Στην εταιρεία μας, όπως και σε πολλές άλλες εταιρείες πληροφορικής και όχι τόσο, η δυνατότητα απομακρυσμένης πρόσβασης υπήρχε εδώ και πολύ καιρό και πολλοί εργαζόμενοι τη χρησιμοποιούσαν εξ ανάγκης. Με την εξάπλωση του COVID-19 στον κόσμο, το τμήμα Πληροφορικής μας, με απόφαση της διοίκησης της εταιρείας, άρχισε να μεταφέρει τους εργαζόμενους που επέστρεφαν από ταξίδια στο εξωτερικό σε εξ αποστάσεως εργασία. Ναι, αρχίσαμε να ασκούμε την αυτο-απομόνωση στο σπίτι από τις αρχές Μαρτίου, ακόμη και πριν γίνει mainstream. Μέχρι τα μέσα Μαρτίου, η λύση είχε ήδη κλιμακωθεί σε ολόκληρη την εταιρεία και στα τέλη Μαρτίου μεταβήκαμε όλοι σχεδόν απρόσκοπτα σε έναν νέο τρόπο μαζικής απομακρυσμένης εργασίας για όλους.
Τεχνικά, για την υλοποίηση της απομακρυσμένης πρόσβασης στο δίκτυο, χρησιμοποιούμε το Microsoft VPN (RRAS) - ως έναν από τους ρόλους του Windows Server. Όταν συνδέεστε στο δίκτυο, διατίθενται διάφοροι εσωτερικοί πόροι, από σημεία κοινής χρήσης, υπηρεσίες κοινής χρήσης αρχείων, ανιχνευτές σφαλμάτων έως ένα σύστημα CRM· για πολλούς, αυτό είναι το μόνο που χρειάζονται για την εργασία τους. Για όσους εξακολουθούν να έχουν σταθμούς εργασίας στο γραφείο, η πρόσβαση RDP ρυθμίζεται μέσω της πύλης RDG.
Γιατί επιλέξατε αυτή την απόφαση ή γιατί αξίζει να επιλέξετε; Επειδή εάν έχετε ήδη έναν τομέα και άλλη υποδομή από τη Microsoft, τότε η απάντηση είναι προφανής, πιθανότατα θα είναι πιο εύκολο, γρήγορο και φθηνότερο για το τμήμα πληροφορικής σας να το εφαρμόσει. Απλά πρέπει να προσθέσετε μερικά χαρακτηριστικά. Και θα είναι ευκολότερο για τους υπαλλήλους να ρυθμίσουν τις παραμέτρους των στοιχείων των Windows παρά να κατεβάσουν και να διαμορφώσουν πρόσθετους πελάτες πρόσβασης.
Κατά την πρόσβαση στην ίδια την πύλη VPN και στη συνέχεια, κατά τη σύνδεση σε σταθμούς εργασίας και σημαντικούς πόρους ιστού, χρησιμοποιούμε έλεγχο ταυτότητας δύο παραγόντων. Πράγματι, θα ήταν περίεργο εάν εμείς, ως κατασκευαστής λύσεων ελέγχου ταυτότητας δύο παραγόντων, δεν χρησιμοποιούσαμε μόνοι μας τα προϊόντα μας. Αυτό είναι το εταιρικό μας πρότυπο· κάθε υπάλληλος έχει ένα διακριτικό με ένα προσωπικό πιστοποιητικό, το οποίο χρησιμοποιείται για τον έλεγχο ταυτότητας στο σταθμό εργασίας γραφείου στον τομέα και στους εσωτερικούς πόρους της εταιρείας.
Σύμφωνα με στατιστικά στοιχεία, πάνω από το 80% των περιστατικών ασφάλειας πληροφοριών χρησιμοποιούν αδύναμους ή κλεμμένους κωδικούς πρόσβασης. Επομένως, η εισαγωγή του ελέγχου ταυτότητας δύο παραγόντων αυξάνει σημαντικά το συνολικό επίπεδο ασφάλειας της εταιρείας και των πόρων της, σας επιτρέπει να μειώσετε τον κίνδυνο κλοπής ή εικασίας κωδικού πρόσβασης σχεδόν στο μηδέν και επίσης να διασφαλίσετε ότι η επικοινωνία πραγματοποιείται με έναν έγκυρο χρήστη. Κατά την υλοποίηση μιας υποδομής PKI, ο έλεγχος ταυτότητας με κωδικό πρόσβασης μπορεί να απενεργοποιηθεί πλήρως.
Από την άποψη της διεπαφής χρήστη για τον χρήστη, αυτό το σχήμα είναι ακόμα πιο απλό από την εισαγωγή μιας σύνδεσης και του κωδικού πρόσβασης. Ο λόγος είναι ότι ένας σύνθετος κωδικός πρόσβασης δεν χρειάζεται πλέον να απομνημονεύεται, δεν χρειάζεται να τοποθετείτε αυτοκόλλητα κάτω από το πληκτρολόγιο (παραβιάζοντας όλες τις πιθανές πολιτικές ασφαλείας), ο κωδικός πρόσβασης δεν χρειάζεται καν αλλαγή μία φορά κάθε 90 ημέρες (αν και αυτό δεν είναι θεωρείται πλέον βέλτιστη πρακτική, αλλά σε πολλά μέρη εξακολουθούν να εφαρμόζονται). Ο χρήστης θα χρειαστεί απλώς να βρει έναν όχι πολύ περίπλοκο κωδικό PIN και να μην χάσει το διακριτικό. Το ίδιο το κουπόνι μπορεί να κατασκευαστεί με τη μορφή μιας έξυπνης κάρτας, η οποία μπορεί να μεταφερθεί άνετα σε ένα πορτοφόλι. Οι ετικέτες RFID μπορούν να εμφυτευθούν στο token και στην έξυπνη κάρτα για πρόσβαση σε χώρους γραφείου.
