Totusi, in acest mod, asigurarea securitatii retelei este mai dificil de realizat, deoarece ficare calculator conectat de la distanta poate crea o poarta de intrare pentru atacatori. In continuare sunt cateva sfaturi ce va ajuta sa mentineti sigure retelele VPN si sa folositi avantajele aduse de acestea.

1. Folositi cea mai buna metoda de autentificare pentru accesul la VPN. In functie de infrastructura si de sistemele de operare folosite, trebuie aleasa cea mai sigura solutie.

De exemplu, intr-o retea cu servere Microsoft, cea mai sigura metoda de autentificare este oferita de Extensible Authentication Protocol-Transport Level Security (EAP-TLS) impreuna cu smart-card-uri. Necesita o cheie publica a infrastructuriii si induce o incarcare suplimentara prin codarea si distribuirea in siguranta a smartcard-urilor. Urmatoarea optiune este reprezentata de Microsoft Challenge Handshake Authentication Protocol Version 2 (MS-CHAP v2) si Extensible Authentication Protocol (EAP).

Password Authentication Protocol (PAP), Shiva Password Authentication Protocol (SPAP) si Challenge Handshake Authentication Protocol (CHAP) nu sunt suficient de sigure pentru a putea fi folosite.

2. Folositi cea mai buna metoda de criptare pentru accesul la VPN. Layer Two Tunneling Protocol (L2TP) peste Internet Protocol security (IPsec) este o solutie buna in retelele cu servere Microsoft. Point-to-Point Tunneling Protocol (PPTP) este prea putin sigur pentru a putea fi folosit. OpenVPN - un VPN Single Socket Layer (SSL) - poate rula impreuna cu o sesiune de autentificare bazata pe TLS, Blowfish sau criptare AES-256.

3. Limitati accesul la VPN. O conexiune VPN este un punct de intrare in retea si ,de aceea, trebuie sa fie disponibil doar atunci cand este necesar.

4. Furnizati accesul la anumite fisiere mai curand prin intermediul intranet-urilor sau extranet-urilor, decat prin VPN. Un site accesat prin HTTP securizat (HTTPS) cu autentificare pe baza de parola expune doar fisierele de pe un singur server, nu toata reteaua. In plus, scalarea performantelor este mai buna decat in cazul VPN.

5. Permiteti accesul la e-mail fara a fi necesar accesul VPN. Folositi servere de e-mail securizate prin SPA (Secure Password Authentication) si criptare SSL. Acestea sunt o optiune viabila pentru angajatii ce lucreaza de la distanta.

6. Implementati si impuneti o politica de utilizare a parolalor sigure. In absenta unei autentificari in doua etape (smart-card-uri sau date biometrice), securitatea retelei este data de siguranta oferita de parole. Acestea  trebuie schimbate periodic si nu trebuie sa fie cuvinte sau date uzuale.

7. Oferiti protectie antivirus, antspam si firewall adecvata pentru fiecare calculator din retea. Orice computer conectat de VPN poate raspandi virusi ce pot bloca functinarea retelei.

8. Izolati utilizatorii din momentul in care se conecteaza la VPN pana cand calculatorul utilizat de ei este declarat ca fiind sigur. Este necesara actualizarea listelor de semnaturi antivirus si instalarea celor mai recente patch-uri de securitate, inainte ca unui PC sa ii fie permis accesul la reteaua unei companii.

9. Interziceti utilizarea altor VPN-uri sau programe de control la distanta cat timp un calculator se afla conectat la VPN-ul dumneavoastra. In acest fel se reduce posibilitate de a va expune altor retele.

10. Securizati retelele wireless aflate la distanta. Angajatii care lucreaza acasa utilizeaza adesea laptopuri conectate la un modem de cablu sau DSL prin intermediul propriului acces-point wireless. Din pacate, multe rutere wireless nu au configurate optiunile de securitate, majoritatea functionand cu setarile implicite. Acestea trebuie setate sa foloseasca WPA si cei PSK si sa aiba activate firewall-urile.

Mentinerea securitatii retelei si in special a conexiunilor VPN necesita o atentie constanta din partea administratorilor de retea. Daca urmati aceste 10 sfaturi, sansele de aparitie a breselor de securitate din cauza VPN scad.

Sursa: IDG

Data: 10.06.2006