Pentestere kobler seg inn i klient nettet (klientnettet/innsiden, et konsept som sikkert kom på 80 tallet) og kjører tester.
Denne tredelte modellen er den de fleste fortsatt jobber etter, og det er jo forsåvidt fortsatt veldig gjeldende som modell, men klientene MÅ ut!!!
Om man på forhånd har en policy som bare tillater tilgang til internett fra klient nettverket, så kommer ikke penterne inn til systemer på innsiden….. Smart fra er pentest ståsted tenker man kanskje, men da fungerer ikke pentesten… Og så? Dilemma fra et testståsted, men sikkert fra et sårbarhets ståsted. Dette mener jeg mange flere burde tenke på, da det bare er noen få som gjør det i dag.
En klient i denne sammenheng er PC’er og mobiltelefoner, og disse vil mesteparten av tiden oppholde seg utenfor “kontoret” eller “innsiden” av en brannmur, så hvorfor skal egentlig “innsiden” eksistere for disse? Behandle dem som untrust hele tiden. De er untrust og må bare få tilgang fra untrust soner hele tiden. Mye enklere. Mye sikrere. En løsning istedenfor to. Én klientløsning!
Always-On VPN to the rescue
De lærde strides, jeg vet. Kjært barn mange navn.
Mange vil si at VPN tilhører fortiden og at man i dag skal benytte SASE og lignende. Joda. Jada. Potato. Patato. Patata. SASE bruker TLS og VPN. Disse tingene er relatert, da SASE er i gaten ZTNA, som da altså bruker de samme mekanismene.
- ZTNA, Zero Trust Networks Access, kom med “fødselen” av Zero Trust av John Kindervag i 2010.
- GlobalProtect fra Palo Alto Networks har jeg jobbet med siden 2012, men funksjonen kom allerede rundt 2009 med konseptet portal og flere gateways og er siden da brukt av veldig mange kunder over hele verden, mange av de veldig store. Dette er en anerkjent, stabil og god løsning som ikke merkes av brukerne.
- SDP, Software Defined Perimeter (fra Cloud Security Alliance), ble etablert som et konsept i 2014 og baserer seg på portal/controller og gateways, helt likt GlobalProtect fra Palo Alto Networks som da kom rundt 2009.
Kast ut “klientene”
De fleste har tilgang på en løsning som beskrevet over, og denne burde alltid være aktivert for alle klienter slik at de oppfører seg likt hele tiden uansett hvor de fysisk måtte befinne seg.
Når man er på kontoret vil man koble seg til et nettverk, men dette nettverket vil bare kunne nå internett, tilsvarende hjemmenettet, flyplasser, hoteller og andre offentlige nettverk. Always-On VPN vil alltid helt automatisk koble seg til portal og gateway som vil bidra til minst to ting:
- Remote access. Mange tenker fortsatt på dette som tradisjonell VPN for å kunne nå interne tjenester, og det får man med på kjøpet.
- Det er da viktig å etterleve Least Privilege og bare gi tilgang for de som trenger tilgang til gitt system. Dette gjøres sammen med User-ID som typisk kommer fra en gruppe i Entra ID. Enkelt. Effektivt. Sikkert. Zero Trust. Least Privilege. helt nydelig.
- Always On Mobile Device Security. Husk at med en slik løsning på plass, vil alle klienter alltid være tilkoblet en sikker gateway i en Next Generation Firewall som kan tilby:
- Dekryptering, som igjen vil skape visibilitet for alle sikkerhetsfunksjoner som
- Anti Virus
- Anti Spyware
- Vulnerability protection
- DNS security
- URL security
- Sandboxing
- osv osv.
- Mange eksta effektive lag med sikkerhet, mot bl.a phishing.
Start i 2026
De aller fleste har allerede denne funksjonaliteten tilgjengelig i sine produkter. Veldig mange har konseptet konfigurert, men ofte ikke fullverdig implementert. Tilganger fra klientnett og innover i systemet er et konsept som sikkert kom på 80 tallet og fortsatt eksisterer for de aller fleste, dessverre. Fiks det, enkelt, raskt. Jeg har gjort dette for kunder i mange år nå, kundene blir happy, fordi det fungerer så veldig bra, og de ser hvor viktig og bra dette er.
Leave a Reply