VPN a dostupnosť

Ochrana VPN pripojení dvomi faktormi

Väčšina moderných spoločností zabezpečí vzdialené a virtuálne pripojenie (VPN) pre zamestnancov, aby sa k firemným sieťam a údajom mohli dostať aj mimo priestorov spoločnosti. Ak nie je vhodné overovanie, pridelenie vzdialeného prístupu môže spôsobiť veľkú medzeru pre vniknutie okolia na firemné siete, preto si to žiada veľkú pozornosť. Zásadne je dôležité to, aby autentifikačné prístupy používané pre VPN pripojenia, boli najvyššej úrovni bezpečnosti. Už obvyklým jednoduchým, a bezpečným spôsobom overovania tokenov, a pomocou YubiRADIUS je možné spraviť VPN prístupy taktiež dvojfaktorovým. K tomu, aby sme doplnili, alebo nahradili doteraz používané riešenie, máme možnosť len za niekoľko hodín nasadiť a pracovať s bezplatným virtuálnym, open source riešením YubiRADIUS, s overovaním dvomi faktormi.

O riešení

Existuje viacero dvojfaktorových overovacích riešení pre VPN. V porovnaní s ostatnými riešeniami znáša riešenie od Yubico – spoločné využívanie YubiRADIUS a YubiKey – viacero výhod, počnúc s jednoduchým zavedením. YubiRADIUS sa dokonale integruje k už aktívnym overovacím riešeniam Active Directory, či LDAP. Zavedenie YubiRADIUS nevplýva na zavedené overovacie metódy, čiže používatelia budú aj naďalej môcť prihlásiť na sieť vlastným používateľským menom a heslom. YubiRADIUS importuje používateľov z databáz AD a LDAP, tým zaručuje rýchle nasadenie a synchronizáciu. Tokeny YubiKey je možné importovať ešte pred pridelením k používateľovi, tým je jednoduché zaviesť nových používateľov do systému s pridelením náhradných tokenov k novým používateľom. V neposlednom rade je možné nastaviť YubiRADIUS tak, že on automaticky pridelí token tomu používateľovi, ktorý sa prvý s ním prihlási. Týmto nástrojom sa aj pri vysokých počtoch používateľov zrýchli zavedenie dvojfaktorového overovania, a zjednoduší to prácu správcov.

Požiadavky

  • Tunel vzdialeného prístupu s podporou protokolu RADIUS PAP
  • Server Active Directory / LDAP
  • Server aspoň s jedným procesorom, 256 MB pamäťou, a 8 GB voľným miestom
  • Platforma virtualizácie pre VMWARE, alebo OVF
  • Tokeny YubiKey pre správcov a používateľov

Zavedenie riešenia YubiRADIUS

Popri zabezpečeniu bol YubiRADIUS navrhnutý aj pre rýchle zavedenie. Od začiatku inštalácie dostávame za niekoľko hodín funkčný systém. Inštalácia YubiRADIUS pre dvojfaktorové overovanie (pdf)

Kontrola: YubiCloud či miestne riešenie

Pred nastavením virtuálneho stroja je potrebné si stanoviť ktorý spôsob kontroly bude používaný pre overovanie YubiKey tokenov a jednorazových hesiel. Sú dve možnosti: kontrolný servis YubiCloud, alebo lokálny server vykonávajúci kontrolu.

Kontrolný servis YubiCloud:

  • Ideálne na rýchle zavedenie, a na sieťach pripájajúcich sa priamo na internet
  • Pri jeho používaní nie je potrebné prevádzkovať lokálne servery
  • Tokeny YubiKey sú už ihneď pripravené k používaniu, nie je potrebné žiadne nastavenie
  • Tokeny budú používateľné aj pri podpore iných YubiCloud
  • Je to redundantný, bezpečný servis, pri ktorom sa ešte nevyskytol výpadok, alebo iný bezpečnostný incident
  • Pre server YubiRADIUS je potrebné poskytovať prístup na internet, firewally musíme nakonfigurovať podľa toho

Lokálny server kontroly:

  • Pre miestnych administrátorov to poskytuje plnú kontrolu pri prevádzkovaní YubiRADIUS
  • Ideális olyan hálózatokban, ahol az internet kapcsolat nem engedélyezett, vagy nem elérhető
  • Minden YubiKeyek tokenekhez kapcsolódó adat a cég, és az adminisztrátorok kezelése alatt marad
  • Ideális a legmegasabb biztonsági fokozatú környezetek számára
  • A YubiHSM által nyújtott plusz biztonsági szolgáltatások is elérhetők a YubiKey tokenek számára
  • Az adminisztrátoroknak kell beállítaniuk, és importálniuk a a YubiKey tokeneket a YubiRADIUS virtuális gépbe