トークンを使用してリモートアクセスをより安全にする方法は？

2016年、アバストはMobile World Congressの出展者に実験を行うことを決定しました。 同社の従業員は、展示会への訪問者を登録するためにブース近くの空港に3つのオープンWi-Fiポイントを作成し、標準名を「スターバックス」、「MWCフリーWiFi」、「Airport_Free_Wifi_AENA」と呼びました。 4時間で、2000人がこれらのポイントに接続しました。

実験の結果、アバストの従業員がオープンWi-Fiポイントに接続しているすべての人々のトラフィックを分析したレポートが編集されました。 接続した人の63％の個人情報（ログイン、パスワード、メールアドレスなど）も開示されました。 展示会で発表された報告書がなければ、実験の参加者は誰かが自分のデータにアクセスしたことを決して理解していなかったでしょう。

私たちは自宅、ホテル、またはカフェから当社のネットワークに接続しますが、どれほどの損害を引き起こす可能性があるのか​​さえ理解していません。

統計調査によると、会社の従業員の40％以上が少なくとも週に1回はリモートで働いています。

しかし、インターネット経由でリモートで作業している従業員は、ローカルユーザーよりもはるかに脆弱であり、企業にとって潜在的な脅威をもたらすことが判明しています。 したがって、リモートユーザーのセキュリティには特別な注意を払う必要があります。

脅威因子

ユーザーのリモートワークステーションは、ローカルオフィスのワークステーションと比較して、さらに3つの脅威を生成します。

1. リモートユーザーは、組織の物理制御ゾーンの外側にいます。 企業リソースに接続しているのは攻撃者ではなく、会社の従業員であることの証明が必要です。
2. リモートユーザーデータは、組織の制御ゾーン外にあるチャネルを通じて配信されます。 このデータは、外部トラフィックの傍受、不正な変更、および「混合」の影響を受けます。
3. リモートワークステーションの場合、会社自体は物理的なセキュリティを提供できません。 また、使用するコンピューターが構成要件を満たさない場合があります。

したがって、リモートアクセスを整理するときは、情報セキュリティの3つの基本原則を守る必要があります。

• 守秘義務 （重要な情報は、限られた人たちだけが利用できるようにする必要があります）;
• 整合性 （その損失または歪みにつながる情報の変更は禁止する必要があります）;
• 可用性 （許可されたユーザーが必要なときに情報を利用できるようにする必要があります）

リモートアクセスを保護する方法

次の保護メカニズムを使用して、リモートの従業員の作業を整理できます。

• ユーザー認証の信頼できる手段（パスワード、ハードウェア、生体認証データなど）;
• アクセス制御システム（会社のITリソースへの集中アクセス制御）;
• VPN組織ツール（ハードウェアデバイス、ソフトウェアソリューション、ファイアウォール拡張機能など）。
• 攻撃に抵抗する手段（内部ネットワークと従業員を攻撃から保護する）。

保護メカニズムの1つ、つまりVPNについて説明します。

なぜVPNが必要なのですか？

VPN接続は、企業ネットワークおよびインターネットへのより安全な接続を提供します。

VPNアプリケーション：

• インターネットアクセス
• 外部から企業ネットワークへのアクセス。
• 企業ネットワークコンポーネントの統合。

会社のネットワークインフラストラクチャは、ソフトウェアまたはハードウェアを使用してVPNを使用するために準備できます。

有料および無料のVPNサービスが多数あります。

このようなサービスは、主に4つのプロトコルで動作します。

1. トランスポートモードおよびトンネルモードで動作するIPSec 。 トランスポートモードを使用したデータパケット内のメッセージの暗号化はペイロードと呼ばれ、パケット全体の暗号化はトンネリングと呼ばれます。
2. PPTPは、データがPPPパケットとして保存されるトンネリング方式を使用するピアツーピアトンネリングプロトコルです。 次に、それらはIPパケットに入れられ、宛先に送信されます。
3. L2TPは、L2TPアクセスコンセントレータ（LAC）、L2TPネットワークサーバー（LNS）の2つのメインノードで動作する第2レベルのトンネリングプロトコルです。 LACはコールを終了するデバイスであり、LNSはPPPパケットを認証します。
4. TLSとSSLは、認証と暗号化の組み合わせを使用してサーバーとクライアント間でデータを交換する暗号化プロトコルです。

企業向けのVPNサービスもあります。 最も有名なものの1つはOpenVPNです。 安全で安価なサービスです。

その利点は次のとおりです。

1. 安全性 いくつかの暗号化プロトコル（HMAC、3DES、AES、RSA）および2048ビットキーの使用により、すべてのデータの信頼性の高い暗号化が可能になります。
2. OpenVPNの柔軟な機能により、さまざまなプロトコルを使用し、DHCPプロトコルを強制的にブロックし、ファイアウォール/ファイアウォールを介して、プロキシ/ソックス経由で接続を開始できます。
3. Apple iOSやGoogle Androidなど、ほとんどのデバイスでサポートされています。

