Cégünknél is, mint sok más informatikai és nem annyira informatikai cégnél, a távoli elérés lehetősége már régóta fennáll, és sok dolgozó kényszerből élt vele. A COVID-19 világméretű terjedésével informatikai részlegünk a társaság vezetőségének döntése alapján megkezdte a külföldi útról hazatérő munkatársak távmunkába való áthelyezését. Igen, március elejétől kezdtük el gyakorolni az otthoni önelszigetelést, még mielőtt az általánossá vált volna. Március közepén már az egész cégre méretezték a megoldást, március végén pedig szinte zökkenőmentesen váltottunk át mindenki számára a tömeges távmunka új módjára.
Technikailag a hálózathoz való távoli hozzáférés megvalósításához Microsoft VPN-t (RRAS) használunk - a Windows Server szerepkörök egyikeként. Ha csatlakozik a hálózathoz, különféle belső erőforrások válnak elérhetővé a megosztási pontoktól, a fájlmegosztó szolgáltatásoktól, a hibakövetőktől a CRM-rendszerekig, sokak számára csak ez kell a munkájukhoz. Azok számára, akiknek még vannak munkaállomásai az irodában, az RDP hozzáférést az RDG átjárón keresztül konfigurálják.
Miért ezt a döntést választotta, vagy miért érdemes ezt választani? Mert ha már rendelkezik domainnel és egyéb infrastruktúrával a Microsofttól, akkor a válasz kézenfekvő, nagy valószínűséggel könnyebben, gyorsabban és olcsóbban fogja megvalósítani az informatikai részleg. Csak néhány funkciót kell hozzáadnia. Az alkalmazottak számára pedig könnyebb lesz a Windows-összetevők konfigurálása, mint a további hozzáférési ügyfelek letöltése és konfigurálása.
Magához a VPN-átjáróhoz való hozzáféréskor, majd a munkaállomásokhoz és fontos webes erőforrásokhoz való csatlakozáskor kétfaktoros hitelesítést alkalmazunk. Valóban furcsa lenne, ha mi, mint a kétfaktoros hitelesítési megoldások gyártója nem magunk használnánk termékeinket. Ez a mi vállalati szabványunk, minden dolgozónak van egy személyes tanúsítvánnyal ellátott tokenje, amellyel az irodai munkaállomáson hitelesítik a domaint és a vállalat belső erőforrásait.
A statisztikák szerint az információbiztonsági incidensek több mint 80%-a gyenge vagy ellopott jelszavakat használ. Ezért a kéttényezős hitelesítés bevezetése nagymértékben növeli a vállalat és erőforrásai általános biztonsági szintjét, lehetővé teszi a lopás vagy a jelszókitalálás kockázatának közel nullára csökkentését, valamint azt is, hogy a kommunikáció érvényes felhasználóval történjen. A PKI infrastruktúra implementálásakor a jelszavas hitelesítés teljesen letiltható.
A felhasználói felület szempontjából ez a séma még egyszerűbb, mint a bejelentkezési név és a jelszó megadása. Ennek az az oka, hogy egy összetett jelszót már nem kell megjegyezni, nem kell matricákat ragasztani a billentyűzet alá (sérti az összes elképzelhető biztonsági szabályzatot), a jelszót nem is kell 90 naponta egyszer megváltoztatni (bár ez nem már a legjobb gyakorlatnak számít, de sok helyen még mindig alkalmazzák). A felhasználónak csak egy nem túl bonyolult PIN-kódot kell kitalálnia, és nem veszíti el a tokent. Maga a token intelligens kártya formájában is elkészíthető, amely kényelmesen hordozható pénztárcában. Az RFID címkék beültethetők a tokenbe és az intelligens kártyába az irodai helyiségek eléréséhez.
A PIN kód hitelesítésre, kulcsinformációkhoz való hozzáférés biztosítására, valamint kriptográfiai átalakítások és ellenőrzések végrehajtására szolgál A token elvesztése nem ijesztő, hiszen a PIN kódot nem lehet kitalálni, néhány próbálkozás után blokkolja. Ugyanakkor az intelligens kártya chip megvédi a kulcsfontosságú információkat a kimásolástól, klónozástól és egyéb támadásoktól.
Mi más?
Ha a Microsoft távoli hozzáférésének megoldása valamilyen oknál fogva nem megfelelő, akkor intelligens kártyáink segítségével PKI infrastruktúrát implementálhat és kétfaktoros hitelesítést konfigurálhat különböző VDI infrastruktúrákban (Citrix Virtual Apps and Desktops, Citrix ADC, VMware Horizon, VMware Unified Gateway, Huawei Fusion) és hardveres biztonsági rendszerek (PaloAlto, CheckPoint, Cisco) és egyéb termékek.
Néhány példát korábbi cikkeinkben tárgyaltunk.
A következő cikkben az OpenVPN beállításáról fogunk beszélni az MSCA tanúsítványaival történő hitelesítéssel.
Egyetlen bizonyítványt sem
Ha túl bonyolultnak tűnik a PKI infrastruktúra megvalósítása és az egyes dolgozók hardver beszerzése, vagy például nincs technikai lehetőség intelligens kártya csatlakoztatására, akkor a JAS hitelesítési szerverünkön alapuló egyszeri jelszavas megoldás létezik. Hitelesítőként használhat szoftvert (Google Authenticator, Yandex Key), hardvert (bármely megfelelő RFC-t, például JaCarta WebPass). Szinte mindegyik megoldás támogatott, mint az intelligens kártyák/tokenek esetében. Korábbi bejegyzéseinkben néhány konfigurációs példáról is beszéltünk.
A hitelesítési módszerek kombinálhatók, vagyis OTP-vel - például csak mobil felhasználókat lehet beengedni, a klasszikus laptopokat/asztali gépeket pedig csak egy tokenen lévő tanúsítvány segítségével lehet hitelesíteni.
Munkám sajátosságaiból adódóan a közelmúltban sok nem műszaki barátom keresett meg személyesen a távoli hozzáférés beállításához. Így egy kicsit belekukkanthattunk abba, hogy ki és hogyan száll ki a helyzetből. Kellemes meglepetéseket okozott, amikor a nem túl nagy cégek híres márkákat használnak, többek között kéttényezős hitelesítési megoldásokkal. Voltak olyan, ellenkező irányban meglepő esetek is, amikor valóban nagyon nagy és ismert cégek (nem IT) azt javasolták, hogy egyszerűen telepítsék a TeamViewert az irodai számítógépükre.
A jelenlegi helyzetben az "Aladdin R.D." cég szakemberei javasolja, hogy felelősségteljes megközelítést alkalmazzon a vállalati infrastruktúra távoli elérésével kapcsolatos problémák megoldásában. Ebből az alkalomból, az általános önelszigetelő rendszer legelején elindítottuk .
Forrás: will.com