"Freunde lassen Freunde kein VPN verwenden"

"Freunde lassen Freunde kein VPN verwenden". Ho avuto questa notizia in un Blogbeitrag von Matthew Sullivan (dem ich alle kreativen Credits gebe) gelesen und meine Aufmerksamkeit war gewonnen. In questo blog discuteremo come mai le classiche soluzioni VPN (Virtual Private Network) per le aziende non sono più "buone", per consentire il lavoro a distanza e il telelavoro.

Der Klarheit halber sei gesagt, dass wir, wenn wir von VPN sprechen, ausdrücklich nicht von P2P-verwalteten VPN-Verbindungen zur Überbrückung von zwei Standorten oder von kommerziellen VPN-Diensten sprechen (von denen angenommen wird, dass sie ein privateres und sichereres Surfen im Internet ermöglichen).

VPN - Virtual Private Network - si basa sui nuovi anni. Nell'anno 1996 Gurdeep Singh-Pall, un collaboratore di Microsoft, ha inventato il PPTP (Point-to-Point Tunneling Protocol). Es bot eine Methode zur Implementierung virtueller privater Netzwerke und einer sicheren Internetverbindung. Nell'anno 1996 il mondo ha raggiunto 36 milioni di persone. Internetbenutzer (Quelle). Due drittel davon erano in USA ansässig. Es gab erstaunliche 100.000 Websites, Netscape war der Browser der Wahl, und mit 33,8 Kbps konnten die Benutzer mit Lichtgeschwindigkeit im Internet surfen. La VPN era a quest'epoca l'attrezzo più adatto. Natürlich haben sich die Zeiten geändert.

I tipici problemi di sicurezza con le VPN delle imprese

- Wenn Sie einmal drin sind, sind Sie wirklich "drin".

Laut einer IDC-Analyse stammen mehr als 40% der Sicherheitsverletzungen von autorisierten Nutzern wie Auftragnehmern, Verkäufern und Angestellten. Questo significa che le VPN in questo regolamento non devono basarsi su controlli granulati, che sono necessari per l'accesso di utenti con diritti diversi. Se un utente remoto è autenticato da una VPN, il suo utente sarà considerato un vero professionista e avrà accesso a tutto ciò che riguarda la rete aziendale. Questo fa sì che l'azienda e le sue risorse siano perfettamente funzionanti e offensivi per le aggressioni o le perdite di dati.

La VPN-Benutzerzugriffsverwaltung non è solo con Active Directory (AD), ma anche con Gerätezertifikaten verknüpft. Ciò significa che quando un collaboratore dell'azienda si trasferisce in un'altra azienda, deve essere ampliato il suo Gerätezertifikat - e se lo dici tu, questo viene spesso ignorato.

- Notwendigkeit, immer die letzte Version auszuführen

Le piattaforme VPN sono molto diffuse. Anche con gli hacker. Nessuna piattaforma può trarre profitto dall'assoluta sicurezza, e questo vale anche per le piattaforme VPN. Negli ultimi anni ci sono state molte delle VPN-Plattformen più credibili e più utilizzate in tutto il mondo (e solo alla fine). In alcuni casi è durato settimane, quando l'azienda produttrice ha messo a disposizione una protezione per la sicurezza, che ha perso la testa. Alla fine c'è solo una piccola lista delle più recenti coperture di sicurezza per piattaforma:

• Palo Alto Netzwerksicherheitsberatung PAN-SA-2019-0020, in Bezug auf CVE-2019-1579;
• FortiGuard Sicherheitsberatung FG-IR-18-389, in Bezug auf CVE-2018-13382; FG-IR-18-388 in Bezug auf CVE-2018-13383; FG-IR-18-384, in Bezug auf CVE-2018-13379;
• Pulse Secure Sicherheitsberatung SA44101, in Bezug auf CVE-2019-11510, CVE-2019-11508, CVE-2019-11540, CVE-2019-11543, CVE-2019-11541, CVE-2019-11542, CVE-2019-11539, CVE-2019-11538, CVE-2019-11509, CVE-2019-11507.
• Citrix Sicherheitsberatung CTX267027, in Bezug auf CVE-2019-19781.

Il servizio è chiaro, soprattutto quando si è a conoscenza del fatto che è difficile capire quale tecnologia VPN si voglia utilizzare: non si può mai usare la nuova versione, non si possono mai usare le patch di sicurezza e non si può mai fare tutto in fretta. Per poter essere efficace, questo deve essere uno standard per ogni soluzione software.

