Verkkoympäristön suojaaminen
Julkaistu 18.9.2019.
Artikkelin lukuaika n. 5 minuuttia.
Nykypäivänä yrityksen verkko ei ole enää pelkästään toimipisteen sisäverkko, vaan se ulottuu sinne, missä työntekijät sillä hetkellä työskentelevät. Töitä voidaan tehdään kotikonttorilla, kahvilassa, junassa tai hotellihuoneessa, jolloin verkon suojaaminen on haastavaa, mutta oikein toteutettuna työskentelystä saadaan täysin turvallista.
Mutta mitä kaikkea tulisi loppujen lopuksi suojata ja miten? Käytännössä kaikki laitteet jotka ovat jollain tavalla yhdistetty yrityksen verkkoon. Jotta suojaus olisi kokonaisvaltainen ja riittävä, tulee laitteiden kytkeminen olla toteutettu joko yrityksen oman IT-asiantuntijan tai -kumppanin avulla. Toteutuksessa on huomioitava että käyttäjän päätelaite suojataan asianmukaisella tietoturvasovelluksella, verkkoyhteys yrityksen sisäverkkoon toteutetaan vahvalla salauksella ja verkon reunalle asennetaan perusmuureja syvällisemmin liikennettä seuraava palomuuri ja verkkoympäristön suojausta hallitaan keskitetysti. Ja koska yrityksen verkkoympäristön suojaus on yhtä vahva kuin sen heikoin lenkki, on erityisen tärkeää muistaa myös vaihtaa kaikkien verkkoon kytkettyjen laitteiden oletussalasanat.
Langattomat verkot
Lähtökohtaisesti langattomat verkot ovat riittävän hyvin suojattuja jokapäiväiseen käyttöön, kunhan verkon salaustaso on määritetty oikein. Yhteyden tulee olla WPA2-AES-salauksella suojattu, eikä vanhentunutta WEP tai WPA-TKIP salausta tule enää käyttää, koska näiden suojausten murtaminen on nykyään melko helppoa. Varsinkin vanhoissa WLAN-tukiasemissa voi olla puutteita ja suojaus voi olla määritetty vuosia sitten. Näissä tapauksissa asiantuntijan on hyvä tarkastaa, että WPA2-AES suojaus on käytössä ja että laite yleensäkin tukee sitä. Lisäksi vieraita varten tarkoitettu langaton verkko tulee eristää yrityksen omasta verkosta niin että sen kautta ei ole mahdollisuutta kuin vain avata yhteys Internetiin.
Suurin uhka kuitenkin tulee yleensä siitä, että WLAN-verkon salasana on ollut sama liian kauan ja se on yleisesti tunnettu yrityksen työntekijöiden keskuudessa. Tällöin yrityksen palveluksesta poistuneet voivat tietää salasanan ja päästä verkkoon yrityksen läheisyydestä. Salasanaa parempi tapa olisikin käyttää sertifikaattia, jossa päätelaite yhdistyy WLAN-verkkoon vain jos siinä on asennettuna asianmukainen sertifikaatti. Tällöin kaikkien tiedossa olevia salasanoja ei tarvita.
Langattoman verkon hallinta tulee olla keskitetty siten, että kaikki tukiasemat ja niiden asetukset voidaan hallita yhdestä paikasta. Keskitetystä hallinnasta voidaan nähdä myös tukiasemien tila ja niihin kytkeytyneet laitteet. Tällöin myös ongelmien selvitys on helppoa, kun huonosti toimivat ja ylikuormitetut tukiasemat voidaan paikallistaa helposti. Esimerkiksi Sophos APX -tukiasemat voidaan kytkeä Sophoksen verkkoportaaliin, josta niiden tila ja asetukset ovat yhdestä paikasta nähtävissä. Palvelun avulla myös uusien tukiasemien lisääminen on helppoa; uusi tukiasema kytketään verkkoon ja hallinnasta latautuu tukiasemaan valmiit asetukset ilman erillisiä asennusmäärittelyjä. Tämä nopeuttaa asennusta ja vähentää virheiden määrää.
Palomuuri
Yksi yrityksen tietoturvan keskeisimmistä osista on palomuuri ja sen valintaan tulee kiinnittää huomiota, jotta valittu laite tarjoaisi riittävän suojauksen nykypäivän hyökkäyksiä vastaan. Kehittyneellä palomuurilla on monia tehtäviä kuten etäkonttorien ja etätyöntekijöiden yhdistäminen yrityksen sisäverkkoon, verkon suojaaminen ulkoapäin tulevilta hyökkäyksiltä, sallia haluttu liikenne palvelimille sekä tarkkailla ulos suuntautuvaa verkkoliikennettä ja eristää automaattisesti saastuneet päätelaitteet verkosta.
