09 7430130 This e-mail address is being protected from spambots. You need JavaScript enabled to view it.
 עברית < English

טיפים להתחברויות מאובטחות מרחוק

בשנים האחרונות מאפשרים ארגונים רבים גישה מאובטחת ממחשבים מרוחקים לרשת התקשורת הפנימית של החברה. חיבור מאובטח זה מאפשר לעובדי החברה, לשותפים עסקיים ולחברות המספקות תמיכה להתחבר מרחוק אל הרשת הארגונית דרך רשת האינטרנט ולבצע בה פעולות רבות.

במרבית המקרים, מתבצע חיבור מאובטח בין הלקוח (המחשב המרוחק) לבין תוכנה מרכזית הנמצאת בארגון, וזאת באמצעות אמצעי הזדהות כלשהו המסופק ע"י הלקוח ואלגוריתם הצפנה כזה או אחר אשר תפקידו להצפין את התעבורה בין המשתמש המרוחק לבין הרשת הארגונית.

סוגי הפתרונות המובילים להתחברויות מסוג זה הינם VPN, SSL-VPN ועוד; אמצעי ההזדהות כוללים מגוון רחב של אמצעים - החל מהקלדת שם משתמש וסיסמה, דרך Tokens המייצרים One-Time-Password (סיסמה לשימוש חד-פעמי אשר תוקפה מוגבל בזמן), המשך ב-SSO (Single-Sign-On), Two-Factor Authentication, כרטיסים חכמים ועוד.

הבעיה

בהגדרה, יש להתייחס לכל גורם חיצוני כלשהו אשר איננו בשליטה מלאה של מחלקות המיחשוב ואבטחת המידע של החברה כאל מקור איום וסיכון פוטנציאלי. לכן, ההתחברויות המאובטחות - אשר מאפשרות בדרך כלל התחברויות אל תוך רשתות, שרתים ומערכות קריטיות, ואל תוך הנכסים העסקיים הרגישים ביותר של החברה - מהוות סיכון פוטנציאלי גדול.

יש לזכור כי ההתחברויות המאובטחות מרחוק - אשר משמשות בדרך כלל גם את עובדי החברה וגם גורמים חיצוניים (כדוגמת חברות שותפות, חברות תמיכה, יועצים חיצוניים ועוד) אל תוך הרשת הפנימית מתבצעת אמנם באופן מאובטח, אולם כמעט ואינה מבוקרת ןמנוטרת מן הרגע בו נוצר החיבור. למעשה החל מן הרגע בו מתבצע החיבור המאובטח, הופך כל מחשב מרוחק למקור איום פוטנציאלי להתקפות עויינות על הרשת - בין אם באופן מכוון (האקר) ובין אם באופן לא מכוון (Worms, BotNet ועוד).

