Czy Twoje konto jest bezpieczne?

Mamy coraz więcej klientów, którzy używają lub zamierzają użyć narzędzia RD Gateway, aby umożliwić użytkownikom dostęp do swoich wewnętrznych środowisk terminalowych spoza ich sieci korporacyjnej. Ich wymagania co do pracy zdalnej są zróżnicowane: od 50 do nawet kilku tysięcy użytkowników.

Ich użytkownicy uzyskują dostęp do środowiska RDS głównie z urządzeń niezarządzanych przez wewnętrzne systemy korporacyjne, a do tego dochodzi różnorodność systemów operacyjnych. Coraz częściej platforma terminalowa, zastępuje również połączenia VPN dla pracowników firm zewnętrznych w obawie przed przedostaniem się niepożądanego oprogramowania i braku kontroli nad zewnętrznymi systemami. W tym wiecznie połączonym, wielourządzeniowym i wieloplatformowym świecie bezpieczeństwo kont użytkowników jest ważniejsze niż kiedykolwiek.

Hasło, bez względu na złożoność, używane na różnych urządzeniach, sieciach i platformach już nie wystarcza do zapewnienia bezpieczeństwa konta użytkownika. Zwłaszcza, gdy użytkownicy mają tendencję do ponownego wykorzystywania haseł na różnych kontach, a wyrafinowane ataki phishingowe i inne ataki socjotechniczne przyczyniają się do kradzieży tożsamości. Nasi klienci martwili się do tej pory zarówno o kradzież urządzeń, jak i o ryzyko przechwycenia przez intruza danych dostępowych do środowiska RDS. O tym, i nie tylko, w dalszej części materiału.

Poszukując rozwiązań tego problemu (i biorąc pod uwagę wymagania klientów) przyjrzeliśmy się użyciu uwierzytelniania wieloskładnikowego wraz z RD Gateway. Stworzenie sekwencji uwierzytelniania wymagałoby dwóch form identyfikacji w celu uzyskania dostępu do środowiska RDS:

• informacje znane tylko użytkownikowi – kombinacja jego nazwy użytkownika oraz hasła,
• hasło jednorazowe zmienne czasowo np. co 30sek.

Zbadaliśmy kilka różnych ofert uwierzytelniania wieloskładnikowego, tych mniej oraz bardziej komercyjnych, poznając ich funkcjonalność oraz koszty utrzymania i administracji. Skoncentrowaliśmy się na RCDevs.

Czemu uwierzytelnianie wieloskładnikowe RCDevs?

Mamy ku temu kilka powodów:

1. Cena za licencję jest doskonała w porównaniu do kilku innych konkurencyjnych rozwiązań. Ponadto, aż 40 pierwszych użytkowników obsłużymy za darmo, a każdego kolejnego za mniej niż 2 euro/mc. Z kolei konkurencja w tym zakresie pozwala w podstawowym wymiarze maksymalnie do dziesięciu darmowych kont, gdzie każde dodatkowe koto użytkownika jest płatne powyżej 3 euro/mc.
2. Usługa RCDevs może ukończyć drugą warstwę uwierzytelniania za pośrednictwem telefonu komórkowego (kod & push) lub urządzenia inteligentnego np. kluczy typu FIDO2.
3. Usługę RCDevs można również skonfigurować tak, aby wymagała unikatowego kodu PIN, który zna tylko użytkownik. Bez znaczenia jest, jakie urządzenie jest używane do uzyskania dostępu do środowiska, użytkownik będzie potrzebował czegoś więcej niż jednych danych uwierzytelniających (które są często buforowane), aby się dostać.
4. Na poziomie usługi, administratorzy działu IT mają możliwość elastycznie budować role administracyjne dla określonej grupy użytkowników, delegując np. uprawnienia operatorom kont użytkowników.
5. Platforma pozwala bezpiecznie wystawić portal dla użytkownika końcowego, pozwalając na rejestrację jego urządzenia dodatkowego, jak i na późniejszą administrację urządzenia.
6. Istnieje możliwość bezpiecznego opublikowania w sieci publicznej mechanizmu zmiany hasła użytkownika. Jest to możliwe na podstawie znanego użytkownikowi aktualnego hasła oraz kodu token urządzenia przypisanego do tej samej osoby, według polityk ujętych w środowisku domenowym.
7. Usługa jest skalowalna, bezpieczna i niezawodna w środowisku, z którego korzystają nasi partnerzy.

Jak korzystać z RD Gateway?

