في شركتنا، كما هو الحال في العديد من شركات تكنولوجيا المعلومات الأخرى وليس شركات تكنولوجيا المعلومات، كانت إمكانية الوصول عن بعد موجودة لفترة طويلة، وقد استخدمها العديد من الموظفين بدافع الضرورة. مع انتشار فيروس كورونا (COVID-19) في العالم، بدأ قسم تكنولوجيا المعلومات لدينا، بقرار من إدارة الشركة، بنقل الموظفين العائدين من الرحلات الخارجية إلى العمل عن بعد. نعم، لقد بدأنا ممارسة العزل المنزلي منذ بداية شهر مارس، حتى قبل أن يصبح الأمر سائدًا. وبحلول منتصف شهر مارس، كان الحل قد تم بالفعل توسيع نطاقه ليشمل الشركة بأكملها، وفي نهاية شهر مارس، تحولنا جميعًا بسلاسة تقريبًا إلى وضع جديد للعمل الجماعي عن بُعد للجميع.
من الناحية الفنية، لتنفيذ الوصول عن بعد إلى الشبكة، نستخدم Microsoft VPN (RRAS) - كأحد أدوار Windows Server. عند الاتصال بالشبكة، تصبح الموارد الداخلية المتنوعة متاحة، بدءًا من نقاط المشاركة وخدمات مشاركة الملفات وأجهزة تعقب الأخطاء وحتى نظام إدارة علاقات العملاء (CRM)؛ بالنسبة للكثيرين، هذا هو كل ما يحتاجونه لعملهم. بالنسبة لأولئك الذين لا يزال لديهم محطات عمل في المكتب، يتم تكوين وصول RDP عبر بوابة RDG.
لماذا اخترت هذا القرار أو لماذا يستحق الاختيار؟ لأنه إذا كان لديك بالفعل مجال وبنية تحتية أخرى من Microsoft، فإن الإجابة واضحة، فمن المرجح أن يكون تنفيذه أسهل وأسرع وأرخص بالنسبة لقسم تكنولوجيا المعلومات لديك. تحتاج فقط إلى إضافة بعض الميزات. وسيكون من الأسهل على الموظفين تكوين مكونات Windows بدلاً من تنزيل عملاء الوصول الإضافيين وتكوينهم.
عند الوصول إلى بوابة VPN نفسها وبعد ذلك، عند الاتصال بمحطات العمل وموارد الويب المهمة، نستخدم المصادقة الثنائية. في الواقع، سيكون من الغريب ألا نستخدم منتجاتنا بأنفسنا، باعتبارنا شركة مصنعة لحلول المصادقة الثنائية. هذا هو معيار شركتنا؛ كل موظف لديه رمز مميز مع شهادة شخصية، والتي يتم استخدامها للمصادقة في محطة العمل المكتبية على المجال والموارد الداخلية للشركة.
وبحسب الإحصائيات، فإن أكثر من 80% من حوادث أمن المعلومات تستخدم كلمات مرور ضعيفة أو مسروقة. لذلك، فإن إدخال المصادقة الثنائية يزيد بشكل كبير من المستوى العام لأمان الشركة ومواردها، ويسمح لك بتقليل مخاطر السرقة أو تخمين كلمة المرور إلى الصفر تقريبًا، وكذلك ضمان حدوث الاتصال مع مستخدم صالح. عند تنفيذ بنية أساسية لـ PKI، يمكن تعطيل مصادقة كلمة المرور بشكل كامل.
من وجهة نظر واجهة المستخدم بالنسبة للمستخدم، يعد هذا المخطط أبسط من إدخال معلومات تسجيل الدخول وكلمة المرور. والسبب هو أن كلمة المرور المعقدة لم تعد بحاجة إلى التذكر، وليست هناك حاجة لوضع ملصقات أسفل لوحة المفاتيح (انتهاك جميع سياسات الأمان التي يمكن تصورها)، ولا يلزم حتى تغيير كلمة المرور مرة واحدة كل 90 يومًا (على الرغم من أن هذا ليس أمرًا ضروريًا). تعتبر أفضل الممارسات، ولكنها لا تزال تمارس في العديد من الأماكن). سيحتاج المستخدم فقط إلى التوصل إلى رمز PIN غير معقد للغاية وعدم فقدان الرمز المميز. يمكن صنع الرمز المميز نفسه على شكل بطاقة ذكية، والتي يمكن حملها بسهولة في المحفظة. يمكن زرع علامات RFID في الرمز المميز والبطاقة الذكية للوصول إلى مباني المكاتب.
