Di perusahaan kami, seperti di banyak perusahaan IT lainnya dan bukan perusahaan IT, kemungkinan akses jarak jauh telah ada sejak lama, dan banyak karyawan menggunakannya karena kebutuhan. Dengan penyebaran COVID-19 di dunia, departemen TI kami, berdasarkan keputusan manajemen perusahaan, mulai memindahkan karyawan yang kembali dari perjalanan ke luar negeri ke pekerjaan jarak jauh. Ya, kami mulai melakukan isolasi mandiri di rumah sejak awal bulan Maret, bahkan sebelum hal tersebut menjadi hal yang umum. Pada pertengahan bulan Maret, solusi tersebut telah diperluas ke seluruh perusahaan, dan pada akhir bulan Maret kita semua dengan lancar beralih ke mode kerja jarak jauh massal yang baru untuk semua orang.
Secara teknis, untuk mengimplementasikan akses jarak jauh ke jaringan, kami menggunakan Microsoft VPN (RRAS) - sebagai salah satu peran Windows Server. Saat Anda terhubung ke jaringan, berbagai sumber daya internal tersedia, mulai dari sharepoint, layanan berbagi file, pelacak bug hingga sistem CRM; bagi banyak orang, hanya ini yang mereka perlukan untuk pekerjaan mereka. Bagi yang masih memiliki workstation di kantor, akses RDP dikonfigurasi melalui gateway RDG.
Mengapa Anda memilih keputusan ini atau mengapa keputusan ini layak untuk dipilih? Karena jika Anda sudah memiliki domain dan infrastruktur lainnya dari Microsoft, maka jawabannya sudah jelas, kemungkinan besar akan lebih mudah, cepat dan murah bagi departemen IT Anda untuk mengimplementasikannya. Anda hanya perlu menambahkan beberapa fitur. Dan akan lebih mudah bagi karyawan untuk mengkonfigurasi komponen Windows daripada mengunduh dan mengkonfigurasi klien akses tambahan.
Saat mengakses gateway VPN itu sendiri dan setelahnya, saat menyambung ke stasiun kerja dan sumber daya web penting, kami menggunakan otentikasi dua faktor. Memang akan aneh jika kami, sebagai produsen solusi autentikasi dua faktor, tidak menggunakan produk kami sendiri. Ini adalah standar perusahaan kami; setiap karyawan memiliki token dengan sertifikat pribadi, yang digunakan untuk mengautentikasi di stasiun kerja kantor ke domain dan sumber daya internal perusahaan.
Menurut statistik, lebih dari 80% insiden keamanan informasi menggunakan kata sandi yang lemah atau dicuri. Oleh karena itu, pengenalan otentikasi dua faktor sangat meningkatkan tingkat keamanan keseluruhan perusahaan dan sumber dayanya, memungkinkan Anda mengurangi risiko pencurian atau tebakan kata sandi hingga hampir nol, dan juga memastikan bahwa komunikasi terjadi dengan pengguna yang valid. Saat menerapkan infrastruktur PKI, otentikasi kata sandi dapat dinonaktifkan sepenuhnya.
Dari sudut pandang UI bagi pengguna, skema ini bahkan lebih sederhana daripada memasukkan login dan kata sandi. Alasannya adalah kata sandi yang rumit tidak perlu lagi diingat, tidak perlu menempelkan stiker di bawah keyboard (melanggar semua kebijakan keamanan yang mungkin), kata sandi bahkan tidak perlu diubah setiap 90 hari sekali (walaupun ini bukan lagi dianggap sebagai praktik terbaik, namun di banyak tempat masih dipraktikkan). Pengguna hanya perlu membuat kode PIN yang tidak terlalu rumit dan tidak kehilangan tokennya. Tokennya sendiri bisa dibuat dalam bentuk smart card yang mudah dibawa di dalam dompet. Tag RFID dapat ditanamkan ke dalam token dan kartu pintar untuk akses ke gedung kantor.
Kode PIN digunakan untuk otentikasi, untuk memberikan akses ke informasi penting dan untuk melakukan transformasi dan pemeriksaan kriptografi. Kehilangan token tidak menakutkan, karena kode PIN tidak mungkin ditebak; setelah beberapa kali mencoba, kode tersebut akan diblokir. Pada saat yang sama, chip kartu pintar melindungi informasi penting dari ekstraksi, kloning, dan serangan lainnya.
Apa lagi?
Jika solusi untuk masalah akses jarak jauh dari Microsoft tidak sesuai karena alasan tertentu, maka Anda dapat menerapkan infrastruktur PKI dan mengonfigurasi otentikasi dua faktor menggunakan kartu pintar kami di berbagai infrastruktur VDI (Citrix Virtual Apps and Desktops, Citrix ADC, VMware Horizon, VMware Unified Gateway, Huawei Fusion) dan sistem keamanan perangkat keras (PaloAlto, CheckPoint, Cisco) dan produk lainnya.
Beberapa contoh telah dibahas di artikel kami sebelumnya.
Pada artikel selanjutnya kita akan membahas tentang pengaturan OpenVPN dengan otentikasi menggunakan sertifikat dari MSCA.
Tidak ada satupun sertifikat
Jika penerapan infrastruktur PKI dan pembelian perangkat keras untuk setiap karyawan terlihat terlalu rumit atau, misalnya, tidak ada kemungkinan teknis untuk menghubungkan kartu pintar, maka ada solusi dengan kata sandi satu kali berdasarkan server otentikasi JAS kami. Sebagai pengautentikasi, Anda dapat menggunakan perangkat lunak (Google Authenticator, Yandex Key), perangkat keras (RFC apa pun yang sesuai, misalnya, JaCarta WebPass). Hampir semua solusi yang sama didukung seperti untuk kartu/token pintar. Kami juga membicarakan beberapa contoh konfigurasi di postingan kami sebelumnya.
Metode otentikasi dapat digabungkan, yaitu dengan OTP - misalnya, hanya pengguna seluler yang diizinkan masuk, dan laptop/desktop klasik dapat diautentikasi hanya menggunakan sertifikat pada token.
Karena sifat spesifik pekerjaan saya, banyak teman non-teknis baru-baru ini menghubungi saya secara pribadi untuk meminta bantuan dalam menyiapkan akses jarak jauh. Jadi kami bisa mengintip sedikit siapa yang keluar dari situasi tersebut dan bagaimana caranya. Ada kejutan menyenangkan ketika tidak terlalu banyak perusahaan besar yang menggunakan merek terkenal, termasuk solusi otentikasi dua faktor. Ada juga kasus, yang mengejutkan dalam arah sebaliknya, ketika perusahaan yang sangat besar dan terkenal (bukan IT) merekomendasikan untuk menginstal TeamViewer di komputer kantor mereka.
Dalam situasi saat ini, spesialis dari perusahaan "Aladdin R.D." merekomendasikan mengambil pendekatan yang bertanggung jawab untuk memecahkan masalah akses jarak jauh ke infrastruktur perusahaan Anda. Pada kesempatan ini, di awal rezim isolasi mandiri secara umum, kami meluncurkannya .
Sumber: www.habr.com