Dans notre entreprise, comme dans de nombreuses autres entreprises informatiques et non informatiques, la possibilité d'accès à distance existe depuis longtemps et de nombreux employés l'ont utilisée par nécessité. Avec la propagation du COVID-19 dans le monde, notre service informatique, sur décision de la direction de l’entreprise, a commencé à transférer les salariés revenant de voyages à l’étranger vers le travail à distance. Oui, nous avons commencé à pratiquer l’isolement à domicile dès le tout début du mois de mars, avant même que cela ne devienne courant. À la mi-mars, la solution avait déjà été étendue à l'ensemble de l'entreprise et fin mars, nous sommes tous passés presque en douceur à un nouveau mode de travail à distance de masse pour tout le monde.
Techniquement, pour mettre en œuvre l'accès à distance au réseau, nous utilisons Microsoft VPN (RRAS) - comme l'un des rôles Windows Server. Lorsque vous vous connectez au réseau, diverses ressources internes deviennent disponibles, depuis les points de partage, les services de partage de fichiers, les trackers de bogues jusqu'à un système CRM ; pour beaucoup, c'est tout ce dont ils ont besoin pour leur travail. Pour ceux qui disposent encore de postes de travail au bureau, l'accès RDP est configuré via la passerelle RDG.
Pourquoi avez-vous choisi cette décision ou pourquoi cela vaut-il la peine de choisir ? Parce que si vous disposez déjà d'un domaine et d'une autre infrastructure Microsoft, la réponse est évidente : il sera probablement plus facile, plus rapide et moins coûteux pour votre service informatique de le mettre en œuvre. Il vous suffit d'ajouter quelques fonctionnalités. Et il sera plus facile pour les employés de configurer les composants Windows que de télécharger et de configurer des clients d'accès supplémentaires.
Lors de l’accès à la passerelle VPN elle-même et ensuite, lors de la connexion aux postes de travail et aux ressources Web importantes, nous utilisons une authentification à deux facteurs. En effet, il serait étrange que nous, en tant que fabricant de solutions d’authentification à deux facteurs, n’utilisions pas nous-mêmes nos produits. Il s’agit de notre norme d’entreprise : chaque employé dispose d’un token avec un certificat personnel, qui est utilisé pour s’authentifier sur le poste de travail du bureau auprès du domaine et des ressources internes de l’entreprise.
Selon les statistiques, plus de 80 % des incidents de sécurité des informations utilisent des mots de passe faibles ou volés. Par conséquent, l'introduction de l'authentification à deux facteurs augmente considérablement le niveau global de sécurité de l'entreprise et de ses ressources, vous permet de réduire à presque zéro le risque de vol ou de devinette de mot de passe, et également de garantir que la communication a lieu avec un utilisateur valide. Lors de la mise en œuvre d'une infrastructure PKI, l'authentification par mot de passe peut être complètement désactivée.
Du point de vue de l'interface utilisateur pour l'utilisateur, ce schéma est encore plus simple que la saisie d'un identifiant et d'un mot de passe. La raison en est qu'il n'est plus nécessaire de mémoriser un mot de passe complexe, il n'est pas nécessaire de mettre des autocollants sous le clavier (en violation de toutes les politiques de sécurité imaginables), le mot de passe n'a même pas besoin d'être changé une fois tous les 90 jours (bien que ce ne soit pas le cas). n’est plus considérée comme une bonne pratique, mais est toujours pratiquée dans de nombreux endroits). L'utilisateur devra simplement trouver un code PIN pas très compliqué et ne pas perdre le token. Le jeton lui-même peut être réalisé sous la forme d’une carte à puce, qui peut être facilement transportée dans un portefeuille. Des étiquettes RFID peuvent être implantées dans le jeton et la carte à puce pour accéder aux locaux des bureaux.
Le code PIN est utilisé pour l'authentification, pour donner accès aux informations clés et pour effectuer des transformations et des contrôles cryptographiques. La perte du token n'est pas effrayante, car il est impossible de deviner le code PIN ; après quelques tentatives, il sera bloqué. Dans le même temps, la puce de la carte à puce protège les informations clés contre l’extraction, le clonage et autres attaques.
Quoi d'autre?
Si la solution au problème de l'accès à distance de Microsoft ne convient pas pour une raison quelconque, vous pouvez alors mettre en œuvre une infrastructure PKI et configurer l'authentification à deux facteurs à l'aide de nos cartes à puce dans diverses infrastructures VDI (Citrix Virtual Apps and Desktops, Citrix ADC, VMware Horizon, VMware Unified Gateway, Huawei Fusion) et systèmes de sécurité matérielle (PaloAlto, CheckPoint, Cisco) et autres produits.
Certains des exemples ont été discutés dans nos articles précédents.
Dans le prochain article, nous parlerons de la configuration d'OpenVPN avec authentification à l'aide de certificats MSCA.
Pas seulement un certificat
Si la mise en œuvre d'une infrastructure PKI et l'achat de matériel pour chaque employé semblent trop compliqués ou, par exemple, s'il n'existe aucune possibilité technique de connecter une carte à puce, il existe alors une solution avec des mots de passe à usage unique basée sur notre serveur d'authentification JAS. En tant qu'authentificateurs, vous pouvez utiliser des logiciels (Google Authenticator, Yandex Key), du matériel (toute RFC correspondante, par exemple JaCarta WebPass). Presque toutes les mêmes solutions sont prises en charge que pour les cartes à puce/jetons. Nous avons également parlé de quelques exemples de configuration dans nos articles précédents.
Les méthodes d'authentification peuvent être combinées, c'est-à-dire par OTP - par exemple, seuls les utilisateurs mobiles peuvent être autorisés à entrer, et les ordinateurs portables/de bureau classiques ne peuvent être authentifiés qu'à l'aide d'un certificat sur un jeton.
En raison de la nature spécifique de mon travail, de nombreux amis non techniciens m'ont récemment contacté personnellement pour obtenir de l'aide dans la mise en place d'un accès à distance. Nous avons donc pu jeter un petit coup d’œil sur qui sortait de la situation et comment. Il y a eu d'agréables surprises lorsque de petites entreprises ont utilisé des marques célèbres, notamment avec des solutions d'authentification à deux facteurs. Il y a eu également des cas, surprenants dans le sens inverse, où des entreprises vraiment très grandes et bien connues (non informatiques) ont recommandé d'installer simplement TeamViewer sur leurs ordinateurs de bureau.
Dans la situation actuelle, les spécialistes de la société "Aladdin R.D." recommandons d'adopter une approche responsable pour résoudre les problèmes d'accès à distance à l'infrastructure de votre entreprise. A cette occasion, au tout début du régime général d'auto-isolement, nous avons lancé .
Source: habr.com