Skontaktuj się z nami
Cyberbezpieczeństwo

Stosowanie certyfikatu klienta przy dostępie SSL VPN

Witold Smela
Placeholder for Witold SmelaWitold Smela

Witold Smela , Security Architect , Nomios Poland sp. z o.o.

Do przeczytania w 2 min.
Placeholder for Car parking from aboveCar parking from above
Ivanti

Share

Jak zabezpieczyć SSL VPN?

Pomimo coraz większej popularności rozwiązań typu Zero Trust Network Access w zakresie bezpiecznego dostępu zdalnego, klasyczne podejście wykorzystujące SSL VPN będzie jeszcze długo powszechnie stosowane. Niezależnie od przyjętej technologii oczywistym jest, że dostęp zdalny do zasobów wewnętrznych firmy musi być dobrze zabezpieczony. Zwykłe poświadczenia w postaci loginu i hasła statycznego nie są wystarczające, dlatego powszechnie stosuje się tzw. drugi faktor (2FA) w postaci dynamicznie zmieniającego się tokena dostarczanego SMSem lub za pomocą aplikacji mobilnej. Coraz częściej stosuje się dodatkowe zabezpieczenie – certyfikat klienta. Jeżeli certyfikat klienta jest poprawnie instalowany na docelowej stacji roboczej przez wewnętrzne służby IT lub za pomocą mechanizmów zarządzania typu GPO bez możliwości eksportu klucza prywatnego, to możemy być pewni, że dostęp zdalny będzie realizowany tylko z wykorzystaniem zatwierdzonych (autoryzowanych) urządzeń końcowych.

Stosowanie certyfikatu klienta przy dostępie SSL VPN

Stosowanie wymogu przedstawienia się użytkownika certyfikatem cyfrowym przy nawiązywaniu połączenia SSL VPN ma jeszcze jedną zaletę. W ten sposób chronimy naszą bramkę i docelowy serwer uwierzytelniający przed atakami typu brute force, gdyż weryfikacja certyfikatu odbywa się na początku procesu uwierzytelnienia, przed przekazaniem poświadczeń do serwera docelowego. Czyli w przypadku niepoprawnego certyfikatu lub jego braku nie dochodzi do weryfikacji poświadczeń. Warto tutaj dodatkowo wspomnieć, że dla dodatkowej ochrony materiału kryptograficznego przed wyciekiem zaleca się zastosowanie zewnętrznego nośnika typu karta mikroprocesorowa lub klucz U2F. W zależności od zastosowanego rozwiązania bramki SSL VPN warto rozważyć możliwość dodatkowej weryfikacji stanu urządzenia końcowego z przyjętą polityką np. co do wersji systemu operacyjnego, zastosowanych na nim innych mechanizmów zabezpieczeń, itp.

Sytuacja bardziej się komplikuje, jeżeli certyfikat klienta ma być zainstalowany na stacji niezarządzanej przez podmiot udostępniający zasoby przez SSL VPN. Wtedy najczęściej certyfikat jest przekazywany użytkownikowi razem z kluczem prywatnym. Pojawia się zatem ryzyko wycieku materiału kryptograficznego i możliwość przekazania go innemu użytkownikowi. Zdarza się też, że np. użytkownik A przekazuje swoją parę kluczy użytkownikowi B, bo temu akurat certyfikat wygasł lub został utracony, a na uzyskanie nowego certyfikatu w normlanym trybie akurat nie ma czasu. W celu zabezpieczenia się przed tego typu sytuacjami należy weryfikować zgodność nazwy użytkownika (loginu) z certyfikatem, a ściślej mówiąc z wartością wybranego atrybutu np. Common Name. Przy okazji warto zadbać, żeby generowane certyfikaty wśród wartości atrybutów zawierały nazwę użytkownika dokładnie taką jaka podawana jest podczas logowania się użytkownika.

Ivanti Connect Secure

Poniżej przedstawiono przykładową konfigurację stosowaną na rozwiązaniu Ivanti Connect Secure, wg której sprawdzana jest zgodność loginu z nazwą użytkownika zawartą w certyfikacie w atrybucie Common Name oraz przynależność użytkownika do odpowiedniej grupy w katalogu LDAP. Na tej podstawie w procesie autoryzacji przypisywane są danemu użytkownikowi odpowiednie zasoby.

Placeholder for SSL VPNSSL VPN
Weryfikacja zgodności użytkownika i jego certyfikatu za pomocą Custom Expressions w Ivanti Connect Secure

Należy tutaj zaznaczyć, że wyżej wymieniona weryfikacja odbywa się na etapie autoryzacji, nie uwierzytelnienia. W związku z tym, w przypadku zastosowania przez użytkownika A certyfikatu od użytkownika B samo uwierzytelnienie powiedzie się, lecz nie zostaną udostępnione żadne zasoby.

Jeśli masz pytania dotyczące stosowania certyfikatu klienta przy dostępie SSL VPN - skontaktuj się z nami!

Usługi wsparcia

Już dziś zadbaj o lepsze wsparcie dla swojej firmy

Rozszerz możliwości swojego zespołu IT dzięki naszym usługom wsparcia i rozwiązuj problemy, zanim będą miały wpływ na działanie Twojej organizacji.

Placeholder for Portrait of male grey hear wearing poloPortrait of male grey hear wearing polo
Updates

Więcej aktualizacji

Placeholder for Adobe Stock 369977292Adobe Stock 369977292
Juniper Networks

Bezpieczeństwo sieci

Juniper po raz czwarty liderem w raporcie Gartner Magic Quadrant

uniper Networks wielokrotnie zajmował wiodącą pozycję w Magic Quadrant firmy Gartner, co podkreśla jego innowacyjność i doskonałość w zakresie technologii przewodowych, bezprzewodowych i lokalizacji wewnątrz budynków.

Do przeczytania w 3 min.
Placeholder for Industrial company NIS2Industrial company NIS2

NIS2

NIS2 wymaga od firm przemysłowych podjęcia znacznych wysiłków w celu zabezpieczenia swoich środowisk OT: Od czego zacząć?

Wdrożenie NIS2 będzie miało wpływ na tysiące firm przemysłowych, a kwestie te będą się znacznie różnić w zależności od podmiotu. Przedstawiamy 12 kroków do osiągnięcia zgodności.

Arnaud Masson
Placeholder for ARMARM

Arnaud Masson

Do przeczytania w 4 min.
Placeholder for Two men looking at a laptopTwo men looking at a laptop

Cloud security Endpoint security

Jak ważne są Secure Web Gateway (SWG)?

W tym artykule przedstawiono Secure Web Gateways (SWG), omawiając kluczowe funkcje, opcje wdrażania, skalowalność, korzyści organizacyjne i integrację.

Do przeczytania w 3 min.
Wszystkie artykuły