در شرکت ما نیز مانند بسیاری دیگر از شرکت های IT و نه چندان فناوری اطلاعات، امکان دسترسی از راه دور از دیرباز وجود داشته است و بسیاری از کارمندان از روی ناچاری از آن استفاده می کردند. با گسترش COVID-19 در جهان، بخش فناوری اطلاعات ما با تصمیم مدیریت شرکت، شروع به انتقال کارمندانی که از سفرهای خارج از کشور بازمیگشتند، به کارهای از راه دور کرد. بله، ما از همان اوایل ماه مارس، حتی قبل از تبدیل شدن به جریان اصلی، شروع به تمرین قرنطینه خانگی کردیم. در اواسط ماه مارس، راه حل از قبل برای کل شرکت مقیاس شده بود، و در پایان ماه مارس همه ما تقریباً به طور یکپارچه به حالت جدیدی از کار از راه دور انبوه برای همه تغییر دادیم.
از نظر فنی، برای پیاده سازی دسترسی از راه دور به شبکه، ما از Microsoft VPN (RRAS) - به عنوان یکی از نقش های سرور ویندوز استفاده می کنیم. هنگامی که به شبکه وصل می شوید، منابع داخلی مختلفی در دسترس قرار می گیرند، از اشتراک گذاری، خدمات اشتراک فایل، ردیاب اشکال تا یک سیستم CRM؛ برای بسیاری، این تنها چیزی است که برای کارشان نیاز دارند. برای کسانی که هنوز ایستگاه های کاری در دفتر دارند، دسترسی RDP از طریق دروازه RDG پیکربندی می شود.
چرا این تصمیم را انتخاب کردید یا چرا ارزش انتخاب را دارد؟ زیرا اگر از قبل دامنه و زیرساخت دیگری از مایکروسافت دارید، پاسخ واضح است، به احتمال زیاد اجرای آن برای بخش فناوری اطلاعات شما آسانتر، سریعتر و ارزانتر خواهد بود. فقط باید چند ویژگی اضافه کنید. و پیکربندی اجزای ویندوز برای کارمندان آسان تر از دانلود و پیکربندی کلاینت های دسترسی اضافی خواهد بود.
هنگام دسترسی به دروازه VPN و پس از آن، هنگام اتصال به ایستگاه های کاری و منابع مهم وب، از احراز هویت دو مرحله ای استفاده می کنیم. در واقع، عجیب است که ما به عنوان سازنده راه حل های احراز هویت دو مرحله ای، خودمان از محصولات خود استفاده نکنیم. این استاندارد شرکتی ما است؛ هر کارمند دارای یک نشانه با گواهی شخصی است که برای احراز هویت در ایستگاه کاری اداری به دامنه و منابع داخلی شرکت استفاده می شود.
طبق آمار، بیش از 80 درصد حوادث امنیت اطلاعات از رمزهای عبور ضعیف یا سرقت شده استفاده می کنند. بنابراین، معرفی احراز هویت دو عاملی سطح کلی امنیت شرکت و منابع آن را به شدت افزایش می دهد، به شما امکان می دهد خطر سرقت یا حدس زدن رمز عبور را تقریباً به صفر کاهش دهید و همچنین اطمینان حاصل کنید که ارتباط با یک کاربر معتبر برقرار می شود. هنگام پیاده سازی زیرساخت PKI، احراز هویت رمز عبور را می توان به طور کامل غیرفعال کرد.
از نقطه نظر UI برای کاربر، این طرح حتی ساده تر از وارد کردن ورود و رمز عبور است. دلیل آن این است که دیگر نیازی به به خاطر سپردن یک رمز عبور پیچیده نیست، نیازی به گذاشتن برچسب در زیر صفحه کلید نیست (نقض تمام سیاست های امنیتی قابل تصور)، رمز عبور حتی نیازی به تغییر هر 90 روز یک بار نیست (اگرچه اینطور نیست. مدت طولانی تری به عنوان بهترین عمل در نظر گرفته می شود، اما در بسیاری از مکان ها هنوز تمرین می شود). کاربر فقط باید یک کد پین نه چندان پیچیده ایجاد کند و رمز را گم نکند. خود توکن می تواند به شکل یک کارت هوشمند ساخته شود که می تواند به راحتی در کیف پول حمل شود. برچسبهای RFID را میتوان در توکن و کارت هوشمند برای دسترسی به محلهای اداری کاشت.
