Sikker fjerntilgang – enda en gang

Publisert: 26.05.2015

Sikker fjerntilgang, eller kryptert VPN, er nødvendig for å sikre kommunikasjonen mellom mobile klienter og bedrifters hjemmenett. Nye angrep viser hvor viktig dette er og hvordan det må settes opp.

NSM har i tidligere innlegg på Sikkerhetsbloggen omtalt sikker fjerntilgang (kryptert VPN) generelt og Hvorfor sikker fjerntilgang i egen prosesseringsenhet? I sistnevnte innlegg står det:

Ved å implementere den sikre fjerntilgangsløsningen i en egen prosesseringsenhet vil eventuelle kompromitteringer av klientmaskinen ikke påvirke fjerntilgangsløsningen. Altså, når skadevaren prøver å kontakte sitt kommando- og kontrollsystem på Internett, blir dens trafikk ledet direkte inn i fjerntilgangsløsningen og når aldri ut til Internett. Om den klarer å angripe systemene videre, vil den allikevel ikke ha nettverksforbindelse hjem, så informasjon vil ikke bli kompromittert. Dette forutsetter selvsagt at relevante sikkerhetsmekanismer er implementert i hjemmenettet, slik at informasjonen ikke lekker ut derfra.

Det siste poenget, at man har sterke sikkerhetsmekanismer i hjemmenettet som hindrer kompromitterte klienter å lekke informasjon ut, er viktig. Det er lettere å sette opp robuste sikkerhetsmekanismer i sentrale punkter, i stedet på hver enkelt klient. Og hvis klienten allikevel er kompromittert, kan man ikke anta at dens innebygde sikkerhetsmekanismer lenger har funksjon. Man må derfor stole på eksterne komponenter som kan hindre lekkasje og avdekke om man har kompromitterte klienter.

Disse komponentene må alltid benyttes for å ha en effekt. Dersom de kun avdekker eventuell kompromittering av klienter når klientene er tilkoblet hjemmenettet direkte, vil nytten være begrenset. Da vil skadevaren analysere hvilket nett klienten er tilkoblet og sørge for at det ikke lekkes informasjon når klienten er tilkoblet et sikret nett. Derimot vil skadevaren eksfiltrere informasjon når klienten er tilkoblet brukerens private hjemmenett eller fra gratis wifi på kaffebar.

NSM har sett skadevare som aktivt lekker informasjon fra systemer på denne måten. Skadevaren holder seg i ro og samler inn informasjon når klienten er tilkoblet bedriftens nett, men «ringer hjem» og eksfiltrerer informasjon når klienten ikke lenger står bak bedriftens brannmurer og andre sikkerhetssystemer.

For å forhindre slik lekkasje av informasjon, må altså klienten alltid ringe hjem til og rute all trafikk via bedriftens hjemmenett, såkalt full tunnel. Og siden skadevaren allerede har kompromittert klienten, må den sikre fjerntilgangsenheten være en ekstern modul som ikke blir kompromittert sammen med klienten.

Les derfor ovennevnte innlegg om sikker fjerntilgang i egen prosesseringsenhet og implementer løsninger som hindrer at informasjon lekker ut fra bedriften uten at bedriftens sikkerhetsmekanismer kan avdekke det.

comments powered by Disqus