Основной темой кибербезопасности в 2021 году являлся covid-19 и переход государственных органов и крупных компаний на дистанционный формат выполнения работы. По аналитике Positive Technologies тренд на такой формат останется и в 2022 году.
О предоставлении безопасного удаленного доступа и соблюдении при этом требований регуляторов нами уже было написано немало статей:
Сегодня мы подробнее рассмотрим, как с организацией безопасного удаленного доступа может помочь решение «Континент 4» от российского вендора Код Безопасности.
Ключевыми угрозами при организации удаленного доступа являются:
Использование незащищенных каналов связи. Опасно тем, что возможен перехват и раскрытие передаваемых данных.
Использование личных устройств. Личные устройства удаленных сотрудников могут содержать вирусы (или совсем не иметь антивируса).
Использование публичных сервисов для обмена данных. В случае атаки на такие сервисы ваши данные могут быть украдены.
О том, как данные угрозы нейтрализовать, мы рассказывали в прошлых статьях.
Давайте представим следующую ситуацию:
Крупная государственная компания отправляет часть сотрудников на дистанционный формат. При работе таких пользователей с информацией конфиденциального характера необходимо соблюдать требования регуляторов и использовать ГОСТ-шифрование. Были куплены определенные продукты.
Что дальше? В отечественных VPN-концентраторах необходимо создать конфигурацию для подключения удаленных пользователей. И самое интересное – один пользователь = одна конфигурация. А если таких пользователей 100, 500, 1000..?
Так выглядит создание конфигурации для одного пользователя в Континент 3.9:
Так что же делать, если удаленных пользователей много? Создание большого количества пользователей требует большого количества времени.
В продукте «Континент 4» реализована интеграция пользователей через LDAP. Соответственно при массовом предоставлении удаленного доступа возможно создавать «конфиги» для групп Active Directory.
Рассмотрим, как выглядит настройка предоставления доступа удаленным пользователям в «Континент 4».
Интеграция групп Active Directory
В разделе «Администрирование» — «LDAP» необходимо создать LDAP-профиль:
Далее необходимо импортировать необходимые группы пользователей:
В списках объектов ЦУС во вкладке «Пользователи» появятся импортированные группы:
Далее можно приступить к формированию правил подключения по VPN и настройке ACL для VPN пользователей.
Формирование правил удаленного доступа:
Правила для подключения удаленных пользователей устанавливаются на сервере доступа и определяют условия предоставления доступа. Такими условиями являются:
Список пользователей или групп пользователей.
Метод аутентификации (по сертификату, по паролю, по сертификату или паролю).
Перечень ресурсов, к которым предоставляется доступ.
Режим управления соединениями.
В Континент 4 есть три режима управления соединениями:
1. Запрет незащищенных соединений.
В данном режиме будет установлен запрет пользователю на установку любых соединений, кроме указанных в правиле.
2. Перенаправление всех через VPN-туннель.
В данном режиме весь трафик от пользователя будет направляться на сервер доступа.
3. Без ограничений.
Данный режим разрешает пользователям любые другие соединения.
* — Для пользователей, интегрированных через LDAP, возможен метод авторизации только по паролю.
Далее необходимо создать соответствующие правила фильтрации:
Настройка сервера доступа
В разделе «Администрирование» — «Сертификаты» — «Корневые центры сертификации» создать корневой сертификат сервера доступа:
В разделе «Администрирование» — «Сертификаты» — «Персональные сертификаты» создать сертификат сервера доступа:
На узле безопасности активировать компонент «Сервер доступа», прикрепить созданные сертификаты и указать пул выдаваемых пользователям ip-адресов:
Далее необходимо сформировать конфигурационный файл для удаленного пользователя. Для пользователей, интегрированных через LDAP, необходимо экспортировать только «Профиль АП»:
Сформированный профиль передается пользователю. После установки Континент-АП необходимо добавить конфигурационный файл и ввести логин/пароль для подключения:
Таким образом, экспортируется именно профиль для группы AD. Пользователям остается лишь указать идентификационные данные для подключения и наименование профиля.
Стоит отметить, что Континент 4 может связываться с Multifactor для получения второго фактора аутентификации. В таком случае на стороне Multifactor настраивается LDAP-прокси, а на Континент 4 настраивается подключение к Multifactor по LDAP. Работает это так: от Multifactor дается LDAP Adapter, который выступает в роли перехватчика между Континент 4 и AD. То есть Континент 4 обращается к LDAP Adapter'у, тот в свою очередь отправляет запрос на AD, и если AD отвечает что такой пользователь существует и пароль введен верно, отправляет по своему API на сервер запрос о подтверждении входа, а именно 2FA на телефон пользователя. При подтверждении пользователем входа в мобильном приложении или телеграм-боте, пользователь считается прошедшим аутентификацию.
Подробную информацию о сертифицированном комплексе для обеспечения безопасности корпоративных сетей вы можете найти на сайте НТЦ "Нептунит" в разделе Код Безопасности.
Автор статьи: Дмитрий Лебедев, инженер ИБ
