jakékoli jiné opatření pro zabezpečení sítě není návrhem typu „set-it-and-forget-it“.

Ale jen to tam mít nestačí. VPN nebo jakékoli jiné opatření pro zabezpečení sítě není návrhem typu „set-it-and-forget-it“. Sítě VPN je třeba neustále kontrolovat na aktualizace a mezery, stejně jako jakákoli jiná zařízení nebo programy, které čelí internetu. A samozřejmě je třeba zaměstnancům připomínat důležitost jejich používání. V tom spočívá posilování VPN:auditování nejzákladnějších prvků firemní VPN, aby se potvrdilo, že fungují správně a efektivně. Pokud audit odhalí slabá místa, musí být posílena obrana. Ještě lépe se ujistěte, že vaše VPN nabízí více než jen šifrování – čím více bezpečnostních opatření máte, tím silnější bude vaše síť.

Obecné pokyny, jak zpevnit zařízení VPN

Zpevnění zařízení VPN je prvním krokem v celkovém plánu zpevnění. K tomu by správci měli:

  • Zpevněte vzdálenou správu – ke správě zařízení VPN nepoužívejte nezabezpečené protokoly (např. Telnet, HTTP); držte se SSH, HTTPS nebo jiných šifrovaných protokolů. Nepoužívejte pouze hesla pro SSH; místo toho použijte klíče SSH. Pro přihlášení HTTPs zvažte povolení MFA (vícefaktorové ověřování).
  • Implementujte ověřování a autorizaci – Omezte správu zařízení na ověřené uživatele, kteří jsou oprávněni spouštět pouze příslušné nezbytné příkazy.
  • Omezit služby a protokoly – Omezte služby a protokoly spuštěné na zařízení VPN na minimum potřebné k přijímání a ukončování připojení.
  • Poskytujte redundanci a odolnost proti chybám – Chcete-li se bránit selhání, implementujte redundantní konfiguraci odolnou proti chybám, která bude i nadále přijímat příchozí tunely VPN, pokud zařízení selže.
  • Omezit přístup – Když zařízení VPN potřebuje přístup ke zdrojům, můžete se rozhodnout omezit přístup pouze na potřebné zdroje – není třeba udělovat přístup k celé síti.

Konkrétní:Hardening OpenVPN Access Server

Uživatelé OpenVPN Access Server mohou podniknout různé kroky k posílení svého zabezpečení. Máme zde obsáhlejšího průvodce, ale jeho přehled je:

  1. Aktualizujte svůj OpenVPN Access Server na nejnovější verzi.
  2. Ujistěte se, že je zabezpečen uživatelský účet root.
  3. Zabezpečte výchozí účet správce.
  4. Nainstalujte do webového rozhraní platný webový certifikát SSL.
  5. Zpevněte řetězec šifrovací sady webového serveru.

OpenVPN Open Source Community Resources for VPN Hardening

Konečně jednou z nejlepších věcí na OpenVPN je jeho open source původ. To znamená, že produkty OpenVPN mají mimořádné množství informací o podpoře poskytované bezpečnostní komunitou, která neustále hledá bezpečnostní rizika a způsoby, jak je zmírnit. Fórum podpory OpenVPN zahrnuje diskuse o řadě projektů a řešení, včetně Microsoft Windows, macOS, Android, iOS a Linux, a také OpenVPN Connect, našeho klientského softwaru VPN.

Produkty OpenVPN mají mimořádné množství informací o podpoře.

Co je dobré vědět: Národní bezpečnostní agentura (NSA) a Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) zveřejnily tento společný informační list o kybernetické bezpečnosti v září. Nastiňuje úvahy pro výběr VPN a doporučení pro bezpečné nasazení. Stáhněte si zprávu a zjistěte více o posílení VPN snížením plochy útoku serveru VPN:

  • Konfigurace silné kryptografie a ověřování .
  • Spouštění pouze nezbytných funkcí .
  • Ochrana a sledování přístupu k síti VPN az ní .

Závěr

Práce na dálku, ať už po celou dobu nebo jen částečně, tu zůstane. Možnost pracovat kdekoli, kde je k dispozici připojení k internetu, poskytuje výhody jak zaměstnancům, tak zaměstnavatelům, ale také vyžaduje věnovat zvýšenou pozornost potenciálním bezpečnostním problémům. Upevňování VPN je kritickou součástí zabezpečení sítě, která střeží zdroje společnosti a zachovává nezbytnou funkčnost pro uživatele.


OpenVPN

  1. Co je Makefile a jak funguje?

  2. Co je příkaz Chown v Linuxu a jak jej používat

  3. Co je to pošta a jak se v ní orientuje?

  1. Co je Hadoop Mapreduce a jak to funguje

  2. Co je příkaz cURL a jak jej používat?

  3. Co je to SSL VPN?

  1. Co je Git Upstream a jak nastavit Upstream Branch

  2. Co je Umask a jak jej používat

  3. Co je vyvažování zátěže? Definice a jak to funguje