"Freunde lassen Freunde kein VPN verwenden". J'ai trouvé cette phrase dans une page Blogbeitrag von Matthew Sullivan (dem ich alle kreativen Credits gebe) gelesen und meine Aufmerksamkeit war gewonnen. Dans ce blog, nous discutons de la raison pour laquelle les solutions VPN classiques (réseaux privés virtuels) pour les entreprises ne sont plus aussi efficaces, pour permettre le travail à distance et le télétravail.
La vérité, c'est que, si nous parlons de VPN, nous ne parlons pas de liens VPN P2P entre deux sites ni de services VPN communs (qui permettent de surfer en toute sécurité sur Internet).
Le VPN (Virtual Private Network) est un réseau privé virtuel qui remonte à la fin des années 90. En 1996, l'employé de Microsoft Gurdeep Singh-Pall a créé le PPTP (Point-to-Point Tunneling Protocol). Il s'agit d'une méthode permettant de mettre en place des réseaux privés virtuels et des liaisons Internet sécurisées. En 1996, le monde entier comptait 36 millions d'internautes. Internetbenutzer (Quelle). Deux tiers de ces sites étaient accessibles aux États-Unis. Il y avait 100 000 sites Web, Netscape était le meilleur navigateur et les utilisateurs pouvaient surfer sur Internet avec 33,8 Kbps. Le VPN était à cette époque le meilleur outil. Natürlich haben sich die Zeiten geändert.
Les problèmes de sécurité typiques du VPN d'entreprise
- Si vous avez bu un peu, vous êtes "bu".
Laut einer IDC-Analyse stammen mehr als 40% der Sicherheitsverletzungen von autorisierten Nutzern wie Auftragnehmern, Verkäufern und Angestellten. Cela signifie que les VPN, dans ce domaine, ne doivent pas être soumis à des contrôles granulaires, qui sont nécessaires à la surveillance des utilisateurs ayant des droits différents. Si un utilisateur distant est authentifié par un VPN, il devient vertueux et a accès à tous les éléments du réseau de l'entreprise. Cela rend le système de gestion des entreprises et ses ressources très intelligents et inaccessibles aux attaques ou aux pertes de données.
L'administration des réseaux privés virtuels n'est pas seulement liée à Active Directory (AD), mais aussi aux certificats d'entreprise. Cela signifie que lors de l'embauche d'un collaborateur de l'entreprise, son certificat d'emploi doit être élargi - comme vous pouvez le constater, cela sera souvent oublié.
- Notwendigkeit, immer die letzte Version auszuführen
Les plates-formes VPN sont très prisées. Même en cas de piratage. Aucune plateforme ne peut profiter d'une sécurité absolue, et cela vaut aussi pour les plateformes VPN. Au cours de l'année dernière, plusieurs des plates-formes VPN les plus populaires et les plus utilisées dans le monde (et seulement à la fin) ont été détruites. Dans certains cas, il a fallu attendre plusieurs semaines pour que le vendeur mette en place un certificat de sécurité, qui a été retiré. Dans la suite de cet article, nous ne présentons qu'une petite liste des plus récentes fiches de sécurité par plateforme :
- Palo Alto Netzwerksicherheitsberatung PAN-SA-2019-0020in Bezug auf CVE-2019-1579;
- Déclaration de sécurité FortiGuard FG-IR-18-389in Bezug auf CVE-2018-13382; FG-IR-18-388 en relation avec CVE-2018-13383; FG-IR-18-384in Bezug auf CVE-2018-13379;
- Sicherheitsberatung Pulse Secure SA44101in Bezug auf CVE-2019-11510, CVE-2019-11508, CVE-2019-11540, CVE-2019-11543, CVE-2019-11541, CVE-2019-11542, CVE-2019-11539, CVE-2019-11538, CVE-2019-11509, CVE-2019-11507.
- Sécurité de Citrix CTX267027in Bezug auf CVE-2019-19781.
La solution est claire, surtout si l'on sait qu'il est difficile de savoir quelle technologie VPN utiliser : toujours la nouvelle version à lancer, toujours tous les correctifs de sécurité à appliquer, et tout de suite. Pour que ce soit efficace, il faut que ce soit une norme pour toute solution logicielle.
- Entrer le nom d'utilisateur et le mot de passe.
