LA GUIDA PRATICA

Accesso remoto alla LAN aziendale: problematiche e soluzioni di sicurezza

Nell’attuale fase di lockdown, molte organizzazioni hanno l’esigenza di consentire l’accesso remoto alla LAN aziendale senza dovere affrontare nuovi investimenti ma, al contrario, ottimizzando quelli già fatti. Ecco una soluzione “fai da te” per sfruttare la tecnologia Citrix Virtual Apps per l’accesso remoto alle postazioni di lavoro e alle infrastrutture aziendali

30 Apr 2020
P
Massimiliano Pioli

Program Manager – Information Security and IT Architectures


L’attuale situazione di pandemia ha costretto le diverse realtà, pubbliche e private, a reinventarsi o a evolversi per dare continuità ai propri servizi ed evitare il più possibile di soccombere agli effetti del lockdown, adottando (spesso in tutta fretta) soluzioni di smart working e virtualizzazione del desktop per l’accesso remoto alla LAN aziendale in sicurezza.

In alcuni casi, quelli più fortunati, le aziende hanno potuto continuare ad utilizzare la propria soluzione VDI (Virtual Desktop Infrastructure, come ad esempio quella offerta da Citrix) e gli strumenti di collaboration pregressi (come le varie suite di produttività) per gestire il proprio lavoro interamente da remoto.

In particolare, è possibile adottare una soluzione, non propriamente nativa, per utilizzare la tecnologia Citrix Virtual Apps nell’accesso alle postazioni di lavoro di un’azienda in cui l’accesso è limitato, totalmente o parzialmente, dalle nuove misure di contenimento.

Sebbene per alcuni settori, quali bar, cinema e alberghi, questo sia pressoché impossibile richiedendo una presenza fisica per l’erogazione del servizio, molte organizzazioni hanno trovato il loro salvagente con l’adozione di nuovi strumenti tecnologici o l’adattamento di quelli già in dotazione.

Garantire la continuità operativa dell’azienda

Per venire incontro alla necessità di comunicazione sono presenti ormai tantissime soluzioni di videoconferenza e collaboration, di cui si è ampiamente parlato dall’inizio della chiusura, che vengono offerte anche gratuitamente sotto forma di trial, teoricamente per offrire un supporto a quelle realtà che ne hanno bisogno, praticamente con la speranza di aprirsi dei mercati che finora non erano riusciti a penetrare.

Chiaramente, oltre alla necessità di comunicare e scambiarsi documenti, è anche necessario poter accedere al proprio patrimonio strumentale e documentale affinché sia garantita la continuità operativa dell’azienda e al tempo stesso la sicurezza nell’accesso alle risorse aziendali.

Gli strumenti in dotazione sono innumerevoli, ognuno con delle caratteristiche e delle finalità specifiche, con diversi livelli di complessità e, quindi, con un differente effort necessario per gestirli. Viene da sé che, quanto più una realtà è organizzata e strutturata, tanto più sono praticabili alcune strade.

È inoltre da considerare che alcune soluzioni richiedono delle infrastrutture e del personale specialistico non alla portata di tutte le aziende o delle realtà pubbliche di piccole dimensioni.

Accesso remoto alla LAN aziendale: problematiche delle VPN

Sicuramente uno degli strumenti più noti e diffusi è la VPN. Evitando di addentrarci negli aspetti tecnici delle diverse tipologie di Virtual Private Network, non oggetto di questo articolo, è sicuramente fondamentale tenerne a mente la criticità più grande.

Trattandosi di fatto di un’apertura della rete aziendale ad un segmento di rete virtuale, consentire l’accesso tramite VPN ad un computer equivale a collegare quello stesso computer all’interno della propria LAN.

Sicuramente i sistemisti incaricati di gestire l’IT saranno più che competenti nel gestire questo aspetto, ma è innegabile che il livello di sicurezza si abbassi perché espone la propria rete aziendale ad un ambiente esterno e ignoto dal momento che non ne abbiamo il controllo e non è quindi possibile sapere a quali rischi quella macchina è stata esposta.

Se poi la VPN è stata attivata su una postazione personale, non quindi controllata direttamente dall’azienda, i rischi aumentano in modo esponenziale.

Con questo non si vuole certo affermare che una VPN non sia sicura, dal momento che esistono diversi accorgimenti e tecnologie per aumentarne il livello di sicurezza, ma sicuramente richiede un impegno non indifferente soprattutto se si inizia a parlare di grandi numeri, come in questo periodo, quando la necessità di accedere alle risorse aziendali riguarda la quasi totalità dei dipendenti.