サードパーティのプログラムを使用せずにVPN接続を整理することは可能ですか？

同様の機能がオペレーティングシステムに組み込まれている場合、サードパーティのサービスを使用しても意味がない場合があります。

標準のWindows機能を使用して、安全なSSTP VPN接続を構成する方法を示します。

この場合、VPN接続は、VPNサーバーが提供するデジタル証明書（SSL）を使用するトラフィック暗号化メカニズムによって保護されます。 VPN接続のインストール中、クライアントオペレーティングシステムソフトウェアは、特にVPNサーバーの証明書を確認します。特に、サーバーの証明書が失効しているかどうかを確認し、VPNサーバーの証明書を発行した認証局のルート証明書を信頼する価値があるかどうかも確認します SSTPプロトコルを使用してVPN接続を正常に動作させるための要件の1つが、インターネットを介してルート証明書のリストを自動的に更新できることです。

SSTPは最新の安全なプロトコルです。 追加の利点は、通常のWebブラウジングに使用されるHTTPSプロトコル（TCP 443）の普遍的にアクセス可能なポートを介して機能することです。つまり、SSTP VPN接続はほとんどすべてのインターネット接続を介して機能します。

VPNおよび2要素認証

VPN接続自体は暗号化されます。 ただし、VPNでの認証にログインとパスワードを使用することは完全に安全ではありません。 しかし、抜け道があります-これは二要素認証です。 ユーザーは、2つの方法でIDを確認できます。 ハードウェア（トークンまたはスマートカード）を使用して構成することをお勧めします。 次に、VPN接続を確立するとき、ユーザーはパスワードではなく、デバイス自体とそのPINコードを必要とします。

VPNを使用する場合のハードウェアデバイスの主な利点は、秘密キーの一意性です。 これは、デバイスからの秘密鍵をコピーおよび複製できないという事実によるものです。 結局のところ、認証ツールが一意でない場合、アクセスを取得したユーザーがこのアクセスが割り当てられたユーザーであるかどうかを確認できません。

パスワードを使用する場合、状況はまったく異なります。 パスワードを明確または偶然に見つけた人は、知らないうちにパスワードを使用できます。 これは、パスワードの所有者に代わって、彼がやりたいことを何でもできることを意味します。 特に攻撃者が技術に精通している場合、この状況を追跡することは非常に困難です。

VPNサーバーのセットアップ

Windows Server 2012 R2に基づいたシンプルなVPNサーバーを展開することにより、VPN接続のセットアップを開始します。

標準的な機器にインストールされたこのようなサーバーは、数十人の従業員（30〜50人）のリモート接続が必要な小規模オフィスネットワークに使用できます。

VPNサーバーの構成

サーバーマネージャーを開き、[ 役割と機能の追加 ]リンクをクリックします 。

リモートアクセスの役割を選択します。

DirectAccessおよびVPN（RAS）役割サービスを選択します 。

[インストール]ボタンをクリックします。 その結果、リモートアクセスロールのインストールプロセスが開始されます。

[リモートアクセス初期構成ウィザード]ウィンドウで、[ VPNのみを展開する]を選択します。

その後、サーバーを追加します。 [ ルーティングとリモートアクセス]ウィンドウで、[ アクション ]メニュー項目と[ サーバーの追加]サブ項目を選択します。 次に、追加を確認します。

