Twoje PC  
Zarejestruj się na Twoje PC
TwojePC.pl | PC | Komputery, nowe technologie, recenzje, testy
B O A R D
   » Board
 » Zadaj pytanie
 » Archiwum
 » Szukaj
 » Stylizacja

 
M E N U
  0
 » Nowości
0
 » Archiwum
0
 » Recenzje / Testy
0
 » Board
0
 » Rejestracja
0
0
 
Szukaj @ TwojePC
 

w Newsach i na Boardzie
 
OBECNI NA TPC
 
 » mark_d 02:53
 » Holyboy 02:47
 » pawel1207 02:19
 » Chavez 02:11
 » Zibi 02:08
 » nth4 01:12
 » Fl@sh 01:11
 » Martens 01:02
 » 3kawki 01:02
 » slanter 00:49
 » Emios 00:40
 » GULIwer 00:33
 » Lukas12p 00:33
 » Whisky 00:14
 » Sebalos 00:08
 » Pio321 00:02
 » piszczyk 23:56
 » maddog 23:53
 » rooter666 23:52
 » metacom 23:51

 Dzisiaj przeczytano
 14657 postów,
 wczoraj 93152

 Szybkie ładowanie
 jest:
wyłączone.

 
ccc
TwojePC.pl © 2001 - 2024
A R C H I W A L N A   W I A D O M O Ś Ć
    

VPN z uwierzytelnianiem dwuetapowym? , Takkyu 11/12/18 00:35
Witam. Dostałem polecenie postawić VPN na serwerze Win 2012 R2 w naszej firmie.
Udostępniamy współpracującym podmiotom niektóre katalogi, system uprawnień jest dość skomplikowany, ale mniejsza o to.
Zrobiłem to przez wbudowany Routing and Remote access.
Działają połączenia IKEv2 z certyfikatami, jest chyba ok.

No ale szefostwo wpadło na pomysł, że jeśli pracownik któregoś partnera odejdzie, to może sobie skopiować pliki. Ogólnie mają paranoję i każdy ich zdaniem chce ich okraść. Chcą, żeby zwolniony pracownik (o którym nie wiedzą i nie mają prawa wiedzieć) automatycznie nie miał dostępu do serwera VPN.

Tylko, że przenieść sobie taki certyfikat z jednego komputera na drugi to żaden problem.

W związku z tym padła propozycja, aby połączenia VPN zestawiać dopiero po wpisaniu tokena z maila... Tylko czy nie jest to głupie? Czy to w ogóle jest wykonalne?

Nie można zrobić certyfikatów, które mają inne hasło do wprowadzenia do systemu (które zna użytkownik) i inne do jego eksportu (które znam np. tylko ja)?

  1. Firmy mają stały adres IP , digiter 11/12/18 01:37
    Trzeba udostępnić wejście do katalogu tylko z określonych IP. Wtedy pracownik poza firmą jest poza dostępem do danych.
    Poza tym przeważnie zwalniani pracownicy pracują do końca miesiąca. Można zmieniać certyfikaty pierwszego dnia każdego miesiąca.

    Piszcie do mnie per ty z małej litery

  2. IMHO musiałbyś mieć podpięcie , Ranx 11/12/18 15:40
    pod AD ( to przykład bazy użytkowników) klienta.
    Tam jest grupa użytkowników np VPN_XX i tylko zalogowani użytkownicy z tej grupy mają dostęp do VPNa. Brak użytkownika - brak dostępu.
    Ale to jest sytuacja tylko częściowo OK bo nie masz gwarancji, że zwolniony użytkownik nie zna hasła kolegi albo że został poprawnie usunięty z AD. Ale sporo poprawia.
    Nawet integracja z GoogleAuth czy innym nic Ci nie zagwarantuje bo jw - zależy od kultury w firmie partnerskiej.

    Od złodzieja nie uciekniesz (a co jeśłi planuje z wyprzedzeniem?) więc potrzebowałbyś może lepsze logowanie dostępu do plików - i jeśli ktoś kopiuje za dużo na raz to byłoby jakieś podejrzenie. No i ślad dowodowy.
    Nie wiem co za pliki udostępniasz bo może tu też by się dało coś powiedzieć. Dać dostęp do RO tych plików np.

    o roztramtajdany charkopryszczańcu...

  3. Zle zaplanowales. Dostepu udzielasz albo globalnie firmie na ich dedykowany IP albo , ptoki 11/12/18 20:06
    poszczegolnym pracownikom i wtedy IP sprawdzasz opcjonalnie.

    Certyfikaty pracownikom generujesz np na jeden miesiac, Kazdy niech jest chroniony haslem ktore rozsylasz mailem. Certyfikaty wystawiasz im na udzial.

    Uwierzytelnianie dwuetapowe ci wiele nie pomoze o ile nie bedzie indywidualne.

    1. CRL albo OCSP , laciak88 11/12/18 21:10
      Ci nie pomoże?

      "To Alcohol! The cause of, and solution to, all of
      life's problems."

      1. Nie pykło. , laciak88 11/12/18 21:11
        Pod głównym miało być.

        "To Alcohol! The cause of, and solution to, all of
        life's problems."

  4. CRL albo OCSP , laciak88 11/12/18 21:11
    Ci nie pomoże?

    "To Alcohol! The cause of, and solution to, all of
    life's problems."

  5. Inne podejście, to , Tomasz 11/12/18 23:53
    np. zrób prostą stronę WWW, gdzie pracownik musi wpisać ten token wysłany @. Wtedy gdy jest połączony przez VPN a nie autoryzowany w "dodatkowym" logowaniu, to kick kick.

    Pan Croup i pan Vandemar zabijali czas.

    
All rights reserved ® Copyright and Design 2001-2024, TwojePC.PL