Rețeaua Virtuală Privată (VPN)

Virtual Private Network (VPN) este o tehnologie care permite crearea unei conexiuni securizate între client și un server VPN. Această tehnologie este esențială pentru sporirea securității și confidențialității datelor transmise prin internet, devenind esențială în utilizarea rețelelor publice nesigure, precum cele din aeroporturi sau cafenele, sau în cazul conexiunilor Wi-Fi slab protejate. Un VPN funcționează prin criptarea traficului de internet, astfel încât informațiile să nu poată fi interceptate de către terți. De asemenea, VPN-ul ascunde adresa IP a dispozitivului personal, făcându-l mai dificil de urmărit pentru siteuri web și servicii online care colectează date despre activitatea online.

De ce este utilă folosirea conexiunilor VPN

• Securitatea în remote work (telemuncă): Conexiunile VPN permit angajaților să se conecteze la rețeaua organizației în mod securizat chiar și atunci când lucrează de acasă sau de la distanță, prin aceasta asigurându-se un nivel adecvat de protecție al datelor organizației.
• Securitatea conexiunii: VPN-urile criptează datele transmise între dispozitivul utilizatorului și serverul VPN, oferind astfel o conexiune sigură, cu un grad ridicat de protecție împotriva interceptării datelor transmise de către actorii malițioși. În contextul conexiunilor VPN, criptarea end-to-end se referă la procesul de criptare și decriptare a datelor la ambele capete ale conexiunii VPN: la dispozitivul sursă (utilizator) și la serverul VPN.
• Ascunderea adresei IP: VPN-urile ascund adresa IP reală a utilizatorului, înlocuind-o cu adresa IP a serverului VPN. Acest lucru ajută la menținerea anonimatului și la protejarea identității online.
• Protecția împotriva dezvăluirii adresei IP: Unele VPN-uri oferă funcționalități pentru a preveni scurgerile de adrese IP, asigurându-se că adresa IP reală utilizată nu este dezvăluită accidental.
• Accesarea conținutului geografic restricționat: VPN-urile permit utilizatorilor să acceseze conținut online care ar putea fi restricționat în anumite regiuni geografice prin oferirea unei adrese IP dintr-o altă locație.
• Securizarea conexiunilor Wi-Fi publice: VPN-urile oferă o modalitate mai sigură pentru utilizarea rețelelor Wi-Fi publice, protejând datele împotriva potențialelor amenințări de securitate astfel încât să se poată asigura un mediu de lucru securizat.
• Protecția împotriva atacurilor “Man-in-the-Middle” (MitM): VPN-urile adaugă un strat suplimentar de securitate, protejând împotriva atacurilor MitM, în care un atacator interceptează și modifică comunicațiile dintre utilizator și server.
• Nivel de autentificare de o complexitate ridicată, cu ajutorul certificatelor digitale: Unele soluții VPN acceptă autentificarea cu ajutorul certificatelor digitale pentru clienții care încearcă să acceseze VPN-ul, prin utilizarea unui smartcard/token, aceasta fiind o formă mai puternică de autentificare decât utilizarea parolelor. Oricând este posibil, utilizați autentificarea certificatului client, astfel încât VPN-ul să interzică conexiunile de la clienții care nu prezintă certificate valide și de încredere.

Cât de sigură este utilizarea conexiunilor VPN

• Niciun software nu este 100% lipsit de vulnerabilități. Pe măsură ce se adaugă noi funcționalități și tehnologia continuă să evolueze, vor apărea vulnerabilități ce pot fi exploatate. Vulnerabilitățile pot fi în codul aplicației VPN sau în platforma pe care rulează software-ul VPN.
• Utilizarea unui VPN poate duce la o scădere a vitezei de conexiune prin criptarea și rutarea traficului prin serverele VPN. Acest lucru poate afecta performanța, în special în ceea ce privește descărcarea și încărcarea de date. Cu cât criptarea traficului este mai puternică cu atâta viteza de transmitere a datelor este mai redusă.
• Unele conexiuni VPN pot avea scurgeri de date Domain Name Server (DNS). Toate serviciile VPN vor stabili o conexiune criptată între client și server dacă sunt configurate corect. Cu toate acestea, dacă “solicitările” DNS realizate nu sunt, de asemenea, gestionate de VPN, atunci un atacator poate afla ce site-uri web au fost vizitate. Este importantă verificarea periodică a funcționării VPN-ului și folosirea instrumentelor adecvate pentru a testa posibilele scurgeri.
• Un VPN poate fi vulnerabil la atacurile distribuite de tip DDoS dacă serverele sale nu dispun de resurse suficiente pentru a face față unui volum crescut de trafic, aceasta fiind o situație comună pentru serviciile VPN gratuite.

