Na nosa empresa, como en moitas outras empresas informáticas e non tan informáticas, a posibilidade de acceso remoto existe desde hai moito tempo, e moitos empregados utilizárono por necesidade. Coa propagación do COVID-19 no mundo, o noso departamento de TI, por decisión da dirección da empresa, comezou a trasladar aos empregados que regresaban de viaxes ao estranxeiro ao traballo remoto. Si, comezamos a practicar o autoillamento doméstico desde principios de marzo, mesmo antes de que se convertese en corrente. A mediados de marzo, a solución xa se ampliara a toda a empresa e a finais de marzo cambiamos case todos sen problemas a un novo modo de traballo remoto masivo para todos.
Tecnicamente, para implementar o acceso remoto á rede, usamos Microsoft VPN (RRAS) como un dos roles de Windows Server. Cando te conectas á rede, están dispoñibles varios recursos internos, desde puntos de compartir, servizos de intercambio de ficheiros, rastreadores de erros ata un sistema CRM; para moitos, isto é todo o que necesitan para o seu traballo. Para aqueles que aínda teñan estacións de traballo na oficina, o acceso RDP configúrase a través da pasarela RDG.
Por que escolleches esta decisión ou por que paga a pena escoller? Porque se xa tes un dominio e outra infraestrutura de Microsoft, entón a resposta é obvia, o máis probable é que o teu departamento de TI o implemente máis rápido, máis rápido e máis económico. Só tes que engadir algunhas funcións. E será máis doado para os empregados configurar compoñentes de Windows que descargar e configurar clientes de acceso adicionais.
Cando accedemos á propia pasarela VPN e despois, ao conectarnos a estacións de traballo e recursos web importantes, utilizamos a autenticación de dous factores. De feito, sería estraño que nós, como fabricantes de solucións de autenticación de dous factores, non utilizásemos os nosos produtos. Este é o noso estándar corporativo; cada empregado ten un token cun certificado persoal, que se utiliza para autenticarse na estación de traballo da oficina no dominio e nos recursos internos da empresa.
Segundo as estatísticas, máis do 80% dos incidentes de seguridade da información utilizan contrasinais débiles ou roubados. Polo tanto, a introdución da autenticación de dous factores aumenta moito o nivel xeral de seguridade da empresa e dos seus recursos, permítelle reducir case a cero o risco de roubo ou adiviñar contrasinal e tamén garantir que a comunicación se produza cun usuario válido. Ao implementar unha infraestrutura PKI, a autenticación de contrasinal pódese desactivar por completo.
Desde o punto de vista da IU para o usuario, este esquema é aínda máis sinxelo que introducir un inicio de sesión e un contrasinal. O motivo é que xa non é necesario lembrar un contrasinal complexo, non é necesario poñer adhesivos debaixo do teclado (infrinxindo todas as políticas de seguridade concebibles), nin sequera é necesario cambiar o contrasinal unha vez cada 90 días (aínda que non é necesario. xa se considera a mellor práctica, pero en moitos lugares aínda se practica). O usuario só terá que crear un código PIN non moi complicado e non perder o token. O propio token pódese facer en forma de tarxeta intelixente, que se pode levar convenientemente nunha carteira. As etiquetas RFID pódense implantar no token e na tarxeta intelixente para acceder ás instalacións da oficina.
O código PIN utilízase para a autenticación, para proporcionar acceso á información clave e para realizar transformacións e comprobacións criptográficas.Perder o token non dá medo, xa que é imposible adiviñar o código PIN, despois duns poucos intentos, bloquearase. Ao mesmo tempo, o chip da tarxeta intelixente protexe a información clave da extracción, clonación e outros ataques.
Que máis?
Se a solución ao problema do acceso remoto de Microsoft non é adecuada por algún motivo, entón podes implementar unha infraestrutura PKI e configurar a autenticación de dous factores usando as nosas tarxetas intelixentes en varias infraestruturas VDI (Citrix Virtual Apps and Desktops, Citrix ADC, VMware). Horizon, VMware Unified Gateway, Huawei Fusion) e sistemas de seguridade de hardware (PaloAlto, CheckPoint, Cisco) e outros produtos.
Algúns dos exemplos foron discutidos nos nosos artigos anteriores.
No seguinte artigo falaremos sobre a configuración de OpenVPN con autenticación mediante certificados de MSCA.
Nin un só certificado
Se a implementación dunha infraestrutura PKI e a compra de dispositivos de hardware para cada empregado parece demasiado complicado ou, por exemplo, non hai unha posibilidade técnica de conectar unha tarxeta intelixente, entón existe unha solución con contrasinais únicos baseada no noso servidor de autenticación JAS. Como autenticadores, pode usar software (Google Authenticator, Yandex Key), hardware (calquera RFC correspondente, por exemplo, JaCarta WebPass). Admítense case todas as mesmas solucións que para as tarxetas intelixentes/fichas. Tamén falamos dalgúns exemplos de configuración nas nosas publicacións anteriores.
Os métodos de autenticación pódense combinar, é dicir, mediante OTP; por exemplo, só se poden permitir a entrada dos usuarios móbiles e os portátiles/escritorios clásicos só se poden autenticar mediante un certificado nun token.
Debido á natureza específica do meu traballo, moitos amigos non técnicos achegáronse recentemente a min persoalmente para pedir axuda para configurar o acceso remoto. Así que puidemos botar unha ollada a quen saía da situación e como. Houbo sorpresas agradables cando empresas non moi grandes usan marcas famosas, incluso con solucións de autenticación de dous factores. Tamén houbo casos, sorprendentes en sentido contrario, nos que empresas realmente moi grandes e coñecidas (non informática) recomendaron simplemente instalar TeamViewer nos seus ordenadores de oficina.
Na situación actual, especialistas da empresa "Aladdin R.D." recomenda adoptar un enfoque responsable para resolver os problemas de acceso remoto á súa infraestrutura corporativa. Nesta ocasión, no inicio mesmo do réxime xeral de autoillamento, puxémonos en marcha .
Fonte: www.habr.com