Po pierwsze, rozwiązanie RD Gateway jest proste i dostępne z poziomu każdego systemu operacyjnego oraz lokalizacji. Po drugie, w komunikacji z sieci publicznej do środowiska terminalowego wymagany jest tylko dostęp do Internetu oraz możliwość nawiązywania połączeń po protokole SSL na port 443. Użytkownicy należący do grupy terminalowej, a jednocześnie pracujący na komputerze firmowym mają ten proces bardzo mocno zautomatyzowany.

Po zalogowaniu do systemu operacyjnego, wykorzystując protokół RADC, u użytkownika w Menu Start zostanie udostępniony folder Work Resources (RADC)  wraz z zawartością. Do kolekcji przypisane będą zdalne aplikacje należące do grupy użytkownika oraz dostęp do pełnego terminala. Należy tu zwrócić uwagę, iż konfiguracja tych aplikacji zawiera również możliwość poprawnego nawiązywania połączenia z sieci publicznej. Kolejnym miejscem, z którego użytkownicy mogą nawiązywać dostęp do środowiska terminalowego jest portal internetowy Web Access dostępny w sieci lokalnej i publicznej. Na tym etapie wymagamy od użytkownika podania informacji: nazwa domeny/login oraz hasło.

Po wprowadzeniu danych w poprawny sposób, użytkownik dostaje dostęp do zawartości publikowanych aplikacji oraz narzędzi związanych z obsługa mechanizmu uwierzytelnienia wieloskładnikowego.

W celu nawiązania pierwszego połączenia zdalnego, wymagana jest konfiguracja dodatkowego urządzenia dla użytkownika. Po kliknięciu w zakładkę Local User Self-Service Desk umieszczoną na stronie głównej, będąc w sieci lokalnej, użytkownik uzyskuje dostęp do portalu, na którym może zarejestrować swoje urządzenie. Jest to możliwe po wcześniejszej aktywacji konta użytkownika przez operatora MFA.

W tym samym miejscu użytkownik może zweryfikować poprawność działania urządzenia wykonując Test login.

W tym scenariuszu pracownicy firm zewnętrznych oraz użytkownicy pracujący na zewnątrz nie maja możliwości rejestracji swoich urządzeń i dostępu do portalu. W celu realizacji w tym zakresie muszą zwrócić się z prośbą do lokalnego działu IT o przesłanie kodu QR, który jest ważny tylko przez 30 minut.

Posiadając już wszystkie składniki potrzebne do zdalnego zalogowania, przejdźmy do procesu analizy uzyskania dostępu do środowiska terminalowego.

Będąc zalogowanym na portalu Web Access, przy uruchamianiu zdalnej aplikacji lub dostępu do pełnego terminala tworzony jest złożony proces weryfikacji użytkownika, składający się z następujących etapów: 

1. Połączenie przychodzące jest przyjmowane przez bramkę RD Gateway sprawdzając lokalną politykę, między innymi przynależności użytkownika do wskazanej grupy z Active Directory, pozwalającej na nawiązywania połączeń z sieci publicznej.
2. Po poprawnej weryfikacji dane są przekazywane do lokalnego serwera NPS, w celu kontynuowania weryfikacji użytkownika.
3. Na podstawie informacji przychodzących od wskazanego klienta radius stosowana jest polityka przekazania do dalszej weryfikacji tożsamości użytkownika na dodatkowy lokalny serwer MFA.
4. Serwer MFA przyjmuje połączenie od serwera NPS. Następnie na podstawie przypisanej polityki dla klientów terminalowych wysyła żądanie akceptacji przez użytkownika do serwera pośredniego Proxy OTP.
5. Zadaniem serwera Proxy OTP jest przekazywanie żądań do klientów objętych polityką serwera MFA i zwracanie informacji zwrotnych o akceptacji lub odrzuceniu.
6. W tym momencie na urządzaniu użytkownika pojawia się 30-sekundowy komunikat o akceptacji lub odrzuceniu procesu weryfikacji tożsamości użytkownika.
7. Po akceptacji użytkownika pośredni serwer Proxy OTP przekazuje informacje do serwera MFA.
8. Serwer MFA informuje lokalny serwer NPS o kontynuowaniu weryfikacji lub zaprzestaniu i odrzuceniu połączenia.
9. Na serwerze NPS, po potwierdzeniu tożsamości użytkownika (login i hasło) oraz akceptacji na urządzeniu dodatkowym, można kontynuować przetwarzanie dodatkowych polityk sieciowych.
10. W stosowanych scenariuszach środowisk terminalowych, bazując na naszym doświadczeniu, preferujemy trzy dodatkowe polityki podnoszące bezpieczeństwo pracy:

• Warunek A – jeśli użytkownik należy do lokalnej grupy z dostępem do usługi RDS i nawiązuje połączenie z komputera firmowego, zezwalamy na połączenie i dodatkowo pozwalamy na przekierowanie schowka w sesji zdalnej;
• Warunek B – jeśli użytkownik należy do lokalnej grupy z dostępem do usługi RDS i nawiązuje połączenie z komputera niezaufanego, zezwalamy na połączenie i blokujemy przekierowanie schowka;
• Warunek C – dotyczy pracowników firm zewnętrznych, posiada funkcjonalność warunku B oraz ograniczenia czasowe pozwalające na logowanie w godzinach ustalonych przez dział IT.