Perinteiset palomuurit vain ohjaavat verkkopaketteja eteenpäin määritettyjen sääntöjen avulla, kun taas kehittyneet palomuurit tutkivat liikennettä tarkemmin. Ne selvittävät paketin liikennettä, vertaavat niiden alkuperää ja suojaavat sisäverkon palveluita perinteisiä muureja tehokkaammin. Lisäksi ne mahdollistavat alipalomuurien kytkemisen omaan hallintaansa. Alipalomuurit muodostavat automaattisesti salatun yhteyden pääpalomuuriin, jolloin verkkojen yhdistäminen ja sääntöjen hallinta on erittäin helppoa pääpalomuurin hallinnasta. Yksi tällainen yhdistelmä on Sophos XG-sarjan palomuurit, joihin saa kytkettyä Sophos RED alipalomuureja. Lisäksi jos yrityksellä on useita pääpalomuureja, on Sophoksen web-hallinnalla mahdollista hallita kaikkien toimipisteiden palomuurit yhdestä paikasta.
Etätoimipisteet ja etäkäyttäjät
Etätyöntekijän tai etätoimipisteen tietoturvallinen yhteys yrityksen verkkoon voidaan toteuttaa etätoimipisteeseen asennettavalla laitepalomuurilla tai tietokoneen ohjelmistopohjaisella VPN-toteutuksella. Etäpisteen laitepalomuuri yhdistää pääkonttorin palomuuriin VPN-tunnelilla. Tämä on luotettavin ja paras tapa silloin, kun etäpisteessä on useampia käyttäjiä. Kun etäpiste, esim. kotikonttori, on vain yhden käyttäjän kokoinen, kustannustehokkain tapa käyttäjän yhdistämiseksi verkkoon on käyttää päätoimipisteen palomuurin kanssa yhteensopivaa VPN-ohjelmistoa. Tällöin käyttäjä avaa sovelluksen, johon syötetään henkilökohtainen tunnistautuminen, jonka jälkeen pääsy yrityksen verkkoon avataan. Käyttäjän kaikki liikenne voidaan ohjata salatun tunnelin kautta, jolloin Internetin käyttö on täysin turvallista, vaikka käytössä olisi suojaamaton langaton verkko hotellissa tai junassa.
BGPRO-tip: Verkon haavoittuvuuksien skannaus
Vaikka verkko olisi sen rakennushetkellä täysin tietoturvallinen, syntyy joka päivä tietoturvahaavoittuvuuksia, jotka mahdollistavat uusia hyökkäyskeinoja. Kun verkkoon kytkettyyn laitteeseen tulee tietoturva-aukko, sen kautta voidaan edetä syvemmälle sisäverkkoon. Murtautujat etsivät verkkoja ja niissä olevia haavoittuvia laitteita automaattisten bottiarmeijoiden avulla, yleensä ilman että tiedetään kenen verkkoa ollaan tutkimassa. Hyökkäys voi olla myös kohdistettu, mutta tämänkaltaiset hyökkäykset koskettavat useimmiten isompia yrityksiä.
Jotta verkon haavoittuvuuksia löydettäisiin ennen murtautujia, tulisi omaa verkkoa skannata siihen sopivilla työkaluilla. Tällainen palvelu on esimerkiksi F-Secure Radar, jossa on web-pohjainen keskitetty hallinta, virtuaalikone sisäverkon skannauksia varten sekä F-Securen tarjoama pilvi, josta skannauksia voidaan tehdä ulkoverkosta käsin. Palvelu voidaan ajastaa etsimään yrityksen verkon haavoittuvuuksia halutulla aikavälillä ja se raportoi löytämänsä heikkoudet ylläpidolle. Koska Radar-palvelu osaa lukuisia eri hyökkäyskeinoja, voidaan sen avulla löytää ja paikata haavoittuvuudet ennen ulkopuolisia tahoja.
Verkon suojaaminen pähkinänkuoressa:
- Valitse palomuuri, jossa suorituskyky ja ominaisuudet riittävät suojaamaan yhteyden ja se tarjoaa etäyhteysmahdollisuudet.
- Varmista että langattoman verkon salaus on tyypiltään WPA2-AES riittäävän suojaustason saavuttamiseksi.
- Ohjaa etäkäyttäjien VPN-liikenne yrityksen palomuurin kautta Internet-liikenteen suojaamiseksi
- Skannaa omaa verkkoa verkkoskannauspalvelulla tietoturva-aukkojen löytämiseksi
Voimmeko auttaa Sinua suojaamaan verkkoympäristösi?
Tilaa meiltä kartoitus tai artikkelissa mainitut tuotteet tästä:
Haluatko lukea tietoturvasta lisää?