Sa among kompanya, sama sa daghang uban pang mga IT ug dili mga kompanya sa IT, ang posibilidad sa hilit nga pag-access naglungtad sa dugay nga panahon, ug daghang mga empleyado ang naggamit niini tungod sa panginahanglan. Sa pagkaylap sa COVID-19 sa kalibutan, ang among departamento sa IT, pinaagi sa desisyon sa pagdumala sa kompanya, nagsugod sa pagbalhin sa mga empleyado nga namalik gikan sa mga pagbiyahe sa gawas sa nasud ngadto sa layo nga trabaho. Oo, nagsugod kami sa pagpraktis sa pag-inusara sa kaugalingon sa balay gikan sa sinugdanan sa Marso, bisan sa wala pa kini nahimong mainstream. Sa tungatunga sa Marso, ang solusyon na-scale na sa tibuuk nga kompanya, ug sa katapusan sa Marso hapit kaming tanan nga hapsay nga nagbalhin sa usa ka bag-ong paagi sa mass remote nga trabaho para sa tanan.
Sa teknikal, aron ipatuman ang hilit nga pag-access sa network, gigamit namon ang Microsoft VPN (RRAS) - isip usa sa mga tahas sa Windows Server. Kung magkonektar ka sa network, magamit ang lainlaing mga internal nga kapanguhaan, gikan sa mga sharepoint, serbisyo sa pagpaambit sa file, mga tracker sa bug hangtod sa sistema sa CRM; alang sa kadaghanan, kini ra ang ilang kinahanglan alang sa ilang trabaho. Alang niadtong adunay mga workstation sa opisina, ang RDP access gi-configure pinaagi sa RDG gateway.
Ngano nga imong gipili kini nga desisyon o ngano nga kini angay nga pilion? Tungod kay kung naa ka nay domain ug uban pang imprastraktura gikan sa Microsoft, nan ang tubag klaro, lagmit mas dali, mas paspas ug mas barato alang sa imong departamento sa IT nga ipatuman kini. Kinahanglan ka lang magdugang pipila ka mga bahin. Ug mas sayon alang sa mga empleyado ang pag-configure sa mga sangkap sa Windows kaysa sa pag-download ug pag-configure sa dugang nga mga kliyente sa pag-access.
Kung nag-access sa gateway sa VPN mismo ug pagkahuman, kung nagkonektar sa mga workstation ug hinungdanon nga mga kapanguhaan sa web, gigamit namon ang two-factor authentication. Sa tinuud, katingad-an kung kami, ingon usa ka tiggama sa mga solusyon sa pag-authenticate nga duha ka hinungdan, dili kami mogamit sa among mga produkto sa among kaugalingon. Kini ang among corporate standard; ang matag empleyado adunay usa ka timaan nga adunay usa ka personal nga sertipiko, nga gigamit sa pag-authenticate sa workstation sa opisina sa domain ug sa internal nga mga kapanguhaan sa kompanya.
Sumala sa estadistika, labaw pa sa 80% sa mga insidente sa seguridad sa impormasyon naggamit ug huyang o gikawat nga mga password. Busa, ang pagpaila sa duha ka hinungdan nga panghimatuud labi nga nagdugang sa kinatibuk-ang lebel sa seguridad sa kompanya ug mga kahinguhaan niini, nagtugot kanimo nga makunhuran ang peligro sa pagpangawat o pagtag-an sa password sa hapit zero, ug pagsiguro usab nga ang komunikasyon mahitabo sa usa ka balido nga tiggamit. Kung nag-implementar sa usa ka imprastraktura sa PKI, ang pag-authenticate sa password mahimong hingpit nga ma-disable.
Gikan sa punto sa panglantaw sa UI alang sa tiggamit, kini nga laraw mas simple pa kay sa pagsulod sa usa ka login ug password. Ang hinungdan mao nga ang usa ka komplikado nga password dili na kinahanglan nga hinumdoman, dili kinahanglan nga magbutang mga sticker sa ilawom sa keyboard (paglapas sa tanan nga mahunahuna nga mga palisiya sa seguridad), ang password dili na kinahanglan nga usbon kausa matag 90 ka adlaw (bisan kung wala kini. mas dugay nga giisip nga labing maayo nga praktis, apan sa daghang mga lugar gipraktis gihapon). Kinahanglan lang nga maghimo ang user og dili kaayo komplikado nga PIN code ug dili mawala ang token. Ang token mismo mahimong himoon sa porma sa usa ka smart card, nga sayon nga dad-on sa usa ka pitaka. Ang mga tag sa RFID mahimong i-implant sa token ug smart card alang sa pag-access sa mga lugar sa opisina.
