VPN je nezbytný prvek pro zajištění bezpečného přístupu do sítě organizace. Pokud má spolehlivě fungovat, musí být správně implementovaná, zkonfigurována a pravidelně aktualizována. Proč je tato technologie klíčová a na co si dát při jejím provozu pozor?
VPN neboli virtuální privátní síť je dnes nezbytná pro bezpečné spojení s organizací mimo interní síť. Společně s kvalitní antivirovou ochranou a správně zkonfigurovaným firewallem umožňuje uživatelům bezpečně pracovat odkudkoliv s firemními daty.
VPN můžeme rozdělit na dva základní typy: Firemní, které se používají pro navázání bezpečného spojení do organizace z externích sítí. Tyto VPN si většinou provozují sami organizace. Další typ VPN mohou použít soukromí uživatelé a s firemní bezpečností nemají nic společného, naopak slouží pro "bezpečné" brouzdání po internetu.
VPN připojení je vhodné vytočit pokaždé, kdy zaměstnance používá počítač mimo organizaci. Ať vaši zaměstnanci pracují z domovů, jsou na služebních cestách nebo kdykoli používají veřejnou Wi-Fi síť. VPN vytvoří zabezpečený tunel mezi zaměstnancem a organizací.
Proč si VPN pořídit?
Terčem útočníků může být jakákoli veřejná síť. Díky VPN se nemusíte obávat rizik spojených s používáním veřejných sítí. VPN veškerý datový provoz bezpečně zašifruje a ochrání před případným odposlechem.
Jednou z hrozeb, před kterou VPN chrání je útok typu man-in-the-middle (MitM), během kterého mohou útočníci zachytit komunikaci a data mezi dvěma účastníky. Útočníci mohou uživateli ukázat vlastní verzi webu a přidávat vlastní zprávy, a pomocí takové manipulace získat další data či infikovat zařízení. VPN provedení tohoto útoku přinejmenším výrazně ztíží.
Jak správně nastavit bezpečnou VPN?
Administrátoři často interní systémy zpřístupní zaměstnancům jednoduše přes internet. Z hlediska bezpečnosti tento postup nelze doporučit, zvyšuje se tak útočná plocha. Dobře implementovaná VPN je dnes nezbytný preventivní krok. Navíc pro řadové uživatele nepředstavuje žádné nepohodlí nebo komplikace. Pro mitigaci rizik doporučujeme v ESETu dodržovat alespoň základní pravidla.
Používejte nejaktuálnější verzi softwaru pro VPN
Firmy by si měly být jisté, že je jejich VPN vždy aktuální. V minulých měsících útočníci zneužili například zranitelnost softwaru Pulse pro připojení k virtuální privátní síti a instalovali do napadených sítí ransomware. Jakmile se útočníkům podaří vaši síť kompromitovat, mohou se dostat k aktivním uživatelům a jejich přihlašovacím údajům v nezašifrované, čitelné podobě.
Zajistěte bezpečné přihlášení k VPN
Doporučujeme všem firmám nastavit si přísnou politiku hesel. Cílem je tvořit silná hesla, která odolají brute-force a slovníkovým útokům. Existují v zásadě dvě možnosti: vytvořit řetězec znaků kombinující malá a velká písmena, číslice i speciální znaky; nebo tvořit heslové fráze, které jsou jednodušší ale o to delší.
Výhodou heslových frází je, že mohou tvořit pro uživatele snadno zapamatovatelné věty, například "Hypotékudoplatímaž10.března2050”.
"Je-li to možné, doporučujeme implementovat vícefaktorovou autentizaci uživatelů."
Omezte počet pokusů o přihlášení
Z dat víme, že nejčastější způsob, jak útočníci prolamovali RDP protokoly v roce 2020, byl brute-force a slovníkový útok na hesla. Proti těm je možné se snadno chránit pomocí tvorby odolných hesel a také zamknutím účtu po sérii neúspěšných pokusech. Doporučujeme nastavit adekvátní počet pokusů pro přihlášení a po jejich přesáhnutí účet automaticky uzamknout.
Některé VPN umožňují po sérii neúspěšných přihlášení zablokovat IP adresu, ze které přihlášení probíhá. Při útoku, který probíhá delší dobu, tak nemusí být trvale blokován účet dotčeného uživatele.
Filtrujte tok dat přes VPN
Kybernetičtí útočníci poměrně často zkouší prolomit různé protokoly pro práci na dálku. V minulém roce se jednalo zejména o RDP, ale není důvod se domnívat, že VPN zůstanou ušetřeny. Proto doporučujeme nastavit pravidla filtrování provozu, abyste omezili porty, protokoly a IP adresy síťového provozu na zařízení VPN. Pokud nemáte konkrétní filtr adres IP, můžete pro kontrolu a monitorování provozu protokolu IPsec použít firewall.
Kontrolujte a aktualizujte nastavení
VPN nenechávejte ve výchozím nastavení, přizpůsobte konfiguraci systému tak, aby odpovídala bezpečnostním standardům a potřebám vaší společnosti.
Pravidelnou aktualizací a kontrolou konfigurace jde předejít tzv. mrtvým duším, neaktivním účtům, které mohou být zneužity útočníky pro přístup do organizace. Nastavení VPN (nejen VPN) důkladně dokumentujte, aby se znalost konfigurace systému neopírala o konkrétní osobu.
"Vždy pamatujte na to, že vzdálený přístup má mít pouze zaměstnanec, který ho pro svou práci potřebuje. Není ideální zřídit bezmyšlenkovitě vzdálené přístupy všem bez rozdílů."
Instalujte na VPN patche a aktualizace
Instalace oprav a aktualizací VPN výrazně zvyšuje zabezpečení této technologie. Doporučujeme vždy bez zbytečných odkladů aplikovat poslední dostupné aktualizace a bezpečností záplaty pro VPN servery. Pravidelnou aplikací bezpečnostních záplat odstraníte riziko zneužít objevené zranitelnosti. Zneužití zranitelnosti může vést k úspěšnému kybernetickému útoku.