U našoj kompaniji, kao iu mnogim drugim IT i ne baš informatičkim kompanijama, mogućnost udaljenog pristupa postoji već duže vrijeme, a mnogi zaposleni je koriste iz nužde. Sa širenjem COVID-19 u svijetu, naš IT odjel je odlukom rukovodstva kompanije počeo sa premještanjem zaposlenih koji se vraćaju sa putovanja u inostranstvo na daljinski rad. Da, kućnu samoizolaciju počeli smo da praktikujemo od samog početka marta, čak i pre nego što je postala mejnstrim. Sredinom marta rješenje je već bilo prošireno na cijelu kompaniju, a krajem marta smo svi gotovo bez problema prešli na novi način masovnog rada na daljinu za sve.
Tehnički, za implementaciju daljinskog pristupa mreži, koristimo Microsoft VPN (RRAS) - kao jednu od uloga Windows Servera. Kada se povežete na mrežu, razni interni resursi postaju dostupni, od sharepointa, servisa za dijeljenje datoteka, praćenja grešaka do CRM sistema; mnogima je ovo sve što im je potrebno za rad. Za one koji i dalje imaju radne stanice u kancelariji, RDP pristup je konfigurisan preko RDG gateway-a.
Zašto ste odabrali ovu odluku ili zašto je vrijedi odabrati? Jer ako već imate domen i drugu infrastrukturu od Microsofta, onda je odgovor očigledan, najvjerovatnije će biti lakše, brže i jeftinije za vaš IT odjel da to implementira. Potrebno je samo dodati nekoliko funkcija. A zaposlenima će biti lakše konfigurirati Windows komponente nego preuzimati i konfigurirati dodatne klijente za pristup.
Prilikom pristupa samom VPN gateway-u i nakon toga, prilikom povezivanja na radne stanice i važne web resurse, koristimo dvofaktorsku autentifikaciju. Zaista, bilo bi čudno da mi, kao proizvođač rješenja za dvofaktornu autentifikaciju, sami ne koristimo naše proizvode. Ovo je naš korporativni standard; svaki zaposlenik ima token sa ličnim certifikatom, koji se koristi za autentifikaciju na kancelarijskoj radnoj stanici na domenu i interne resurse kompanije.
Prema statistikama, više od 80% incidenata u informacijskoj sigurnosti koristi slabe ili ukradene lozinke. Stoga, uvođenje dvofaktorske autentifikacije uvelike povećava ukupni nivo sigurnosti kompanije i njenih resursa, omogućava vam da smanjite rizik od krađe ili pogađanja lozinke na gotovo nulu, a također osiguravate da se komunikacija odvija sa ispravnim korisnikom. Prilikom implementacije PKI infrastrukture, autentikacija lozinkom može biti potpuno onemogućena.
Sa stanovišta korisničkog interfejsa za korisnika, ova šema je čak i jednostavnija od unosa korisničkog imena i lozinke. Razlog je taj što se složena lozinka više ne mora pamtiti, nema potrebe stavljati naljepnice ispod tastature (kršeći sve zamislive sigurnosne politike), lozinku čak ni ne treba mijenjati svakih 90 dana (iako ovo nije duže se smatra najboljom praksom, ali se na mnogim mjestima još uvijek praktikuje). Korisnik će samo trebati smisliti ne baš kompliciran PIN kod i ne izgubiti token. Sam token se može napraviti u obliku pametne kartice, koja se zgodno može nositi u novčaniku. RFID oznake se mogu implantirati u token i pametnu karticu za pristup uredskim prostorijama.
PIN kod se koristi za autentifikaciju, za omogućavanje pristupa ključnim informacijama i za obavljanje kriptografskih transformacija i provjera.Gubitak tokena nije strašan, jer je nemoguće pogoditi PIN kod, nakon nekoliko pokušaja će biti blokiran. U isto vrijeme, čip pametne kartice štiti ključne informacije od ekstrakcije, kloniranja i drugih napada.
Šta još?
Ako rješenje problema udaljenog pristupa od Microsofta iz nekog razloga nije prikladno, tada možete implementirati PKI infrastrukturu i konfigurirati dvofaktorsku autentifikaciju koristeći naše pametne kartice u različitim VDI infrastrukturama (Citrix Virtual Apps and Desktops, Citrix ADC, VMware Horizon, VMware Unified Gateway, Huawei Fusion) i hardverski sigurnosni sistemi (PaloAlto, CheckPoint, Cisco) i drugi proizvodi.
Neki od primjera su razmatrani u našim prethodnim člancima.
U sljedećem članku ćemo govoriti o postavljanju OpenVPN-a s autentifikacijom pomoću MSCA certifikata.
Niti jedan sertifikat
Ako implementacija PKI infrastrukture i kupovina hardverskih uređaja za svakog zaposlenika izgleda prekomplicirano ili, na primjer, ne postoji tehnička mogućnost povezivanja pametne kartice, onda postoji rješenje s jednokratnim lozinkama baziranim na našem JAS serveru za autentifikaciju. Kao autentifikatori, možete koristiti softver (Google Authenticator, Yandex Key), hardver (bilo koji odgovarajući RFC, na primjer, JaCarta WebPass). Podržana su skoro sva ista rješenja kao za pametne kartice/tokene. Također smo govorili o nekim primjerima konfiguracije u našim prethodnim postovima.
Metode autentifikacije se mogu kombinovati, odnosno putem OTP-a - na primjer, samo mobilnim korisnicima može biti dozvoljen ulazak, a klasični laptopi/desktopovi mogu se autentifikovati samo pomoću certifikata na tokenu.
Zbog specifičnosti mog posla, nedavno su mi se lično obratili mnogi prijatelji netehničari za pomoć u postavljanju daljinskog pristupa. Tako smo mogli malo zaviriti ko se i kako izvlači iz situacije. Bilo je ugodnih iznenađenja kada ne baš velike kompanije koriste poznate brendove, uključujući i rješenja za autentifikaciju u dva faktora. Bilo je i slučajeva, iznenađujućih u suprotnom smjeru, kada su zaista velike i poznate kompanije (ne IT) preporučile jednostavno instaliranje TeamViewer-a na svoje kancelarijske računare.
U trenutnoj situaciji, stručnjaci iz kompanije "Aladdin R.D." preporučujemo odgovoran pristup rješavanju problema udaljenog pristupa vašoj korporativnoj infrastrukturi. Tim povodom, na samom početku režima opšte samoizolacije, pokrenuli smo .
izvor: www.habr.com