Távmunka biztonságosan

Security-all

Céges környezetbe keresek olyan megoldást, amivel biztosítható az otthoni munkavégzés is: elérhessék a belső Windows 7 alapú gépeiket munkaidőben.

Fontos, hogy minden esetben biztosítsa a rendszer a felhasználó azonosítását, tehát ne lophassák el, ne adhassa tovább a hozzáférést.
Ismertek olyan megoldást, ami a böngészőkhöz hasonlóan "megjegyzi" milyen gépről csatlakoztak, és mondjuk 30 napig ott nem kér MFA-t, új gép esetén pedig először engedélyezni kell?

  • 1973 megtekintés

( lcsaszar v | 2018. 10. 25., cs – 14:54 )

VPN + RDP valami 2-szintű autentikációval esetleg?

A végponti eszköz nem azonosítja a felhasználót, ráadásul nem te menedzseled. Vagy kényelmesre, vagy biztonságosra csinálod meg, a kettő együtt (Átlag Béla Lujza felhasnzáló szempontjából) nem fog menni.
Amit tudok javasolni, az egy hardvertokent (Yubikey?) összeházasítani például OpenVPN-nel, és a VPN-ről egy darab, megfelelőennagyra méretezett RDP-kiszolgáló elérése.

A végpontot is továbbadhatja, odaülhet a nem menedzselt eszköz elé bárki. Androidon van olyan, hogy adott alkalmazásban tudsz ujjlenyomatot használni a jelszó/pin helyett. Ezt, pláne nem általad összerakott/menedzselt pécén nem tudod megvalósítani, viszont ez az, amit jó esetben nem tud harmadik személynek továbbadni a dolgozó. A retinaszkennert és más extrém dolgokat hagyjuk, az még kevésbé elterjedt azonosító eszköz a pécés világban :)

Mivel a végpontot _nem_ te menedzseled, így az azt azonosító információ tőled függetlenül másolható, átvihető másik eszközre. Nem, a sorozatszámok, a hálózati adapter MAC-címe sem alkalmas erre, az is "behazudható".

Neked olyasmi kell, ami valamilyen módon adott személyhez köthető, és erősebb, mint önmagában egy jelszó. Tudom, te "kényelmesebb"-et szeretnél, de egy "bedugom a tokent, megadok egy PIN-t, és megy"-nél nem nagyon van kényelmesebb megoldás, ha a minimális biztonságot is elvárjuk.

Azok a böngészős oldalak, ahol van ilyen "lerak a böngészőbe egy perzisztens sütit, hogy Gipsz Jakab be van jelentkezve", azok - ha jól megnézed - nem üzletileg kritikus weboldalak. Ne, egy webmail-es szolgáltatás nem az, ellenben egy netbank igen, egy magyarorszag.hu igen, egy takarnet, vagy épp egy KHR igen...
Te egy üzletileg kritikus (a cég adatait elérhetővé tevő) távoli hozzáférést szeretnél biztonságossá tenni úgy, hogy általad nem felügyelt gépet minden további azonosítás nélkül engednél be a céges hálózatra, modnván, hogy "már járt itt". Ha még te lennél az üzemeltetője ezeknek a távoli végpontoknak, és csak erre a célra (távelérés) hasnzálnák a uzerek a gépeket, még akkor sem lenne elfogadható a "megjegyzi a bejelentkezett állapotot", úgy meg,hogy közöd nics ahhoz, hogy ki, mit csinál az adott eszközön, nos úgy meg pláne problémás, hogy finoman fogalmazzak.

A biztonság eszközök, folyamatok, módszerek és előírások együtteséből kialakuló folyamat. A token továbbadását megfelelő előírásokkal tudod korlátozni, ha ez nem megy, akor tényleg fingerprint reader mindenkinek, és menedzselt authentikációs kliensek mindenhova.

böngészőknél szerintem egész jól működik, hogy nem kér minden alkalommal MFA-t, max ha valami változik a rendszeren
ezt azt hiszem "ujjlenyomattal" oldják meg, amit gondolom lehet ugyancsak hamisítani, de az már elég összetett
valami hasonlóra lenne szükségem de böngészőtől függetlenül

persze, eszközt is továbbadhatja ahogy "a szemét is kölcsön vehetik"... :)

Bőngészőknél, saját adatokkal jól működik, igen. Azt értsd meg, hogy a hozzáférést egy általad nem befolyásolható adathalmazzal akarod jóváhagyni. Nem véletlen, hogy ilyet nem csináltak még kritikus hozzáférésekhez, sőt, minden biztonséggal foglalkozó forrás erősen javasolja, hogy ilyen "bejelentkezve maradok" dolgot legfeljebb csak megbízható eszközön csinálj. A felhasnzáló a saját adatait úgy (nem) védi, ahogy akarja, a te esetedben viszont nem a dolgozó, hanem a munkáltató adatait, rendszerét kell védened, ahol nem igazán engedhető meg a "bejelentkezve maradtam" opció, pláne akkor ha a munkáltatói oldalnak nincs ráhatása a kliens-oldali eszközre, szoftverre.

