En nuestra empresa, como en muchas otras empresas informáticas y no tan informáticas, la posibilidad del acceso remoto existe desde hace mucho tiempo y muchos empleados lo utilizaban por necesidad. Con la propagación del COVID-19 en el mundo, nuestro departamento de TI, por decisión de la dirección de la empresa, comenzó a trasladar a los empleados que regresaban de viajes al extranjero al trabajo remoto. Sí, comenzamos a practicar el autoaislamiento domiciliario desde principios de marzo, incluso antes de que se generalizara. A mediados de marzo, la solución ya se había ampliado a toda la empresa y, a finales de marzo, casi sin problemas cambiamos a un nuevo modo de trabajo remoto masivo para todos.
Técnicamente, para implementar el acceso remoto a la red, utilizamos Microsoft VPN (RRAS), como una de las funciones de Windows Server. Cuando te conectas a la red, varios recursos internos están disponibles, desde puntos compartidos, servicios para compartir archivos, rastreadores de errores hasta un sistema CRM; para muchos, esto es todo lo que necesitan para su trabajo. Para aquellos que todavía tienen estaciones de trabajo en la oficina, el acceso RDP se configura a través de la puerta de enlace RDG.
¿Por qué elegiste esta decisión o por qué vale la pena elegirla? Porque si ya tienes un dominio y otra infraestructura de Microsoft, entonces la respuesta es obvia: lo más probable es que a tu departamento de TI le resulte más fácil, rápido y económico implementarlo. Sólo necesitas agregar algunas características. Y será más fácil para los empleados configurar componentes de Windows que descargar y configurar clientes de acceso adicionales.
Al acceder a la puerta de enlace VPN y posteriormente, al conectarnos a estaciones de trabajo y recursos web importantes, utilizamos autenticación de dos factores. De hecho, sería extraño que nosotros, como fabricantes de soluciones de autenticación de dos factores, no usáramos nuestros productos nosotros mismos. Este es nuestro estándar corporativo, cada empleado tiene un token con un certificado personal, que se utiliza para autenticarse en la estación de trabajo de la oficina ante el dominio y los recursos internos de la empresa.
Según las estadísticas, más del 80% de los incidentes de seguridad de la información utilizan contraseñas débiles o robadas. Por lo tanto, la introducción de la autenticación de dos factores aumenta en gran medida el nivel general de seguridad de la empresa y sus recursos, permite reducir el riesgo de robo o adivinación de contraseñas a casi cero y también garantiza que la comunicación se produzca con un usuario válido. Al implementar una infraestructura PKI, la autenticación de contraseña se puede desactivar por completo.
Desde el punto de vista de la interfaz de usuario para el usuario, este esquema es incluso más sencillo que ingresar un nombre de usuario y contraseña. La razón es que ya no es necesario recordar una contraseña compleja, no es necesario colocar pegatinas debajo del teclado (lo que viola todas las políticas de seguridad imaginables), ni siquiera es necesario cambiar la contraseña una vez cada 90 días (aunque esto no es necesario). ya no se considera una mejor práctica, pero en muchos lugares todavía se practica). El usuario sólo tendrá que crear un código PIN no muy complicado y no perder el token. El token en sí se puede fabricar en forma de una tarjeta inteligente, que se puede llevar cómodamente en una cartera. Se pueden implantar etiquetas RFID en el token y en la tarjeta inteligente para acceder a las instalaciones de la oficina.
El código PIN se utiliza para la autenticación, para dar acceso a información clave y para realizar transformaciones y comprobaciones criptográficas. Perder el token no da miedo, ya que es imposible adivinar el código PIN, después de varios intentos se bloqueará. Al mismo tiempo, el chip de la tarjeta inteligente protege la información clave contra la extracción, la clonación y otros ataques.
Que mas
Si la solución al problema del acceso remoto de Microsoft por algún motivo no es adecuada, puede implementar una infraestructura PKI y configurar la autenticación de dos factores utilizando nuestras tarjetas inteligentes en varias infraestructuras VDI (Citrix Virtual Apps and Desktops, Citrix ADC, VMware Horizon, VMware Unified Gateway, Huawei Fusion) y sistemas de seguridad de hardware (PaloAlto, CheckPoint, Cisco) y otros productos.
Algunos de los ejemplos fueron discutidos en nuestros artículos anteriores.
En el próximo artículo hablaremos sobre cómo configurar OpenVPN con autenticación mediante certificados de MSCA.
Ni un solo certificado
Si implementar una infraestructura PKI y comprar dispositivos de hardware para cada empleado parece demasiado complicado o, por ejemplo, no existe la posibilidad técnica de conectar una tarjeta inteligente, entonces existe una solución con contraseñas de un solo uso basadas en nuestro servidor de autenticación JAS. Como autenticadores, puede utilizar software (Google Authenticator, Yandex Key), hardware (cualquier RFC correspondiente, por ejemplo, JaCarta WebPass). Se admiten casi todas las mismas soluciones que para las tarjetas/tokens inteligentes. También hablamos de algunos ejemplos de configuración en nuestras publicaciones anteriores.
Los métodos de autenticación se pueden combinar, es decir, mediante OTP; por ejemplo, solo se puede permitir la entrada a usuarios móviles y las computadoras portátiles/de escritorio clásicas se pueden autenticar solo mediante un certificado en un token.
Debido a la naturaleza específica de mi trabajo, recientemente muchos amigos no técnicos se han acercado personalmente a mí para pedirme ayuda para configurar el acceso remoto. Así pudimos echar un pequeño vistazo a quién estaba saliendo de la situación y cómo. Hubo sorpresas agradables cuando empresas no muy grandes utilizaron marcas famosas, incluso con soluciones de autenticación de dos factores. También hubo casos, sorprendentemente en la dirección opuesta, en los que empresas realmente muy grandes y conocidas (no TI) recomendaron simplemente instalar TeamViewer en sus ordenadores de oficina.
En la situación actual, especialistas de la empresa "Aladdin R.D." Recomendamos adoptar un enfoque responsable para resolver los problemas de acceso remoto a su infraestructura corporativa. En esta ocasión, al comienzo del régimen de autoaislamiento general, lanzamos .
Fuente: habr.com