Nastavujeme bezpečnostní politiku pro firemní notebooky určené pro zaměstnance IT i ne-IT.
Uživatelé připojující se mimo kancelář se připojují k naší síti přes SSL VPN klienta.
Tito samí uživatelé se připojují k firemní síti přes LAN, když jsou na místě.
Rozhodli jsme se ukončit rozdělené tunelování, aby uživatelé byli vždy online přes VPN.
Mám několik obav, na které se snažím získat radu:
1- Uživatelé by měli být schopni dosáhnout VPN serveru a SaaS založenému správci mobilních zařízení z notebooku, když jsou připojeni ke své domácí síti nebo veřejnému hotspotu.
2- Jak zajistíte, aby uživatel nemohl přistupovat k internetu bez připojení k VPN síti?
2- Dále, jak můžeme zajistit, že tyto notebooky se nezatrácejí od virů/malwaru v jejich síti, které by mohly ohrozit zero-day. Přestože TRA a bezpečnostní kontrolní seznam jsou dokončeny a splněny.
3- Nakonec, žádný malware nesmí být předán interním serverům a nebo zdrojům.
4- Když se připojí k firemní síti LAN, není nutné žádné změny na notebooku pro připojení.
5- Jak je možné je vzdáleně připojit pro technickou podporu, ať už s VPN nebo bez ní.
Tady je helpdesk IT 1. řádu - omlouvám se za nedostatek vstupů, jen sdílím to, co vím (ne úplně hodně)…
používáme přímý přístup VPN pro uživatele, kteří se připojují k síťovým diskům a přístup k místním serverům. také jsme nastavili rozdělené tunelování, ale tunel prochází přes Zscaler web proxy, což nám umožňuje monitorovat webový provoz.
máme endpoint ochranu, která blokuje přístup uživatelů na webové stránky podporující malware.
omlouvám se, jestli jsem nějaké termíny špatně pochopil.
Už jste dostali spoustu dobrých rad, ale rád bych přidal drobnost, která mě zmátla, když jsem to prvně nastavoval.
Pokud používáte Win10/11 Pro, Always On se automaticky nepřipojí k VPN. Tato funkce vyžaduje Win10/11 Enterprise.
Pokud máte Enterprise, máte v podstatě i splněn problém č. 2. Always On se nebude ptát “ne” a bude se stále znovu připojovat, i když se ho snažíte vypnout (bez administrátorských práv a odstranění připojení). Můžete zablokovat přístup k koncentrátoru VPN na síti, kterou se snažíte použít “bez VPN”, ale osobně jsem to nezkoušel, tak nevím, co se stane potom.
Pokud již používáte Palo Alto, podívejte se na Prisma Access. Veškerý provoz je směrován do místního PA uzlu. Veškerý internetový provoz je filtrován podle stejných politik jako vaše firewally/datové filtry. Veškerý provoz do vaší sítě je směrován přes tunel do vašeho datového centra.
0. Podívejte se na přechod na IPSEC VPN, ale to není hlavní bod.
1. Ano, umístěte to do DMZ.
2/4. Windows může mít různé firewallové pravidla pro různé typy sítí (veřejné/soukromé/ doménové). Nastavte firewall Windows tak, aby povoloval spojení pouze přímo s VPN serverem a místními IP (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16). Zakázat uživatelům měnit firewall buď odstraněním administrátorských práv nebo pomocí GPO. Dále nastavte “normální” firewall Windows pro doménové sítě, který umožní vše, co povolíte dnes, to se bude vztahovat jak na VPN, tak na LAN uživatele.
2½/3. Kupte si endpoint ochranu vyšší třídy: Malwarebytes (korporativní verze s centrální správou), Cisco AMP nebo cokoli jiného s centrální správou. Také nastavte spoustu ACL mezi vaší VPN/LAN a servery, nenechte je na stejné síti.
5. TeamViewer nebo něco podobného, mějte na paměti, že to budete muset povolit ve veřejném/soukromém Windows firewallu, který jste nastavili dříve.
Pracujeme na podobné situaci. V našem případě je používán AnyConnect pro přístup k místním zdrojům, které používají RADIUS/AD ověřování. Tento VPN profil je momentálně rozdělený, webové filtrování provádí proxy (iboss).
To, na co se aktuálně zaměřujeme, je zjednocení přes Zscaler ZIA a ZPA, které konsoliduje jak AnyConnect, tak iboss do jednoho agenta/platformy s autentifikací přes Okta. Místní zdroje staví mikro VPN tunely přes aplikační proxy a webové filtrování je prováděno přes jeden ze zvolených zón Zscaler založených na nastavení profilem. SentinelOne je také nainstalován na strojích.
Některé chování a procesy je třeba upravit. Například SCCM vzdálená kontrola nefunguje.
Můžete se podívat na nějaké filtrování internetu jako Cisco Umbrella.
Ujistěte se, že máte cloudový AV, například Microsoft, Crowdstrike, Fireeye, který bude účinný i mimo síť.
Osobně jsem za rozdělené tunelování. Může to být nepříjemné, pokud nutíte VPN uživatelům na dálku a používají multimediální služby, jako jsou schůzky.
Upřímně, nezapojil bych se na dálku bez VPN. Ale existuje hodně produktů na to - bohužel většina z nich občas má problémy s narušením bezpečnosti. Raději bych jen řešil, že VPN nefunguje.
Díky za sdílení vašich cenných bodů a jsou platné.
Řekněme, že uživatel se nepodaří připojit k VPN a protože je rozdělené tunelování vypnuto, jak se s těmi notebooky vzdáleně spojit pro technickou podporu přes internet?
Odstranění VPN začíná odstraněním přístupu k souborovým serverům z koncových zařízení a vyžadováním používání Terminal Services nebo Azure Virtual Desktop pro přístup k souborovým serverům. Pokud používáte offline soubory na noteboocích, znamená to přechod na OneDrive nejdříve.
Problém je, že hodně uživatelů je zvyklých používat sdílené složky a je těžké je přimět ke změně.
A každý kvalitní přístroj nepoužívá SSL pro VPN implicitně, nebo jej podporuje, i když je to takto nazýváno. FortiGates například nazývají tento režim SSL, ale pouze TLS je konfigurovatelný.