Fil-kumpanija tagħna, bħal f'ħafna kumpaniji oħra tal-IT u mhux daqshekk tal-IT, il-possibbiltà ta 'aċċess mill-bogħod ilha teżisti għal żmien twil, u ħafna impjegati użawha minħabba neċessità. Bit-tixrid tal-COVID-19 fid-dinja, id-dipartiment tal-IT tagħna, b’deċiżjoni tal-maniġment tal-kumpanija, beda jittrasferixxi impjegati li jirritornaw minn vjaġġi barra minn pajjiżhom għal xogħol remot. Iva, bdejna nipprattikaw l-iżolament tad-dar mill-bidu nett ta 'Marzu, anke qabel ma sar mainstream. Sa nofs Marzu, is-soluzzjoni kienet diġà ġiet skalata għall-kumpanija kollha, u fl-aħħar ta 'Marzu aħna lkoll kważi qatgħu bla xkiel għal mod ġdid ta' xogħol remot tal-massa għal kulħadd.
Teknikament, biex nimplimentaw aċċess mill-bogħod għan-netwerk, nużaw Microsoft VPN (RRAS) - bħala wieħed mir-rwoli tal-Windows Server. Meta tikkonnettja man-netwerk, isiru disponibbli diversi riżorsi interni, minn sharepoints, servizzi ta’ qsim ta’ fajls, bug trackers sa sistema CRM; għal ħafna, dan huwa dak kollu li għandhom bżonn għax-xogħol tagħhom. Għal dawk li għad għandhom workstations fl-uffiċċju, l-aċċess RDP huwa kkonfigurat permezz tal-portal RDG.
Għaliex għażilt din id-deċiżjoni jew għaliex ta’ min tagħżel? Minħabba li jekk diġà għandek dominju u infrastruttura oħra minn Microsoft, allura t-tweġiba hija ovvja, x'aktarx ikun aktar faċli, aktar mgħaġġel u orħos għad-dipartiment tal-IT tiegħek biex jimplimentaha. Għandek bżonn biss li żżid ftit karatteristiċi. U se jkun aktar faċli għall-impjegati li jikkonfiguraw il-komponenti tal-Windows milli jniżżlu u jikkonfiguraw klijenti ta 'aċċess addizzjonali.
Meta naċċessaw il-portal VPN innifsu u wara, meta nikkonnettjaw ma 'stazzjonijiet tax-xogħol u riżorsi importanti tal-web, nużaw awtentikazzjoni b'żewġ fatturi. Tabilħaqq, ikun stramba jekk aħna, bħala manifattur ta 'soluzzjonijiet ta' awtentikazzjoni b'żewġ fatturi, ma nużawx il-prodotti tagħna aħna stess. Dan huwa l-istandard korporattiv tagħna; kull impjegat għandu token b'ċertifikat personali, li jintuża biex jawtentika fl-istazzjon tax-xogħol tal-uffiċċju għad-dominju u għar-riżorsi interni tal-kumpanija.
Skont l-istatistika, aktar minn 80% tal-inċidenti tas-sigurtà tal-informazzjoni jużaw passwords dgħajfa jew misruqa. Għalhekk, l-introduzzjoni ta 'awtentikazzjoni b'żewġ fatturi żżid ħafna l-livell ġenerali ta' sigurtà tal-kumpanija u r-riżorsi tagħha, tippermettilek tnaqqas ir-riskju ta 'serq jew password guessing għal kważi żero, u tiżgura wkoll li l-komunikazzjoni sseħħ ma' utent validu. Meta tiġi implimentata infrastruttura PKI, l-awtentikazzjoni tal-password tista 'tiġi diżattivata kompletament.
Mill-aspett tal-UI għall-utent, din l-iskema hija saħansitra aktar sempliċi milli ddaħħal login u password. Ir-raġuni hija li password kumplessa m'għadhiex trid tiġi mfakkar, m'hemmx bżonn li jitqiegħdu stikers taħt it-tastiera (kisser il-politiki kollha ta 'sigurtà konċepibbli), il-password lanqas biss jeħtieġ li tinbidel darba kull 90 jum (għalkemm din mhix aktar meqjusa bħala l-aħjar prattika, iżda f'ħafna postijiet għadha prattikata). L-utent se jeħtieġ biss li toħroġ b'kodiċi PIN mhux ikkumplikat ħafna u ma jitlifx it-token. It-token innifsu jista 'jsir fil-forma ta' smart card, li tista 'tinġarr b'mod konvenjenti f'kartiera. It-tikketti RFID jistgħu jiġu impjantati fit-token u l-ismart card għall-aċċess għall-bini tal-uffiċċju.
