VPN és elérés

VPN kapcsolatok védelme, két-faktorral

A legtöbb cég távoli, és virtuális magánhálózati (VPN) elérést biztosít, hogy a munkavállalók a cég irodahelyiségein kívül is hozzáférjenek a céges hálózathoz, és adatokhoz. A távoli hozzáférés megadása nagy figyelmet igényel, mivel óriási rést nyithat a külvilágnak a céges hálózatra, amennyiben nem megfelelő a hitelesítés. Alapvető fontosságú, hogy a VPN elérésekhez használt azonosítási módszerek a legmagasabb biztonságúak legyenek. A YubiRADIUS szoftver és a YubiKey tokenek használatával a VPN hozzáférések két-faktorossá tehetők, a tokenektől már megszokott egyszerű, és biztonságos módon. Az ingyenes, és nyílt forráskódú YubiRADIUS virtuális gépet pár órán belül be lehet üzemelni, hogy kiegészítsük, vagy leváltsuk a már meglévő megoldásokat, és bevezessük a két-faktoros azonosítást.

A megoldásról

Több, VPN környezetet is támogató két-faktoros azonosítási megoldás létezik. A Yubico megoldása a YubiRADIUS és YubiKey együttes használata több előnnyel rendelkezik más megoldásokkal szemben, kezdve a könnyű, és egyszerű bevezetéssel. A YubiRADIUS megoldás tökéletesen integrálódik a meglévő Active Directory vagy LDAP azonosítási megoldásokkal. A YubiRADIUS bevezetése nincs hatással a meglévő azonosítási metódusokra, tehát a felhasználók továbbra is képesek lesznek bejelentkezni a hálózatba a meglévő felhasználónevükkel, és jelszavukkal. A YubiRADIUS az AD vagy LDAP szerverek adatbázisaiból importálja a a felhasználókat, ezzel biztosítva a gyors bevezetést, és a megmaradó szinkronizációt.  A YubiKey tokenek már a felhasználókhoz rendelésük előtt is importálhatók, így bármikor könnyen hozzáadhatók új felhasználók is a rendszerbe a meglévő tartalék tokenek új felhasználókhoz rendelésével. Végül, de nem utolsó sorban a YubiRADIUS konfigurálható olyan módon, hogy a tokent automatikusan ahhoz a felhasználóhoz rendeli, aki először bejelentkezik vele. Ezzel a megoldással, különösen nagy felhasználószámnál, rendkívüli módon felgyorsul a két-faktoros azonosítás bevezetése, és rengeteg terhet vesz le az adminisztrátorokról.

Követelmények

  • Távoli hozzáférést biztosító átjáró, RADIUS PAP protokoll támogatással
  • Active Directory / LDAP szerver
  • Legalább 1 processzorral, 256 MB memóriával, 8 GB szabad hellyel rendelkező szerver
  • VMWare vagy OVF formátumot kezelni képes virtualizációs platform
  • YubiKey tokenek az adminisztrátoroknak, és felhasználóknak

YubiRADIUS megoldás bevezetése

A YubiRADIUS-t a biztonság mellett a gyors bevezethetőségre optimalizálták. A telepítés kezdetétől fogva pár órán belül már egy működő megoldással rendelkezünk. YubiRADIUS telepítése a két-faktoros azonosítás bevezetéséhez (pdf)

Ellenőrzés: YubiCloud vagy helyi megoldás

A YubiRADIUS virtuális gép beállítása előtt el kell dönteni, hogy melyik ellenőrzési módszert használjuk a YubiKey tokenek, illetve az egyszer használatos jelszavak ellenőrzésére. Két lehetőségünk van: a Yubico által üzemeltetett ellenőrzési szolgáltatás, a YubiCloud, vagy a helyi rendszerben üzemeltetett ellenőrzést végző szerver.

YubiCloud ellenőrzési szolgáltatás:

  • Ideális a gyors bevezetésre, és internethez közvetlenül kapcsolódó hálózatoknál
  • Használatával nem szükséges helyi kiszolgálókat üzemeltetni
  • A YubiKey tokenek azonnal működőképesek, nincs szükség külön konfigurációra
  • A YubiKey tokenek egyéb, YubiCloud által támogatással is használhatóak
  • Redundáns, biztonságos szolgáltatás, melynél eddig még nem jelentkezett kimaradás, vagy biztonsági incidens
  • A YubiRADIUS kiszolgálónak internet elérést kell biztosítani, a tűzfalakat ennek megfelelően kell konfigurálni

Helyi ellenőrzést végző kiszolgáló:

  • A helyi adminisztrátoroknak teljes ellenőrzést biztosít a YubiRADIUS üzemeltetésben
  • Ideális olyan hálózatokban, ahol az internet kapcsolat nem engedélyezett, vagy nem elérhető
  • Minden YubiKeyek tokenekhez kapcsolódó adat a cég, és az adminisztrátorok kezelése alatt marad
  • Ideális a legmegasabb biztonsági fokozatú környezetek számára
  • A YubiHSM által nyújtott plusz biztonsági szolgáltatások is elérhetők a YubiKey tokenek számára
  • Az adminisztrátoroknak kell beállítaniuk, és importálniuk a a YubiKey tokeneket a YubiRADIUS virtuális gépbe