1июня 2022
Удаленный доступ для доменных пользователей
в Континент 4
в Континент 4
Содержание статьи
Запросить триальные лицензии вы можете заполнив форму
Получить триальную лицензию
Наш специалист свяжется с вами в ближайшее время
Основной темой кибербезопасности в 2021 году являлся covid-19 и переход государственных органов и крупных компаний на дистанционный формат выполнения работы. По аналитике Positive Technologies тренд на такой формат останется и в 2022 году.
О предоставлении безопасного удаленного доступа и соблюдении при этом требований регуляторов написано немало статей:
Сегодня подробнее рассмотрим, как с организацией безопасного удаленного доступа помогает «Континент 4» от российского вендора Код Безопасности.
О предоставлении безопасного удаленного доступа и соблюдении при этом требований регуляторов написано немало статей:
Сегодня подробнее рассмотрим, как с организацией безопасного удаленного доступа помогает «Континент 4» от российского вендора Код Безопасности.
Ключевыми угрозами при организации удаленного доступа являются:
1. Использование незащищенных каналов связи. Опасно тем, что возможен перехват и раскрытие передаваемых данных.
2. Использование личных устройств. Личные устройства удаленных сотрудников могут содержать вирусы (или совсем не иметь антивируса).
3. Использование публичных сервисов для обмена данных. В случае атаки на такие сервисы ваши данные могут быть украдены.
О том, как данные угрозы нейтрализовать, мы рассказывали в прошлых статьях.
Давайте представим следующую ситуацию:
Крупная государственная компания отправляет часть сотрудников на дистанционный формат. При работе таких пользователей с информацией конфиденциального характера необходимо соблюдать требования регуляторов и использовать ГОСТ-шифрование. Были куплены определенные продукты.
Что дальше? В отечественных VPN-концентраторах необходимо создать конфигурацию для подключения удаленных пользователей. И самое интересное – один пользователь = одна конфигурация. А если таких пользователей 100, 500, 1000..?
Так выглядит создание конфигурации для одного пользователя в Континент 3.9:
2. Использование личных устройств. Личные устройства удаленных сотрудников могут содержать вирусы (или совсем не иметь антивируса).
3. Использование публичных сервисов для обмена данных. В случае атаки на такие сервисы ваши данные могут быть украдены.
О том, как данные угрозы нейтрализовать, мы рассказывали в прошлых статьях.
Давайте представим следующую ситуацию:
Крупная государственная компания отправляет часть сотрудников на дистанционный формат. При работе таких пользователей с информацией конфиденциального характера необходимо соблюдать требования регуляторов и использовать ГОСТ-шифрование. Были куплены определенные продукты.
Что дальше? В отечественных VPN-концентраторах необходимо создать конфигурацию для подключения удаленных пользователей. И самое интересное – один пользователь = одна конфигурация. А если таких пользователей 100, 500, 1000..?
Так выглядит создание конфигурации для одного пользователя в Континент 3.9:
Так что же делать, если удаленных пользователей много? Создание большого количества пользователей требует большого количества времени.
В продукте «Континент 4» реализована интеграция пользователей через LDAP. Соответственно при массовом предоставлении удаленного доступа возможно создавать «конфиги» для групп Active Directory.
Рассмотрим, как выглядит настройка предоставления доступа удаленным пользователям в «Континент 4».
В продукте «Континент 4» реализована интеграция пользователей через LDAP. Соответственно при массовом предоставлении удаленного доступа возможно создавать «конфиги» для групп Active Directory.
Рассмотрим, как выглядит настройка предоставления доступа удаленным пользователям в «Континент 4».
Интеграция групп Active Directory
В разделе «Администрирование» — «LDAP» необходимо создать LDAP-профиль:
Далее необходимо импортировать необходимые группы пользователей:
В списках объектов ЦУС во вкладке «Пользователи» появятся импортированные группы:
Далее можно приступить к формированию правил подключения по VPN и настройке ACL для VPN пользователей.
Формирование правил удаленного доступа:
Правила для подключения удаленных пользователей устанавливаются на сервере доступа и определяют условия предоставления доступа. Такими условиями являются:
1. Список пользователей или групп пользователей.
