Barnas gaming kan være hackernes dør til foreldrenes arbeidsplass: – Problemet er at 90 prosent av VPN-forbindelsene er satt opp feil

[Redaksjonen.]

Barnas gaming kan være hackernes dør til foreldrenes arbeidsplass: – Problemet er at 90 prosent av VPN-forbindelsene er satt opp feil

[esfets]

Sett en ekstra router før gaming pc'er og andre ukritiske nettaktiviteter, og aktiver firewall. Da kan virusene herje i fred på nettet bakom den. De kan selvfølgelig infisere gaming-routeren også, men risikoen for spredning av malware i hjemmenettet er iallefall betydelig redusert.

[Salt kjeks]

Hjemmenettverk har generelt meget dårlig sikkherhet. Robotstøvsugeren fra kina med tvilsom sikkerhet kobles gjerne til samme nettverk som mobiler og datamaskiner. Det er åpenbart behov for separasjon med VLAN, men det er ofte ingen eller utilstrekkelig støtte for dette på rutere myntet på forbrukere. Eksempelvis tre nettverk, jobb - privat - IOT, hjelper mye. At forbruker-rutere har elendig firmware som er full av sikkerhetshull som ikke fikses gjør ikke saken bedre.

Selv skaffet jeg Ubiquiti Dream Machine Pro med et wifi 6 aksesspunkt, og ser meg ikke tilbake. Den gir gode muligheter for god sikkerhet, inkl. sanntidsovervåkning av all trafikk. Prisen på 6-7 tusenlapper inkl. et aksesspunkt er den ekstra sikkerheten verdt for meg, men det er nok for spesielt interesserte.

Endret 15. mai 2022 av Salt kjeks

[chrisbt]

9 minutes ago, esfets said:

Sett en ekstra router før gaming pc'er og andre ukritiske nettaktiviteter, og aktiver firewall. Da kan virusene herje i fred på nettet bakom den. De kan selvfølgelig infisere gaming-routeren også, men risikoen for spredning av malware i hjemmenettet er iallefall betydelig redusert.

Nei, motsatt, ruter med VPN for å lage et isolert nettverk til jobb-PC-en, som er nettopp det - utelukkende til bruk til jobb. Rutere bryr seg tradisjonelt lite om å hindre LAN siden tilgang til WAN siden, så den er ikke velegnet til å hindre noe bak ruteren tilgang til det på utsiden. Ja, ditt oppsett hindrer at du uten videre finner delte mapper på de andre PC-ene fra bak ruteren, men det er fordi protokollen for oppdagelse av disse ikke tar høyde for at de er på et annet subnet (bruker typisk kringkasting på eget lokalnett). Det hindrer ikke en hacker sin ondsinnede kode fra å finne dem og eventuelle andre nettverkstjenester disse enhetene eksponerer på sitt lokalnett. Så bruk heller en rutere til å lage et eget lokalnett til de enhetene du ønsker å sikre enn å forsøke å isolere de andre.

[NULL]

11 hours ago, esfets said:

Sett en ekstra router før gaming pc'er og andre ukritiske nettaktiviteter, og aktiver firewall. Da kan virusene herje i fred på nettet bakom den. De kan selvfølgelig infisere gaming-routeren også, men risikoen for spredning av malware i hjemmenettet er iallefall betydelig redusert.

Altså at du skal ha en ekstra ruter bak hovedruteren, og så gaming-pc-en bak denne ekstra ruteren? Enheter koblet til denne ruteren vil fortsatt kunne nå enhetene koblet til den første ruteren. I tillegg drar du fort på deg NAT-problemer for spill som baserer seg på P2P-kommunikasjon. Enheter koblet på den første ruteren vil imidlertid ikke kunne nå enheter bak den andre ruteren....

En løsning som finnes på de fleste rutere er gjestenett. Enheter her skal være isolerte fra å kommunisere med andre enheter på hjemmenettet hvis ting er implementert riktig. Hvis det for en jobb-pc ikke er noen grunn til å kommunisere med andre enheter på hjemmenettet, kan da faktisk gjestenettet tilby en viss ekstra sikkerhet.

