Twoje PC  
Zarejestruj się na Twoje PC
TwojePC.pl | PC | Komputery, nowe technologie, recenzje, testy
B O A R D
   » Board
 » Zadaj pytanie
 » Archiwum
 » Szukaj
 » Stylizacja

 
M E N U
  0
 » Nowości
0
 » Archiwum
0
 » Recenzje / Testy
0
 » Board
0
 » Rejestracja
0
0
 
Szukaj @ TwojePC
 

w Newsach i na Boardzie
 
OBECNI NA TPC
 
 » ulan 13:37
 » DYD 13:37
 » Liu CAs 13:36
 » JE Jacaw 13:34
 » pawcio 13:29
 » tuptun 13:29
 » Magnus 13:28
 » Kenny 13:26
 » kemilk 13:26
 » Qjanusz 13:19
 » rkowalcz 13:03
 » PaKu 13:03
 » R_I_P_ 12:44
 » rho 12:42
 » El Vis 12:40
 » dulik 12:39
 » rooter666 12:33
 » PiotrexP 12:32
 » Gakudini 12:32
 » KHot 12:30

 Dzisiaj przeczytano
 41146 postów,
 wczoraj 25974

 Szybkie ładowanie
 jest:
włączone.

 
ccc
TwojePC.pl © 2001 - 2024
A R C H I W A L N A   W I A D O M O Ś Ć
    

VPN z uwierzytelnianiem dwuetapowym? , Takkyu 11/12/18 00:35
Witam. Dostałem polecenie postawić VPN na serwerze Win 2012 R2 w naszej firmie.
Udostępniamy współpracującym podmiotom niektóre katalogi, system uprawnień jest dość skomplikowany, ale mniejsza o to.
Zrobiłem to przez wbudowany Routing and Remote access.
Działają połączenia IKEv2 z certyfikatami, jest chyba ok.

No ale szefostwo wpadło na pomysł, że jeśli pracownik któregoś partnera odejdzie, to może sobie skopiować pliki. Ogólnie mają paranoję i każdy ich zdaniem chce ich okraść. Chcą, żeby zwolniony pracownik (o którym nie wiedzą i nie mają prawa wiedzieć) automatycznie nie miał dostępu do serwera VPN.

Tylko, że przenieść sobie taki certyfikat z jednego komputera na drugi to żaden problem.

W związku z tym padła propozycja, aby połączenia VPN zestawiać dopiero po wpisaniu tokena z maila... Tylko czy nie jest to głupie? Czy to w ogóle jest wykonalne?

Nie można zrobić certyfikatów, które mają inne hasło do wprowadzenia do systemu (które zna użytkownik) i inne do jego eksportu (które znam np. tylko ja)?

  1. Firmy mają stały adres IP , digiter 11/12/18 01:37
    Trzeba udostępnić wejście do katalogu tylko z określonych IP. Wtedy pracownik poza firmą jest poza dostępem do danych.
    Poza tym przeważnie zwalniani pracownicy pracują do końca miesiąca. Można zmieniać certyfikaty pierwszego dnia każdego miesiąca.

    Piszcie do mnie per ty z małej litery

  2. IMHO musiałbyś mieć podpięcie , Ranx 11/12/18 15:40
    pod AD ( to przykład bazy użytkowników) klienta.
    Tam jest grupa użytkowników np VPN_XX i tylko zalogowani użytkownicy z tej grupy mają dostęp do VPNa. Brak użytkownika - brak dostępu.
    Ale to jest sytuacja tylko częściowo OK bo nie masz gwarancji, że zwolniony użytkownik nie zna hasła kolegi albo że został poprawnie usunięty z AD. Ale sporo poprawia.
    Nawet integracja z GoogleAuth czy innym nic Ci nie zagwarantuje bo jw - zależy od kultury w firmie partnerskiej.

    Od złodzieja nie uciekniesz (a co jeśłi planuje z wyprzedzeniem?) więc potrzebowałbyś może lepsze logowanie dostępu do plików - i jeśli ktoś kopiuje za dużo na raz to byłoby jakieś podejrzenie. No i ślad dowodowy.
    Nie wiem co za pliki udostępniasz bo może tu też by się dało coś powiedzieć. Dać dostęp do RO tych plików np.

    o roztramtajdany charkopryszczańcu...

  3. Zle zaplanowales. Dostepu udzielasz albo globalnie firmie na ich dedykowany IP albo , ptoki 11/12/18 20:06
    poszczegolnym pracownikom i wtedy IP sprawdzasz opcjonalnie.

    Certyfikaty pracownikom generujesz np na jeden miesiac, Kazdy niech jest chroniony haslem ktore rozsylasz mailem. Certyfikaty wystawiasz im na udzial.

    Uwierzytelnianie dwuetapowe ci wiele nie pomoze o ile nie bedzie indywidualne.

    1. CRL albo OCSP , laciak88 11/12/18 21:10
      Ci nie pomoże?

      "To Alcohol! The cause of, and solution to, all of
      life's problems."

      1. Nie pykło. , laciak88 11/12/18 21:11
        Pod głównym miało być.

        "To Alcohol! The cause of, and solution to, all of
        life's problems."

  4. CRL albo OCSP , laciak88 11/12/18 21:11
    Ci nie pomoże?

    "To Alcohol! The cause of, and solution to, all of
    life's problems."

  5. Inne podejście, to , Tomasz 11/12/18 23:53
    np. zrób prostą stronę WWW, gdzie pracownik musi wpisać ten token wysłany @. Wtedy gdy jest połączony przez VPN a nie autoryzowany w "dodatkowym" logowaniu, to kick kick.

    https://www.siepomaga.pl/milosz-mosko

    
All rights reserved ® Copyright and Design 2001-2024, TwojePC.PL