Accesso remoto alla LAN aziendale e criticità del Remote Desktop

Al pari delle soluzioni VPN, si sono sempre più diffuse anche soluzioni cloud per l’accesso remoto alle macchine, siano esse client o server.

DIGITAL EVENT 18 GIUGNO
Think Digital Summit: tecnologie e trend verso una nuova normalità
Cloud
Sicurezza

Anche in questo caso eviteremo l’analisi tecnica dei diversi prodotti quanto piuttosto rilevarne gli aspetti critici. Innanzitutto, è difficilmente immaginabile di gestire tramite questi prodotti tutte le infrastrutture aziendali per ovvie ragioni di sicurezza.

Allo stesso modo, per la gestione dei client all’interno della rete aziendale, compresi i client dei branch office connessi in VPN, sarebbe più opportuno l’utilizzo di strumenti di supporto più mirati e meglio gestibili.

Nulla da dire per quanto riguarda invece il supporto a client totalmente sconnessi dalla rete aziendale per i quali queste soluzioni offrono sicuramente un grande aiuto. Anche in questo caso, pur potendo aumentare la sicurezza di tali sistemi, rimane quindi indubbio il fatto che adottarli espone ad un rischio che deve comunque essere gestito.

Le tecnologie di Virtual Desktop Infrastructure

In ambito Enterprise ha preso sempre più piede la sigla VDI, a volte quasi come un “must” che ogni azienda deve per forza avere per potersi definire all’avanguardia. Anche in questo caso, pur essendo soluzioni ottime, devono essere calibrate in base al contesto nel quale vengono calate.

Premesso che, trattandosi di soluzioni Enterprise, richiedono delle infrastrutture capaci di sostenerne il carico, delle architetture di una certa complessità e una precisa definizione del perimetro d’uso di queste soluzioni.

Pensare di utilizzare soluzioni VDI in un contesto dove l’utente è abituato a sentire la musica mentre lavora, guardare il telegiornale in streaming, fare videoconferenze e utilizzare altri strumenti multimediali, è puramente utopistico perché tutto questo non farà che aumentare inutilmente il carico di lavoro a cui sarà sottoposto il server che, anche se virtuale, alla base avrà sempre una macchina fisica, e in cascata tutti i servizi e gli utenti connessi.

Inoltre, pensare al VDI solo per saltuari accessi dall’esterno a un desktop aziendale corrisponde a un ingente spreco di risorse (finanziarie, umane e tecnologiche) essendo opportuno massimizzarne l’uso per ottimizzare il TCO (Total Cost of Ownership) della soluzione.

Accesso remoto alla LAN aziendale: la soluzione Citrix Virtual Apps

Un marchio ormai molto noto in ambito Enterprise è sicuramente Citrix.

Presente sul mercato IT da ormai oltre tre decenni, oggi Citrix lo ritroviamo in diversi contesti tecnologici, dalle soluzioni di Web Conference (GoToMeeting, recentemente acquisito da LogMeIn) a quelli di virtualizzazione dei server (l’Open Source Xen Project, dell’Università di Cambridge, acquisito nel 2007), dalle soluzioni di networking (Software Defined WAN e Application Delivery Controller) a quelle di virtualizzazione delle applicazioni.

Quest’ultima soluzione è ormai molto diffusa in quelle aziende che hanno la necessità di centralizzare la gestione delle applicazioni aziendali o di rendere fruibili applicazioni legacy che non sono più compatibili con gli ultimi sistemi operativi supportati dai vendor e dall’azienda stessa.

Sorvolando sugli aspetti puramente tecnici relativi ai diversi componenti dell’architettura di front end e back end, si tratta sostanzialmente di una soluzione che permette a più utenti contemporaneamente di utilizzare delle applicazioni che, di fatto, vengono avviate da uno o più server (nell’ipotesi, auspicabile, di un cluster) come se fossero avviate dal proprio PC, indipendentemente dal sistema operativo e dai componenti software installati sullo stesso e sul server.

La percezione dell’utente rimane invariata, ma consente all’organizzazione di gestire centralmente le applicazioni potendo intervenire per aggiornamenti, modifiche e dismissioni, senza per questo impattare in alcun modo sul parco macchine delle postazioni di lavoro.

Dal momento che è possibile installare e rendere fruibili delle applicazioni installate ad hoc, perché non fare altrettanto con le applicazioni già presenti nativamente sul server? Una delle applicazioni più note ai sistemisti di tutto il mondo è sicuramente “Connessione Desktop Remoto”. Sui server, in lingua inglese, l’applicazione è “Remote Desktop Connection” ma, per gli addetti ai lavori, è semplicemente chiamato con la sigla RDP, da cui prende il nome anche l’omonimo protocollo che, di default, utilizza la porta TCP e UDP 3389.