[coret3x]

Dette er vel strengt tatt en reklame for sky-pcer. Anbefaler bedrifter å se mer på hvitelisting av apper for å sikre at ikke tilfeldige kjørbare filer automatisk kan kjøre. Da kan man spare mye penger på sikkerhet istedetfor denne Zero trust greia som krever veldig mye overvåking.

[Kahuna]

Det er vel heller en 'rakleme' for å bruke skyen til VPN-trafikken. All utgående VPN trafikk fra jobb-pcen skal innom bedriftens sentrale brannmur, noe som kan være utfordrende å få til med tanke på kapasitet og forsinkelse. Om man i stedet tar i bruk skybaserte brannmurer får bedriften potensielt tilgang til mye større kapasitet. Kanskje også lavere forsinkelse.

Ulempen med standardoppsettet til VPN er at du mister tilgang til lokale ressurser. Da blir det fristende å åpne opp 'bare litt', kanskje til skriveren, som ikke nødvendigvis får oppdateringer så ofte. 

Alternativet til strengt VPN oppsett kan være å herde jobb-pcen skikkelig. Fjern lokal admin for bruker, aggressivt patcheregime, streng SW-brannmur på pcen..

[vitty]

Korrekt løsning på problemet er å segmentere nettverket hjemme med flere nett fordelt på flere vlan og flere SSID'er. Utfordringen er at sånt utstyr er dyrt og krever kompetanse.

Endret 16. mai 2022 av vitty

[sk0yern]

vitty skrev (1 time siden):

Korrekt løsning på problemet er å segmentere nettverket hjemme med flere nett fordelt på flere vlan og flere SSID'er. Utfordringen er at sånt utstyr er dyrt og krever kompetanse.

Og hvordan skal bedriften kontrollere at den ansatte har "korrekt" oppsatt hjemmenett?
Eller hva når den ansatte jobber fra Starbucks, eller fra et hotell?

Korrekt løsning på problemet er å kjøre all trafikk i vpn'et, med unntak man har gjort en risikovurdering av, f.eks teams, zoom, youtube.

[vitty]

sk0yern skrev (På 16.5.2022 den 11.50):

Og hvordan skal bedriften kontrollere at den ansatte har "korrekt" oppsatt hjemmenett?
Eller hva når den ansatte jobber fra Starbucks, eller fra et hotell?

Korrekt løsning på problemet er å kjøre all trafikk i vpn'et, med unntak man har gjort en risikovurdering av, f.eks teams, zoom, youtube.

Det er ingen som har sagt at det er lett. Jeg sier at det er korrekt løsning. Kjører du alt igjennom VPN så ender du opp med at de ansatte logger seg av og på alt etter hvilken oppgave de skal utføre. Har du kompromitterte enheter på hjemmenettet vil maskinen være utsatt som igjen kan introdusere sikkerhetsrisikoer på jobbnettet. Jeg gjentar tidligere påstand. Korrekt løsning er å segmentere hjemmenettet og gjøre det skikkelig.

[sk0yern]

Jeg har ikke sagt det er vanskelig, det er umulig for en større bedrift. 

Som nevnt, det er ikke slik at enheten enten er på kontoret eller hjemmekontor. Man må sikre den andre steder også. 

Korrekt løsning er å tvinge enheten til å være oppkoblet vpnet, alltid. 

[NULL]

On 5/18/2022 at 3:56 PM, vitty said:

Det er ingen som har sagt at det er lett. Jeg sier at det er korrekt løsning. Kjører du alt igjennom VPN så ender du opp med at de ansatte logger seg av og på alt etter hvilken oppgave de skal utføre. Har du kompromitterte enheter på hjemmenettet vil maskinen være utsatt som igjen kan introdusere sikkerhetsrisikoer på jobbnettet. Jeg gjentar tidligere påstand. Korrekt løsning er å segmentere hjemmenettet og gjøre det skikkelig.

Hvis du tillater dem å logge av VPN-et.... og mye er også avhengig av hvor maskinens egen brammur er satt opp. 

