Nella nostra azienda, come in molte altre aziende IT e non, la possibilità di accesso remoto esiste da molto tempo e molti dipendenti ne hanno fatto uso per necessità. Con la diffusione del COVID-19 nel mondo, il nostro reparto IT, su decisione della direzione dell’azienda, ha iniziato a trasferire i dipendenti di ritorno da viaggi all’estero al lavoro a distanza. Sì, abbiamo iniziato a praticare l’autoisolamento domiciliare già dall’inizio di marzo, ancor prima che diventasse mainstream. A metà marzo la soluzione era già stata estesa a tutta l’azienda e alla fine di marzo siamo tutti passati quasi senza soluzione di continuità a una nuova modalità di lavoro remoto di massa per tutti.
Tecnicamente, per implementare l'accesso remoto alla rete, utilizziamo Microsoft VPN (RRAS) come uno dei ruoli di Windows Server. Quando ci si connette alla rete, diventano disponibili varie risorse interne, dagli sharepoint, ai servizi di condivisione di file, ai bug tracker fino al sistema CRM; per molti, questo è tutto ciò di cui hanno bisogno per il proprio lavoro. Per chi ha ancora postazioni di lavoro in ufficio, l'accesso RDP viene configurato tramite il gateway RDG.
Perché hai scelto questa decisione o perché vale la pena sceglierla? Perché se disponi già di un dominio e di un'altra infrastruttura Microsoft, la risposta è ovvia: molto probabilmente sarà più semplice, veloce ed economico per il tuo reparto IT implementarlo. Devi solo aggiungere alcune funzionalità. E per i dipendenti sarà più semplice configurare i componenti Windows piuttosto che scaricare e configurare client di accesso aggiuntivi.
Quando si accede al gateway VPN stesso e successivamente, quando ci si connette a postazioni di lavoro e risorse web importanti, utilizziamo l'autenticazione a due fattori. Sarebbe davvero strano se noi, come produttori di soluzioni di autenticazione a due fattori, non utilizzassimo noi stessi i nostri prodotti. Questo è il nostro standard aziendale; ogni dipendente ha un token con certificato personale, che serve per autenticarsi dalla postazione d’ufficio al dominio e alle risorse interne dell’azienda.
Secondo le statistiche, oltre l’80% degli incidenti legati alla sicurezza informatica utilizzano password deboli o rubate. Pertanto, l'introduzione dell'autenticazione a due fattori aumenta notevolmente il livello generale di sicurezza dell'azienda e delle sue risorse, consente di ridurre quasi a zero il rischio di furto o di indovinare la password e di garantire anche che la comunicazione avvenga con un utente valido. Quando si implementa un'infrastruttura PKI, l'autenticazione della password può essere completamente disabilitata.
Dal punto di vista dell'interfaccia utente per l'utente, questo schema è ancora più semplice dell'immissione di login e password. Il motivo è che non è più necessario ricordare una password complessa, non è necessario mettere adesivi sotto la tastiera (violando tutte le politiche di sicurezza immaginabili), non è nemmeno necessario cambiare la password una volta ogni 90 giorni (anche se questo non è considerata più la migliore pratica, ma in molti luoghi ancora praticata). L'utente dovrà solo inventare un codice PIN non molto complicato e non perdere il token. Il token stesso può essere realizzato sotto forma di smart card, che può essere comodamente trasportata in un portafoglio. I tag RFID possono essere impiantati nel token e nella smart card per l'accesso agli uffici.
Il codice PIN viene utilizzato per l'autenticazione, per fornire l'accesso alle informazioni chiave e per eseguire trasformazioni e controlli crittografici. Perdere il token non fa paura, poiché è impossibile indovinare il codice PIN e dopo pochi tentativi verrà bloccato. Allo stesso tempo, il chip della smart card protegge le informazioni chiave dall'estrazione, dalla clonazione e da altri attacchi.
Cos'altro?
Se per qualche motivo la soluzione al problema dell'accesso remoto da parte di Microsoft non è adatta, è possibile implementare un'infrastruttura PKI e configurare l'autenticazione a due fattori utilizzando le nostre smart card in varie infrastrutture VDI (Citrix Virtual Apps and Desktops, Citrix ADC, VMware Horizon, VMware Unified Gateway, Huawei Fusion) e sistemi di sicurezza hardware (PaloAlto, CheckPoint, Cisco) e altri prodotti.
Alcuni degli esempi sono stati discussi nei nostri articoli precedenti.
Nel prossimo articolo parleremo della configurazione di OpenVPN con l'autenticazione tramite certificati MSCA.
Nemmeno un singolo certificato
Se l'implementazione di un'infrastruttura PKI e l'acquisto di dispositivi hardware per ciascun dipendente sembrano troppo complicati o, ad esempio, non esiste la possibilità tecnica di collegare una smart card, allora esiste una soluzione con password monouso basata sul nostro server di autenticazione JAS. Come autenticatori, puoi utilizzare software (Google Authenticator, Yandex Key), hardware (qualsiasi RFC corrispondente, ad esempio JaCarta WebPass). Sono supportate quasi tutte le stesse soluzioni delle smart card/token. Abbiamo parlato anche di alcuni esempi di configurazione nei nostri post precedenti.
I metodi di autenticazione possono essere combinati, ovvero tramite OTP: ad esempio, solo gli utenti mobili possono essere ammessi e i classici laptop/desktop possono essere autenticati solo utilizzando un certificato su un token.
A causa della natura specifica del mio lavoro, molti amici non tecnici si sono recentemente rivolti a me personalmente per chiedere aiuto nella configurazione dell'accesso remoto. Così abbiamo potuto dare una piccola sbirciatina a chi stava uscendo dalla situazione e come. Ci sono state piacevoli sorprese quando aziende non molto grandi utilizzano marchi famosi, anche con soluzioni di autenticazione a due fattori. Ci sono stati anche casi, sorprendenti nella direzione opposta, in cui aziende davvero molto grandi e rinomate (non IT) consigliavano semplicemente di installare TeamViewer sui propri computer dell'ufficio.
Nella situazione attuale, gli specialisti della compagnia "Aladdin R.D." consiglia di adottare un approccio responsabile per risolvere i problemi di accesso remoto alla propria infrastruttura aziendale. In questa occasione, proprio all’inizio del regime generale di autoisolamento, abbiamo lanciato .
Fonte: habr.com