In ons bedrijf bestaat, net als bij veel andere IT- en niet zo IT-bedrijven, de mogelijkheid van toegang op afstand al heel lang, en veel medewerkers hebben er uit noodzaak gebruik van gemaakt. Met de verspreiding van COVID-19 in de wereld begon onze IT-afdeling, op besluit van het management van het bedrijf, werknemers die terugkeerden van buitenlandse reizen over te plaatsen naar werk op afstand. Ja, we zijn vanaf begin maart begonnen met thuisisolatie, nog voordat het mainstream werd. Medio maart was de oplossing al opgeschaald naar het hele bedrijf, en eind maart schakelden we allemaal vrijwel naadloos over op een nieuwe manier van massaal werken op afstand voor iedereen.
Om externe toegang tot het netwerk te implementeren, gebruiken we technisch gezien Microsoft VPN (RRAS) - als een van de Windows Server-rollen. Wanneer u verbinding maakt met het netwerk, komen er verschillende interne bronnen beschikbaar, van sharepoints, diensten voor het delen van bestanden, bugtrackers tot een CRM-systeem; voor velen is dit alles wat ze nodig hebben voor hun werk. Voor degenen die nog werkstations op kantoor hebben, wordt RDP-toegang geconfigureerd via de RDG-gateway.
Waarom heb je voor deze beslissing gekozen of waarom is het de moeite waard om te kiezen? Want als u al een domein en andere infrastructuur van Microsoft heeft, dan ligt het antwoord voor de hand: het zal voor uw IT-afdeling waarschijnlijk eenvoudiger, sneller en goedkoper zijn om deze te implementeren. Je hoeft alleen maar een paar functies toe te voegen. En het zal voor werknemers gemakkelijker zijn om Windows-componenten te configureren dan om extra toegangsclients te downloaden en te configureren.
Bij toegang tot de VPN-gateway zelf en daarna, bij het verbinden met werkstations en belangrijke webbronnen, gebruiken we tweefactorauthenticatie. Het zou inderdaad vreemd zijn als wij als fabrikant van tweefactorauthenticatieoplossingen onze producten niet zelf zouden gebruiken. Dit is onze bedrijfsstandaard; elke medewerker heeft een token met een persoonlijk certificaat, dat wordt gebruikt om zich op de kantoorwerkplek te authenticeren bij het domein en bij de interne bronnen van het bedrijf.
Volgens statistieken wordt bij meer dan 80% van de informatiebeveiligingsincidenten gebruik gemaakt van zwakke of gestolen wachtwoorden. Daarom verhoogt de introductie van tweefactorauthenticatie het algehele beveiligingsniveau van het bedrijf en zijn middelen aanzienlijk, kunt u het risico op diefstal of het raden van wachtwoorden tot bijna nul beperken en ervoor zorgen dat er communicatie plaatsvindt met een geldige gebruiker. Bij het implementeren van een PKI-infrastructuur kan wachtwoordauthenticatie volledig worden uitgeschakeld.
Vanuit UI-oogpunt voor de gebruiker is dit schema zelfs eenvoudiger dan het invoeren van een login en wachtwoord. De reden is dat een complex wachtwoord niet meer onthouden hoeft te worden, er geen stickers onder het toetsenbord geplakt hoeven te worden (in strijd met alle denkbare beveiligingsbeleid), het wachtwoord niet eens eens in de 90 dagen hoeft te worden gewijzigd (hoewel dit geen langer beschouwd als de beste praktijk, maar op veel plaatsen nog steeds in praktijk gebracht). De gebruiker hoeft alleen maar een niet erg ingewikkelde pincode te bedenken en de token niet te verliezen. Het token zelf kan worden gemaakt in de vorm van een smartcard, die gemakkelijk in een portemonnee kan worden gedragen. RFID-tags kunnen in de token en smartcard worden geïmplanteerd voor toegang tot kantoorpanden.
De pincode wordt gebruikt voor authenticatie, om toegang te geven tot belangrijke informatie en om cryptografische transformaties en controles uit te voeren. Het verliezen van de token is niet eng omdat de pincode niet te raden is; na enkele pogingen wordt deze geblokkeerd. Tegelijkertijd beschermt de smartcard-chip belangrijke informatie tegen extractie, klonen en andere aanvallen.
Wat nog meer?
Als de oplossing voor het probleem van externe toegang van Microsoft om welke reden dan ook niet geschikt is, dan kunt u een PKI-infrastructuur implementeren en tweefactorauthenticatie configureren met behulp van onze smartcards in verschillende VDI-infrastructuren (Citrix Virtual Apps and Desktops, Citrix ADC, VMware Horizon, VMware Unified Gateway, Huawei Fusion) en hardwarebeveiligingssystemen (PaloAlto, CheckPoint, Cisco) en andere producten.
Enkele van de voorbeelden zijn besproken in onze vorige artikelen.
In het volgende artikel zullen we het hebben over het opzetten van OpenVPN met authenticatie met behulp van certificaten van MSCA.
Geen enkel certificaat
Als het implementeren van een PKI-infrastructuur en het aanschaffen van hardware devices per medewerker te ingewikkeld lijkt of er bijvoorbeeld technisch geen mogelijkheid is om een smartcard aan te sluiten, dan is er een oplossing met eenmalige wachtwoorden op basis van onze JAS-authenticatieserver. Als authenticatoren kunt u software (Google Authenticator, Yandex Key), hardware (elke overeenkomstige RFC, bijvoorbeeld JaCarta WebPass) gebruiken. Bijna alle oplossingen worden ondersteund als voor smartcards/tokens. We hebben in onze vorige berichten ook enkele configuratievoorbeelden besproken.
Authenticatiemethoden kunnen worden gecombineerd, dat wil zeggen via OTP. Alleen mobiele gebruikers kunnen bijvoorbeeld worden toegelaten, en klassieke laptops/desktops kunnen alleen worden geverifieerd met behulp van een certificaat op een token.
Vanwege de specifieke aard van mijn werk hebben veel niet-technische vrienden mij onlangs persoonlijk benaderd voor hulp bij het opzetten van externe toegang. We konden dus een kijkje nemen in wie uit de situatie kwam en hoe. Er waren aangename verrassingen toen niet erg grote bedrijven bekende merken gebruikten, onder meer met tweefactorauthenticatieoplossingen. Er waren ook gevallen, verrassend in de tegenovergestelde richting, waarin echt heel grote en bekende bedrijven (niet IT) aanbeveelden om TeamViewer eenvoudigweg op hun kantoorcomputers te installeren.
In de huidige situatie zijn specialisten van het bedrijf "Aladdin R.D." raden u aan een verantwoorde aanpak te hanteren bij het oplossen van problemen met externe toegang tot uw bedrijfsinfrastructuur. Bij deze gelegenheid, helemaal aan het begin van het algemene zelfisolatieregime, zijn we van start gegaan .
Bron: www.habr.com