اسان جي ڪمپني ۾، جيئن ٻين ڪيترن ئي آئي ٽي ۾ ۽ نه ئي آئي ٽي ڪمپنيون، ريموٽ رسائي جو امڪان هڪ ڊگهي وقت تائين موجود آهي، ۽ ڪيترن ئي ملازمن ان کي ضرورت کان ٻاهر استعمال ڪيو. دنيا ۾ COVID-19 جي پکڙجڻ سان، اسان جي آئي ٽي ڊپارٽمينٽ، ڪمپني جي انتظاميا جي فيصلي سان، ٻاهرين دورن کان موٽندڙ ملازمن کي ريموٽ ڪم تي منتقل ڪرڻ شروع ڪيو. ها، اسان مارچ جي شروعات کان ئي گهر جي خودمختاري جي مشق ڪرڻ شروع ڪئي، ان کان اڳ جو اهو مکيه وهڪرو بڻجي ويو. مارچ جي وچ تائين، حل اڳ ۾ ئي پوري ڪمپني تائين وڌايو ويو هو، ۽ مارچ جي آخر ۾ اسان سڀني کي تقريبا هر ڪنهن لاء ماس ريموٽ ڪم جي نئين موڊ تي تبديل ڪيو.
ٽيڪنيڪل طور تي، نيٽ ورڪ تائين ريموٽ رسائي کي لاڳو ڪرڻ لاءِ، اسان استعمال ڪريون ٿا Microsoft VPN (RRAS) - جيئن ونڊوز سرور جي ڪردارن مان هڪ. جڏهن توهان نيٽ ورڪ سان ڳنڍيندا آهيو، مختلف اندروني وسيلا دستياب ٿي ويندا آهن، شيئر پوائنٽس، فائل شيئرنگ سروسز، بگ ٽريڪرز کان وٺي CRM سسٽم تائين؛ ڪيترن ئي لاء، اهو سڀ ڪجهه انهن جي ڪم لاء گهربل آهي. انهن لاءِ جيڪي اڃا تائين آفيس ۾ ڪم اسٽيشنون آهن، آر ڊي پي جي رسائي آر ڊي جي گيٽ وي ذريعي ترتيب ڏنل آهي.
توهان اهو فيصلو ڇو ڪيو يا اهو چونڊڻ جي لائق آهي؟ ڇو ته جيڪڏهن توهان وٽ اڳ ۾ ئي Microsoft کان هڪ ڊومين ۽ ٻيو انفراسٽرڪچر آهي، ته پوءِ جواب واضح آهي، اهو توهان جي آئي ٽي ڊپارٽمينٽ لاءِ ان تي عمل ڪرڻ تمام گهڻو آسان، تيز ۽ سستو هوندو. توھان کي صرف ڪجھ خاصيتون شامل ڪرڻ جي ضرورت آھي. ۽ اهو ملازمن لاءِ آسان ٿيندو Windows حصن کي ترتيب ڏيڻ بجاءِ اضافي رسائي ڪلائنٽ کي ڊائون لوڊ ۽ ترتيب ڏيڻ.
جڏهن پاڻ VPN گيٽ وي تائين رسائي ۽ بعد ۾، جڏهن ڪم اسٽيشنن ۽ اهم ويب وسيلن سان ڳنڍڻ، اسان استعمال ڪريون ٿا ٻه عنصر جي تصديق. درحقيقت، اهو عجيب ٿيندو جيڪڏهن اسان، ٻه عنصر جي تصديق ڪندڙ حل جي هڪ ٺاهيندڙ جي حيثيت سان، اسان جون شيون پاڻ کي استعمال نه ڪيون. هي اسان جو ڪارپوريٽ معيار آهي؛ هر ملازم وٽ هڪ ذاتي سرٽيفڪيٽ سان گڏ هڪ ٽوڪن آهي، جيڪو ڊومين ۽ ڪمپني جي اندروني وسيلن ڏانهن آفيس ورڪ اسٽيشن تي تصديق ڪرڻ لاءِ استعمال ڪيو ويندو آهي.
انگن اکرن موجب، 80 سيڪڙو کان وڌيڪ معلوماتي سيڪيورٽي واقعا ڪمزور يا چوري ٿيل پاسورڊ استعمال ڪندا آهن. تنهن ڪري، ٻن عنصر جي تصديق جو تعارف ڪمپني ۽ ان جي وسيلن جي سيڪيورٽي جي مجموعي سطح کي تمام گهڻو وڌائي ٿو، توهان کي چوري يا پاسورڊ جي اندازي جي خطري کي تقريبا صفر تائين گھٽائڻ جي اجازت ڏئي ٿو، ۽ اهو پڻ يقيني بڻائي ٿو ته مواصلات هڪ صحيح صارف سان ٿئي ٿي. جڏهن PKI انفراسٽرڪچر کي لاڳو ڪرڻ، پاسورڊ جي تصديق مڪمل طور تي غير فعال ٿي سگهي ٿو.
