În compania noastră, ca și în multe alte companii de IT și nu atât de IT, posibilitatea accesului de la distanță există de mult timp, iar mulți angajați au folosit-o de necesitate. Odată cu răspândirea COVID-19 în lume, departamentul nostru IT, prin decizie a conducerii companiei, a început să transfere angajații care se întorceau din călătorii în străinătate la munca de la distanță. Da, am început să practicăm autoizolarea acasă chiar de la începutul lunii martie, chiar înainte ca aceasta să devină curentă. Până la jumătatea lunii martie, soluția fusese deja extinsă la întreaga companie, iar la sfârșitul lunii martie am trecut aproape fără probleme la un nou mod de lucru la distanță în masă pentru toată lumea.
Din punct de vedere tehnic, pentru a implementa accesul de la distanță la rețea, folosim Microsoft VPN (RRAS) - ca unul dintre rolurile Windows Server. Când vă conectați la rețea, devin disponibile diverse resurse interne, de la puncte de share, servicii de partajare de fișiere, instrumente de urmărire a erorilor până la un sistem CRM; pentru mulți, acesta este tot ce au nevoie pentru munca lor. Pentru cei care mai au stații de lucru la birou, accesul RDP este configurat prin gateway-ul RDG.
De ce ați ales această decizie sau de ce merită să o alegeți? Pentru că dacă ai deja un domeniu și altă infrastructură de la Microsoft, atunci răspunsul este evident, cel mai probabil va fi mai ușor, mai rapid și mai ieftin pentru departamentul tău IT să îl implementeze. Trebuie doar să adăugați câteva caracteristici. Și va fi mai ușor pentru angajați să configureze componente Windows decât să descarce și să configureze clienți de acces suplimentari.
Când accesăm gateway-ul VPN în sine și ulterior, când ne conectăm la stații de lucru și la resurse web importante, folosim autentificarea cu doi factori. Într-adevăr, ar fi ciudat dacă noi, ca producător de soluții de autentificare cu doi factori, nu am folosi singuri produsele noastre. Acesta este standardul nostru corporativ; fiecare angajat are un token cu un certificat personal, care este folosit pentru autentificarea la stația de lucru de la birou la domeniul și la resursele interne ale companiei.
Potrivit statisticilor, mai mult de 80% dintre incidentele de securitate a informațiilor folosesc parole slabe sau furate. Prin urmare, introducerea autentificării cu doi factori crește foarte mult nivelul general de securitate al companiei și al resurselor sale, vă permite să reduceți riscul de furt sau de ghicire a parolei la aproape zero și, de asemenea, să vă asigurați că comunicarea are loc cu un utilizator valid. La implementarea unei infrastructuri PKI, autentificarea prin parolă poate fi complet dezactivată.
Din punct de vedere al UI pentru utilizator, această schemă este chiar mai simplă decât introducerea unui login și a unei parole. Motivul este că o parolă complexă nu mai trebuie reținută, nu este nevoie să puneți autocolante sub tastatură (încălcând toate politicile de securitate imaginabile), parola nici măcar nu trebuie schimbată o dată la 90 de zile (deși aceasta nu este mai mult considerată cea mai bună practică, dar în multe locuri încă practicată). Utilizatorul va trebui doar să vină cu un cod PIN nu foarte complicat și să nu piardă jetonul. Jetonul în sine poate fi realizat sub forma unui card inteligent, care poate fi transportat convenabil într-un portofel. Etichetele RFID pot fi implantate în jeton și card inteligent pentru accesul la sediul biroului.
Codul PIN este folosit pentru autentificare, pentru a oferi acces la informațiile cheie și pentru a efectua transformări și verificări criptografice. Pierderea jetonului nu este înfricoșătoare, deoarece este imposibil de ghicit codul PIN; după câteva încercări, acesta va fi blocat. În același timp, cipul cardului inteligent protejează informațiile cheie de extracție, clonare și alte atacuri.
Ce altceva?
Dacă soluția la problema accesului la distanță de la Microsoft nu este potrivită dintr-un motiv oarecare, atunci puteți implementa o infrastructură PKI și puteți configura autentificarea cu doi factori folosind cardurile noastre inteligente în diferite infrastructuri VDI (Citrix Virtual Apps and Desktops, Citrix ADC, VMware). Horizon, VMware Unified Gateway, Huawei Fusion) și sisteme de securitate hardware (PaloAlto, CheckPoint, Cisco) și alte produse.
Unele dintre exemple au fost discutate în articolele noastre anterioare.
În articolul următor vom vorbi despre configurarea OpenVPN cu autentificare folosind certificate de la MSCA.
Nu doar un certificat
Dacă implementarea unei infrastructuri PKI și achiziționarea de dispozitive hardware pentru fiecare angajat pare prea complicată sau, de exemplu, nu există posibilitatea tehnică de conectare a unui smart card, atunci există o soluție cu parole unice bazate pe serverul nostru de autentificare JAS. Ca autentificatori, puteți utiliza software (Google Authenticator, Yandex Key), hardware (orice RFC corespunzător, de exemplu, JaCarta WebPass). Sunt acceptate aproape toate aceleași soluții ca și pentru cardurile inteligente/jetoane. Am vorbit și despre câteva exemple de configurare în postările noastre anterioare.
Metodele de autentificare pot fi combinate, adică prin OTP - de exemplu, doar utilizatorii de telefonie mobilă pot fi lăsați să intre, iar laptopurile/desktopurile clasice pot fi autentificate doar folosind un certificat pe un token.
Datorită naturii specifice a muncii mele, mulți prieteni non-tehnici m-au abordat recent personal pentru ajutor în configurarea accesului la distanță. Așa că am putut arunca o privire la cine iese din situație și cum. Au fost surprize plăcute când companiile nu foarte mari folosesc mărci celebre, inclusiv cu soluții de autentificare cu doi factori. Au fost și cazuri, surprinzătoare în sens invers, când companii cu adevărat foarte mari și cunoscute (nu IT) au recomandat pur și simplu instalarea TeamViewer pe computerele lor de birou.
În situația actuală, specialiștii companiei „Aladdin R.D.” recomandăm să adoptați o abordare responsabilă pentru rezolvarea problemelor de acces la distanță la infrastructura companiei dumneavoastră. Cu această ocazie, chiar la începutul regimului general de autoizolare, ne-am lansat .
Sursa: www.habr.com