Ο κωδικός PIN χρησιμοποιείται για έλεγχο ταυτότητας, για την παροχή πρόσβασης σε βασικές πληροφορίες και για την εκτέλεση κρυπτογραφικών μετασχηματισμών και ελέγχων. Η απώλεια του διακριτικού δεν είναι τρομακτική, καθώς είναι αδύνατο να μαντέψετε τον κωδικό PIN· μετά από μερικές προσπάθειες, θα αποκλειστεί. Ταυτόχρονα, το τσιπ έξυπνης κάρτας προστατεύει βασικές πληροφορίες από εξαγωγή, κλωνοποίηση και άλλες επιθέσεις.
Τι άλλο?
Εάν η λύση στο ζήτημα της απομακρυσμένης πρόσβασης από τη Microsoft δεν είναι κατάλληλη για κάποιο λόγο, τότε μπορείτε να εφαρμόσετε μια υποδομή PKI και να ρυθμίσετε τον έλεγχο ταυτότητας δύο παραγόντων χρησιμοποιώντας τις έξυπνες κάρτες μας σε διάφορες υποδομές VDI (Εικονικές εφαρμογές και επιτραπέζιοι υπολογιστές Citrix, Citrix ADC, VMware Horizon, VMware Unified Gateway, Huawei Fusion) και συστήματα ασφαλείας υλικού (PaloAlto, CheckPoint, Cisco) και άλλα προϊόντα.
Μερικά από τα παραδείγματα συζητήθηκαν σε προηγούμενα άρθρα μας.
Στο επόμενο άρθρο θα μιλήσουμε για τη ρύθμιση του OpenVPN με έλεγχο ταυτότητας χρησιμοποιώντας πιστοποιητικά από το MSCA.
Ούτε ένα πιστοποιητικό
Εάν η υλοποίηση μιας υποδομής PKI και η αγορά συσκευών υλικού για κάθε εργαζόμενο φαίνεται πολύ περίπλοκη ή, για παράδειγμα, δεν υπάρχει τεχνική δυνατότητα σύνδεσης μιας έξυπνης κάρτας, τότε υπάρχει μια λύση με κωδικούς πρόσβασης μίας χρήσης βάσει του διακομιστή ελέγχου ταυτότητας JAS. Ως υπεύθυνοι ελέγχου ταυτότητας, μπορείτε να χρησιμοποιήσετε λογισμικό (Google Authenticator, Yandex Key), υλικό (οποιοδήποτε αντίστοιχο RFC, για παράδειγμα, JaCarta WebPass). Υποστηρίζονται σχεδόν όλες οι ίδιες λύσεις όπως για τις έξυπνες κάρτες/tokens. Μιλήσαμε επίσης για μερικά παραδείγματα διαμόρφωσης σε προηγούμενες αναρτήσεις μας.
Οι μέθοδοι ελέγχου ταυτότητας μπορούν να συνδυαστούν, δηλαδή με OTP - για παράδειγμα, επιτρέπεται η είσοδος μόνο σε χρήστες κινητών και οι κλασικοί φορητοί υπολογιστές/επιτραπέζιοι υπολογιστές μπορούν να πιστοποιηθούν μόνο χρησιμοποιώντας ένα πιστοποιητικό σε ένα διακριτικό.
Λόγω της ιδιαίτερης φύσης της δουλειάς μου, πολλοί μη τεχνικοί φίλοι με προσέγγισαν πρόσφατα προσωπικά για βοήθεια στη ρύθμιση της απομακρυσμένης πρόσβασης. Έτσι μπορέσαμε να ρίξουμε μια μικρή ματιά στο ποιος έβγαινε από την κατάσταση και πώς. Υπήρχαν ευχάριστες εκπλήξεις όταν όχι πολύ μεγάλες εταιρείες χρησιμοποιούν διάσημες μάρκες, μεταξύ άλλων με λύσεις ελέγχου ταυτότητας δύο παραγόντων. Υπήρχαν επίσης περιπτώσεις, εκπληκτικά προς την αντίθετη κατεύθυνση, όταν πραγματικά πολύ μεγάλες και γνωστές εταιρείες (όχι πληροφορικής) συνέστησαν απλώς την εγκατάσταση του TeamViewer στους υπολογιστές γραφείου τους.
Στην παρούσα κατάσταση, ειδικοί από την εταιρεία "Aladdin R.D." συνιστούμε να ακολουθήσετε μια υπεύθυνη προσέγγιση για την επίλυση προβλημάτων απομακρυσμένης πρόσβασης στην εταιρική σας υποδομή. Με την ευκαιρία αυτή, στην αρχή του γενικού καθεστώτος αυτοαπομόνωσης, ξεκινήσαμε .
Πηγή: www.habr.com