Warunków możliwych do konfiguracji dodatkowych obostrzeń jest naprawdę wiele i jest tu duża elastyczność dostosowania do potrzeb klienta.

1. Po spełnieniu wszystkich warunków polityk sieciowych NPS przekazuje do serwera RD Gataway zezwolenie na zestawienie połączenia szyfrowanego SSL i umożliwienie zestawienia komunikacji RDP do serwera RD Broker.
2. Nadzorca sesji terminalowych, jaką pełni tu funkcje RD Broker, na podstawie przynależności użytkownika do grupy powiązanej z kolekcją RD Session Host przekazuje połączenie do serwera o najlepszych właściwościach pozwalających na zestawienie komunikacji.
3. Dalsza praca w środowisku terminalowym określona jest przez zasady ujęte w polityce GPO oraz konfiguracji kolekcji terminalowej.

Wdrożenie wyżej opisanego środowiska terminalowego z dostępem z sieci publicznej, przy wykorzystaniu dwuetapowej weryfikacji użytkownika, przyniosło naszym klientom nie tylko bezpieczeństwo i łatwość nawiązywania połączeń. Wykazało również wzrost wydajności pracy użytkowników w aplikacjach, do tej pory wykorzystywanych lokalnie na komputerach, a obecnie umieszczonych w środowisku terminalowym. Dodatkowo zmniejszyło to nakłady na utrzymanie i aktualizowanie aplikacji, a w przypadkach awarii pozwoliło na szybki ich powrót, wykorzystując replikacje VM lub backup.

Dodatkowe scenariusze z użyciem MFA

Analizując na bieżąco potrzeby naszych Klientów i znając możliwości dwuetapowej weryfikacji użytkownika, realizujemy podobne projekty podnosząc bezpieczeństwo w zakresie:

• standardowych połączeń VPN realizowanych przez urządzenia brzegowe, integrując je z istniejącą strukturą Active Directory i znanym już nam schematem opisanym wyżej;
• powiązania serwera NPS, usługi serwera MFA i Proxy OTP;
• podnoszenia bezpieczeństwa w dostępie do zarządzania urządzeniami brzegowymi (router, utp itp.) oraz przełącznikami sieciowymi w scenariuszu wymaganym dla połączeń typu Administracyjnego oraz Użytkownika;
• dostępu do strategicznych serwerów aplikacyjnych umieszczonych w izolowanych przestrzeniach adresowych.

 Dodatkową zaletą tego pełnego rozwiązania, łączącego usługi terminalowe z MFA, jest jeszcze możliwość publikowania w sieci publicznej portalu do bezpiecznej zmiany hasła przez użytkownika. Użytkownik pracujący w sieci publicznej, logując się do portalu Web Access, ma możliwość skorzystania z linku odwołującego się do zmiany hasła z wykorzystaniem tokenu generowanego na jego zaufanym urządzeniu.

Do zalogowania się w usłudze umożliwiającej zmianę hasła użytkownika w lokalnej strukturze Active Directory wymagane są:

• login i aktualne hasło użytkownika;
• 6- lub nawet 10-znakowy kod OTP generowany na urządzeniu, dostępny czasowo def. przez 30 sek.

Korzyści

1. Dostęp do aplikacji i danych z każdego miejsca przy wykorzystaniu komunikacji po standardowym porcie HTTPS.
2. Dostęp do zasobów i aplikacji z dowolnego urządzenia i systemu operacyjnego, które posiada RDP klienta.
3. Połączenie do Farmy Terminalowej z sieci Publicznej nie wymagające wcześniejszego nawiązywania połączenia VPN.
4. Bezpieczne połączenie RDGW + MFA – weryfikacja dwuetapowa to metoda uwierzytelniania, która wymaga więcej niż jednej metody weryfikacji.
5. Bezpieczne przetwarzanie danych gwarantowane przez wielostopniową ochronę.
6. Wysoka dostępność usług, skalowalna do wymagań Klienta.
7. Konsolidacje aplikacji i danych w jednym miejscu.
8. Praca całego zespołu na tej samej wersji współdzielonych systemów, aplikacji i danych.

Chcesz wiedzieć więcej? Napisz do naszego eksperta na adres: piotr.sebastianski@itpunkt.pl.