Jeg vil gerne høre om Remote access VPN procedurer, som andre følger i deres organisationer for tredjepartsleverandører og forretningspartnere.
I vores organisation deler vi typisk en VPN-adgangsformular med leverandører, som de udfylder med deres fulde navn, email, telefonnummer, firmakontakt og adgangsvarighed. Men vi står ofte over for en udfordring, når leverandører efterlader IP- og portoplysninger tomme, da de måske ikke kender disse oplysninger.
Jeg vil gerne høre fra andre, hvilke procedurer de følger for at sikre en glidende remote access VPN for deres leverandører. Derudover er jeg interesseret i at forstå den interne proces efter modtagelse af formularen. Tips og råd, du kan dele, vil blive værdsat.
På et firma, jeg arbejdede for, havde vi en hel fortrolighedsaftale med hver leverandør, men det var noget, den juridiske afdeling håndterede udelukkende.
Selvfølgelig havde vi en VPN-adgangsformular med alle de oplysninger, du nævnte. Vi satte også krypteringstyper for fase 1 og 2 og alle de oplysninger. Derefter planlagde vi altid et opkald mellem netværksingeniører, og PSK, hvis det blev brugt, blev delt over opkaldet. Herefter blev al konfiguration og test udført under opkaldet. I mange tilfælde outsourcer leverandøren VPN-konfigurationen, så du kan have med en meget erfaren netværksingeniør at gøre. I andre tilfælde kan det være en help desk-medarbejder eller en programmør, der kæmper sig gennem konfigurationen.
Vi kunne også lide at have en adskilt, dedikeret VPN/firewall til disse forbindelser. På den måde kunne vi finjustere firewall-reglerne ét sted. Enhver vedligeholdelse, vi skulle udføre på vores netværk, ville ikke påvirke tunnelerne. Og hvis vi skulle opgradere VPN-udstyret, ville det være én e-mail til alle leverandører. Og i værste tilfælde, hvis vi på en eller anden måde skulle låse alle leverandører ude af netværket, kunne vi blot afbryde forbindelsen til enheden eller slukke den.
Mit firma bruger OpenVPN Access Server til fjern-VPN-adgang. Vores partnere skal give følgende oplysninger for adgang: Navn, kontakt, tid og det system, de vil få adgang til. Derefter sender jeg dem VPN-brugernavn/adgangskode/OTP-token for at få adgang. Når de logger ind første gang, kan jeg se MAC, offentlig IP fra VPN-logfiler (ved brug af en custom post auth script til OpenVPN). Jeg vil konfigurere adgangsbegrænsninger baseret på disse oplysninger.
Der er ikke behov for firewall. I det brugerdefinerede Python-script forespørger jeg brugergrænsefladekonfigurationen fra SQLite-databasen og sammenligner den med de aktuelle rapporterede egenskaber fra VPN-klienten (MAC, IP,…). Tutorial: How to Set Up Hardware Address Checking with a Post-auth Script
Sikker på. Jeg arbejder på et open source-projekt kaldet OpenZiti (https://docs.openziti.io/), som implementerer zero trust-netværk og SDN-principper. Det opererer som et overlay-netværk, der kræver stærk identitet og autentifikation-før-tilslutning (blandt andre ting). Det opretter udgående forbindelser (når de er godkendt og autoriseret) i afsender og modtager, så slutbrugere kun behøver udgående internet; der er ingen behov for statiske IP’er, port forwarding, indgående porte, problemer med CGNAT osv. Desuden kan du definere, hvilke specifikke tjenester brugere får adgang til, herunder IP/DNS/port, hvis du ønsker det – dvs. mindst privilegium og mikrosegmentering.