הפתרון

  • יש להגביל ולהקשיח את חוקי הגישה המאובטחת מרחוק, כך שרק גורמים אשר נדרשים לכך ייכנסו אל תוך רשת החברה - ויקבלו אך ורק את הרשאות הגישה אל שרתים ספציפיים ושירותים ספציפיים להם הם נדרשים. יש לאפשר לגורמים חיצוניים ולמשתמשי החברה אשר מתחברים מרחוק אך ורק את הרשאות הכניסה המינימליות אשר מחד - יאפשרו תהליך עבודה שוטף עבור שני הצדדים, ומאידך - יבטיחו הגנה מקסימלית על הנכסים העסקיים הקריטיים של החברה.
  • יש להפריד ככל הניתן את חוקי הגישה בין חוקים המאפשרים גישה לעובדי החברה (ברמות הרשאה שונות) לבין חוקי הגישה עבור שותפים עסקיים, יועצים חיצוניים וגורמי חוץ נוספים.
  • תצורת ההתחברות המאובטחת של העושה שימוש באמצעי הזדהות של שם משתמש וסיסמה בלבד חושפת את החברה לסיכונים רבים וגדולים. יש לדעת ולזכור כי תוכנות לפריצת סיסמאות הינן נפוצות ביותר - למעשה קל מאוד להשיגן ולהורידן מרשת האינטרנט - וגילוי הסיסמאות הינה משימה קלה ביותר עבור פורצים פוטנציאליים; כמו כן, תצורה זו אינה מאפשרת זיהוי חד-ערכי של המשתמש, וייתכן בהחלט מצב בו פורץ ישתמש בשם משתמש וסיסמה חוקיים ועל-כן כניסתו לא תזוהה ככניסה עויינת. אנו ממליצים להטמיע פתרון הזדהות חזק יותר כדוגמת One-Time-Password, Single-Sign-On (SSO), שימוש ב-Tokens, כרטיסי הזדהות חכמים או כל פתרון אחר אשר יאפשר הזדהות חד ערכית ומאובטחת ואשר יאפשר מניעת גניבת זהות (Identity Theft).
  • בדרך כלל מאפשרים פתרונות גישה מאובטחת מרחוק בחירה בשיטת הקידוד וההצפנה הרצויה. ככלל - מומלץ מאוד לבחור בשיטת הקידוד החזקה ביותר האפשרית. יש לזכור כי באמצעים הקיימים כיום קל יחסית לפרוץ שיטות קידוד חלשות; ככל ששיטת הקידוד חזקה יותר - כך יקשה על הפורצים הפוטנציאליים לפצחה.
  • במקרים רבים, מומלץ לשקול מתן גישה מאובטחת מרחוק לקבצים נבחרים באמצעות רשתות אינטרא-נט/אקסטרה-נט. באופן זה ייחשפו לסיכונים מסוימים רק חלק מהקבצים הארגוניים (אלו אשר אליהם מתאפשרת גישה). בדומה לכך, מומלץ  לאפשר גישה מרחוק לתיבות הדואר אלקטרוני באמצעות Web-Access, מבלי שתידרש גישה כלשהי לרשתות VPN לצורך כך.
  • מומלץ לספק למשתמשים המרוחקים (אשר הינם עובדי הארגון) הגנות אנטי-וירוס, אנטי-ספאם ו-Personal Firewalls. יש לוודא באופן שוטף שהם מתוחזקים כראוי (גם ובעיקר אם העובד מתחבר מן המחשב הביתי שלו!). יש לזכור כל מחשב אשר מתחבר מרחוק אל הרשת הארגונית הינו מקור איום פוטנציאלי - אשר עלול להדביק את הרשת במזיקים שונים (וירוסים, תולעים, סוסים טרויאניים ועוד).
  • מומלץ להשתמש בפתרון אימות מרכזי אשר ביכולתו לבדוק ולכפות מדיניות מוגדרת מראש על המחשבים המתחברים מרחוק. יש לבודד משתמשים מהתחברות מאוטחת אל תוך הרשת עד לשלב בו המחשב שלהם אומת והוגדר ע"י הערכת כבטוח לשימוש. כאשר מחשב של עובד או של שותף עסקי מבקש ליצור קשר עם הרשת באופן מאובטח, יש למנוע ממנו גישה מלאה אל הרשת עד אשר מוודאת המערכת כי מדיניות האבטחה של הארגון אומתה. רק במידה והתמלאו כל התנאים, מתאפשר החיבור; במידה ולא (לדוגמה - תוכנת האנטי-וירוס על המחשב המרוחק אינה מעודכנת או במידה ומותקנת על המחשב המרוחק תוכנה המוגדרת כמסוכנת) - מבוצע בידוד של המחשב המרוחק והמשתמש אינו מקבל גישה לרשת הארגונית.
  • אחד הסיכונים הגדולים ביותר הגלום בתצורת התחברות מאובטחת מרחוק הינו האפשרות שהרשת הארגונית תהיה חשופה לרשתות אחרות עקב שימוש מקביל של המשתמש במספר תוכנות בזמן ההתחברות אל רשת החברה. מומלץ לאסור את השימוש בתוכנות מרוחקות אחרות בזמן ההתחברות המאובטחת אל הרשת הפנימית.
  • תחזוק של אבטחת הרשת דורש ערנות קבועה ותחזוקה של אבטחת רשת VPN דורש ערנות גבוהה אף יותר. ארגונים שידבקו בהמלצות לעיל - סביר להניח שיצמצמו ככל האפשר את סיכוייה של הרשת הארגונית שלהם להיפגע מפרצות אבטחה ומחדירות של גורמים עוינים דרך ההתחברויות המאובטחות מרחוק.

צור קשר

איי פי וי סקיוריטי בע"מ

נא להקיש שם חוקי (אותיות בלבד)
נא להקיש שם חוקי (אותיות בלבד)
נא להקיש ספרות בלבד
נא להקיש כתובת אימייל חוקית
Invalid Input

נא לאשר שאינך רובוט

Invalid Input

מאמרים קשורים

User login