Ang PIN code gigamit alang sa pag-authenticate, sa paghatag og access sa importante nga impormasyon ug sa paghimo sa cryptographic nga mga pagbag-o ug mga pagsusi. Ang pagkawala sa token dili makahadlok, tungod kay imposible nga matag-an ang PIN code; human sa pipila ka pagsulay, kini ma-block. Sa samang higayon, ang smart card chip nanalipod sa mahinungdanong impormasyon gikan sa pagkuha, pag-clone ug uban pang mga pag-atake.
Unsa pa?
Kung ang solusyon sa isyu sa hilit nga pag-access gikan sa Microsoft dili angay alang sa usa ka hinungdan, nan mahimo nimong ipatuman ang usa ka imprastraktura sa PKI ug i-configure ang duha ka hinungdan nga pag-ila gamit ang among mga smart card sa lainlaing mga imprastraktura sa VDI (Citrix Virtual Apps ug Desktops, Citrix ADC, VMware Horizon, VMware Unified Gateway, Huawei Fusion) ug mga sistema sa seguridad sa hardware (PaloAlto, CheckPoint, Cisco) ug uban pang mga produkto.
Ang pipila sa mga pananglitan gihisgotan sa among miaging mga artikulo.
Sa sunod nga artikulo maghisgot kami bahin sa pag-set up sa OpenVPN nga adunay panghimatuud gamit ang mga sertipiko gikan sa MSCA.
Walay bisan usa ka sertipiko
Kung ang pagpatuman sa usa ka imprastraktura sa PKI ug pagpalit sa mga kagamitan sa hardware alang sa matag empleyado tan-awon nga komplikado kaayo o, pananglitan, wala’y teknikal nga posibilidad sa pagkonektar sa usa ka smart card, nan adunay usa ka solusyon sa usa ka higayon nga mga password nga gibase sa among JAS authentication server. Ingon mga authenticator, mahimo nimong gamiton ang software (Google Authenticator, Yandex Key), hardware (bisan unsang katugbang nga RFC, pananglitan, JaCarta WebPass). Halos tanan nga parehas nga mga solusyon gisuportahan sama sa alang sa mga smart card / token. Naghisgot usab kami bahin sa pipila nga mga panig-ingnan sa pag-configure sa among miaging mga post.
Ang mga pamaagi sa pag-authenticate mahimong ikombinar, nga mao, pinaagi sa OTP - pananglitan, ang mga mobile user ra ang mahimong tugutan, ug ang mga klasiko nga laptop/desktop mahimong ma-authenticate gamit ang usa ka sertipiko sa usa ka token.
Tungod sa espesipikong kinaiya sa akong trabaho, daghang dili teknikal nga mga higala ang bag-o lang miduol kanako nga personal alang sa tabang sa pag-set up sa layo nga pag-access. Mao nga nakahimo kami sa usa ka gamay nga pagtan-aw kung kinsa ang nakagawas sa sitwasyon ug kung giunsa. Adunay mga makapalipay nga mga sorpresa kung dili kaayo dagkong mga kompanya ang naggamit mga bantog nga tatak, lakip ang mga solusyon sa pag-authentication nga duha ka hinungdan. Adunay usab mga kaso, nga makapakurat sa atbang nga direksyon, kung ang dako kaayo ug inila nga mga kompanya (dili IT) nagrekomenda nga i-install lang ang TeamViewer sa ilang mga kompyuter sa opisina.
Sa kasamtangan nga sitwasyon, ang mga espesyalista gikan sa kompanya nga "Aladdin R.D." nagrekomendar sa pagkuha sa usa ka responsable nga pamaagi sa pagsulbad sa mga problema sa hilit nga pag-access sa imong corporate infrastructure. Sa kini nga okasyon, sa sinugdanan sa kinatibuk-ang rehimen sa pag-inusara sa kaugalingon, naglansad kami .
Source: www.habr.com