2. Метод аутентификации (по сертификату, по паролю, по сертификату или паролю).
3. Перечень ресурсов, к которым предоставляется доступ.
4. Режим управления соединениями.
В Континент 4 есть три режима управления соединениями:
1. Запрет незащищенных соединений
В данном режиме будет установлен запрет пользователю на установку любых соединений, кроме указанных в правиле.
2. Перенаправление всех через VPN-туннель
В данном режиме весь трафик от пользователя будет направляться на сервер доступа.
3. Без ограничений
Данный режим разрешает пользователям любые другие соединения.
1. Список пользователей или групп пользователей.
2. Метод аутентификации (по сертификату, по паролю, по сертификату или паролю).
3. Перечень ресурсов, к которым предоставляется доступ.
4. Режим управления соединениями.
В Континент 4 есть три режима управления соединениями:
1. Запрет незащищенных соединений
В данном режиме будет установлен запрет пользователю на установку любых соединений, кроме указанных в правиле.
2. Перенаправление всех через VPN-туннель
В данном режиме весь трафик от пользователя будет направляться на сервер доступа.
3. Без ограничений
Данный режим разрешает пользователям любые другие соединения.
* — Для пользователей, интегрированных через LDAP, возможен метод авторизации только по паролю.
Далее необходимо создать соответствующие правила фильтрации:
Далее необходимо создать соответствующие правила фильтрации:
Настройка сервера доступа
В разделе «Администрирование» — «Сертификаты» — «Корневые центры сертификации» создать корневой сертификат сервера доступа:
В разделе «Администрирование» — «Сертификаты» — «Персональные сертификаты» создать сертификат сервера доступа:
На узле безопасности активировать компонент «Сервер доступа», прикрепить созданные сертификаты и указать пул выдаваемых пользователям ip-адресов:
Решить тикет. В рамках знакомства с нашей технической поддержкой CP Support, мы предлагаем решить один тикет бесплатно. Подробнее здесь.
Далее необходимо сформировать конфигурационный файл для удаленного пользователя. Для пользователей, интегрированных через LDAP, необходимо экспортировать только «Профиль АП»:
Сформированный профиль передается пользователю. После установки Континент-АП необходимо добавить конфигурационный файл и ввести логин/пароль для подключения:
Таким образом, экспортируется именно профиль для группы AD. Пользователям остается лишь указать идентификационные данные для подключения и наименование профиля.
Стоит отметить, что Континент 4 может связываться с Multifactor для получения второго фактора аутентификации. В таком случае на стороне Multifactor настраивается LDAP-прокси, а на Континент 4 настраивается подключение к Multifactor по LDAP. Работает это так: от Multifactor дается LDAP Adapter, который выступает в роли перехватчика между Континент 4 и AD. То есть Континент 4 обращается к LDAP Adapter'у, тот в свою очередь отправляет запрос на AD, и если AD отвечает что такой пользователь существует и пароль введен верно, отправляет по своему API на сервер запрос о подтверждении входа, а именно 2FA на телефон пользователя. При подтверждении пользователем входа в мобильном приложении или телеграм-боте, пользователь считается прошедшим аутентификацию.
Подробную информацию о продукте можно найти на сайте Нептунита в разделе Код Безопасности.
Автор статьи: Дмитрий Лебедев, инженер TS Solution.
Стоит отметить, что Континент 4 может связываться с Multifactor для получения второго фактора аутентификации. В таком случае на стороне Multifactor настраивается LDAP-прокси, а на Континент 4 настраивается подключение к Multifactor по LDAP. Работает это так: от Multifactor дается LDAP Adapter, который выступает в роли перехватчика между Континент 4 и AD. То есть Континент 4 обращается к LDAP Adapter'у, тот в свою очередь отправляет запрос на AD, и если AD отвечает что такой пользователь существует и пароль введен верно, отправляет по своему API на сервер запрос о подтверждении входа, а именно 2FA на телефон пользователя. При подтверждении пользователем входа в мобильном приложении или телеграм-боте, пользователь считается прошедшим аутентификацию.
Подробную информацию о продукте можно найти на сайте Нептунита в разделе Код Безопасности.
Автор статьи: Дмитрий Лебедев, инженер TS Solution.