В нашата компания, както и в много други IT и не толкова IT компании, възможността за отдалечен достъп съществува отдавна и много служители я използваха по необходимост. С разпространението на COVID-19 в света, нашият ИТ отдел, по решение на ръководството на компанията, започна да прехвърля служители, завръщащи се от пътувания в чужбина, на дистанционна работа. Да, ние започнахме да практикуваме домашна самоизолация от самото начало на март, още преди да стане масова. До средата на март решението вече беше мащабирано за цялата компания и в края на март почти безпроблемно преминахме към нов режим на масова дистанционна работа за всички.
Технически, за реализиране на отдалечен достъп до мрежата, ние използваме Microsoft VPN (RRAS) - като една от ролите на Windows Server. Когато се свържете с мрежата, стават достъпни различни вътрешни ресурси, от точки за споделяне, услуги за споделяне на файлове, програми за проследяване на грешки до CRM система; за мнозина това е всичко, от което се нуждаят за работата си. За тези, които все още имат работни станции в офиса, RDP достъпът се конфигурира през RDG gateway.
Защо избрахте това решение или защо си струва да изберете? Защото, ако вече имате домейн и друга инфраструктура от Microsoft, тогава отговорът е очевиден, най-вероятно ще бъде по-лесно, по-бързо и по-евтино за вашия ИТ отдел да го внедри. Просто трябва да добавите няколко функции. И за служителите ще бъде по-лесно да конфигурират компонентите на Windows, отколкото да изтеглят и конфигурират допълнителни клиенти за достъп.
При достъп до самия VPN шлюз и след това, при свързване към работни станции и важни уеб ресурси, ние използваме двуфакторна автентификация. Наистина би било странно, ако ние, като производител на решения за двуфакторна автентификация, сами не използвахме нашите продукти. Това е нашият корпоративен стандарт; всеки служител има токен с личен сертификат, който се използва за удостоверяване на работната станция на офиса към домейна и към вътрешните ресурси на компанията.
Според статистиката повече от 80% от инцидентите със сигурността на информацията използват слаби или откраднати пароли. Следователно въвеждането на двуфакторна автентификация значително повишава общото ниво на сигурност на компанията и нейните ресурси, позволява ви да намалите риска от кражба или отгатване на парола до почти нула и също така да гарантирате, че комуникацията се осъществява с валиден потребител. При внедряване на PKI инфраструктура удостоверяването с парола може да бъде напълно деактивирано.
От гледна точка на UI за потребителя, тази схема е дори по-проста от въвеждането на потребителско име и парола. Причината е, че вече не е необходимо да се помни сложна парола, няма нужда да поставяте стикери под клавиатурата (нарушавайки всички възможни политики за сигурност), паролата дори не трябва да се променя веднъж на всеки 90 дни (въпреки че това не е отдавна считана за най-добра практика, но на много места все още се практикува). Потребителят просто ще трябва да излезе с не много сложен ПИН код и да не губи токена. Самият токен може да бъде направен под формата на смарт карта, която удобно да се носи в портфейла. RFID таговете могат да бъдат имплантирани в токена и смарт картата за достъп до офис помещения.
ПИН кодът се използва за удостоверяване, за осигуряване на достъп до ключова информация и за извършване на криптографски трансформации и проверки.Загубата на токена не е страшна, тъй като е невъзможно да познаете ПИН кода, след няколко опита той ще бъде блокиран. В същото време чипът на смарт картата защитава ключова информация от извличане, клониране и други атаки.
Какво друго?
Ако решението на проблема с отдалечения достъп от Microsoft не е подходящо по някаква причина, тогава можете да внедрите PKI инфраструктура и да конфигурирате двуфакторно удостоверяване с помощта на нашите смарт карти в различни VDI инфраструктури (Citrix Virtual Apps and Desktops, Citrix ADC, VMware Horizon, VMware Unified Gateway, Huawei Fusion) и хардуерни системи за сигурност (PaloAlto, CheckPoint, Cisco) и други продукти.
Някои от примерите бяха обсъдени в нашите предишни статии.
В следващата статия ще говорим за настройка на OpenVPN с удостоверяване с помощта на сертификати от MSCA.
Нито един сертификат
Ако внедряването на PKI инфраструктура и закупуването на хардуерни устройства за всеки служител изглежда твърде сложно или например няма техническа възможност за свързване на смарт карта, тогава има решение с еднократни пароли, базирано на нашия JAS сървър за удостоверяване. Като удостоверители можете да използвате софтуер (Google Authenticator, Yandex Key), хардуер (всеки съответстващ RFC, например JaCarta WebPass). Поддържат се почти всички същите решения като за смарт карти/токени. Също така говорихме за някои примери за конфигурация в предишните ни публикации.
Методите за удостоверяване могат да се комбинират, т.е. чрез OTP - например могат да бъдат допуснати само мобилни потребители, а класическите лаптопи/настолни компютри могат да бъдат удостоверени само с помощта на сертификат върху токен.
Поради специфичното естество на работата ми много приятели, които не са технически специалисти, наскоро се обърнаха лично към мен за помощ при настройването на отдалечен достъп. Така успяхме да надникнем малко кой и как се измъква от ситуацията. Имаше приятни изненади, когато не много големи компании използват известни марки, включително с решения за двуфакторна автентификация. Имаше и случаи, изненадващи в обратната посока, когато наистина много големи и известни компании (не ИТ) препоръчваха просто да инсталират TeamViewer на своите офис компютри.
В създалата се ситуация специалисти от фирма "Аладин Р.Д." препоръчваме да вземете отговорен подход към решаването на проблемите с отдалечения достъп до вашата корпоративна инфраструктура. По този повод в самото начало на общия режим на самоизолация стартирахме .
Източник: www.habr.com