- Inserire il login/password

Il Multi-Faktor-Authentifizierung è il minimo assoluto, che i Benutzer devono avere per l'autenticazione con VPN. Tuttavia, in molte organizzazioni non c'è ancora uno standard di riferimento... ed è così, perché l'uomo deve lasciare la porta della sua casa per un po'. Viele Benutzerkennwörter wurden bereits gehackt und werden in Datenbanken im Darkweb gesammelt (ehrlich gesagt, sogar ich kann sie finden). Ancora di più, se si usa semplicemente "123456" come password, gli hacker hanno già avuto un'opportunità unica, e sono riusciti ad accedervi. Der Vollständigkeit halber sei angemerkt, dass die häufigsten Passwörter laut SplashData im Jahr 2019 folgende waren

• • • 123456
    • 123456789
    • qwerty
    • Kennwort
    • 1234567
    • 12345678
    • 12345
    • iloveyou
    • 111111
    • 123123

E se il cliente vuole che in un passwort ci siano almeno un numero e una tabella, allora #11 è nella lista 'abc123'. Kein Wunder, dass eine Studie von Microsoft herausfand, dass die Verwendung von MFA in 99,9% der Fälle Kontoübernahmeangriffe blockiert. Fazit: Verwenden Sie MFA. Immer. Das ist ein absolutes Minimum.

- Prodotti di compromesso

Gli utenti finali possono attivare la connessione VPN su un client VPN sul proprio computer (in questo caso un portatile). Se la connessione tra il computer e l'azienda è stata stabilita, i Tore nach Walhalla sono stati disattivati. Solo se questa autenticazione con una sicurezza superiore come l'MFA viene effettuata. Questo significa: Se il dispositivo su cui è installato il client VPN è infetto da malware, l'attivazione di una connessione VPN può portare a una situazione in cui il malware si insinua nell'azienda.

Questo è il motivo per cui si può attivare la VPN solo su dispositivi che si trovano all'interno dell'azienda e che vengono gestiti. L'ufficio IT deve avere un controllo ottimale sul dispositivo, assicurarsi che sia dotato della più recente versione del sistema di protezione e delle più recenti patch, di un servizio anti-malware attivo, ecc. Proprio per questi motivi, l'utilizzo di VPN su dispositivi che sono a disposizione degli utenti è un vero e proprio tabù per la sicurezza.

Darüber hinaus stellt die Tatsache, dass sich wahrscheinlich - wahrscheinlich - vertrauliche Daten auf dem Endbenutzergerät befinden, ein Sicherheitsrisiko als solches dar. Anche per Geräte verwaltete.

La flessibilità e l'UX-Seite di VPN

L'idea di VPN è l'estensione di un computer in un'azienda (ad esempio) in un'azienda. Im Grunde genommen verhalten Sie sich, als ob das Gerät im LAN laufen würde. Questo ha alcune conseguenze;

Gli utenti possono, in questo caso, utilizzare tutti i software e i dati locali, che possono essere utilizzati da soli sull'apparecchio.

beim Zugriff auf Vermögenswerte im Unternehmensnetzwerk werden diese vollständig heruntergeladen (oder hochgeladen); wenn beispielsweise die Arbeit an einer Datenbankdatei auf einem gemeinsam genutzten Laufwerk erledigt wird, wird die Datei ständig herunter- und hochgeladen

Tramite l'utilizzo dello Split-Tunneling, la navigazione (come YouTube e i social media) può avvenire su Internetzugang e non su VPN. Questo è comunque offensichtlich con altri rischi per la sicurezza. L'alternativa è che l'accesso ai dati attraverso la VPN dell'azienda possa essere utilizzato, il che significa che è possibile ottenere un miglioramento della capacità della VPN.

Fazit: La VPN offre agli utenti (se hanno un computer portatile) la loro abituale navigazione. Questo va bene anche per l'ultima volta.

- Jedes Gerät

Come avete capito, per la sicurezza è sufficiente attivare la VPN su dispositivi che sono stati completamente controllati da voi. Per migliorare la situazione, la maggior parte dei client VPN per le aziende non sono disponibili su tutti i dispositivi e i sistemi informatici (ad esempio, MacOS-Geräte, Chromebooks, Raspberry Pi, tablet Android, ...). Questo permette di migliorare il grado di libertà e il grado di soddisfazione dei clienti.

- Kapazität

Come già detto, le piattaforme VPN devono assorbire una grande capacità di download e upload. Queste piattaforme sono spesso così poco utilizzate che il 100% degli utenti può lavorare in un unico luogo. Folglich sind Kapazitäts- und damit verbundene Leistungsprobleme häufiger als selten.

