Na nossa empresa, como em muitas outras empresas de TI e nem tanto, a possibilidade de acesso remoto já existe há muito tempo e muitos funcionários a utilizaram por necessidade. Com a disseminação do COVID-19 no mundo, nosso departamento de TI, por decisão da direção da empresa, passou a transferir funcionários que retornavam de viagens ao exterior para trabalho remoto. Sim, começámos a praticar o auto-isolamento doméstico desde o início de março, mesmo antes de se tornar popular. Em meados de março, a solução já tinha sido dimensionada para toda a empresa e, no final de março, todos nós mudamos quase perfeitamente para um novo modo de trabalho remoto em massa para todos.
Tecnicamente, para implementar o acesso remoto à rede, usamos Microsoft VPN (RRAS) - como uma das funções do Windows Server. Quando você se conecta à rede, vários recursos internos ficam disponíveis, desde sharepoints, serviços de compartilhamento de arquivos, rastreadores de bugs até um sistema CRM; para muitos, isso é tudo de que precisam para seu trabalho. Para quem ainda possui estações de trabalho no escritório, o acesso RDP é configurado através do gateway RDG.
Por que você escolheu essa decisão ou por que vale a pena escolher? Porque se você já possui um domínio e outras infraestruturas da Microsoft, então a resposta é óbvia, provavelmente será mais fácil, rápido e barato para o seu departamento de TI implementá-lo. Você só precisa adicionar alguns recursos. E será mais fácil para os funcionários configurarem componentes do Windows do que baixar e configurar clientes de acesso adicionais.
Ao acessar o próprio gateway VPN e posteriormente, ao conectar-se a estações de trabalho e recursos importantes da web, usamos autenticação de dois fatores. Na verdade, seria estranho se nós, como fabricantes de soluções de autenticação de dois fatores, não utilizássemos nós próprios os nossos produtos. Este é o nosso padrão corporativo: cada funcionário possui um token com certificado pessoal, que é utilizado para autenticar na estação de trabalho do escritório o domínio e os recursos internos da empresa.
Segundo as estatísticas, mais de 80% dos incidentes de segurança da informação utilizam senhas fracas ou roubadas. Portanto, a introdução da autenticação de dois fatores aumenta muito o nível geral de segurança da empresa e de seus recursos, permite reduzir a quase zero o risco de roubo ou adivinhação de senha e também garantir que a comunicação ocorra com um usuário válido. Ao implementar uma infraestrutura PKI, a autenticação por senha pode ser completamente desabilitada.
Do ponto de vista da UI para o usuário, esse esquema é ainda mais simples do que inserir login e senha. A razão é que uma senha complexa não precisa mais ser lembrada, não há necessidade de colocar adesivos embaixo do teclado (violando todas as políticas de segurança concebíveis), a senha nem precisa ser alterada uma vez a cada 90 dias (embora isso não seja necessário). já é considerada a melhor prática, mas em muitos lugares ainda é praticada). O usuário só precisará criar um código PIN não muito complicado e não perder o token. O token em si pode ser feito na forma de um cartão inteligente, que pode ser convenientemente transportado em uma carteira. Etiquetas RFID podem ser implantadas no token e no cartão inteligente para acesso às instalações do escritório.
O código PIN é utilizado para autenticação, para fornecer acesso a informações importantes e para realizar transformações e verificações criptográficas. Perder o token não é assustador, pois é impossível adivinhar o código PIN; após algumas tentativas, ele será bloqueado. Ao mesmo tempo, o chip do cartão inteligente protege informações importantes contra extração, clonagem e outros ataques.
O que mais?
Se a solução para o problema de acesso remoto da Microsoft não for adequada por algum motivo, você poderá implementar uma infraestrutura PKI e configurar a autenticação de dois fatores usando nossos cartões inteligentes em diversas infraestruturas VDI (Citrix Virtual Apps and Desktops, Citrix ADC, VMware Horizon, VMware Unified Gateway, Huawei Fusion) e sistemas de segurança de hardware (PaloAlto, CheckPoint, Cisco) e outros produtos.
Alguns dos exemplos foram discutidos em nossos artigos anteriores.
No próximo artigo falaremos sobre como configurar o OpenVPN com autenticação usando certificados da MSCA.
Nem um único certificado
Se implementar uma infraestrutura PKI e adquirir dispositivos de hardware para cada funcionário parecer muito complicado ou, por exemplo, não houver possibilidade técnica de conectar um cartão inteligente, então existe uma solução com senhas de uso único baseadas em nosso servidor de autenticação JAS. Como autenticadores, você pode usar software (Google Authenticator, Yandex Key), hardware (qualquer RFC correspondente, por exemplo, JaCarta WebPass). Quase todas as mesmas soluções são suportadas para cartões/tokens inteligentes. Também falamos sobre alguns exemplos de configuração em nossos posts anteriores.
Os métodos de autenticação podem ser combinados, ou seja, por OTP - por exemplo, apenas usuários móveis podem ter permissão de entrada, e laptops/desktops clássicos podem ser autenticados apenas usando um certificado em um token.
Devido à natureza específica do meu trabalho, muitos amigos não técnicos recentemente me procuraram pessoalmente para obter ajuda na configuração do acesso remoto. Então pudemos dar uma espiada em quem estava saindo da situação e como. Houve surpresas agradáveis quando empresas não muito grandes usam marcas famosas, inclusive com soluções de autenticação de dois fatores. Também houve casos, surpreendentemente na direção oposta, em que empresas realmente muito grandes e conhecidas (não de TI) recomendaram simplesmente instalar o TeamViewer em seus computadores de escritório.
Na situação atual, especialistas da empresa "Aladdin R.D." recomendamos adotar uma abordagem responsável para resolver problemas de acesso remoto à sua infraestrutura corporativa. Nesta ocasião, logo no início do regime geral de auto-isolamento, lançámos .
Fonte: habr.com