En nia firmao, kiel en multaj aliaj IT-kaj ne tiom IT-kompanioj, la ebleco de fora aliro ekzistas delonge, kaj multaj dungitoj uzis ĝin pro neceso. Kun la disvastiĝo de COVID-19 en la mondo, nia IT-sekcio, per decido de la administrado de la firmao, komencis translokigi dungitojn revenantajn de vojaĝoj eksterlanden al fora laboro. Jes, ni komencis praktiki hejman mem-izolon ekde la komenco de marto, eĉ antaŭ ol ĝi fariĝis ĉefa. Meze de marto, la solvo jam estis skalita al la tuta firmao, kaj fine de marto ni ĉiuj preskaŭ senjunte ŝanĝis al nova maniero de amasa fora laboro por ĉiuj.
Teknike, por efektivigi foran aliron al la reto, ni uzas Microsoft VPN (RRAS) - kiel unu el la Windows Server-roloj. Kiam vi konektas al la reto, diversaj internaj rimedoj iĝas disponeblaj, de kundividaj punktoj, kundividaj servoj, cimspuriloj ĝis CRM-sistemo; por multaj, ĉi tio estas ĉio, kion ili bezonas por sia laboro. Por tiuj, kiuj ankoraŭ havas laborstaciojn en la oficejo, RDP-aliro estas agordita per la RDG-enirejo.
Kial vi elektis ĉi tiun decidon aŭ kial indas elekti? Ĉar se vi jam havas domajnon kaj alian infrastrukturon de Microsoft, tiam la respondo estas evidenta, plej verŝajne estos pli facile, pli rapide kaj pli malmultekosta por via IT-fako efektivigi ĝin. Vi nur bezonas aldoni kelkajn funkciojn. Kaj estos pli facile por dungitoj agordi Vindozajn komponantojn ol elŝuti kaj agordi pliajn alirklientojn.
Kiam vi aliras la VPN-enirejon mem kaj poste, kiam ni konektas al laborstacioj kaj gravaj retaj rimedoj, ni uzas dufaktoran aŭtentikigon. Efektive, estus strange, se ni, kiel fabrikanto de dufaktoraj aŭtentikigsolvoj, ne uzus niajn produktojn mem. Ĉi tio estas nia kompania normo; ĉiu dungito havas ĵetonon kun persona atestilo, kiu estas uzata por aŭtentikigi ĉe la oficeja laborstacio al la domajno kaj al la internaj rimedoj de la kompanio.
Laŭ statistiko, pli ol 80% de informsekurecaj okazaĵoj uzas malfortajn aŭ ŝtelitajn pasvortojn. Sekve, la enkonduko de dufaktora aŭtentigo multe pliigas la ĝeneralan nivelon de sekureco de la kompanio kaj ĝiaj rimedoj, ebligas vin redukti la riskon de ŝtelo aŭ pasvorta divenado al preskaŭ nulo, kaj ankaŭ certigi, ke komunikado okazas kun valida uzanto. Dum efektivigado de PKI-infrastrukturo, pasvorta aŭtentigo povas esti tute malŝaltita.
De UI-perspektivo por la uzanto, ĉi tiu skemo estas eĉ pli simpla ol enigi ensaluton kaj pasvorton. La kialo estas, ke kompleksa pasvorto ne plu bezonas esti memorita, ne necesas meti glumarkojn sub la klavaron (malobservante ĉiujn imageblajn sekurecpolitikojn), la pasvorto eĉ ne bezonas esti ŝanĝita unufoje ĉiun 90 tagojn (kvankam ĉi tio ne estas pli longe konsiderata plej bona praktiko, sed en multaj lokoj ankoraŭ praktikata). La uzanto nur bezonos elpensi ne tre komplikan PIN-kodon kaj ne perdi la ĵetonon. La ĵetono mem povas esti farita en formo de inteligenta karto, kiu povas esti oportune portita en monujo. RFID-etikedoj povas esti enplantitaj en la ĵetonon kaj inteligentan karton por aliro al oficejoj.
La PIN-kodo estas uzata por aŭtentigo, por havigi aliron al ŝlosilaj informoj kaj por fari kriptografiajn transformojn kaj kontrolojn.Perdi la ĵetonon ne estas timiga, ĉar estas neeble diveni la PIN-kodon; post kelkaj provoj, ĝi estos blokita. Samtempe, la blato de inteligenta karto protektas ŝlosilan informon kontraŭ eltiro, klonado kaj aliaj atakoj.
Kio alia?
Se la solvo al la problemo de fora aliro de Microsoft ial ne taŭgas, tiam vi povas efektivigi PKI-infrastrukturon kaj agordi dufaktoran aŭtentikigon uzante niajn inteligentajn kartojn en diversaj VDI-infrastrukturoj (Citrix Virtual Apps and Desktops, Citrix ADC, VMware). Horizon, VMware Unified Gateway, Huawei Fusion) kaj aparataj sekurecsistemoj (PaloAlto, CheckPoint, Cisco) kaj aliaj produktoj.
Kelkaj el la ekzemploj estis diskutitaj en niaj antaŭaj artikoloj.
En la sekva artikolo ni parolos pri agordo de OpenVPN kun aŭtentigo per atestiloj de MSCA.
Ne unu atestilo
Se efektivigi PKI-infrastrukturon kaj aĉeti aparataĵojn por ĉiu dungito aspektas tro komplika aŭ, ekzemple, ne ekzistas teknika ebleco konekti inteligentan karton, tiam ekzistas solvo kun unufojaj pasvortoj bazitaj sur nia JAS-aŭtentikigservilo. Kiel aŭtentikiloj, vi povas uzi programaron (Google Authenticator, Yandex Key), aparataron (ajna responda RFC, ekzemple, JaCarta WebPass). Preskaŭ ĉiuj samaj solvoj estas subtenataj kiel por inteligentaj kartoj/ĵetonoj. Ni ankaŭ parolis pri kelkaj agordaj ekzemploj en niaj antaŭaj afiŝoj.
Aŭtentikigmetodoj povas esti kombinitaj, tio estas, per OTP - ekzemple, nur porteblaj uzantoj povas esti permesitaj en, kaj klasikaj tekkomputiloj/komputiloj povas esti aŭtentikigitaj nur uzante atestilon sur ĵetono.
Pro la specifa naturo de mia laboro, multaj ne-teknikaj amikoj lastatempe kontaktis min persone por helpo pri agordo de fora aliro. Do ni povis iomete rigardi, kiu eliris el la situacio kaj kiel. Estis agrablaj surprizoj kiam ne tre grandaj kompanioj uzas famajn markojn, inkluzive kun dufaktoraj aŭtentikigsolvoj. Estis ankaŭ kazoj, surprizaj en la kontraŭa direkto, kiam vere tre grandaj kaj konataj kompanioj (ne IT) rekomendis simple instali TeamViewer sur siaj oficejaj komputiloj.
En la nuna situacio, specialistoj de la kompanio "Aladdin R.D." rekomendas preni respondecan aliron por solvi problemojn de fora aliro al via kompania infrastrukturo. En ĉi tiu okazo, je la komenco mem de la ĝenerala memizola reĝimo, ni lanĉis .
fonto: www.habr.com