15 bune practici pentru asigurarea unui nivel adecvat de Securitate

1. Utilizarea metodelor puternice de autentificare Acolo unde este posibil se va adăuga o metodă suplimentară de autentificare înainte de a stabili o conexiune de acces la distanță. Utilizarea autentificării cu doi factori sau multifactor: implementarea uneia sau mai mulor metode suplimentare de autentificare, pe lângă utilizarea parolelor conturilor de acces, acolo unde este posibil. Pentru sistemele care folosesc conexiunea de tip RDP se va activa opțiunea de securitate Network Level Authentication (NLA).
2. Gestionarea conturilor de utilizator și a permisiunilor acestora Se va limita accesul utilizatorilor și se vor acorda permisiuni pentru acces la distanță doar celor care au neapărat nevoie. Implementarea principiului celui mai mic privilegiu prin care se asigură utilizatorilor permisiunile minime și necesare pentru rolul lor. Eliminarea conturilor care nu mai sunt active/necesare.
3.  Configurarea securizată a parametrilor conexiunilor de acces la distanță Modificarea porturilor de acces la distanță implicite (de ex: 3389) poate ajuta la evitarea atacurilor automate. Aceasta este doar o măsură de securitate prin obfuscare. Se vor stabili limite de timp pentru sesiuni, programând închiderea automată a sesiunilor după o anumită perioadă de inactivitate pentru un control mai eficient al acestora și o protecție mai bună. Se vor dezactiva funcțiile Clipboard Redirection și Drive Mapping.
4. Utilizarea conexiunilor de rețea securizate Folosirea VPN-ului pentru a cripta traficul între punctele de conexiune și asigurarea implementării protocoale securizate, cum ar fi OpenVPN ,WireGuard sau IKEv2/IPsec, și evitarea protocoalele mai puțin sigure, de ex. Point-to-Point Tunneling Protocol (PPTP) sau Layer 2 Tunneling Protocol (L2TP). Pentru filtrarea conexiunilor de tip RDP se va implementa un gateway de tip Remote Desktop.
5. Implementarea straturilor de securitate Prin configurarea regulilor de firewall se va restricționa accesul de la distanță la anumite adrese IP sau rețele, blocând accesul la distanță din zone geografice suspecte. Utilizarea sistemelor de detectare a intruziunilor – Intrusion Detection Systems (IDS) – pentru a monitoriza activitățile suspecte. Restricționarea accesului la distanță doar la rețelele interne ale organizației, dacă este posibil, evitând expunerea inutilă pe internet a sistemelor critice/importante.
6. Utilizarea parolelor puternice pentru autentificare Parolele de acces ar trebui să includă o combinație de litere majuscule și minuscule, numere și simboluri, pentru a mări complexitatea și a reduce riscul atacurilor de tip brute-force reușite. Este recomandată utilizarea unei combinații de litere mici (a-z), litere mari (A-Z), cifre (0-9) și caractere speciale (!, @ etc.) – de exemplu: !miplac35am3rglaMunt3 (Îmi place sa merg la munte). Se va evita utilizarea cuvintelor comune, numelor proprii sau informațiilor personale ce pot fi ușor de ghicit. O parolă puternică ar trebui să aibă cel puțin 12 caractere, cu cât este mai lungă, cu atât este mai dificil de spart. Se recomandă utilizarea unei parole de cel puțin 16 caractere pentru o securitate sporită.
7. Implementarea unui program de instruire a utilizatorilor și exerciții de phishing Aceste activități sunt necesare pentru a crește gradul de conștientizare al utilizatorilor cu privire la riscurile de a vizita site-uri web suspecte, de a face clic pe linkuri suspecte și de a deschide atașamente suspecte. Un grad de conștientizare ridicat pentru aceste tipuri de amenințări poate fi o măsură preventivă eficientă.