( coco | 2018. 10. 25., cs – 15:03 )

Amiről elérik a belső gépeket azok menedzselt eszközök?

Pedig nagyjából ez az egyetlen felvetés eddig, ami teljesíti azt, amit kértél. Hardveresen az eszközhöz van kötve, az egyszeri bonyolult setup után pedig egyszerű a használata. Persze van egy hardver követelmény, hogy legyen TPM chip a user gépében. De ahogy mások is írták, az ellen ez sem véd, hogy egyszerűen magát az eszközt adja oda más valakinek.

Az MFA esetén "a browser megjegyzi az eszközt 30 napig" feature egyébként szintén nem 100% secure. Bár nem egyszerű, de a dolog természetéből adódóan a megjegyzett információ átvihető másik gépre, és ott a 30 nap lejártáig felhasználható.

Neked? Te vagy a cég tulajdonosa? Mert _nem_ a te adataidról, rendszeredről, illetve annak biztonságáról van szó, hanem annak a cégnek ezen értékeiről, ahol dolgozol.
Méág a weben direktben elérhető, minden alkalommal bejelentkezést igénylő céges levelezés is olyan, amit biztonsági szempontból nem tudok teljes mértékben elfogadni, de az sok helyen adottság és felhasnzálói igény, viszont nullára redukált authentikációval, pontosabban egy nem általam kezelt eszközt minden további nélkül beengedni a céges hálózatra... Mondjuk úgy, hogy nagy felelőtlenség. Lehet, hogy nem lesz belőle esemény, ahogy egy véletlenül nyitva maradt ajtón sem biztos, hogy bemegy egy tolvaj, de a jobb félni, mint egészni elv alapján inkább zárjuk kulcsra azt a fránya ajtót.
Ossz a felhasnzálóknak jelszavas certet openvpn-hez, és ha sikerül meglelniük a jelszó megjegyeztetését a vpngui-ban, akkor meg van oldva a problémád. Igaz, nem lesz 2FA, meg nem fog az adott eszköz "ismerősként köszöntése" lejárni, viszont kényelmes lesz. Nem biztonságos, de kényelmes.

( radzeer | 2018. 10. 25., cs – 15:32 )

Dolgozni is fognak vagy csak fájlok kellenek?

Ha dolgozni is, akkor távoli asztalt preferálok. Elég sok ügyfél felé kell nap mint nap távoli eléréssel mennem és még ez a legjobb. Ha lerohad a net - márpedig naponta párszor akárhol vagyok ez szinte biztos megesik - akár egy pillanatra is, akkor újrakapcsolódás és lehet tovább dolgozni.

Ellenben VPN-nél ultra szívás, ha ez azzal is együtt jár, hogy bezáródnak a távoli szolgáltatásokat használó ablakok. Márpedig ez igen genya dolog, rohadt idegesítő, hogy nem tudod elég gyakran menteni a munkád.

Mindkettőt láttam már mindenfélével kombinálva, tokennel, telefonos plusz autentikációval stb.

Lényeg a lényeg, lehessen használni is, mert iszonyat idegesítő, amikor ezzel megy a szarakodás és emiatt nem halad a munka.

Közben máshol ácsingózó secholeok vannak, de nem a távoli asztal elé be kell húzni még egy faktoros autentikációt..... Mert úgy biztonságosak leszünk és a kis auditor is ki tudja pipálni a listáját. Volt már olyan projekt, ahol a sok szakadás miatt napi 20 perc per fő ment el csak a bejelentkezéssel, a kizökkenést nem számítva. Ki lehet számolni hány nap ment így a lecsóba.

( zitev v | 2018. 10. 25., cs – 17:09 )

SSH+RDP
(Ja, most látom a tovabbi kritériumot, hogy ne adhassa tovább - ezt szvsz 100%-osan nem lehet megoldani).

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Smartkártya és letépjük a tökét ha átadja, még jobb eszemélyi a nem dokumentált interfészével. :) Bár a nisz tutira nem lájkolná. És venni kellene egyetlen cégtől kártyaolvasót (az enyémel simán aláírok, de azonosításra a remekül közbe szerzett kliens miatt nem jó)

Még a retinascanner is csak 50%-os (vagy önként néz a scannerbe, vagy "kölcsönveszik" a szemgolyót egy kis betekintésre, de utóbbi esetben már nem ugyanaz a személyazonosság, csak szemazonosság van...) :)

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

( joco01 v | 2018. 10. 25., cs – 17:43 )

A gépre tanúsítvány (rövid lejárattal), az embernek jelszó+hardveres kulcs (pl. Yubikey). Nagyban megkönnyíti a dolgot, ha az összes kliens gépet a cég adja, és tudsz rátenni központilag cuccokat (vírusirtó, tanúsítvány, VPN beállítások). Ha BYOD-ról engedsz csatlakozni, akkor a legnagyobb baj avval van, ha a kolléga beszop egy vírust vagy egyéb támadást, mert ugyanarról a gépről nézi a pornót, drivereket tölt le random oldalakról meg ilyesmi. Jobb helyeken ilyen megbízhatatlan gépről nem szabad hozzáférni érzékeny adathoz.