کد پین برای احراز هویت، دسترسی به اطلاعات کلیدی و انجام تغییرات و بررسی های رمزنگاری استفاده می شود. از دست دادن توکن ترسناک نیست، زیرا حدس زدن کد پین غیرممکن است؛ پس از چند بار تلاش، مسدود می شود. در عین حال، تراشه کارت هوشمند از اطلاعات کلیدی در برابر استخراج، شبیه سازی و سایر حملات محافظت می کند.
چه چیز دیگری؟
اگر راه حل مشکل دسترسی از راه دور از مایکروسافت به دلایلی مناسب نیست، می توانید یک زیرساخت PKI را پیاده سازی کنید و احراز هویت دو مرحله ای را با استفاده از کارت های هوشمند ما در زیرساخت های مختلف VDI (برنامه ها و دسکتاپ های مجازی Citrix، Citrix ADC، VMware) پیکربندی کنید. Horizon، VMware Unified Gateway، Huawei Fusion) و سیستم های امنیتی سخت افزاری (PaloAlto، CheckPoint، Cisco) و سایر محصولات.
برخی از نمونه ها در مقالات قبلی ما مورد بحث قرار گرفت.
در مقاله بعدی در مورد راه اندازی OpenVPN با احراز هویت با استفاده از گواهینامه های MSCA صحبت خواهیم کرد.
نه حتی یک گواهی
اگر پیادهسازی زیرساخت PKI و خرید دستگاههای سختافزاری برای هر کارمند بسیار پیچیده به نظر میرسد یا مثلاً امکان فنی اتصال کارت هوشمند وجود ندارد، راهحلی با رمزهای عبور یکبار مصرف بر اساس سرور احراز هویت JAS ما وجود دارد. به عنوان احراز هویت، می توانید از نرم افزار (Google Authenticator، Yandex Key)، سخت افزار (هر RFC مربوطه، به عنوان مثال، JaCarta WebPass) استفاده کنید. تقریباً همه راه حل های مشابه برای کارت های هوشمند / توکن ها پشتیبانی می شوند. ما همچنین در مورد چند نمونه پیکربندی در پست های قبلی خود صحبت کردیم.
روشهای احراز هویت را میتوان ترکیب کرد، یعنی توسط OTP - برای مثال، فقط کاربران تلفن همراه میتوانند اجازه ورود داشته باشند، و لپتاپها/رومیزیهای کلاسیک را میتوان تنها با استفاده از گواهی بر روی یک توکن احراز هویت کرد.
با توجه به ماهیت خاص کار من، اخیراً بسیاری از دوستان غیر فنی شخصاً به من مراجعه کرده اند تا در راه اندازی دسترسی از راه دور کمک بگیرند. بنابراین ما توانستیم نگاهی کوتاه بیاندازیم به اینکه چه کسی و چگونه از این وضعیت خارج می شود. وقتی شرکتهای نه چندان بزرگ از مارکهای معروف، از جمله راهحلهای احراز هویت دو مرحلهای، استفاده میکردند، شگفتیهای خوشایندی وجود داشت. مواردی نیز وجود داشت که در جهت مخالف، شگفتانگیز بود، زمانی که شرکتهای واقعاً بسیار بزرگ و مشهور (نه IT) به سادگی نصب TeamViewer را بر روی رایانههای اداری خود توصیه کردند.
در شرایط فعلی، متخصصان شرکت «علاءالدین ر.د. توصیه می کنیم برای حل مشکلات دسترسی از راه دور به زیرساخت شرکت خود رویکردی مسئولانه داشته باشید. به همین مناسبت، در همان آغاز رژیم عمومی خود انزوا، راه اندازی کردیم
منبع: www.habr.com