追加したサーバーの名前を右クリックし、[ ルーティングとリモートアクセスの構成と有効化]を選択します 。

特別な設定項目を選択します 。

構成可能な構成として、 仮想プライベートネットワーク（VPN）へのアクセスを指定します。

サービスを開始しましょう。 そのためには、 [サービスの開始]ボタンをクリックします。

サーバーはほとんど準備ができています。

たとえば、最も単純でわかりやすい方法を使用します。5人のユーザーに対して統計アドレスプールを設定します。

追加したサーバーのプロパティを開きます。

統計アドレスプールの項目を選択し、 [追加]ボタンをクリックします。

[ 新しいIPv4アドレス範囲]ウィンドウで、開始IPアドレスと終了IPアドレスを指定します。

[適用]ボタンをクリックします

リモートアクセスの役割が構成され、ファイアウォールのポートを開きます。

ファイアウォールポートを開く

TCPの場合、ポート1723および443を開きます。

UDPの場合、ポート1701、500 、および50を開きます。

次のステップは、ローカルセキュリティポリシーを構成することです。

ローカルセキュリティポリシーを構成する

ローカルセキュリティポリシーのリストを開き、 [ユーザー権利の割り当て]を選択します。

[ リモートデスクトップサービスによるログオンを許可する]ポリシーを選択します。

[ ユーザーまたはグループの追加]ボタンをクリックします。

Domain Users組織単位名を見つけて追加します。

最後の最後のステップは、特定のユーザーのアクセスを構成することです。

特定のユーザーのアクセス設定

サーバーマネージャーを開き、[ ツール]を選択し、[ Active Directoryユーザーとコンピューター]を選択します。

必要なユーザーの名前を見つけて、[ プロパティ ]に移動し、[ 着信呼び出し ]タブで[アクセスを許可する]設定を選択します。 [適用]ボタンをクリックします。

最後に、システムプロパティでリモートアクセスが許可されているかどうかを確認しましょう。

これを行うには、システムプロパティを開き、[ リモートアクセス設定 ]項目を選択し、 [このコンピューターへのリモート接続を許可する]チェックボックスをオンにします。

以上で、サーバーのセットアップは完了です。 次に、リモートアクセスに使用されるコンピューターでVPN接続を構成します。

VPNのセットアップ

Windows 10コンピューターでVPNをセットアップするのは非常に簡単です。 これを実装するには、アカウント情報（ログイン、パスワード）、サーバーIPアドレス、およびインターネット接続が必要です。 ハードウェアの2要素認証を整理するには、トークンが必要です。

追加のプログラムをインストールする必要はありません;すべてが既にWindows自体にあります。

セットアップを始めましょう。 ハードウェアの例として、 Rutoken PKI EDSのキーと証明書の安全な保管にデバイスを使用します。

接続を構成するには、スマートカードログオンおよびクライアント認証ポリシーを含む証明書が必要です。

前述のような証明書を作成するプロセス。 ここの説明へのリンク。

[ ネットワークと共有センター]ウィンドウを開きます。 [ 新規接続またはネットワークの作成と構成]リンクをクリックします 。

[ 接続またはネットワークの構成]ウィンドウが開きます。 [職場に接続]アイテムを選択し、 [次へ]ボタンをクリックします。

[ インターネット接続（VPN）を使用する]リンクをクリックします 。

[ インターネットアドレス]フィールドで、VPNサーバーデータを指定します。

宛先オブジェクトの 「 名前」フィールドで、VPN接続の名前を指定します。

[ スマートカードを使用する ]チェックボックスをオンにして、[ 作成 ]ボタンをクリックします。

VPN接続が作成されました。 ただし、パラメータを変更する必要があります。

[ ネットワークと共有センター ]ウィンドウを再度開き、[ アダプター設定の変更 ]リンクをクリックします 。

[ ネットワーク接続]ウィンドウで、作成したVPN接続の名前を右クリックし、[ プロパティ]を選択します 。

[ セキュリティ ]タブに移動し、次のオプションを選択します。

このようなVPN接続設定は、安全なVPNプロトコルを介して指定されたネットワークに正常に接続するのに十分です。 ただし、VPN接続が完了すると、コンピューターからのすべてのネットワークトラフィックは既定で、指定されたネットワークのゲートウェイにルーティングされます。 これは、VPNに接続している間、インターネットリソースを操作できないという事実につながる可能性があります。 この問題を解消するには、[ ネットワーク ]タブに移動し、 IPバージョン4（TCP / IPv4）の行をクリックして、[ プロパティ ]ボタンをクリックします。

IPバージョン4のプロパティを含むページで、 [詳細設定]ボタンをクリックします。

[ リモートネットワークでプライマリゲートウェイを使用する]チェックボックスをオフにします。

すべての変更を確認します。 セットアッププロセスが完了しました。

接続を確認しましょう。

デスクトップのタスクバーで、 インターネットアクセスアイコンをクリックし、作成されたVPN接続を選択します。 [ オプション]ウィンドウが開きます。

VPN接続の名前をクリックして、[ 接続 ]ボタンをクリックします。

トークンPINを入力し、 [OK]ボタンをクリックします 。

その結果、作成されたVPN接続が確立されます。

VPN接続の状態を確認するには、[ ネットワーク接続]ウィンドウを開き、作成された接続の名前を見つけます。 そのステータスは「接続済み」です。

同じウィンドウでVPN接続を切断するには、作成された接続を見つけ、その名前を右クリックして[ 接続/切断]項目を選択します 。

要約する

VPN接続が確立されると、すべてのトラフィックがVPNサーバーを通過し始めます。

VPNトラフィックの保護の信頼性は、送信されたデータを攻撃者が何らかの方法で傍受したとしても、データが暗号化されているため、依然として使用できないという事実にあります。

また、トラフィックを制御して設定する特別なアプリケーションをインストールすると、トラフィックを正常にフィルタリングできます。 たとえば、自動的にウイルスをチェックします。

VPNがシンプルで手頃な価格であり、最も重要なことは安全であることを納得させることを願っています。