W naszej firmie, podobnie jak w wielu innych firmach IT i nie tylko IT, możliwość zdalnego dostępu istnieje od dawna i wielu pracowników korzystało z niej z konieczności. Wraz z rozprzestrzenianiem się wirusa Covid-19 na świecie nasz dział IT decyzją zarządu firmy zaczął przenosić pracowników powracających z wyjazdów zagranicznych do pracy zdalnej. Tak, samoizolację domową zaczęliśmy praktykować już na początku marca, jeszcze zanim weszło to do mainstreamu. Do połowy marca rozwiązanie zostało już przeskalowane na całą firmę, a pod koniec marca wszyscy niemal bezproblemowo przeszliśmy na nowy tryb masowej pracy zdalnej dla wszystkich.
Technicznie do realizacji zdalnego dostępu do sieci wykorzystujemy Microsoft VPN (RRAS) – jako jedną z ról Windows Server. Po podłączeniu do sieci dostępne stają się różne zasoby wewnętrzne, od punktów udostępniania, usług udostępniania plików, narzędzi do śledzenia błędów po system CRM; dla wielu to wszystko, czego potrzebują do swojej pracy. Dla tych, którzy nadal mają stacje robocze w biurze, dostęp RDP jest konfigurowany za pośrednictwem bramy RDG.
Dlaczego zdecydowałeś się na tę decyzję i dlaczego warto ją wybrać? Bo jeśli posiadasz już domenę i inną infrastrukturę od Microsoftu, to odpowiedź jest oczywista, najprawdopodobniej wdrożenie Twojego działu IT będzie łatwiejsze, szybsze i tańsze. Wystarczy dodać kilka funkcji. A pracownikom łatwiej będzie konfigurować komponenty Windows, niż pobierać i konfigurować dodatkowych klientów dostępu.
Podczas uzyskiwania dostępu do samej bramy VPN i później, podczas łączenia się ze stacjami roboczymi i ważnymi zasobami sieciowymi, korzystamy z uwierzytelniania dwuskładnikowego. Rzeczywiście byłoby dziwne, gdybyśmy my, jako producent rozwiązań uwierzytelniania dwuskładnikowego, sami nie korzystali z naszych produktów. To nasz korporacyjny standard, każdy pracownik posiada token z osobistym certyfikatem, który służy do uwierzytelnienia na biurowym stanowisku do domeny i do wewnętrznych zasobów firmy.
Według statystyk ponad 80% incydentów związanych z bezpieczeństwem informacji wykorzystuje słabe lub skradzione hasła. Dlatego wprowadzenie uwierzytelniania dwuskładnikowego znacznie zwiększa ogólny poziom bezpieczeństwa firmy i jej zasobów, pozwala zmniejszyć ryzyko kradzieży lub odgadnięcia hasła niemal do zera, a także zapewnia komunikację z prawidłowym użytkownikiem. Wdrażając infrastrukturę PKI, uwierzytelnianie hasłem można całkowicie wyłączyć.
Z punktu widzenia interfejsu użytkownika schemat ten jest jeszcze prostszy niż wprowadzenie loginu i hasła. Dzieje się tak dlatego, że nie trzeba już pamiętać złożonego hasła, nie ma potrzeby umieszczania naklejek pod klawiaturą (łamiąc wszelkie możliwe zasady bezpieczeństwa), hasła nie trzeba nawet zmieniać raz na 90 dni (choć nie jest to już uważana za najlepszą praktykę, ale w wielu miejscach nadal praktykowana). Użytkownikowi wystarczy, że wymyśli niezbyt skomplikowany kod PIN i nie straci tokena. Sam token może być wykonany w formie karty inteligentnej, którą można wygodnie nosić w portfelu. Tagi RFID można wszczepić w token i kartę inteligentną w celu uzyskania dostępu do pomieszczeń biurowych.
Kod PIN służy do uwierzytelnienia, zapewnienia dostępu do kluczowych informacji oraz do wykonywania przekształceń i kontroli kryptograficznych.Zgubienie tokena nie jest straszne, ponieważ nie da się odgadnąć kodu PIN, po kilku próbach zostanie on zablokowany. Jednocześnie chip karty inteligentnej chroni kluczowe informacje przed ekstrakcją, klonowaniem i innymi atakami.
Co jeszcze?
Jeśli rozwiązanie problemu zdalnego dostępu od Microsoft z jakiegoś powodu nie jest odpowiednie, możesz wdrożyć infrastrukturę PKI i skonfigurować uwierzytelnianie dwuskładnikowe przy użyciu naszych kart inteligentnych w różnych infrastrukturach VDI (Citrix Virtual Apps and Desktops, Citrix ADC, VMware Horizon, VMware Unified Gateway, Huawei Fusion) oraz sprzętowe systemy bezpieczeństwa (PaloAlto, CheckPoint, Cisco) i inne produkty.
Niektóre przykłady omówiliśmy w naszych poprzednich artykułach.
W następnym artykule porozmawiamy o skonfigurowaniu OpenVPN z uwierzytelnianiem przy użyciu certyfikatów MSCA.
Nie tylko certyfikat
Jeśli wdrożenie infrastruktury PKI i zakup urządzeń sprzętowych dla każdego pracownika wydaje się zbyt skomplikowane lub np. nie ma technicznej możliwości podłączenia karty inteligentnej, wówczas rozwiązaniem są hasła jednorazowe oparte na naszym serwerze uwierzytelniającym JAS. Jako uwierzytelniacze możesz używać oprogramowania (Google Authenticator, Yandex Key), sprzętu (dowolnego odpowiedniego RFC, na przykład JaCarta WebPass). Obsługiwane są prawie wszystkie te same rozwiązania, co w przypadku kart inteligentnych/tokenów. O niektórych przykładach konfiguracji mówiliśmy także w naszych poprzednich postach.
Metody uwierzytelniania można łączyć, czyli OTP – np. wpuszczani mogą być tylko użytkownicy mobilni, a klasyczne laptopy/komputery stacjonarne mogą być uwierzytelniane jedynie za pomocą certyfikatu na tokenie.
Ze względu na specyfikę mojej pracy, wielu nietechnicznych znajomych zwróciło się ostatnio do mnie osobiście z prośbą o pomoc w skonfigurowaniu zdalnego dostępu. Dzięki temu mogliśmy rzucić okiem na to, kto i w jaki sposób wychodzi z tej sytuacji. Nie obyło się bez miłych niespodzianek, gdy niezbyt duże firmy korzystały ze znanych marek, w tym z rozwiązań uwierzytelniania dwuskładnikowego. Zdarzały się też przypadki, zaskakujące w drugą stronę, kiedy naprawdę bardzo duże i znane firmy (nie IT) zalecały po prostu zainstalowanie TeamViewera na swoich biurowych komputerach.
W obecnej sytuacji specjaliści z firmy „Aladdin R.D.” zalecamy odpowiedzialne podejście do rozwiązywania problemów związanych ze zdalnym dostępem do infrastruktury korporacyjnej. Z tej okazji już na samym początku wprowadziliśmy powszechny reżim samoizolacji .
Źródło: www.habr.com