V naší společnosti, stejně jako v mnoha jiných IT a ne tak IT společnostech, možnost vzdáleného přístupu existuje již dlouhou dobu a mnoho zaměstnanců ji z nouze využilo. S rozšířením COVID-19 ve světě začalo naše IT oddělení z rozhodnutí vedení společnosti převádět zaměstnance vracející se ze zahraničních cest do práce na dálku. Ano, začali jsme praktikovat domácí sebeizolaci od samého začátku března, ještě předtím, než se stala mainstreamem. V polovině března již bylo řešení škálováno na celou společnost a na konci března jsme všichni téměř plynule přešli na nový režim hromadné práce na dálku pro všechny.
Technicky k implementaci vzdáleného přístupu k síti využíváme Microsoft VPN (RRAS) – jako jednu z rolí Windows Serveru. Když se připojíte k síti, zpřístupní se různé interní zdroje, od sharepointů, služeb pro sdílení souborů, bug trackerů až po CRM systém; pro mnohé je to vše, co ke své práci potřebují. Pro ty, kteří stále mají pracovní stanice v kanceláři, je přístup RDP nakonfigurován prostřednictvím brány RDG.
Proč jste se rozhodli pro toto rozhodnutí nebo proč stojí za výběr? Protože pokud již máte doménu a další infrastrukturu od Microsoftu, pak je odpověď zřejmá, s největší pravděpodobností bude pro vaše IT oddělení její implementace jednodušší, rychlejší a levnější. Stačí přidat několik funkcí. A pro zaměstnance bude jednodušší konfigurovat součásti Windows než stahovat a konfigurovat další přístupové klienty.
Při přístupu k samotné bráně VPN a následně při připojování k pracovním stanicím a důležitým webovým zdrojům používáme dvoufaktorovou autentizaci. Bylo by totiž zvláštní, kdybychom jako výrobce dvoufaktorových autentizačních řešení sami naše produkty nepoužívali. To je náš firemní standard, každý zaměstnanec má token s osobním certifikátem, který slouží k autentizaci na kancelářské pracovní stanici k doméně a k interním zdrojům společnosti.
Podle statistik používá více než 80 % incidentů informační bezpečnosti slabá nebo odcizená hesla. Zavedení dvoufaktorové autentizace proto značně zvyšuje celkovou úroveň zabezpečení společnosti a jejích zdrojů, umožňuje snížit riziko krádeže nebo uhodnutí hesla téměř na nulu a také zajistit, aby komunikace probíhala s platným uživatelem. Při implementaci infrastruktury PKI lze autentizaci heslem zcela zakázat.
Z pohledu uživatelského rozhraní pro uživatele je toto schéma ještě jednodušší než zadání přihlašovacího jména a hesla. Důvodem je, že složité heslo si již není třeba pamatovat, není třeba lepit pod klávesnici nálepky (porušující všechny myslitelné bezpečnostní zásady), heslo není dokonce třeba měnit jednou za 90 dní (ačkoliv to není již považován za osvědčený postup, ale na mnoha místech stále praktikovaný). Uživateli bude stačit vymyslet nepříliš složitý PIN kód a neztratit token. Samotný token lze vyrobit ve formě čipové karty, kterou lze pohodlně nosit v peněžence. RFID tagy lze implantovat do tokenu a čipové karty pro přístup do kancelářských prostor.
PIN kód se používá pro autentizaci, pro přístup ke klíčovým informacím a pro provádění kryptografických transformací a kontrol.Ztráta tokenu není děsivá, protože PIN kód nelze uhodnout, po několika pokusech bude zablokován. Čip čipové karty zároveň chrání klíčové informace před extrakcí, klonováním a dalšími útoky.
Co jiného?
Pokud řešení problematiky vzdáleného přístupu od společnosti Microsoft z nějakého důvodu nevyhovuje, můžete implementovat infrastrukturu PKI a nakonfigurovat dvoufaktorovou autentizaci pomocí našich čipových karet v různých infrastrukturách VDI (Citrix Virtual Apps and Desktops, Citrix ADC, VMware Horizon, VMware Unified Gateway, Huawei Fusion) a hardwarové bezpečnostní systémy (PaloAlto, CheckPoint, Cisco) a další produkty.
Některé z příkladů byly diskutovány v našich předchozích článcích.
V příštím článku si povíme něco o nastavení OpenVPN s autentizací pomocí certifikátů od MSCA.
Ani jeden certifikát
Pokud implementace PKI infrastruktury a nákup hardwarových zařízení pro každého zaměstnance vypadá příliš složitě nebo například chybí technická možnost připojení čipové karty, pak je tu řešení s jednorázovými hesly založenými na našem autentizačním serveru JAS. Jako autentizátory můžete použít software (Google Authenticator, Yandex Key), hardware (jakýkoli odpovídající RFC, například JaCarta WebPass). Jsou podporována téměř všechna stejná řešení jako u čipových karet/tokenů. V našich předchozích příspěvcích jsme také hovořili o některých příkladech konfigurace.
Způsoby autentizace se dají kombinovat, tedy OTP - vpustit lze například pouze mobilní uživatele a klasické notebooky/stolní počítače lze autentizovat pouze pomocí certifikátu na tokenu.
Vzhledem ke specifické povaze mé práce se na mě v poslední době obracelo osobně mnoho netechnických přátel s žádostí o pomoc s nastavením vzdáleného přístupu. Mohli jsme tedy trochu nakouknout, kdo a jak se ze situace dostal. Došlo k příjemným překvapením, když nepříliš velké společnosti používají slavné značky, včetně řešení dvoufaktorové autentizace. Objevily se i případy, překvapivé i opačným směrem, kdy opravdu velmi velké a známé firmy (nikoli IT) doporučovaly jednoduše nainstalovat TeamViewer na své kancelářské počítače.
V současné situaci specialisté ze společnosti "Aladdin R.D." doporučit odpovědný přístup k řešení problémů vzdáleného přístupu k vaší podnikové infrastruktuře. Při této příležitosti, na samém počátku všeobecného sebeizolačního režimu, jsme zahájili .
Zdroj: www.habr.com