In unserem Unternehmen, wie auch in vielen anderen IT- und Nicht-IT-Unternehmen, besteht die Möglichkeit des Fernzugriffs schon seit langem und viele Mitarbeiter nutzten sie aus der Not heraus. Mit der weltweiten Verbreitung von COVID-19 begann unsere IT-Abteilung auf Beschluss der Unternehmensleitung, Mitarbeiter, die von Auslandsreisen zurückkehrten, in die Fernarbeit zu versetzen. Ja, wir haben bereits Anfang März mit der Selbstisolation zu Hause begonnen, noch bevor sie zum Mainstream wurde. Mitte März war die Lösung bereits auf das gesamte Unternehmen skaliert und Ende März sind wir alle fast nahtlos auf einen neuen Modus der Massen-Remote-Arbeit für alle umgestiegen.
Technisch gesehen nutzen wir zur Umsetzung des Fernzugriffs auf das Netzwerk Microsoft VPN (RRAS) – als eine der Windows Server-Rollen. Wenn Sie sich mit dem Netzwerk verbinden, werden verschiedene interne Ressourcen verfügbar, von Sharepoints, File-Sharing-Diensten, Bug-Trackern bis hin zu einem CRM-System; für viele ist das alles, was sie für ihre Arbeit benötigen. Für diejenigen, die noch Arbeitsplätze im Büro haben, wird der RDP-Zugriff über das RDG-Gateway konfiguriert.
Warum haben Sie sich für diese Entscheidung entschieden bzw. warum lohnt es sich, sie zu wählen? Denn wenn Sie bereits über eine Domäne und andere Infrastruktur von Microsoft verfügen, liegt die Antwort auf der Hand: Die Implementierung wird für Ihre IT-Abteilung höchstwahrscheinlich einfacher, schneller und kostengünstiger sein. Sie müssen nur ein paar Funktionen hinzufügen. Und es wird für Mitarbeiter einfacher sein, Windows-Komponenten zu konfigurieren, als zusätzliche Zugriffsclients herunterzuladen und zu konfigurieren.
Beim Zugriff auf das VPN-Gateway selbst und danach bei der Verbindung zu Workstations und wichtigen Webressourcen verwenden wir die Zwei-Faktor-Authentifizierung. Tatsächlich wäre es seltsam, wenn wir als Hersteller von Zwei-Faktor-Authentifizierungslösungen unsere Produkte nicht selbst nutzen würden. Dies ist unser Unternehmensstandard; jeder Mitarbeiter verfügt über einen Token mit persönlichem Zertifikat, mit dem er sich am Büroarbeitsplatz gegenüber der Domäne und den internen Ressourcen des Unternehmens authentifiziert.
Laut Statistik werden bei mehr als 80 % der Informationssicherheitsvorfälle schwache oder gestohlene Passwörter verwendet. Daher erhöht die Einführung der Zwei-Faktor-Authentifizierung das Gesamtsicherheitsniveau des Unternehmens und seiner Ressourcen erheblich, ermöglicht es Ihnen, das Risiko eines Diebstahls oder des Erratens von Passwörtern auf nahezu Null zu reduzieren und außerdem sicherzustellen, dass die Kommunikation mit einem gültigen Benutzer erfolgt. Bei der Implementierung einer PKI-Infrastruktur kann die Passwortauthentifizierung vollständig deaktiviert werden.
Aus Sicht der Benutzeroberfläche ist dieses Schema für den Benutzer sogar einfacher als die Eingabe eines Benutzernamens und eines Passworts. Der Grund dafür ist, dass man sich ein komplexes Passwort nicht mehr merken muss, man keine Aufkleber unter die Tastatur kleben muss (was gegen alle erdenklichen Sicherheitsrichtlinien verstößt) und das Passwort nicht einmal alle 90 Tage geändert werden muss (obwohl dies nicht der Fall ist). (länger als Best Practice angesehen, aber vielerorts immer noch praktiziert). Der Benutzer muss lediglich einen nicht sehr komplizierten PIN-Code eingeben und darf den Token nicht verlieren. Der Token selbst kann in Form einer Smartcard hergestellt werden, die bequem in einer Brieftasche mitgeführt werden kann. Für den Zugang zu Büroräumen können RFID-Tags in den Token und die Smartcard implantiert werden.
Der PIN-Code wird zur Authentifizierung, zum Zugriff auf Schlüsselinformationen und zur Durchführung kryptografischer Transformationen und Prüfungen verwendet. Der Verlust des Tokens ist nicht beängstigend, da es unmöglich ist, den PIN-Code zu erraten; nach einigen Versuchen wird er gesperrt. Gleichzeitig schützt der Smartcard-Chip wichtige Informationen vor Extraktion, Klonen und anderen Angriffen.
Was sonst?
Wenn die Lösung des Problems des Fernzugriffs von Microsoft aus irgendeinem Grund nicht geeignet ist, können Sie eine PKI-Infrastruktur implementieren und eine Zwei-Faktor-Authentifizierung mithilfe unserer Smartcards in verschiedenen VDI-Infrastrukturen (Citrix Virtual Apps and Desktops, Citrix ADC, VMware) konfigurieren Horizon, VMware Unified Gateway, Huawei Fusion) und Hardware-Sicherheitssysteme (PaloAlto, CheckPoint, Cisco) und andere Produkte.
Einige der Beispiele wurden in unseren vorherigen Artikeln besprochen.
Im nächsten Artikel werden wir über die Einrichtung von OpenVPN mit Authentifizierung mithilfe von Zertifikaten von MSCA sprechen.
Kein einziges Zertifikat
Wenn die Implementierung einer PKI-Infrastruktur und die Anschaffung von Hardware-Geräten für jeden Mitarbeiter zu kompliziert erscheint oder beispielsweise keine technische Möglichkeit zur Anbindung einer Smartcard besteht, gibt es eine Lösung mit Einmalpasswörtern auf Basis unseres JAS-Authentifizierungsservers. Als Authentifikatoren können Sie Software (Google Authenticator, Yandex Key) und Hardware (jeder entsprechende RFC, z. B. JaCarta WebPass) verwenden. Es werden nahezu alle gleichen Lösungen wie für Smartcards/Tokens unterstützt. Wir haben in unseren vorherigen Beiträgen auch über einige Konfigurationsbeispiele gesprochen.
Authentifizierungsmethoden können kombiniert werden, also per OTP – so können beispielsweise nur mobile Benutzer zugelassen werden und klassische Laptops/Desktops können nur über ein Zertifikat auf einem Token authentifiziert werden.
Aufgrund der besonderen Art meiner Arbeit haben mich in letzter Zeit viele Freunde, die keine technischen Kenntnisse haben, persönlich an mich gewandt, um Hilfe bei der Einrichtung des Fernzugriffs zu erhalten. So konnten wir einen kleinen Blick darauf werfen, wer wie aus der Situation herauskommt. Es gab angenehme Überraschungen, wenn nicht sehr große Unternehmen bekannte Marken nutzten, auch mit Zwei-Faktor-Authentifizierungslösungen. Es gab überraschenderweise auch umgekehrte Fälle, in denen wirklich sehr große und namhafte Unternehmen (nicht die IT) empfahlen, TeamViewer einfach auf ihren Bürorechnern zu installieren.
In der aktuellen Situation sind Spezialisten der Firma „Aladdin R.D.“ Wir empfehlen einen verantwortungsvollen Ansatz zur Lösung von Problemen beim Fernzugriff auf Ihre Unternehmensinfrastruktur. Aus diesem Anlass haben wir gleich zu Beginn des allgemeinen Selbstisolationsregimes begonnen .
Source: habr.com