Meie ettevõttes, nagu ka paljudes teistes IT ja mitte nii IT ettevõtetes, on kaugjuurdepääsu võimalus juba ammu olemas ja paljud töötajad kasutasid seda vajadusest. COVID-19 levikuga maailmas hakkas meie IT-osakond ettevõtte juhtkonna otsusel viima välisreisidelt naasvaid töötajaid kaugtööle. Jah, me hakkasime kodust isolatsiooni harjutama juba märtsi algusest, isegi enne, kui see oli muutunud peavooluks. Märtsi keskpaigaks oli lahendus juba tervele ettevõttele skaleeritud ja märtsi lõpus läksime kõik peaaegu sujuvalt üle uuele massilise kaugtöö režiimile kõigile.
Tehniliselt kasutame võrgule kaugjuurdepääsu juurutamiseks Microsoft VPN-i (RRAS) – ühe Windows Serveri rollina. Võrguga ühenduse loomisel muutuvad kättesaadavaks mitmesugused sisemised ressursid alates jagamispunktidest, failijagamisteenustest, veajälgijatest ja lõpetades CRM-süsteemiga; paljude jaoks on see kõik, mida nad oma tööks vajavad. Neile, kellel on kontoris veel tööjaamu, konfigureeritakse RDP juurdepääs RDG lüüsi kaudu.
Miks valisite selle otsuse või miks see tasub valida? Sest kui sul on juba Microsofti domeen ja muu taristu olemas, siis vastus on ilmne, suure tõenäosusega on sinu IT-osakonnal selle juurutamine lihtsam, kiirem ja odavam. Peate lihtsalt lisama mõned funktsioonid. Ja töötajatel on lihtsam Windowsi komponente konfigureerida kui täiendavaid juurdepääsukliente alla laadida ja konfigureerida.
VPN-lüüsile endale ligi pääsedes ja hiljem tööjaamade ja oluliste veebiressurssidega ühenduse loomisel kasutame kahefaktorilist autentimist. Tõepoolest, oleks imelik, kui me kahefaktoriliste autentimislahenduste tootjana oma tooteid ise ei kasutaks. See on meie ettevõtte standard, igal töötajal on isikliku sertifikaadiga token, mida kasutatakse kontori tööjaamas domeeni ja ettevõtte sisemiste ressursside autentimiseks.
Statistika järgi kasutatakse üle 80% infoturbeintsidentidest nõrku või varastatud paroole. Seetõttu tõstab kahefaktorilise autentimise kasutuselevõtt oluliselt ettevõtte ja selle ressursside üldist turvataset, võimaldab vähendada varguse või parooli äraarvamise riski peaaegu nullini ning tagada ka suhtluse toimumise kehtiva kasutajaga. PKI infrastruktuuri juurutamisel saab parooliga autentimise täielikult keelata.
Kasutajaliidese seisukohast on see skeem veelgi lihtsam kui sisselogimise ja parooli sisestamine. Põhjus on selles, et keerulist parooli ei pea enam meeles pidama, pole vaja kleebiseid klaviatuuri alla panna (mis rikub kõiki mõeldavaid turvapoliitikaid), parooli pole vaja isegi kord 90 päeva jooksul vahetada (kuigi see pole peetakse parimaks tavaks, kuid paljudes kohtades siiski praktiseeritakse). Kasutajal tuleb lihtsalt välja mõelda mitte väga keeruline PIN-kood ja mitte kaotada märki. Token ise saab teha kiipkaardi kujul, mida saab mugavalt rahakotis kaasas kanda. RFID-märgiseid saab implanteerida tokenisse ja kiipkaardile, et pääseda kontoriruumidesse.
PIN-koodi kasutatakse autentimiseks, võtmeinfole juurdepääsu võimaldamiseks ning krüptograafiliste teisenduste ja kontrollide tegemiseks. Tokeni kaotamine pole hirmutav, kuna PIN-koodi on võimatu ära arvata, mõne katse järel see blokeeritakse. Samal ajal kaitseb kiipkaardi kiip võtmeteavet ekstraheerimise, kloonimise ja muude rünnakute eest.
Mida veel?
Kui Microsofti kaugjuurdepääsu probleemi lahendus mingil põhjusel ei sobi, saate rakendada PKI infrastruktuuri ja konfigureerida kahefaktorilist autentimist meie kiipkaartide abil erinevates VDI infrastruktuurides (Citrix Virtual Apps and Desktops, Citrix ADC, VMware Horizon, VMware Unified Gateway, Huawei Fusion) ja riistvaralised turvasüsteemid (PaloAlto, CheckPoint, Cisco) ja muud tooted.
Mõnda näidet käsitleti meie eelmistes artiklites.
Järgmises artiklis räägime OpenVPN-i seadistamisest autentimisega, kasutades MSCA sertifikaate.
Mitte ühtegi sertifikaati
Kui PKI infrastruktuuri juurutamine ja riistvaraseadmete soetamine igale töötajale tundub liiga keeruline või puudub näiteks tehniline võimalus kiipkaardi ühendamiseks, siis on meie JAS autentimisserveri baasil lahendus ühekordsete paroolidega. Autentijatena saate kasutada tarkvara (Google Authenticator, Yandex Key), riistvara (mis tahes vastavat RFC-d, näiteks JaCarta WebPass). Toetatud on peaaegu kõik samad lahendused, mis kiipkaartide/žetoonide puhul. Mõnedest konfiguratsiooninäidetest rääkisime ka oma eelmistes postitustes.
Autentimismeetodeid saab kombineerida ehk OTP-ga – näiteks saab sisse lubada ainult mobiilikasutajaid ja klassikalisi süle-/lauaarvuteid saab autentida ainult tokenil oleva sertifikaadi abil.
Minu töö eripära tõttu on viimasel ajal kaugjuurdepääsu seadistamisel minu poole isiklikult pöördunud paljud mittetehnilised sõbrad. Nii saime veidi piiluda, kes ja kuidas olukorrast välja tuli. Meeldivaid üllatusi oli see, kui mitte väga suured ettevõtted kasutavad kuulsaid kaubamärke, sealhulgas kahefaktoriliste autentimislahendustega. Oli ka vastupidiselt üllatavaid juhtumeid, kui tõesti väga suured ja tuntud ettevõtted (mitte IT) soovitasid lihtsalt oma kontoriarvutitesse TeamVieweri installida.
Praeguses olukorras on spetsialistid firmast "Aladdin R.D." soovitame oma ettevõtte infrastruktuurile kaugjuurdepääsuga seotud probleemide lahendamisel vastutustundlikult läheneda. Sel puhul käivitasime üldise eneseisolatsioonirežiimi alguses .
Allikas: www.habr.com