Dalam syarikat kami, seperti dalam banyak syarikat IT lain dan bukan syarikat IT, kemungkinan akses jauh telah wujud untuk masa yang lama, dan ramai pekerja menggunakannya kerana keperluan. Dengan penularan COVID-19 di dunia, jabatan IT kami, dengan keputusan pengurusan syarikat, mula memindahkan pekerja yang pulang dari perjalanan ke luar negara ke tempat kerja jauh. Ya, kami mula mengamalkan pengasingan diri di rumah sejak awal bulan Mac, bahkan sebelum ia menjadi arus perdana. Menjelang pertengahan bulan Mac, penyelesaian itu telah diperluaskan kepada seluruh syarikat, dan pada penghujung bulan Mac, kami semua hampir lancar beralih kepada mod baru kerja jauh besar-besaran untuk semua orang.
Secara teknikal, untuk melaksanakan akses jauh ke rangkaian, kami menggunakan Microsoft VPN (RRAS) - sebagai salah satu peranan Pelayan Windows. Apabila anda menyambung ke rangkaian, pelbagai sumber dalaman tersedia, daripada titik kongsi, perkhidmatan perkongsian fail, penjejak pepijat kepada sistem CRM; bagi kebanyakan orang, ini sahaja yang mereka perlukan untuk kerja mereka. Bagi mereka yang masih mempunyai stesen kerja di pejabat, akses RDP dikonfigurasikan melalui get laluan RDG.
Mengapa anda memilih keputusan ini atau mengapa ia berbaloi untuk dipilih? Kerana jika anda sudah mempunyai domain dan infrastruktur lain dari Microsoft, maka jawapannya adalah jelas, kemungkinan besar akan lebih mudah, lebih cepat dan lebih murah untuk jabatan IT anda melaksanakannya. Anda hanya perlu menambah beberapa ciri. Dan lebih mudah bagi pekerja untuk mengkonfigurasi komponen Windows daripada memuat turun dan mengkonfigurasi pelanggan akses tambahan.
Apabila mengakses get laluan VPN itu sendiri dan selepas itu, apabila menyambung ke stesen kerja dan sumber web yang penting, kami menggunakan pengesahan dua faktor. Memang pelik jika kami, sebagai pengeluar penyelesaian pengesahan dua faktor, tidak menggunakan produk kami sendiri. Ini adalah piawaian korporat kami; setiap pekerja mempunyai token dengan sijil peribadi, yang digunakan untuk mengesahkan domain dan sumber dalaman syarikat di stesen kerja pejabat.
Menurut statistik, lebih daripada 80% insiden keselamatan maklumat menggunakan kata laluan yang lemah atau dicuri. Oleh itu, pengenalan pengesahan dua faktor sangat meningkatkan tahap keselamatan keseluruhan syarikat dan sumbernya, membolehkan anda mengurangkan risiko kecurian atau tekaan kata laluan kepada hampir sifar, dan juga memastikan komunikasi berlaku dengan pengguna yang sah. Apabila melaksanakan infrastruktur PKI, pengesahan kata laluan boleh dilumpuhkan sepenuhnya.
Dari sudut pandangan UI untuk pengguna, skim ini lebih mudah daripada memasukkan log masuk dan kata laluan. Sebabnya ialah kata laluan yang kompleks tidak perlu diingat lagi, tidak perlu meletakkan pelekat di bawah papan kekunci (melanggar semua dasar keselamatan yang boleh difikirkan), kata laluan itu tidak perlu ditukar sekali setiap 90 hari (walaupun ini tidak lagi dianggap amalan terbaik, tetapi di banyak tempat masih diamalkan). Pengguna hanya perlu menghasilkan kod PIN yang tidak terlalu rumit dan tidak kehilangan token. Token itu sendiri boleh dibuat dalam bentuk kad pintar, yang boleh dibawa dengan mudah di dalam dompet. Tag RFID boleh ditanam ke dalam token dan kad pintar untuk akses ke premis pejabat.
Kod PIN digunakan untuk pengesahan, untuk menyediakan akses kepada maklumat penting dan untuk melakukan transformasi dan semakan kriptografi. Kehilangan token tidaklah menakutkan, kerana adalah mustahil untuk meneka kod PIN; selepas beberapa percubaan, ia akan disekat. Pada masa yang sama, cip kad pintar melindungi maklumat penting daripada pengekstrakan, pengklonan dan serangan lain.
Apa lagi?
Jika penyelesaian kepada isu capaian jauh daripada Microsoft tidak sesuai atas sebab tertentu, maka anda boleh melaksanakan infrastruktur PKI dan mengkonfigurasi pengesahan dua faktor menggunakan kad pintar kami dalam pelbagai infrastruktur VDI (Aplikasi dan Desktop Maya Citrix, Citrix ADC, VMware Horizon, VMware Unified Gateway, Huawei Fusion) dan sistem keselamatan perkakasan (PaloAlto, CheckPoint, Cisco) dan produk lain.
Beberapa contoh telah dibincangkan dalam artikel kami sebelum ini.
Dalam artikel seterusnya kita akan bercakap tentang menyediakan OpenVPN dengan pengesahan menggunakan sijil daripada MSCA.
Tiada sijil pun
Jika melaksanakan infrastruktur PKI dan membeli peranti perkakasan untuk setiap pekerja kelihatan terlalu rumit atau, sebagai contoh, tiada kemungkinan teknikal untuk menyambungkan kad pintar, maka terdapat penyelesaian dengan kata laluan sekali berdasarkan pelayan pengesahan JAS kami. Sebagai pengesah, anda boleh menggunakan perisian (Google Authenticator, Yandex Key), perkakasan (mana-mana RFC yang sepadan, contohnya, JaCarta WebPass). Hampir semua penyelesaian yang sama disokong seperti untuk kad/token pintar. Kami juga bercakap tentang beberapa contoh konfigurasi dalam siaran kami sebelum ini.
Kaedah pengesahan boleh digabungkan, iaitu, oleh OTP - sebagai contoh, hanya pengguna mudah alih boleh dibenarkan masuk, dan komputer riba/desktop klasik boleh disahkan hanya menggunakan sijil pada token.
Disebabkan sifat kerja saya yang khusus, ramai rakan bukan teknikal baru-baru ini menghubungi saya secara peribadi untuk mendapatkan bantuan dalam menyediakan akses jauh. Oleh itu, kami dapat melihat sedikit tentang siapa yang keluar dari situasi itu dan bagaimana. Terdapat kejutan yang menyenangkan apabila syarikat yang tidak terlalu besar menggunakan jenama terkenal, termasuk dengan penyelesaian pengesahan dua faktor. Terdapat juga kes, yang mengejutkan dalam arah yang bertentangan, apabila syarikat yang sangat besar dan terkenal (bukan IT) mengesyorkan hanya memasang TeamViewer pada komputer pejabat mereka.
Dalam keadaan semasa, pakar dari syarikat "Aladdin R.D." mengesyorkan mengambil pendekatan yang bertanggungjawab untuk menyelesaikan masalah akses jauh kepada infrastruktur korporat anda. Pada kesempatan ini, pada awal rejim pengasingan diri umum, kami melancarkan .
Sumber: www.habr.com