Pertanto, pubblicando l’applicazione %windir%/system32/mstsc.exe (dove %windir% è la variabile di ambiente corrispondente alla cartella del sistema operativo Windows e mstsc.exe è l’eseguibile dell’applicazione RDP) potremo rendere disponibile l’applicazione di desktop remoto a tutti gli utenti che saranno abilitati ad accedervi.

Poiché di norma l’accesso alle applicazioni distribuite in Citrix viene consentito associandole ad un corrispondente gruppo di Active Directory, diventa semplicissimo assegnare o ritirare l’accesso RDP all’utenza grazie alla gestione ordinaria di un Service Desk di primo livello.

Arrivati a questo punto avremo garantito l’accesso ad un’applicazione RDP senza per questo consentire al computer dell’utente finale di accedere in alcun modo alla rete aziendale. Inoltre, la gestione dell’applicazione è totalmente interna, il cui accesso rispetta apposite politiche interne, con un’autenticazione diretta su Active Directory e opportunamente difesa dalle soluzioni firewall.

Questo tipo di approccio è particolarmente indicato per gestire accessi di fornitori esterni che hanno la necessità di accedere in RDP su macchine di cui hanno in carico la manutenzione o interventi di assistenza.

In modo analogo, è chiaramente possibile pubblicare applicazioni che consentano l’accesso a sistemi operativi Linux, quali Putty per la riga di comando o WinSCP per l’accesso tramite GUI ai dati del sistema a cui ci si connette.

Per aumentare il livello di sicurezza, è chiaramente possibile dedicare specifici server a questo compito, ognuno con diverse regole firewall che consentano o meno l’accesso a determinati sistemi.

Allo stesso modo, nel caso l’esigenza fosse quella di accedere remotamente alla postazione di lavoro di un utente, sarà sufficiente inserire come target della connessione l’hostname della macchina desiderata. Chiaramente saranno necessari alcuni accorgimenti preparatori per consentire un corretto utilizzo della soluzione. Dovranno essere innanzitutto consentite le connessioni remote al computer e selezionare gli utenti abilitati. Localmente al seguente percorso Pannello di controllo/Tutti gli elementi del Pannello di controllo/Sistema/Impostazioni di sistema avanzate nella scheda Connessione remota.

La stessa impostazione è gestibile anche attraverso un’apposita GPO in Active Directory, soluzione sicuramente più indicata, andando a configurare la policy al seguente percorso Computer configuration/Policies/Administrative templates/Windows components/Remote Desktop Services/Remote Desktop session host/Connections. Analogamente a quanto avviene in locale, nello stesso percorso dovremo abilitare gli utenti abilitati all’accesso tramite l’opzione Allow users to connect remotely by using remote desktop services.

Abilitati gli utenti all’accesso in RDP alle macchine, sarà necessario verificare le impostazioni del firewall locale di Windows affinché consenta il traffico del protocollo RDP sulla porta 3389 e, qualora presente un firewall tra il server Citrix e la macchina remota, abilitare la stessa regola anche su quest’ultimo.

Ultimo accorgimento, ma non meno importante, qualora siano attivate localmente o tramite Active Directory, devono essere riviste le policy relative alla gestione del risparmio energetico affinché la postazione sia sempre accesa.

Se per ragioni di sicurezza o di contenimento degli sprechi energetici, si desidera comunque mantenere attive le policy di risparmio energetico, sarà sufficiente accendere la macchina remotamente tramite uno dei tanti applicativi, anche gratuiti, di WakeOnLan (WOL), una funzionalità ormai supportata dalla maggior parte dei nuovi computer.

Conclusioni

Quanto riportato in questo articolo vuole essere una soluzione versatile e di facile gestione per chi ha già un’infrastruttura Citrix Virtual Apps in produzione, o sta pensando di implementarla, affinché possa sfruttarne appieno le funzionalità nel caso, molto probabile, abbia l’esigenza di consentire inderogabilmente l’accesso alle postazioni all’interno dei propri uffici senza dover per questo affrontare nuovi investimenti ma, al contrario, ottimizzando quelli già fatti senza tra l’altro dover rivedere minimamente né le procedure gestionali né di sicurezza.

LIVE STREAMING 11 GIUGNO
Security Intelligence: investire in sicurezza per prevenire i rischi
Intelligenza Artificiale
Sicurezza

Alla soluzione proposta, se si ha il tempo o è richiesto dall’azienda, è possibile anche affiancare un’attività di scripting tale da rendere automatici alcuni dei processi descritti e semplificare ulteriormente la gestione della soluzione.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5