Удаленный доступ для доменных пользователей в Континент 429.02.2024 09:15

Основной темой кибербезопасности в 2021 году являлся covid-19 и переход государственных органов и крупных компаний на дистанционный формат выполнения работы. По аналитике Positive Technologies тренд на такой формат останется и в 2022 году.

О предоставлении безопасного удаленного доступа и соблюдении при этом требований регуляторов нами уже было написано немало статей:

Сегодня мы подробнее рассмотрим, как с организацией безопасного удаленного доступа может помочь решение «Континент 4» от российского вендора Код Безопасности.

Ключевыми угрозами при организации удаленного доступа являются:

1. Использование незащищенных каналов связи. Опасно тем, что возможен перехват и раскрытие передаваемых данных.2. Использование личных устройств. Личные устройства удаленных сотрудников могут содержать вирусы (или совсем не иметь антивируса).

3. Использование публичных сервисов для обмена данных. В случае атаки на такие сервисы ваши данные могут быть украдены.

О том, как данные угрозы нейтрализовать, мы рассказывали в прошлых статьях.

Давайте представим следующую ситуацию:

Крупная государственная компания отправляет часть сотрудников на дистанционный формат. При работе таких пользователей с информацией конфиденциального характера необходимо соблюдать требования регуляторов и использовать ГОСТ-шифрование. Были куплены определенные продукты.

Что дальше? В отечественных VPN-концентраторах необходимо создать конфигурацию для подключения удаленных пользователей. И самое интересное — один пользователь = одна конфигурация. А если таких пользователей 100, 500, 1000…?

Так выглядит создание конфигурации для одного пользователя в Континент 3.9:

dab6b5899a1cf308538ca6de62db4380.gif

Так что же делать, если удаленных пользователей много? Создание большого количества пользователей требует большого количества времени.

В продукте «Континент 4» реализована интеграция пользователей через LDAP. Соответственно при массовом предоставлении удаленного доступа возможно создавать «конфиги» для групп Active Directory.

Рассмотрим, как выглядит настройка предоставления доступа удаленным пользователям в «Континент 4».

Интеграция групп Active Directory

В разделе «Администрирование» — «LDAP» необходимо создать LDAP-профиль:

844c64803abdcfaf075348e4d6674d4e.png

Далее необходимо импортировать необходимые группы пользователей:

7606a8757a7231332e93d69383034f39.png

В списках объектов ЦУС во вкладке «Пользователи» появятся импортированные группы:

e55484b89fe900a0745ebdbc0494e0b3.png

Далее можно приступить к формированию правил подключения по VPN и настройке ACL для VPN пользователей.

Формирование правил удаленного доступа:

Правила для подключения удаленных пользователей устанавливаются на сервере доступа и определяют условия предоставления доступа. Такими условиями являются:

1. Список пользователей или групп пользователей.
2. Метод аутентификации (по сертификату, по паролю, по сертификату или паролю).
3. Перечень ресурсов, к которым предоставляется доступ.
4. Режим управления соединениями.

В Континент 4 есть три режима управления соединениями:

1. Запрет незащищенных соединений
В данном режиме будет установлен запрет пользователю на установку любых соединений, кроме указанных в правиле.

2. Перенаправление всех через VPN-туннель
В данном режиме весь трафик от пользователя будет направляться на сервер доступа.

3. Без ограничений
Данный режим разрешает пользователям любые другие соединения.

8560984fda4ee9d4d98952df8dd31b15.png

* — Для пользователей, интегрированных через LDAP, возможен метод авторизации только по паролю.

Далее необходимо создать соответствующие правила фильтрации:

b3378b30c42fa4492b2b82e51f7b1110.png

Настройка сервера доступа

В разделе «Администрирование» — «Сертификаты» — «Корневые центры сертификации» создать корневой сертификат сервера доступа:

436e6e6848cfce306ecfe5936aa33f55.png

В разделе «Администрирование» — «Сертификаты» — «Персональные сертификаты» создать сертификат сервера доступа:

fce9af3017793003252f58f7cb0fb4cc.png

На узле безопасности активировать компонент «Сервер доступа», прикрепить созданные сертификаты и указать пул выдаваемых пользователям ip-адресов:

14ce5d798ddb123cfacc4d2e84029ad9.png56b8c973e2b5a27e1ab26e1d10fa6377.pnga3ffd6a77a5982a5d8d5cf97cd7bc999.png

Далее необходимо сформировать конфигурационный файл для удаленного пользователя. Для пользователей, интегрированных через LDAP, необходимо экспортировать только «Профиль АП»:

25152648f91b56e86e98fcbbd702e9e6.png4dc0837db50fafc0d3c877a452369903.png3b077fe04f8935c918e7b47cb815451d.png2e520970223022228e87e2859754f2f2.png

Сформированный профиль передается пользователю. После установки Континент-АП необходимо добавить конфигурационный файл и ввести логин/пароль для подключения:

083ac0df82a23c2e27606db5a1a808d0.png

Таким образом, экспортируется именно профиль для группы AD. Пользователям остается лишь указать идентификационные данные для подключения и наименование профиля.

Стоит отметить, что Континент 4 может связываться с Multifactor для получения второго фактора аутентификации. В таком случае на стороне Multifactor настраивается LDAP-прокси, а на Континент 4 настраивается подключение к Multifactor по LDAP. Работает это так: от Multifactor дается LDAP Adapter, который выступает в роли перехватчика между Континент 4 и AD. То есть Континент 4 обращается к LDAP Adapter’у, тот в свою очередь отправляет запрос на AD, и если AD отвечает что такой пользователь существует и пароль введен верно, отправляет по своему API на сервер запрос о подтверждении входа, а именно 2FA на телефон пользователя. При подтверждении пользователем входа в мобильном приложении или телеграм-боте, пользователь считается прошедшим аутентификацию.

Подробную информацию о сертифицированном комплексе для обеспечения безопасности корпоративных сетей вы можете найти на сайте НТЦ «Нептунит» в разделе Код Безопасности.

Автор статьи:  Дмитрий Лебедев, инженер ИБ

© Habrahabr.ru