U našoj tvrtki, kao iu mnogim drugim informatičkim i manje informatičkim tvrtkama, mogućnost udaljenog pristupa postoji već duže vrijeme, a mnogi su je zaposlenici koristili iz nužde. Širenjem COVID-19 u svijetu, naš IT odjel je odlukom uprave tvrtke počeo prebacivati zaposlenike koji su se vraćali s putovanja u inozemstvo na rad na daljinu. Da, kućnu samoizolaciju počeli smo provoditi od samog početka ožujka, čak i prije nego što je postala mainstream. Do sredine ožujka rješenje je već bilo skalirano na cijelu tvrtku, a krajem ožujka svi smo gotovo neprimjetno prešli na novi način masovnog rada na daljinu za sve.
Tehnički, za implementaciju udaljenog pristupa mreži koristimo Microsoft VPN (RRAS) - kao jednu od uloga Windows Servera. Kada se povežete na mrežu, razni interni resursi postaju dostupni od sharepoint-a, servisa za dijeljenje datoteka, programa za praćenje grešaka do CRM sustava; za mnoge je to sve što im je potrebno za rad. Za one koji još uvijek imaju radne stanice u uredu, RDP pristup je konfiguriran preko RDG pristupnika.
Zašto ste odabrali ovu odluku ili zašto je vrijedi odabrati? Jer ako već imate domenu i ostalu infrastrukturu od Microsofta, onda je odgovor očigledan, najvjerojatnije će biti lakše, brže i jeftinije za vaš IT odjel to implementirati. Samo trebate dodati nekoliko značajki. A zaposlenicima će biti lakše konfigurirati Windows komponente nego preuzimati i konfigurirati dodatne klijente za pristup.
Prilikom pristupa samom VPN pristupniku i nakon toga, prilikom povezivanja s radnim stanicama i važnim web resursima, koristimo dvofaktorsku autentifikaciju. Doista, bilo bi čudno da mi, kao proizvođači rješenja za dvofaktornu autentifikaciju, sami ne koristimo svoje proizvode. Ovo je naš korporativni standard; svaki zaposlenik ima token s osobnim certifikatom, koji se koristi za autentifikaciju na uredskoj radnoj stanici prema domeni i internim resursima tvrtke.
Prema statistikama, više od 80% incidenata informacijske sigurnosti koristi slabe ili ukradene lozinke. Stoga uvođenje dvofaktorske autentifikacije uvelike povećava ukupnu razinu sigurnosti tvrtke i njenih resursa, omogućuje smanjenje rizika od krađe ili pogađanja lozinke gotovo na nulu, a također osigurava da se komunikacija odvija s valjanim korisnikom. Prilikom implementacije PKI infrastrukture, provjera autentičnosti lozinke može se potpuno onemogućiti.
Sa stajališta korisničkog sučelja za korisnika, ova shema je još jednostavnija od unosa prijave i lozinke. Razlog je što složenu lozinku više ne treba pamtiti, nema potrebe stavljati naljepnice ispod tipkovnice (čime se krše sva zamisliva sigurnosna pravila), lozinku čak ne treba mijenjati svakih 90 dana (iako to nije više se smatra najboljom praksom, ali se na mnogim mjestima još uvijek prakticira). Korisnik će samo trebati smisliti ne baš kompliciran PIN kod i ne izgubiti token. Sam token može biti izrađen u obliku pametne kartice, koja se može udobno nositi u novčaniku. RFID oznake mogu se ugraditi u token i smart karticu za pristup uredskim prostorijama.
PIN kod služi za autentifikaciju, za pristup ključnim informacijama i za obavljanje kriptografskih transformacija i provjera.Gubitak tokena nije zastrašujući jer je PIN kod nemoguće pogoditi, nakon nekoliko pokušaja bit će blokiran. U isto vrijeme, čip pametne kartice štiti ključne informacije od ekstrakcije, kloniranja i drugih napada.
Što drugo?
Ako rješenje problema daljinskog pristupa od strane Microsofta nije prikladno iz nekog razloga, tada možete implementirati PKI infrastrukturu i konfigurirati dvofaktorsku autentifikaciju pomoću naših pametnih kartica u raznim VDI infrastrukturama (Citrix Virtual Apps and Desktops, Citrix ADC, VMware Horizon, VMware Unified Gateway, Huawei Fusion) i hardverski sigurnosni sustavi (PaloAlto, CheckPoint, Cisco) i drugi proizvodi.
O nekim smo primjerima govorili u našim prethodnim člancima.
U sljedećem članku govorit ćemo o postavljanju OpenVPN-a s autentifikacijom pomoću MSCA certifikata.
Ne samo certifikat
Ukoliko implementacija PKI infrastrukture i kupnja hardverskih uređaja za svakog zaposlenika izgleda prekomplicirano ili npr. nema tehničke mogućnosti povezivanja pametne kartice, onda postoji rješenje s jednokratnim lozinkama baziranim na našem JAS autentifikacijskom serveru. Kao autentifikatore možete koristiti softver (Google Authenticator, Yandex Key), hardver (bilo koji odgovarajući RFC, na primjer, JaCarta WebPass). Podržana su gotovo sva ista rješenja kao i za pametne kartice/tokene. Također smo govorili o nekim primjerima konfiguracije u našim prethodnim postovima.
Metode autentifikacije mogu se kombinirati, odnosno OTP-om - npr. mogu se dopustiti samo mobilni korisnici, a klasična prijenosna/stolna računala mogu se autentificirati samo certifikatom na tokenu.
Zbog specifičnosti mog posla, mnogi prijatelji netehničari nedavno su mi se osobno obratili za pomoć pri postavljanju udaljenog pristupa. Tako smo mogli malo zaviriti tko se i kako izvlačio iz situacije. Bilo je ugodnih iznenađenja kada ne baš velike tvrtke koriste poznate robne marke, uključujući rješenja za dvofaktorsku autentifikaciju. Bilo je i slučajeva, iznenađujućih u suprotnom smjeru, kada su zaista vrlo velike i poznate tvrtke (ne IT) preporučile jednostavno instaliranje TeamViewera na svoja uredska računala.
U trenutnoj situaciji stručnjaci iz tvrtke "Aladdin R.D." preporučujemo odgovoran pristup rješavanju problema udaljenog pristupa vašoj korporativnoj infrastrukturi. Ovom prilikom, na samom početku općeg režima samoizolacije, pokrenuli smo .
Izvor: www.habr.com