Чтобы обеспечить высокий уровень безопасности при удаленной работе с корпоративными ресурсами и снизить риск утечки корпоративных данных, на сегодняшний день все больше компаний от SMB до корпоративного уровня внедряют и используют многофакторную аутентификацию.
Для безопасного удаленного подключения к корпоративным сервисам, рабочим станциям/серверам (с личного или корпоративного устройства) в большинстве компаний пользователи используют VPN-клиент или TSG шлюз.
Как правило, для аутентификации в корпоративной сети мы используем логин и пароль. Однако сегодня этот классический метод аутентификации не является достаточным для обеспечения безопасности. В качестве дополнительного фактора аутентификации можно использовать одноразовый пароль.
Например, в качестве сервиса для получения одноразового пароля при подключении по OpenVPN, можно использовать Google Authenticator на своем мобильном телефоне (при подключении к TSG с использование многофакторной аутентификации Azure AD MFA требуется использовать Microsoft Authenticator).
Как это работает?
Шаг 1. Создаем первый фактор аутентификации.
Для каждого пользователя, которому нужен доступ к корпоративной сети, на сервере генерируется свой персональный файл конфигурации.
Создание персонального файла конфигурации связано с тем, что в данной схеме первый фактор аутентификации – это сертификат, который генерируется индивидуально для каждого пользователя. В то время как альтернативным первым фактором аутентификации у большинства компаний могут быть «имя пользователя» и «пароль», что менее надежно, так как их легче скомпрометировать.
Шаг 2. Используем второй фактор аутентификации.
В качестве второго фактора аутентификации будет временный код доступа, который генерируется под конкретного пользователя. Используя Google Authenticator можно увидеть пароль и ввести его в соответствующем окне при подключении.
Шаг 3. Получаем доступ к ресурсу.
После успешной аутентификации по сертификату (первому фактору) и временному коду (второму фактору), пользователь получает доступ на запрашиваемый ресурс в корпоративной сети.
Схема процесса подключения к ресурсу
Причины, почему такой метод аутентификации при удаленном подключении к ресурсам по OpenVPN, будет иметь преимущество:
- Злоумышленникам будет сложнее перехватить временный код доступа, который вы сможете увидеть на своем мобильном устройстве;
- Временный код доступа тяжело подделать;
- Использование временного кода доступа в качестве второго фактора аутентификации — более эффективный подход для обеспечения безопасности удаленной работы, чем применение только логина и пароля при подключении по OpenVPN.