صارف لاءِ UI نقطي نظر کان، هي اسڪيم لاگ ان ۽ پاسورڊ داخل ڪرڻ کان به وڌيڪ آسان آهي. ان جو سبب اهو آهي ته هڪ پيچيده پاسورڊ هاڻي ياد رکڻ جي ضرورت ناهي، ڪي بورڊ جي هيٺان اسٽيڪر لڳائڻ جي ضرورت ناهي (سڀني تصوراتي حفاظتي پاليسين جي ڀڃڪڙي ڪندي)، پاسورڊ کي هر 90 ڏينهن ۾ هڪ ڀيرو تبديل ڪرڻ جي ضرورت ناهي (جيتوڻيڪ اهو ناهي. گهڻي وقت تائين بهترين مشق سمجهيو ويندو آهي، پر ڪيترن ئي هنڌن تي اڃا تائين مشق ڪيو ويندو آهي). استعمال ڪندڙ کي صرف هڪ تمام پيچيده PIN ڪوڊ سان گڏ اچڻ جي ضرورت پوندي ۽ ٽوڪن کي نه وڃايو. ٽوڪن پاڻ هڪ سمارٽ ڪارڊ جي صورت ۾ ٺاهي سگهجي ٿو، جيڪو آساني سان پرس ۾ کڻي سگهجي ٿو. آفيس جي احاطي تائين رسائي لاءِ RFID ٽيگ ٽوڪن ۽ سمارٽ ڪارڊ ۾ لڳائي سگھجن ٿا.
PIN ڪوڊ استعمال ڪيو ويندو آهي تصديق ڪرڻ لاءِ، اهم معلومات تائين رسائي فراهم ڪرڻ ۽ ڪرپٽوگرافڪ تبديلين ۽ چيڪن کي انجام ڏيڻ لاءِ. ٽوڪن کي وڃائڻ خوفناڪ نه آهي، ڇاڪاڻ ته پن ڪوڊ جو اندازو لڳائڻ ناممڪن آهي؛ ڪجهه ڪوششن کان پوءِ، ان کي بلاڪ ڪيو ويندو. ساڳئي وقت، سمارٽ ڪارڊ چپ اهم معلومات کي ڪڍڻ، ڪلوننگ ۽ ٻين حملن کان بچائيندو آهي.
ٻيو ڇا؟
جيڪڏهن Microsoft کان ريموٽ رسائي جي مسئلي جو حل ڪجهه سببن لاءِ مناسب نه آهي، ته پوءِ توهان PKI انفراسٽرڪچر لاڳو ڪري سگهو ٿا ۽ مختلف VDI انفراسٽرڪچرز (Citrix Virtual Apps and Desktops, Citrix ADC, VMware) ۾ اسان جا سمارٽ ڪارڊ استعمال ڪندي ٻه عنصر جي تصديق ڪري سگھو ٿا. Horizon, VMware Unified Gateway, Huawei Fusion) ۽ هارڊويئر سيڪيورٽي سسٽم (PaloAlto, CheckPoint, Cisco) ۽ ٻيون پروڊڪٽس.
اسان جي پوئين مضمونن ۾ ڪجهه مثالن تي بحث ڪيو ويو آهي.
ايندڙ مضمون ۾ اسين MSCA کان سرٽيفڪيٽ استعمال ڪندي تصديق سان OpenVPN قائم ڪرڻ بابت ڳالهائينداسين.
هڪ سند نه
جيڪڏهن PKI انفراسٽرڪچر کي لاڳو ڪرڻ ۽ هر ملازم لاءِ هارڊويئر ڊيوائسز خريد ڪرڻ تمام پيچيده نظر اچي ٿو يا، مثال طور، سمارٽ ڪارڊ ڳنڍڻ جو ڪو به ٽيڪنيڪل امڪان نه آهي، ته پوءِ اسان جي JAS تصديق ڪندڙ سرور جي بنياد تي ون ٽائم پاسورڊ سان حل موجود آهي. تصديق ڪندڙن جي طور تي، توھان استعمال ڪري سگھو ٿا سافٽ ويئر (Google Authenticator، Yandex Key)، هارڊويئر (ڪو به لاڳاپيل RFC، مثال طور، JaCarta WebPass). سمارٽ ڪارڊ/ ٽوڪن لاءِ لڳ ڀڳ سڀ ساڳيا حل سپورٽ ڪيا ويا آهن. اسان اسان جي پوئين پوسٽن ۾ ڪجهه ترتيبن جي مثالن بابت پڻ ڳالهايو.
تصديق جا طريقا گڏ ڪري سگھجن ٿا، يعني OTP ذريعي - مثال طور، صرف موبائيل استعمال ڪندڙن کي اجازت ڏئي سگهجي ٿي، ۽ کلاسڪ ليپ ٽاپ/ڊيسڪ ٽاپ کي تصديق ڪري سگهجي ٿو صرف هڪ ٽوڪن تي سرٽيفڪيٽ استعمال ڪندي.
منهنجي ڪم جي مخصوص نوعيت جي ڪري، ڪيترن ئي غير ٽيڪنيڪل دوستن مون کي ذاتي طور تي ريموٽ رسائي قائم ڪرڻ ۾ مدد لاءِ رابطو ڪيو آهي. تنهن ڪري اسان کي ٿورو ڏسڻ جي قابل ٿي ويو ته ڪير صورتحال مان نڪتو ۽ ڪيئن. اتي خوشگوار حيران ٿي ويا جڏهن تمام وڏيون ڪمپنيون مشهور برانڊ استعمال نه ڪن، بشمول ٻه عنصر جي تصديق واري حل سان. اهڙا ڪيس پڻ هئا، سامهون واري طرف حيران ڪندڙ، جڏهن واقعي تمام وڏيون ۽ معروف ڪمپنيون (IT نه) انهن جي آفيس جي ڪمپيوٽرن تي ٽيم ويور کي انسٽال ڪرڻ جي سفارش ڪئي.
موجوده صورتحال ۾، ڪمپني جي ماهرن "علادين آر ڊي." توهان جي ڪارپوريٽ انفراسٽرڪچر تائين ريموٽ رسائي جي مسئلن کي حل ڪرڻ لاءِ ذميوار طريقي سان صلاح ڏيو. ان موقعي تي، عام خود اڪيلائي واري حڪومت جي شروعات ۾، اسان شروع ڪيو .
جو ذريعو: www.habr.com