V našej firme, tak ako v mnohých iných IT a nie až tak IT firmách, možnosť vzdialeného prístupu existuje už dlho a veľa zamestnancov ju z núdze využívalo. S rozšírením COVID-19 vo svete začalo naše IT oddelenie z rozhodnutia vedenia spoločnosti presúvať zamestnancov vracajúcich sa zo zahraničných ciest do práce na diaľku. Áno, začali sme praktizovať domácu sebaizoláciu od samého začiatku marca, ešte predtým, ako sa stala mainstreamom. V polovici marca už bolo riešenie škálované na celú spoločnosť a koncom marca sme všetci takmer plynule prešli na nový režim hromadnej práce na diaľku pre všetkých.
Technicky na implementáciu vzdialeného prístupu k sieti používame Microsoft VPN (RRAS) - ako jednu z rolí Windows Server. Keď sa pripojíte k sieti, sprístupnia sa rôzne interné zdroje, od zdieľaných bodov, služieb zdieľania súborov, bug trackerov až po CRM systém; pre mnohých je to všetko, čo potrebujú na svoju prácu. Pre tých, ktorí stále majú pracovné stanice v kancelárii, je prístup RDP nakonfigurovaný cez bránu RDG.
Prečo ste sa rozhodli pre toto rozhodnutie alebo prečo sa oplatí vybrať? Pretože ak už máte doménu a inú infraštruktúru od Microsoftu, tak odpoveď je zrejmá, pre vaše IT oddelenie bude s najväčšou pravdepodobnosťou jednoduchšie, rýchlejšie a lacnejšie ju implementovať. Stačí pridať niekoľko funkcií. A pre zamestnancov bude jednoduchšie konfigurovať súčasti systému Windows, ako sťahovať a konfigurovať ďalších prístupových klientov.
Pri prístupe k samotnej bráne VPN a následne pri pripájaní k pracovným staniciam a dôležitým webovým zdrojom využívame dvojfaktorovú autentifikáciu. Skutočne by bolo zvláštne, keby sme ako výrobca riešení dvojfaktorovej autentifikácie sami nepoužívali naše produkty. Toto je náš firemný štandard, každý zamestnanec má token s osobným certifikátom, ktorý slúži na autentifikáciu na kancelárskej pracovnej stanici k doméne a k interným zdrojom spoločnosti.
Podľa štatistík viac ako 80 % incidentov informačnej bezpečnosti používa slabé alebo ukradnuté heslá. Zavedenie dvojfaktorovej autentifikácie preto výrazne zvyšuje celkovú úroveň bezpečnosti spoločnosti a jej zdrojov, umožňuje znížiť riziko krádeže či uhádnutia hesla takmer na nulu a tiež zabezpečiť, aby komunikácia prebiehala s platným používateľom. Pri implementácii infraštruktúry PKI je možné overenie hesla úplne vypnúť.
Z pohľadu používateľského rozhrania pre používateľa je táto schéma ešte jednoduchšia ako zadávanie prihlasovacieho mena a hesla. Dôvodom je, že zložité heslo už nie je potrebné pamätať, nie je potrebné lepiť nálepky pod klávesnicu (porušujúce všetky mysliteľné bezpečnostné zásady), heslo dokonca nie je potrebné meniť raz za 90 dní (hoci to nie je už považovaný za najlepší postup, ale na mnohých miestach sa stále používa). Používateľovi bude stačiť vymyslieť nie veľmi zložitý PIN kód a nestratí token. Samotný token môže byť vyrobený vo forme čipovej karty, ktorú možno pohodlne nosiť v peňaženke. RFID tagy môžu byť implantované do tokenu a smart karty pre prístup do kancelárskych priestorov.
PIN kód sa používa na autentifikáciu, na poskytnutie prístupu ku kľúčovým informáciám a na vykonávanie kryptografických transformácií a kontrol. Strata tokenu nie je desivá, keďže PIN kód nie je možné uhádnuť, po niekoľkých pokusoch bude zablokovaný. Čip čipovej karty zároveň chráni kľúčové informácie pred extrakciou, klonovaním a inými útokmi.
Čo ešte?
Ak riešenie problému vzdialeného prístupu od spoločnosti Microsoft z nejakého dôvodu nevyhovuje, potom môžete implementovať infraštruktúru PKI a nakonfigurovať dvojfaktorovú autentifikáciu pomocou našich smart kariet v rôznych infraštruktúrach VDI (Citrix Virtual Apps and Desktops, Citrix ADC, VMware Horizon, VMware Unified Gateway, Huawei Fusion) a hardvérové bezpečnostné systémy (PaloAlto, CheckPoint, Cisco) a ďalšie produkty.
Niektoré z príkladov boli diskutované v našich predchádzajúcich článkoch.
V ďalšom článku si povieme niečo o nastavení OpenVPN s autentifikáciou pomocou certifikátov od MSCA.
Ani jeden certifikát
Ak implementácia PKI infraštruktúry a nákup hardvérových zariadení pre každého zamestnanca vyzerá príliš komplikovane alebo napríklad chýba technická možnosť pripojenia smart karty, potom je tu riešenie s jednorazovými heslami založenými na našom autentifikačnom serveri JAS. Ako autentifikátory môžete použiť softvér (Google Authenticator, Yandex Key), hardvér (akýkoľvek zodpovedajúci RFC, napríklad JaCarta WebPass). Podporované sú takmer všetky rovnaké riešenia ako pre čipové karty/tokeny. V predchádzajúcich príspevkoch sme hovorili aj o niektorých príkladoch konfigurácie.
Spôsoby autentizácie je možné kombinovať, teda OTP – napríklad je možné vpustiť len mobilných používateľov a klasické notebooky/stolné počítače je možné autentifikovať len pomocou certifikátu na tokene.
Vzhľadom na špecifickosť mojej práce sa na mňa v poslednom čase osobne obrátilo veľa priateľov netechnických zameraní so žiadosťou o pomoc pri nastavovaní vzdialeného prístupu. Tak sme mohli trochu nakuknúť, kto a ako sa zo situácie dostáva. Došlo k príjemným prekvapeniam, keď nie veľmi veľké spoločnosti používajú známe značky, a to aj s riešeniami dvojfaktorovej autentifikácie. Vyskytli sa aj prípady, prekvapujúce v opačnom smere, kedy naozaj veľmi veľké a známe spoločnosti (nie IT) odporúčali jednoducho nainštalovať TeamViewer na svoje kancelárske počítače.
V súčasnej situácii špecialisti zo spoločnosti "Aladdin R.D." odporúčame zaujať zodpovedný prístup k riešeniu problémov vzdialeného prístupu do vašej firemnej infraštruktúry. Pri tejto príležitosti, na samom začiatku všeobecného samoizolačného režimu, sme spustili .
Zdroj: hab.com