Segmentering av hjemmenettet blir kanskje det riktige, men det er utopi at man skal kunne stole på at de ansatte har gjort det og evt. ikke bruker pc-en steder der dette ikke er gjort. Korrekt løsning sitt første steg her, er at pc-en i seg selv må sikres. 

[jannisj]

Nei, dobbel nat er ikke noe man vil ha.

[jannisj]

Nei, dobbel nat er ikke noe man vil ha.

[Kakeshoma]

On 5/16/2022 at 8:37 AM, Kahuna said:

Alternativet til strengt VPN oppsett kan være å herde jobb-pcen skikkelig. Fjern lokal admin for bruker, aggressivt patcheregime, streng SW-brannmur på pcen..

Det er ikke et alternativ, det er sånn det skal være.

Man velger ikke lav sikkerhet på noen deler av infraen eller klientsiden om man ikke vil utsettes for vellykkede angrep.

[Tom Som]

Tull og tøys! Det er ikke feil å etablere split tunnel for videostrømmene til Teams og Zoom etc. Det å frakte denne trafikken inn og ut av selskapets brannmur (eller inn og ut over en skybasert VPN-løsning for den saks skyld) er inneffektivt og fører til kvalitet/ytelsestap og vesentlig økte kommunikasjonskostnader. Det som er feil er å tillate maskiner tilgang til å koble seg til Internett dersom de ikke er sikret for å være tilknyttet Internett. Hvordan kan du la slike maskiner koble seg til hotellnett osv. hvis du ikke kan sikre det mot hjemmenettet? Følgende burde være grunnleggende for alle jobbmaskiner: - Reduser angrepsflaten mest mulig ved å deaktivere tjenester som man ikke har behov for. - Brannmur bør kun akseptere innkommende trafikk fra eksplisitt tillatte maskiner (bedriftens administrasjonsverktøy). Det er som regel få forretningssystemer som krever P2P-trafikk i dag så de fleste bør kunne låse ned muiligheten for "lateral movement" ved å blokkere alt bortsett fra spesifikke servere som benyttes til fjernadministrasjon. - Fjern brukernes adminrettigheter - Ingen sluttbrukere bør kunne endre sikkerhetsinnstillingene på maskinene, for det er ikke brukerne som gjør det, men programvaren de installerer og brukerne har ikke kompetanse til å evaluere hva programvare faktisk åpner opp av sårbarheter. Faktisk har de færreste IT-avdelinger også denne kompetansen. - All programvare som kjøres på maskinene bør risikovurderes sentralt og godkjennes eksplisitt. - Bruk WDAC / AppLocker i whitelist mode til å håndheve softwarekontroll. - Følg nøye med på sikkerhetsoppdateringer som affekterer programvaren som kjører i miljøet og oppdater raskt og effektivt når nye sårbarheter bilr identifisert. - Bruk Credetianl Guard for å sikre at credential harvesting / replay attacks blir vanskeligere å utføre. - Bruk en EDR-løsning som Microsoft Defender for Endpoints for å sikre at man har kontroll over hva som skjer på endepunktene til enhver tid. - Man må selvfølgelig fortsatt benytte god gammeldags antivirus for å sikre at man rydder opp i gammelt rot som kommer inn via sidekanaler. - Ha en sterk passordpolicy som framtvinger lange passord, bruk tofaktorautentisering og single sign-on der det er mulig. - Benytt SecureBoot for å sikre integritet helt fra systemet ble skrudd på. - Bruk fulldisk kryptering, fortrinnsvis uten automatisk opplåsing da dette kan åpne for DMA/hardware-baserte angrep. Kryptonøklene burde ideelt sett ikke være lagret noe sted på enheten (ikke en gang i TPM). - Bruk kun maskiner som har minnebrikkene loddet fast på hovedkortet da dette begrenser angriperes mulighet til å benytte Coldboot-angrep. Gjør man disse tingene, er man så godt sikret som man kan være mens man fortsatt tillater enhetene å kommunisere på Internett.