8. Utilizarea de măsuri de protecție pentru scripturi cu propagare în masă Se va utiliza un proces de aprobare/validare a acestora. De exemplu, dacă un cont încearcă să trimită comenzi către zece sau mai multe dispozitive într-o oră, redeclanșați protocoalele de securitate, cum ar fi autentificarea multifactor (MFA), pentru a avea certitudinea că sursa este legitimă și acțiunile desfășurate sunt în permanent control.
9. Examinarea jurnalelor cu date complete (log-uri) Se vor urmări informații despre executarea binară, tipurile de solicitări, adresele IP și data/ora, referitoare la executarea aplicațiilor de acces la distanță pentru a detecta utilizarea anormală a programelor care rulează ca executabil portabil. Jurnalele de securitate joacă un rol esențial în identificarea și investigarea incidentelor de securitate, asigurarea integrității sistemului și menținerea unui mediu informatic sigur.
10. Stabilirea unei frecvențe regulate în aplicarea patch-urilor Se vor prioritiza aplicațiile și sistemele care au acces direct la sau sunt accesate de pe Internet, inclusiv pentru accesul la distanță, administrarea serverelor și agenților aferenți diverselor aplicații. Frecvența realizării acestor activități trebuie stabilită astfel încât perioada de timp scursă de când patch-urile sunt disponibile și până când sunt implementate să fie cât mai scurtă. Automatizarea acestui proces este de dorit pentru sistemele cu un număr semnificativ de dispozitive.
11. Utilizarea de variante alternative pentru accesul la distanță Se pot utiliza și următoarele tipuri de aplicații: Virtual Desktop Infrastructure (VDI), Remote Desktop Server (RDS) și Virtual Network Computing (VNC) atunci când se dorește virtualizarea unei rețele.
12. Activarea unui Firewall pentru Aplicații Web (WAF) Acesta ar trebui să fie compatibil cu traficul TLS VPN pentru a proteja aplicațiile de acces la distanță prin filtrarea și monitorizarea traficului HTTP. Chiar dacă această măsură de atenuare este importantă, se recomandă administratorilor IT să o testeze înainte de a o implementa într-un mediu de producție, fiind cunoscut faptul că WAF-urile perturbă funcționarea normală a aplicațiilor de acces la distanță.
13.  Aplicarea de măsuri specifice unei arhitecturi Zero Trust Se va urmări separarea conexiunilor seturilor de date aparținând furnizorilor de servicii/produse (și a serviciilor, acolo unde este cazul) unele de altele – precum și de rețelele interne ale organizației – astfel încât, în cazul unui atac malițios reușit, să se poată limita impactul asupra resurselor organizației.
14. Asigurarea copiilor de rezervă a datelor Acestea sunt un mod eficace de redresare în caz de dezastre sau în cazul unui atac ransomware reușit. Copiile trebuie realizate în mod regulat, ori de câte ori este posibil, fiind păstrate într-un mediu separat de cel al producției. Criptarea copiilor de rezervă asigură securitatea acestora, în special, în cazul în care acestea vor fi mutate dintr-un loc în altul.
15. Efectuarea periodică de evaluări formale pentru amenințările și riscurile potențiale Organizațiile trebuie să înțeleagă care sunt amenințările și riscurile ce pot afecta operațiunile desfășurate. Procesul presupune identificarea bunurilor (assets) care au nevoie de protecție, a amentințărilor potențiale precum și a vulnerabilităților asociate cu bunurile organizației pentru înțelegerea mai bună și gestionarea mai eficientă a riscurilor

Sursa : DNSC