I vores virksomhed, som i mange andre it og knap så it-virksomheder, har muligheden for fjernadgang eksisteret i lang tid, og mange medarbejdere brugte den af nød. Med spredningen af COVID-19 i verden begyndte vores IT-afdeling, efter beslutning fra virksomhedens ledelse, at overføre medarbejdere, der vendte tilbage fra udlandsrejser til fjernarbejde. Ja, vi begyndte at praktisere selvisolation i hjemmet fra begyndelsen af marts, endda før det blev mainstream. I midten af marts var løsningen allerede blevet skaleret til hele virksomheden, og i slutningen af marts skiftede vi alle næsten problemfrit til en ny måde for massefjernarbejde for alle.
Teknisk set, for at implementere fjernadgang til netværket, bruger vi Microsoft VPN (RRAS) - som en af Windows Server-rollerne. Når du opretter forbindelse til netværket, bliver forskellige interne ressourcer tilgængelige, fra sharepoints, fildelingstjenester, fejlsporere til et CRM-system; for mange er dette alt, hvad de har brug for til deres arbejde. For dem, der stadig har arbejdsstationer på kontoret, konfigureres RDP-adgang via RDG-gatewayen.
Hvorfor valgte du denne beslutning, eller hvorfor er det værd at vælge? For hvis du allerede har et domæne og anden infrastruktur fra Microsoft, så er svaret indlysende, det bliver højst sandsynligt nemmere, hurtigere og billigere for din it-afdeling at implementere det. Du skal blot tilføje nogle få funktioner. Og det vil være lettere for medarbejderne at konfigurere Windows-komponenter end at downloade og konfigurere yderligere adgangsklienter.
Når vi tilgår selve VPN-gatewayen og efterfølgende, når vi forbinder til arbejdsstationer og vigtige webressourcer, bruger vi to-faktor-autentificering. Det ville faktisk være mærkeligt, hvis vi som producent af to-faktor autentificeringsløsninger ikke selv brugte vores produkter. Dette er vores virksomhedsstandard; hver medarbejder har et token med et personligt certifikat, som bruges til at autentificere på kontorets arbejdsstation til domænet og til virksomhedens interne ressourcer.
Ifølge statistikker bruger mere end 80 % af informationssikkerhedshændelser svage eller stjålne adgangskoder. Derfor øger indførelsen af to-faktor-autentificering i høj grad det overordnede sikkerhedsniveau for virksomheden og dets ressourcer, giver dig mulighed for at reducere risikoen for tyveri eller password-gætning til næsten nul, og også sikre, at kommunikationen sker med en gyldig bruger. Når du implementerer en PKI-infrastruktur, kan adgangskodegodkendelse deaktiveres fuldstændigt.
Fra et UI-synspunkt for brugeren er denne ordning endnu enklere end at indtaste et login og en adgangskode. Årsagen er, at en kompleks adgangskode ikke længere skal huskes, der er ingen grund til at sætte klistermærker under tastaturet (i strid med alle tænkelige sikkerhedspolitikker), adgangskoden skal ikke engang ændres en gang hver 90. dag (selvom dette ikke er længere betragtet som bedste praksis, men mange steder stadig praktiseret). Brugeren skal blot komme med en ikke særlig kompliceret PIN-kode og ikke miste tokenet. Selve tokenet kan laves i form af et smart card, som bekvemt kan medbringes i en pung. RFID-tags kan implanteres i tokenet og smartkortet for at få adgang til kontorlokaler.
PIN-koden bruges til autentificering, til at give adgang til nøgleinformation og til at udføre kryptografiske transformationer og checks. At miste tokenet er ikke skræmmende, da det er umuligt at gætte PIN-koden, efter et par forsøg vil den blive blokeret. Samtidig beskytter smart card-chippen nøgleinformation mod ekstraktion, kloning og andre angreb.
Hvad ellers?
Hvis løsningen på problemet med fjernadgang fra Microsoft af en eller anden grund ikke er egnet, så kan du implementere en PKI-infrastruktur og konfigurere to-faktor-autentificering ved hjælp af vores smart cards i forskellige VDI-infrastrukturer (Citrix Virtual Apps and Desktops, Citrix ADC, VMware Horizon, VMware Unified Gateway, Huawei Fusion) og hardwaresikkerhedssystemer (PaloAlto, CheckPoint, Cisco) og andre produkter.
Nogle af eksemplerne blev diskuteret i vores tidligere artikler.
I den næste artikel vil vi tale om opsætning af OpenVPN med godkendelse ved hjælp af certifikater fra MSCA.
Ikke et eneste certifikat
Hvis implementering af en PKI-infrastruktur og indkøb af hardwareenheder til hver enkelt medarbejder ser for kompliceret ud, eller der for eksempel ikke er nogen teknisk mulighed for at tilslutte et smart card, så er der en løsning med engangsadgangskoder baseret på vores JAS-autentificeringsserver. Som autentificeringer kan du bruge software (Google Authenticator, Yandex Key), hardware (enhver tilsvarende RFC, for eksempel JaCarta WebPass). Næsten alle de samme løsninger understøttes som for smart cards/tokens. Vi talte også om nogle konfigurationseksempler i vores tidligere indlæg.
Autentificeringsmetoder kan kombineres, det vil sige ved OTP - for eksempel kan kun mobile brugere tillades ind, og klassiske bærbare/desktops kan kun autentificeres ved hjælp af et certifikat på et token.
På grund af mit arbejdes specifikke karakter har mange ikke-tekniske venner for nylig henvendt sig personligt til mig for at få hjælp til at konfigurere fjernadgang. Så vi kunne tage et lille kig på, hvem der kom ud af situationen og hvordan. Der var behagelige overraskelser, når ikke særlig store virksomheder bruger kendte mærker, blandt andet med to-faktor autentificeringsløsninger. Der var også tilfælde, overraskende i den modsatte retning, hvor virkelig meget store og kendte virksomheder (ikke IT) anbefalede blot at installere TeamViewer på deres kontorcomputere.
I den nuværende situation er specialister fra virksomheden "Aladdin R.D." anbefaler at tage en ansvarlig tilgang til at løse problemer med fjernadgang til din virksomheds infrastruktur. Ved denne lejlighed, i begyndelsen af det generelle selvisoleringsregime, lancerede vi .
Kilde: www.habr.com