V našem podjetju, tako kot v mnogih drugih IT in manj IT podjetjih, možnost oddaljenega dostopa obstaja že dolgo časa in mnogi zaposleni so jo uporabljali iz nuje. S širjenjem COVID-19 v svetu je naš IT oddelek po odločitvi vodstva podjetja začel preusmerjati zaposlene, ki so se vračali s potovanj v tujino, na delo na daljavo. Da, domačo samoizolacijo smo začeli izvajati že od začetka marca, še preden je postala običajna. Do sredine marca je bila rešitev že razširjena na celotno podjetje, konec marca pa smo vsi skoraj nemoteno prešli na nov način množičnega dela na daljavo za vse.
Tehnično gledano za implementacijo oddaljenega dostopa do omrežja uporabljamo Microsoft VPN (RRAS) – kot eno od vlog Windows Server. Ko se povežete z omrežjem, postanejo na voljo različni notranji viri, od skupnih točk, storitev za izmenjavo datotek, sledilcev hroščev do sistema CRM; za mnoge je to vse, kar potrebujejo za svoje delo. Za tiste, ki imajo še vedno delovne postaje v pisarni, je dostop do RDP konfiguriran prek prehoda RDG.
Zakaj ste se odločili za to odločitev oziroma zakaj se jo splača izbrati? Kajti če že imate domeno in drugo Microsoftovo infrastrukturo, potem je odgovor očiten, najverjetneje jo bo vaš IT oddelek lažje, hitreje in ceneje implementiral. Dodati morate le nekaj funkcij. Zaposleni bodo lažje konfigurirali komponente sistema Windows, kot pa prenašali in konfigurirali dodatne odjemalce za dostop.
Pri dostopu do samega prehoda VPN in nato pri povezovanju z delovnimi postajami in pomembnimi spletnimi viri uporabljamo dvofaktorsko avtentikacijo. Res bi bilo čudno, če kot proizvajalec rešitev za dvofaktorsko avtentikacijo ne bi tudi sami uporabljali naših izdelkov. To je naš korporativni standard, vsak zaposleni ima žeton z osebnim certifikatom, ki se uporablja za avtentikacijo na delovni postaji v pisarni do domene in do internih virov podjetja.
Po statističnih podatkih več kot 80 % incidentov z informacijsko varnostjo uporablja šibka ali ukradena gesla. Zato uvedba dvofaktorske avtentikacije močno poveča splošno raven varnosti podjetja in njegovih virov, omogoča zmanjšanje tveganja kraje ali ugibanja gesla na skoraj nič, prav tako pa zagotavlja, da komunikacija poteka z veljavnim uporabnikom. Pri izvajanju infrastrukture PKI je mogoče avtentikacijo z geslom popolnoma onemogočiti.
Z vidika uporabniškega vmesnika za uporabnika je ta shema celo enostavnejša od vnosa prijave in gesla. Razlog je v tem, da si zapletenega gesla ni več treba zapomniti, ni treba lepiti nalepk pod tipkovnico (ki krši vse možne varnostne politike), gesla ni treba spreminjati niti enkrat na 90 dni (čeprav to ni dolgo velja za najboljšo prakso, vendar se marsikje še vedno izvaja). Uporabnik si bo moral samo izmisliti ne zelo zapleteno kodo PIN in ne izgubiti žetona. Sam žeton je lahko izdelan v obliki pametne kartice, ki jo lahko udobno nosite v denarnici. RFID oznake je mogoče vgraditi v žeton in pametno kartico za dostop do pisarniških prostorov.
PIN koda se uporablja za avtentikacijo, omogočanje dostopa do ključnih informacij ter izvajanje kriptografskih transformacij in preverjanj.Izguba žetona ni strašljiva, saj kode PIN ni mogoče uganiti, po nekaj poskusih bo blokirana. Hkrati čip pametne kartice ščiti ključne informacije pred ekstrakcijo, kloniranjem in drugimi napadi.
Kaj drugega?
Če Microsoftova rešitev za oddaljeni dostop iz nekega razloga ni primerna, potem lahko implementirate infrastrukturo PKI in konfigurirate dvofaktorsko avtentikacijo z uporabo naših pametnih kartic v različnih infrastrukturah VDI (Citrix Virtual Apps and Desktops, Citrix ADC, VMware). Horizon, VMware Unified Gateway, Huawei Fusion) in varnostni sistemi strojne opreme (PaloAlto, CheckPoint, Cisco) in drugi izdelki.
O nekaterih primerih smo razpravljali v naših prejšnjih člankih.
V naslednjem članku bomo govorili o nastavitvi OpenVPN z avtentikacijo s certifikati MSCA.
Niti enega potrdila
Če se vam izvedba PKI infrastrukture in nabava strojne opreme za vsakega zaposlenega zdi preveč zapletena ali pa na primer ni tehnične možnosti priklopa pametne kartice, potem obstaja rešitev z enkratnimi gesli, ki temeljijo na našem JAS avtentikacijskem strežniku. Kot avtentifikatorje lahko uporabite programsko opremo (Google Authenticator, Yandex Key), strojno opremo (kateri koli ustrezen RFC, na primer JaCarta WebPass). Podprte so skoraj vse enake rešitve kot za pametne kartice/žetone. V prejšnjih objavah smo govorili tudi o nekaterih primerih konfiguracije.
Metode avtentikacije so lahko kombinirane, torej z OTP-jem - vstop lahko omogočijo samo mobilni uporabniki, klasične prenosnike/namiznike pa lahko avtentikirajo samo s certifikatom na žetonu.
Zaradi specifičnosti mojega dela se je v zadnjem času name osebno obrnilo veliko prijateljev, ki se ne ukvarjajo s tehniko, za pomoč pri vzpostavitvi oddaljenega dostopa. Tako smo lahko malo pokukali, kdo se je rešil iz situacije in kako. Prijetna presenečenja so bila, ko manj velika podjetja uporabljajo znane blagovne znamke, vključno z rešitvami dvofaktorske avtentikacije. Bili so tudi primeri, presenetljivi v nasprotni smeri, ko so res zelo velika in znana podjetja (ne IT) priporočala preprosto namestitev TeamViewerja na svoje službene računalnike.
V trenutnih razmerah so strokovnjaki iz podjetja "Aladdin R.D." priporočamo odgovoren pristop k reševanju problemov oddaljenega dostopa do infrastrukture vašega podjetja. Ob tej priložnosti smo na samem začetku splošnega samoizolacijskega režima začeli .
Vir: www.habr.com