Il-kodiċi PIN jintuża għall-awtentikazzjoni, biex jipprovdi aċċess għal informazzjoni ewlenija u biex iwettaq trasformazzjonijiet kriptografiċi u kontrolli.Li jitlef it-token mhuwiex tal-biża, peress li huwa impossibbli li wieħed isib il-kodiċi tal-PIN; wara ftit tentattivi, se jiġi mblukkat. Fl-istess ħin, iċ-ċippa tal-ismart card tipproteġi l-informazzjoni ewlenija mill-estrazzjoni, il-klonazzjoni u attakki oħra.
X'iktar?
Jekk is-soluzzjoni għall-kwistjoni ta 'aċċess mill-bogħod minn Microsoft mhix adattata għal xi raġuni, allura tista' timplimenta infrastruttura PKI u tikkonfigura awtentikazzjoni b'żewġ fatturi billi tuża l-ismart cards tagħna f'diversi infrastrutturi VDI (Citrix Virtual Apps and Desktops, Citrix ADC, VMware Horizon, VMware Unified Gateway, Huawei Fusion) u sistemi tas-sigurtà tal-ħardwer (PaloAlto, CheckPoint, Cisco) u prodotti oħra.
Xi wħud mill-eżempji ġew diskussi fl-artikoli preċedenti tagħna.
Fl-artiklu li jmiss se nitkellmu dwar it-twaqqif ta’ OpenVPN b’awtentikazzjoni bl-użu ta’ ċertifikati mill-MSCA.
Mhux ċertifikat wieħed
Jekk l-implimentazzjoni ta 'infrastruttura PKI u x-xiri ta' apparati tal-ħardwer għal kull impjegat tidher ikkumplikata wisq jew, pereżempju, m'hemm l-ebda possibbiltà teknika li tikkonnettja smart card, allura hemm soluzzjoni b'passwords ta 'darba bbażata fuq is-server tagħna ta' awtentikazzjoni JAS. Bħala awtentikaturi, tista 'tuża softwer (Google Authenticator, Yandex Key), ħardwer (kwalunkwe RFC korrispondenti, pereżempju, JaCarta WebPass). Kważi l-istess soluzzjonijiet kollha huma appoġġjati bħal għal smart cards/tokens. Tkellimna wkoll dwar xi eżempji ta 'konfigurazzjoni fil-postijiet preċedenti tagħna.
Il-metodi ta 'awtentikazzjoni jistgħu jiġu kkombinati, jiġifieri, bl-OTP - per eżempju, utenti mobbli biss jistgħu jitħallew jidħlu, u laptops/desktops klassiċi jistgħu jiġu awtentikati biss bl-użu ta' ċertifikat fuq token.
Minħabba n-natura speċifika tax-xogħol tiegħi, ħafna ħbieb mhux tekniċi dan l-aħħar avviċinawni personalment għall-għajnuna fit-twaqqif ta 'aċċess mill-bogħod. Għalhekk stajna nagħtu ftit ħarsa lejn min kien qed joħroġ mis-sitwazzjoni u kif. Kien hemm sorpriżi pjaċevoli meta kumpaniji mhux kbar ħafna jużaw marki famużi, inkluż b'soluzzjonijiet ta 'awtentikazzjoni b'żewġ fatturi. Kien hemm ukoll każijiet, sorprendenti fid-direzzjoni opposta, meta kumpaniji verament kbar ħafna u magħrufa (mhux IT) irrakkomandaw sempliċement li jinstallaw TeamViewer fuq il-kompjuters tal-uffiċċju tagħhom.
Fis-sitwazzjoni attwali, speċjalisti mill-kumpanija "Aladdin R.D." jirrakkomanda li tieħu approċċ responsabbli biex issolvi problemi ta' aċċess mill-bogħod għall-infrastruttura korporattiva tiegħek. F'din l-okkażjoni, fil-bidu nett tar-reġim ġenerali ta 'awto-iżolament, nedejna .
Sors: www.habr.com