Bezpečnost začíná ještě před připojením
Neoficiální průvodce pro uživatele a správce. Pro oficiální požadavky vždy ověřte dokumentaci SonicWall.
SonicWall NetExtender je často popisován jako VPN klient, ale z bezpečnostního hlediska je přesnější vnímat jej jako vstupní bod do interního prostředí. Jakmile je tunel vytvořen, uživatel může pracovat s prostředky, které by jinak měly zůstat mimo veřejný internet. Proto nestačí, aby se klient pouze připojil. Důležité je, kdo se připojuje, z jakého zařízení, jak dlouho relace běží a jaké cíle jsou přes ni dostupné.
Šifrování a důvěra v portál
Základní ochranu zajišťuje šifrovaný SSL/TLS tunel mezi klientem a bránou SonicWall. Uživatel by měl vždy kontrolovat, že se připojuje k portálu své organizace, nikoli k náhodné adrese nalezené ve vyhledávači. Stejně důležité je nestahovat instalační soubory z neznámých webů. Když firma používá sonicwall netextender, správce by měl jasně sdělit oficiální adresu portálu a způsob ověření instalátoru.
Vícefaktorové ověřování
Heslo samo o sobě už není dostatečná ochrana. Únik přihlašovacích údajů může vzniknout phishingem, opakovaným použitím hesla nebo kompromitací jiného účtu. NetExtender proto dává největší smysl v kombinaci s vícefaktorovým ověřováním. Druhý faktor může mít podobu aplikace, tokenu, jednorázového kódu nebo řešení napojeného na firemní identitu. Cílem není uživatele obtěžovat, ale zabránit tomu, aby ukradené heslo okamžitě otevřelo cestu do sítě.
Pravidla přístupu podle rolí
Dobrá VPN politika neříká pouze ano nebo ne. Rozlišuje, kdo smí do kterých částí sítě. Účetní tým obvykle nepotřebuje administrátorský rozsah serverů, externí dodavatel nemá mít stejná práva jako interní správce a běžný uživatel nemá vidět více služeb, než potřebuje pro práci. NetExtender může být součástí takového modelu, pokud jsou pravidla připravena na straně SonicWall a navázána na skupiny nebo identity.
Relace, odpojení a nečinnost
Bezpečnost se netýká jen okamžiku přihlášení. Důležitá je také délka relace. Pokud uživatel zavře notebook v kavárně a spojení zůstane aktivní, vzniká zbytečné riziko. Správci proto nastavují časové limity, odpojování při nečinnosti a pravidla pro souběžná přihlášení. Uživatelé by měli být vedeni k tomu, aby se po dokončení práce odpojili ručně a nenechávali VPN běžet celý den bez důvodu.
Audit a dohledatelnost
Provozní záznamy pomáhají zjistit, kdy se kdo připojil, odkud a jak dlouho relace trvala. V běžném provozu pomáhají při řešení problémů, v bezpečnostním incidentu jsou ale ještě důležitější. Bez logů je obtížné rozlišit chybné heslo, útok hrubou silou, neobvyklé místo přihlášení nebo problém s konkrétním klientem. Audit proto není formalita, ale praktická součást správy vzdáleného přístupu.
Bezpečnost zařízení
VPN může být silná, ale pokud se připojuje napadené nebo neudržované zařízení, riziko zůstává vysoké. Organizace by měly mít pravidla pro aktualizace systému, ochranu koncových bodů, šifrování disku a zamykání obrazovky. U soukromých zařízení je nutné pečlivě zvážit, zda mají mít přístup ke stejným zdrojům jako spravované notebooky. Technické omezení by mělo být doplněno jasnou komunikací, aby uživatelé věděli, proč pravidla existují.
Bezpečné používání NetExtenderu je kombinací technologie, pravidel a disciplíny. Klient vytvoří tunel, ale skutečná ochrana vzniká až tehdy, když je tunel správně omezen, ověřen, sledován a vysvětlen lidem, kteří jej používají.