I vårt selskap, som i mange andre IT- og ikke så IT-selskaper, har muligheten for fjerntilgang eksistert i lang tid, og mange ansatte brukte den av nødvendighet. Med spredningen av COVID-19 i verden begynte vår IT-avdeling, etter beslutning fra selskapets ledelse, å overføre ansatte som returnerte fra utenlandsreiser til fjernarbeid. Ja, vi begynte å praktisere selvisolasjon hjemme helt fra begynnelsen av mars, selv før det ble mainstream. I midten av mars var løsningen allerede skalert til hele selskapet, og i slutten av mars gikk vi alle nesten sømløst over til en ny modus for massefjernarbeid for alle.
Teknisk sett, for å implementere ekstern tilgang til nettverket, bruker vi Microsoft VPN (RRAS) - som en av Windows Server-rollene. Når du kobler til nettverket, blir ulike interne ressurser tilgjengelige, fra sharepoints, fildelingstjenester, feilsporere til et CRM-system; for mange er dette alt de trenger for arbeidet sitt. For de som fortsatt har arbeidsstasjoner på kontoret, konfigureres RDP-tilgang via RDG-gatewayen.
Hvorfor valgte du denne avgjørelsen, eller hvorfor er det verdt å velge? For hvis du allerede har et domene og annen infrastruktur fra Microsoft, så er svaret åpenbart, det vil mest sannsynlig være enklere, raskere og billigere for IT-avdelingen din å implementere det. Du trenger bare å legge til noen få funksjoner. Og det vil være enklere for ansatte å konfigurere Windows-komponenter enn å laste ned og konfigurere ekstra tilgangsklienter.
Ved tilgang til selve VPN-gatewayen og etterpå, ved tilkobling til arbeidsstasjoner og viktige nettressurser, bruker vi tofaktorautentisering. Det ville faktisk være rart om vi, som produsent av tofaktorautentiseringsløsninger, ikke brukte produktene våre selv. Dette er vår bedriftsstandard; hver ansatt har en token med et personlig sertifikat, som brukes til å autentisere på kontorarbeidsstasjonen til domenet og til selskapets interne ressurser.
I følge statistikk bruker mer enn 80 % av informasjonssikkerhetshendelsene svake eller stjålne passord. Derfor øker innføringen av tofaktorautentisering det generelle sikkerhetsnivået til selskapet og dets ressurser, lar deg redusere risikoen for tyveri eller passordgjetting til nesten null, og også sikre at kommunikasjon skjer med en gyldig bruker. Når du implementerer en PKI-infrastruktur, kan passordautentisering deaktiveres fullstendig.
Fra et UI-synspunkt for brukeren er denne ordningen enda enklere enn å skrive inn pålogging og passord. Årsaken er at et komplekst passord ikke lenger trenger å bli husket, det er ikke nødvendig å sette klistremerker under tastaturet (bryter alle tenkelige sikkerhetspolicyer), passordet trenger ikke engang å endres en gang hver 90. dag (selv om dette ikke er lenger ansett som beste praksis, men fortsatt praktisert mange steder). Brukeren trenger bare å komme opp med en ikke veldig komplisert PIN-kode og ikke miste tokenet. Selve tokenet kan lages i form av et smartkort, som enkelt kan bæres i en lommebok. RFID-brikker kan implanteres i tokenet og smartkortet for tilgang til kontorlokaler.
PIN-koden brukes til autentisering, for å gi tilgang til nøkkelinformasjon og for å utføre kryptografiske transformasjoner og kontroller. Å miste token er ikke skummelt, siden det er umulig å gjette PIN-koden, etter noen forsøk vil den bli blokkert. Samtidig beskytter smartkortbrikken nøkkelinformasjon mot utvinning, kloning og andre angrep.
Hva annet?
Hvis løsningen på problemet med ekstern tilgang fra Microsoft av en eller annen grunn ikke er egnet, kan du implementere en PKI-infrastruktur og konfigurere tofaktorautentisering ved å bruke smartkortene våre i ulike VDI-infrastrukturer (Citrix Virtual Apps and Desktops, Citrix ADC, VMware Horizon, VMware Unified Gateway, Huawei Fusion) og maskinvaresikkerhetssystemer (PaloAlto, CheckPoint, Cisco) og andre produkter.
Noen av eksemplene ble diskutert i våre tidligere artikler.
I den neste artikkelen vil vi snakke om å sette opp OpenVPN med autentisering ved hjelp av sertifikater fra MSCA.
Ikke et eneste sertifikat
Hvis implementering av en PKI-infrastruktur og kjøp av maskinvareenheter for hver ansatt ser for komplisert ut eller det for eksempel ikke er noen teknisk mulighet for å koble til et smartkort, så finnes det en løsning med engangspassord basert på vår JAS-autentiseringsserver. Som autentisering kan du bruke programvare (Google Authenticator, Yandex Key), maskinvare (enhver tilsvarende RFC, for eksempel JaCarta WebPass). Nesten alle de samme løsningene støttes som for smartkort/tokens. Vi snakket også om noen konfigurasjonseksempler i våre tidligere innlegg.
Autentiseringsmetoder kan kombineres, det vil si ved OTP - for eksempel kan kun mobile brukere slippes inn, og klassiske bærbare/stasjonære datamaskiner kan autentiseres kun ved hjelp av et sertifikat på en token.
På grunn av den spesifikke karakteren av arbeidet mitt, har mange ikke-tekniske venner nylig henvendt seg personlig til meg for å få hjelp til å sette opp ekstern tilgang. Så vi kunne ta en liten titt på hvem som kom seg ut av situasjonen og hvordan. Det var hyggelige overraskelser når ikke veldig store selskaper bruker kjente merkevarer, blant annet med tofaktorautentiseringsløsninger. Det var også tilfeller, overraskende i motsatt retning, da virkelig store og velkjente selskaper (ikke IT) anbefalte å installere TeamViewer på deres kontordatamaskiner.
I den nåværende situasjonen, spesialister fra selskapet "Aladdin R.D." anbefaler å ta en ansvarlig tilnærming til å løse problemer med ekstern tilgang til bedriftens infrastruktur. Ved denne anledningen, helt i begynnelsen av det generelle selvisolasjonsregimet, lanserte vi .
Kilde: www.habr.com