L'authentification multi-facteurs est le minimum absolu pour que les utilisateurs puissent s'authentifier avec un VPN. Cependant, dans de nombreuses organisations, il n'y a jamais de norme standard... et c'est ainsi, car l'homme doit quitter la maison sans tarder. Viele Benutzerkennwörter wurden bereits gehackt und werden in Datenbanken im Darkweb gesammelt (ehrlich gesagt, sogar ich kann sie finden). Mehr noch, indem sie einfach "123456" als Passwenden, haben Hacker bereits eine erstaunliche Chance, hineinzukommen. Les mots de passe les plus utilisés par SplashData au cours du mois de janvier 2019 étaient les suivants
-
-
- 123456
- 123456789
- qwerty
- Chiendent
- 1234567
- 12345678
- 12345
- iloveyou
- 111111
- 123123
-
Et si vous voulez que les utilisateurs aient au moins un numéro et un champ dans leur mot de passe, c'est #11 dans la liste 'abc123'. Une étude de Microsoft a démontré que l'utilisation de l'AMF bloque 99,9% des comptes bancaires dans 99,9% des cas. Fazit : Verwenden Sie MFA. Immer. C'est un minimum absolu.
- Kompromittierte Geräte
Les utilisateurs finaux doivent activer la connexion VPN d'un client VPN sur leur appareil - en l'occurrence un ordinateur portable. Si le lien entre l'appareil et l'ordinateur de l'entreprise est établi, la porte vers le Walhalla est ouverte. Ce n'est que si cette authentification est réalisée avec une sécurité accrue, comme la MFA. Cela signifie que : Si le matériel sur lequel se trouve le client VPN est infecté par un logiciel malveillant, l'activation d'une connexion VPN peut également entraîner l'apparition d'un logiciel malveillant dans votre entreprise.
C'est la raison pour laquelle vous ne devez utiliser le VPN que sur les appareils qui se trouvent dans les locaux de l'entreprise et qui sont exploités. L'équipe informatique doit exercer un contrôle optimal sur le matériel, s'assurer qu'il est équipé de la dernière version du système d'enregistrement et des derniers correctifs, et qu'il bénéficie d'un service anti-malware performant. Dans ce contexte, l'utilisation d'un VPN sur des appareils qui sont à la disposition de l'utilisateur est un tabou absolu en matière de sécurité.
Par ailleurs, le fait que des données vertes soient stockées sur le serveur d'extrémité constitue un risque pour la sécurité. Auch für verwaltete Geräte.
La flexibilité et l'interface utilisateur des VPN
L'idée du VPN est de faire passer un appareil d'un réseau domestique (par exemple) à un réseau d'entreprise. Dans ce contexte, vous devez vous assurer que l'appareil ne fonctionne pas sur le réseau local. Cela a quelques conséquences ;
Les utilisateurs peuvent, dans le cadre de ce règlement, utiliser tous les logiciels et données locaux qui sont utilisés sur l'appareil lui-même.
lors de l'utilisation des données dans un service d'entreprise, celles-ci doivent être entièrement détruites (ou transformées) ; si, par exemple, le travail sur une banque de données dans un service commun est effectué, les données doivent être entièrement détruites et transformées.
Grâce à l'utilisation du Split-Tunneling, l'utilisation (comme YouTube et les médias sociaux) peut se faire par le biais de la connexion Internet ordinaire plutôt que par le biais du VPN. Ceci est toutefois lié à d'autres risques de sécurité. L'alternative consiste à laisser l'ensemble des données transmises par le VPN de l'entreprise, ce que l'on peut faire en respectant la capacité du VPN.
Fazit : Le VPN permet aux utilisateurs (s'ils possèdent un ordinateur portable) d'accéder à leurs données personnelles. Cela ne concerne toutefois que la fin de la période d'amortissement.
- Jedes Gerät
Comme vous l'avez dit, il n'est pas nécessaire, du point de vue de la sécurité, d'activer le VPN sur des appareils que vous utilisez entièrement. Pour améliorer la situation, la plupart des clients VPN pour les entreprises ne sont pas disponibles sur tous les appareils et systèmes d'exploitation (par exemple, les appareils MacOS, Chromebook, Raspberry Pi, les tablettes Android, ...). Ce faisant, vous mettez en péril votre liberté et celle de vos clients.
- Kapazität
Comme indiqué précédemment, les plates-formes VPN doivent absorber une grande capacité de téléchargement et d'envoi. Ces plates-formes sont souvent si peu coûteuses que 100% des utilisateurs peuvent travailler à distance. Les problèmes de coûts et de disponibilité qui en découlent sont de plus en plus fréquents.