يتم استخدام رمز PIN للمصادقة، ولتوفير الوصول إلى المعلومات الأساسية وإجراء عمليات تحويل وفحص التشفير. ولا يعد فقدان الرمز المميز أمرًا مخيفًا، لأنه من المستحيل تخمين رمز PIN؛ وبعد عدة محاولات، سيتم حظره. وفي الوقت نفسه، تحمي شريحة البطاقة الذكية المعلومات الأساسية من الاستخراج والاستنساخ والهجمات الأخرى.
ماذا بعد؟
إذا كان حل مشكلة الوصول عن بعد من Microsoft غير مناسب لسبب ما، فيمكنك تنفيذ البنية التحتية لـ PKI وتكوين المصادقة الثنائية باستخدام بطاقاتنا الذكية في مختلف البنى التحتية لـ VDI (Citrix Virtual Apps and Desktops، Citrix ADC، VMware Horizon وVMware Unified Gateway وHuawei Fusion) وأنظمة أمان الأجهزة (PaloAlto وCheckPoint وCisco) وغيرها من المنتجات.
تمت مناقشة بعض الأمثلة في مقالاتنا السابقة.
سنتحدث في المقالة التالية عن إعداد OpenVPN بالمصادقة باستخدام شهادات من MSCA.
ليست شهادة واحدة
إذا كان تنفيذ البنية التحتية لـ PKI وشراء الأجهزة لكل موظف يبدو معقدًا للغاية، أو، على سبيل المثال، لا توجد إمكانية تقنية لتوصيل البطاقة الذكية، فهناك حل بكلمات مرور لمرة واحدة استنادًا إلى خادم مصادقة JAS الخاص بنا. كمصدقين، يمكنك استخدام البرامج (Google Authenticator، Yandex Key)، والأجهزة (أي RFC مطابق، على سبيل المثال، JaCarta WebPass). يتم دعم جميع الحلول نفسها تقريبًا كما هو الحال بالنسبة للبطاقات الذكية/الرموز المميزة. تحدثنا أيضًا عن بعض أمثلة التكوين في منشوراتنا السابقة.
يمكن الجمع بين طرق المصادقة، أي عن طريق كلمة المرور لمرة واحدة (OTP) - على سبيل المثال، يمكن السماح لمستخدمي الهاتف المحمول فقط بالدخول، ولا يمكن مصادقة أجهزة الكمبيوتر المحمولة/أجهزة الكمبيوتر المكتبية الكلاسيكية إلا باستخدام شهادة على رمز مميز.
نظرًا لطبيعة عملي المحددة، اتصل بي مؤخرًا العديد من الأصدقاء غير التقنيين شخصيًا للمساعدة في إعداد الوصول عن بُعد. لذلك تمكنا من إلقاء نظرة خاطفة على من سيخرج من الموقف وكيف. كانت هناك مفاجآت سارة عندما لا تستخدم الشركات الكبيرة جدًا العلامات التجارية الشهيرة، بما في ذلك حلول المصادقة الثنائية. كانت هناك أيضًا حالات مفاجئة في الاتجاه المعاكس عندما أوصت الشركات الكبيرة جدًا والمعروفة (وليس تكنولوجيا المعلومات) ببساطة بتثبيت برنامج TeamViewer على أجهزة الكمبيوتر المكتبية الخاصة بها.
وفي الوضع الحالي أكد متخصصون من شركة "علاء الدين ر.د." نوصي باتخاذ نهج مسؤول لحل مشاكل الوصول عن بعد إلى البنية التحتية لشركتك. وبهذه المناسبة، في بداية نظام العزل الذاتي العام، أطلقنا .
المصدر: www.habr.com