Bei Awingu gehen wir die Dinge anders an

Awingu è uno spazio di lavoro unificato basato su browser. Mette a disposizione applicazioni basate su RDP e Desktop in HTML5 su qualsiasi browser. Aggrega anche Dateiserver, Intranet, Webanwendungen, SaaS, ... insieme in una singola finestra con Single Sign-On. Dai un'occhiata alla Architektur und die Funktionen von Awingu, um mehr darüber zu erfahren.

- Awingu ha le minime Sicherheitsschichten eingebaut

Awingu permette ai suoi utenti di avere il massimo della sicurezza informatica. Awingu si basa su un RDS (Terminal Server) e un collegamento RDP. Questo documento può essere interpretato in modo tale da fornire un'idea della sicurezza di Awingu in relazione alla "normale" RDP/RDS.

• • • Multi-Faktor-Authentifizierung: Awingu è dotato di una soluzione MFA integrata e può (se necessario) integrare la sua attuale modalità di autenticazione senza problemi. Attraverso l'utilizzo dell'MFA si minimizza il rischio di "attacchi brutali". L'MFA integrata in Awingu consente l'utilizzo di One-Time-Token (HOTP) e token zeitbasierten (TOTP). Awingu integra anche DUO Security, Azure MFA, SMS-Passcode o dispositivi basati su Radius.
    • Verschlüsselung über HTTPSLa funzione di sicurezza di Awingu, che si trova tra l'utente finale (Browser) e la virtuosa appliance di Awingu, è stata attivata e consente ad Awingu di effettuare la trasmissione su HTTPS. Awingu non consente l'utilizzo di propri SSL-Zertifikaten (o SSL-Proxy). Inoltre, Awingu dispone di un'integrazione integrata con Let's Encrypt, che genera automaticamente un ottimo SSL-Zertifikat e lo rende possibile.
    • Nur Porta 443: Con un'installazione corretta, Awingu ha solo la porta 443, che può essere utilizzata dai clienti finali.
    • Umfassende Nutzungskontrolle: Awingu wird mit einem umfangreichen Nutzungsprotokoll geliefert. Il programma di alimentazione verifica, quali sono le attività di utilizzo che il cliente ha effettuato e come e quando (da quale indirizzo IP) le ha effettuate. Es wird auch verfolgt, welche Dateien geöffnet, gelöscht, gemeinsam genutzt usw. werden. L'Audit-Protokoll è accessibile dalla Awingu-Dashboard (Admin) e può essere ampliato con informazioni ben definite.
    • Riconoscimento di Anomalien: Informati su eventuali problemi di registrazione nella tua zona, come ad esempio il fatto che qualcuno abbia usato spesso una password errata o che abbia cercato di fuggire dall'estero. Queste informazioni sono disponibili su Awingu-Dashboard (solo per l'amministratore).
    • HTML-Iso-RDP: RDP è noto per il fatto che esiste una serie di exploit, in particolare quando si utilizzano versioni non aggiornate e senza patch. HTML minimizza i "Bedrohungsvektor" specifici per RDP (ad esempio Bluekeep, NotPetya).
    • Controlli di alimentazione in granuli: Für jeden Benutzer (Gruppe) können spezifische Rechte vergeben werden; z.B. Verhinderung der Nutzung des virtuellen Druckers (d.h. kein Drucken zu Hause), Verhinderung des Herunterladens (oder Hochladens) von Dateien auf den und vom lokalen Desktop, Verhinderung der gemeinsamen Nutzung von Awingu-Anwendungssitzungen, Verhinderung der gemeinsamen Nutzung von Awingu-Dateien usw.
    • Aufzeichnung der Sitzung: Awingu può attivare l'identificazione automatica di altre utenze o utenti (Hinweis: ausgeschlossen für Awingu Reverse-Proxy-Sitzungen). L'utente finale riceve un avviso prima dell'avvio dell'applicazione Awingu/del Desktops e deve attivarlo.
    • Keine lokalen Daten: Tutte le applicazioni, dati, Desktops gehosteten ecc. funzionano nel browser in HTML5. Es gibt keinen Footprint auf dem Gerät (vgl. granulare Nutzungskontrollen), und es werden nur Bildschirm-'Bilder' freigegeben.

- Awingu ermöglicht bessere UX

Con Awingu, i clienti possono utilizzare qualsiasi dispositivo, anche il loro dispositivo privato, e migliorare il loro lavoro. Può essere un computer con Windows 7, un MacBook o un tablet. Es ist eine einfache und konsistente Erfahrung.