In ons maatskappy, soos in baie ander IT en nie so IT-maatskappye, bestaan die moontlikheid van afstandtoegang al lank, en baie werknemers het dit uit nood gebruik. Met die verspreiding van COVID-19 in die wêreld, het ons IT-afdeling, deur besluit van die maatskappy se bestuur, begin om werknemers wat terugkeer van reise in die buiteland na afgeleë werk oor te plaas. Ja, ons het van die begin van Maart af tuis-selfisolasie begin beoefen, selfs voordat dit hoofstroom geword het. Teen middel Maart was die oplossing reeds vir die hele maatskappy afgeskaal, en aan die einde van Maart het ons almal amper soomloos oorgeskakel na 'n nuwe modus van massa-afgeleë werk vir almal.
Tegnies, om afstandtoegang tot die netwerk te implementeer, gebruik ons Microsoft VPN (RRAS) - as een van die Windows Server-rolle. Wanneer jy aan die netwerk koppel, word verskeie interne hulpbronne beskikbaar, van deelpunte, lêerdelingdienste, foutspoorders tot 'n CRM-stelsel; vir baie is dit al wat hulle nodig het vir hul werk. Vir diegene wat nog werkstasies in die kantoor het, word HOP-toegang gekonfigureer via die RDG-poort.
Hoekom het jy hierdie besluit gekies of hoekom is dit die moeite werd om te kies? Want as jy reeds 'n domein en ander infrastruktuur van Microsoft het, dan is die antwoord voor die hand liggend, dit sal heel waarskynlik makliker, vinniger en goedkoper wees vir jou IT-afdeling om dit te implementeer. Jy hoef net 'n paar kenmerke by te voeg. En dit sal vir werknemers makliker wees om Windows-komponente op te stel as om bykomende toegangskliënte af te laai en op te stel.
Wanneer ons toegang verkry tot die VPN-poort self en daarna, wanneer ons aan werkstasies en belangrike webbronne koppel, gebruik ons tweefaktor-verifikasie. Dit sal inderdaad vreemd wees as ons, as 'n vervaardiger van twee-faktor-verifikasie-oplossings, nie ons produkte self gebruik nie. Dit is ons korporatiewe standaard; elke werknemer het 'n teken met 'n persoonlike sertifikaat, wat gebruik word om by die kantoorwerkstasie te staaf na die domein en na die maatskappy se interne hulpbronne.
Volgens statistieke gebruik meer as 80% van inligtingsekuriteitsvoorvalle swak of gesteelde wagwoorde. Daarom verhoog die bekendstelling van tweefaktor-verifikasie die algehele vlak van sekuriteit van die maatskappy en sy hulpbronne aansienlik, laat jou toe om die risiko van diefstal of wagwoordraai tot byna nul te verminder, en ook te verseker dat kommunikasie met 'n geldige gebruiker plaasvind. Wanneer 'n PKI-infrastruktuur geïmplementeer word, kan wagwoordverifikasie heeltemal gedeaktiveer word.
Vanuit 'n UI-oogpunt vir die gebruiker is hierdie skema selfs eenvoudiger as om 'n login en wagwoord in te voer. Die rede is dat 'n komplekse wagwoord nie meer onthou hoef te word nie, dit is nie nodig om plakkers onder die sleutelbord te sit nie (wat alle denkbare sekuriteitsbeleide oortree), die wagwoord hoef nie eers een keer elke 90 dae verander te word nie (alhoewel dit nie langer as beste praktyk beskou, maar op baie plekke steeds beoefen). Die gebruiker sal net met 'n nie baie ingewikkelde PIN-kode vorendag moet kom en nie die token verloor nie. Die teken self kan gemaak word in die vorm van 'n slimkaart, wat gerieflik in 'n beursie gedra kan word. RFID-etikette kan in die teken en slimkaart ingeplant word vir toegang tot kantoorpersele.
Die PIN-kode word gebruik vir stawing, om toegang tot sleutelinligting te verskaf en om kriptografiese transformasies en kontroles uit te voer. Om die teken te verloor is nie skrikwekkend nie, aangesien dit onmoontlik is om die PIN-kode te raai; na 'n paar pogings sal dit geblokkeer word. Terselfdertyd beskerm die slimkaartskyfie sleutelinligting teen onttrekking, kloning en ander aanvalle.
Wat nog?
As die oplossing vir die kwessie van afgeleë toegang van Microsoft om een of ander rede nie geskik is nie, kan u 'n PKI-infrastruktuur implementeer en tweefaktor-verifikasie opstel met behulp van ons slimkaarte in verskeie VDI-infrastruktuur (Citrix Virtual Apps and Desktops, Citrix ADC, VMware Horizon, VMware Unified Gateway, Huawei Fusion) en hardeware-sekuriteitstelsels (PaloAlto, CheckPoint, Cisco) en ander produkte.
Sommige van die voorbeelde is in ons vorige artikels bespreek.
In die volgende artikel sal ons praat oor die opstel van OpenVPN met verifikasie met sertifikate van MSCA.
Nie 'n enkele sertifikaat nie
As die implementering van 'n PKI-infrastruktuur en die aankoop van hardeware-toestelle vir elke werknemer te ingewikkeld lyk of daar byvoorbeeld geen tegniese moontlikheid is om 'n slimkaart te koppel nie, dan is daar 'n oplossing met eenmalige wagwoorde gebaseer op ons JAS-verifikasiebediener. As waarmerkers kan jy sagteware (Google Authenticator, Yandex Key), hardeware (enige ooreenstemmende RFC, byvoorbeeld JaCarta WebPass) gebruik. Byna almal dieselfde oplossings word ondersteun as vir slimkaarte/tokens. Ons het ook oor 'n paar konfigurasievoorbeelde in ons vorige plasings gepraat.
Stawingsmetodes kan gekombineer word, dit wil sê deur OTP - byvoorbeeld, slegs mobiele gebruikers kan toegelaat word, en klassieke skootrekenaars/rekenaars kan slegs met 'n sertifikaat op 'n teken geverifieer word.
Weens die spesifieke aard van my werk het baie nie-tegniese vriende my onlangs persoonlik genader vir hulp met die opstel van afstandtoegang. Ons kon dus bietjie gaan loer wie uit die situasie kom en hoe. Daar was aangename verrassings wanneer nie baie groot maatskappye bekende handelsmerke gebruik nie, insluitend met twee-faktor-verifikasie-oplossings. Daar was ook gevalle, verbasend in die teenoorgestelde rigting, toe werklik baie groot en bekende maatskappye (nie IT) aanbeveel het om TeamViewer bloot op hul kantoorrekenaars te installeer.
In die huidige situasie, spesialiste van die maatskappy "Aladdin R.D." beveel aan om 'n verantwoordelike benadering te volg om probleme van afstandtoegang tot u korporatiewe infrastruktuur op te los. By hierdie geleentheid, heel aan die begin van die algemene self-isolasie-regime, het ons van stapel gestuur .
Bron: will.com