Bei Awingu gehen wir die Dinge anders an
Awingu est un espace de travail unifié basé sur un navigateur. Il met à disposition des applications basées sur RDP et des Desktops en HTML5 sur tous les navigateurs. Il permet de regrouper des serveurs de données, des intranets, des applications Web, des SaaS, etc. dans une seule fenêtre avec authentification unique. Voyez ce qu'il en est de l'application Architektur und die Funktionen von Awingu, um mehr darüber zu erfahren.
- Awingu a mis en place des procédures de sécurité minimales.
Awingu permet à ses utilisateurs de bénéficier d'une plus grande sécurité informatique. Awingu est basé sur un RDS (Terminal Server) et une connexion RDP. Vous pouvez interpréter ce document de manière à ce qu'il vous donne un aperçu de la manière dont Awingu peut assurer la sécurité par rapport à un RDP/RDS "normal".
-
-
- Multi-Faktor-Authentifizierung: Awingu est équipé d'une solution MFA intégrée et peut (si nécessaire) intégrer sa méthode d'authentification actuelle sans problème. En utilisant la solution MFA, vous minimisez le risque d'attaques par la force brute. Le MFA intégré dans Awingu permet l'utilisation de jetons à usage unique (HOTP) et de jetons à usage unique (TOTP). Awingu intègre également DUO Security, Azure MFA, SMS-Passcode ou Radius-basierte Dienste.
- Verschlüsselung über HTTPS: zwischen dem Endbenutzer (Browser) und der virtuellen Appliance von Awingu begünstigt und ermöglicht Awingu die Verschlüsselung über HTTPS. Awingu ne peut pas utiliser ses propres certificats SSL (ou proxy SSL). Par ailleurs, Awingu dispose d'une intégration avec Let's Encrypt, qui génère automatiquement un certificat SSL unique et le transmet à l'utilisateur.
- Nur Port 443: Bei korrekter Einrichtung benötigt Awingu nur Port 443, um für Endbenutzer-Clients verfügbar zu sein.
- Un contrôle approfondi de la consommation: Awingu s'appuie sur un protocole d'utilisation complexe. Le protocole d'utilisation permet de savoir quelles sont les fonctionnalités de l'utilisateur qui sont activées (ou modifiées), et de savoir si elles sont activées (par une adresse IP). Il est également possible de vérifier si les données sont effacées, gelées, protégées ou autres. L'outil d'audit est accessible depuis le tableau de bord de l'Awingu (Admin) et permet d'extraire des informations précises.
- Erkennung von Anomalien: Informez vous des cas de non respect des règles dans votre région, par exemple si quelqu'un se connecte trop souvent avec un mot de passe erroné ou si quelqu'un essaie de se connecter depuis l'étranger. Ces informations sont disponibles sur le tableau de bord de l'Awingu (uniquement pour les administrateurs).
- HTML-Iso-RDP: RDP ist bekannt dafür, dass es zahlreiche Exploits aufweist, insbesondere wenn ältere und nicht gepatchte Versionen ausgeführt werden. HTML minimise les "vecteurs d'attaques" spécifiques au RDP (par exemple Bluekeep, NotPetya).
- Contrôle de la consommation de granulés: Pour chaque utilisateur (groupe), des droits spécifiques peuvent être accordés, par exemple l'entrave à l'utilisation de l'imprimante virtuelle (par exemple, pas d'impression à la maison), l'entrave à l'enregistrement (ou à l'archivage) des données sur le site et sur le site Desktop, l'entrave à l'utilisation commune des sites d'utilisation de l'Awingu, l'entrave à l'utilisation commune des données de l'Awingu, etc.
- Aufzeichnung der Sitzung: L'Awingu peut activer l'identification automatique d'utilisations ou d'utilisateurs particuliers (Remarque : pour les sites Awingu à proxy inversé). L'utilisateur final reçoit un avertissement avant le début de son utilisation de l'Awingu/des Desktops et doit l'activer.
- Aucune donnée locale: Toutes les utilisations, les données, les Desktops hébergés, etc. fonctionnent dans le navigateur en HTML5. Es gibt keinen Footprint auf dem Gerät (vgl. granulare Nutzungskontrollen), und es werden only Bildschirm-'Bilder' freigegeben.
-
- Awingu ermöglicht bessere UX (en anglais)
Avec Awingu, les utilisateurs peuvent gérer et améliorer leur travail sur n'importe quel appareil, y compris leur propre appareil privé. Il peut s'agir d'un appareil Windows 7, d'un MacBook ou d'une tablette. Il s'agit d'une utilisation simple et cohérente.