logo
Заказать
услугу
btn_mobile
btn_open
Главная — Новости отрасли — Организация защищённого удалённого доступа сотрудников

Организация защищенного удаленного доступа сотрудников с помощью UserGate

Организация защищённого удалённого доступа сотрудников с помощью UserGate
Организация защищенного удаленного доступа сотрудников с помощью UserGate

Рассмотрим, как с помощью UserGate можно организовать защищëнный удалённый доступ сотрудников к корпоративной сети, какие есть варианты подключения и что за возможности открываются при работе пользователей через SSL VPN с использованием многофакторной аутентификации с опубликованными на веб-портале UserGate приложениями.

  1. Введение

  2. Варианты подключения удалённых пользователей в UserGate

  3. Удалённый доступ к веб-порталу UserGate с MFA-авторизацией

  4. Выводы

Введение

В условиях пандемии заболевания, вызванного новым коронавирусом (COVID-19), многие компании рассматривают отправку работников на «удалёнку», а некоторые уже активно внедряют такой режим работы. Это заставляет компании решать целый спектр вопросов, связанных с информационной безопасностью, так как ожидается, что число утечек информации и случаев несанкционированного доступа к корпоративным ресурсам значительно увеличится. Какие же основные проблемы удалённой работы с точки зрения ИБ стоят перед компаниями?

Сценариев атак — масса. Главным источником рисков служит то, что в большинстве случаев в качестве рабочего места выступает домашний компьютер. Далеко не во всех компаниях используются корпоративные ноутбуки, которые с лёгкостью можно забрать домой и продолжать работать с тем же уровнем защиты, что и в пределах периметра организации. Зачастую на домашних компьютерах сотрудников установлены уязвимые программы, мессенджеры и прочее постороннее ПО, не настроены базовые механизмы защиты, отсутствует антивирус.

С целью минимизации рисков ИБ компаниям целесообразно реализовать терминальный или веб-доступ к корпоративным ресурсам (тогда домашний компьютер выступает как конечная станция), а для защиты трафика применять VPN.

Сегодня мы разберём практический сценарий того, как обеспечить с помощью межсетевого экрана UserGate защищённый удалённый доступ пользователей. Ранее мы публиковали «Обзор UserGate — межсетевого экрана следующего поколения», в котором рассказывали о его функциональных возможностях. Сегодня нас будут интересовать варианты удалённой работы пользователей с корпоративными ресурсами при помощи межсетевого экрана UserGate. В частности, сфокусируем внимание на возможностях доступа через SSL VPN с использованием многофакторной аутентификации (MFA-авторизация) к приложениям, опубликованным на веб-портале UserGate.

Варианты подключения удалённых пользователей в UserGate

UserGate обеспечивает безопасность корпоративной сети, блокируя возможность несанкционированного проникновения извне. Однако в определённых случаях важно обеспечить внешний доступ к рабочим ресурсам, а также к сервисам, запущенным на серверах внутри сети компании. Тогда продукт можно использовать для безопасной публикации корпоративного портала и других подобных систем, а также для обеспечения доступа к файлам, находящимся на внутренних серверах.

Возможны два варианта удалённого подключения к корпоративным ресурсам, указанные ниже.

1. Публикация ресурсов:

— с помощью правил DNAT (без авторизации с возможностью ограничения доступа по IP-адресу источника),

— с помощью обратного проксирования (reverse proxy) с возможностью авторизации по сертификату.

2. Удалённый доступ:

— веб-портал — управляемый доступ по SSL VPN к опубликованным ресурсам с возможностью авторизации, в том числе с использованием MFA по одноразовым паролям (поддерживаются приложения RDP / SSH / HTTP / HTTPS / FTP),

— «классический» VPN L2TP / IPsec (с авторизацией, MFA). В нашем сегодняшнем кейсе используется сценарий удалённого доступа к веб-порталу с применением многофакторной аутентификации.В нашем сегодняшнем кейсе используется сценарий удалённого доступа к веб-порталу с применением многофакторной аутентификации.Удалённый доступ к веб-порталу UserGate с MFA-авторизацией

Для демонстрации мы использовали стенд, имевший следующий состав:

— межсетевой экран UserGate,

— сервер Microsoft Exchange,

— контроллер домена с сервисами Active Directory, DNS, DHCP,

— рабочая станция Linux c сервером SSH,

— рабочая станция Windows 10 с настроенным доступом по RDP.

Рисунок 1. Структура стенда для демонстрации удалённого доступа к веб-порталу UserGate с MFA-авторизацией

Структура стенда для демонстрации удалённого доступа к веб-порталу UserGate с MFA-авторизацией
Структура стенда для демонстрации удалённого доступа к веб-порталу UserGate с MFA-авторизацией

Начнём с того, что в UserGate необходимо настроить сервер авторизации. Он понадобится для последующего формирования соответствующих профилей.

Рисунок 2. Настройка сервера авторизации в UserGate

Настройка сервера авторизации в UserGate
Настройка сервера авторизации в UserGate

Серверы авторизации — это внешние источники учётных записей пользователей для UserGate UTM. Система поддерживает такие типы серверов, как Active Directory, Radius, Kerberos; мы будем использовать сервер авторизации Active Directory.

Рисунок 3. Настройка сервера авторизации в UserGate

Настройка сервера авторизации в UserGate
Настройка сервера авторизации в UserGate

После настройки сервера авторизации необходимо создать профиль MFA (мультифакторной аутентификации). Он нам в дальнейшем понадобится на этапе создания профиля.

UserGate поддерживает мультифакторную аутентификацию с использованием имени пользователя и пароля в качестве первого фактора и следующих вариантов в качестве второго:

— TOTP (Time-based One Time Password), кратковременный одноразовый пароль;

— получение одноразового пароля по SMS (для отправки SMS-сообщений у каждого пользователя должен
быть указан номер телефона в его локальной учётной записи в UTM или в доменной учётной записи в Active Directory);

— получение одноразового пароля по электронной почте (аналогично предыдущему случаю).

В нашем кейсе мы будем использовать TOTP-токен и приложение Google Authenticator, установленное на смартфон. Также можно использовать аналогичное по функциональности приложение «Яндекс.Ключ».

Добавление профиля MFA в UserGate

Рисунок 4. Добавление профиля MFA в UserGate

Добавление профиля MFA в UserGate
Добавление профиля MFA в UserGate

Передать первоначальный код для инициализации TOTP можно следующими средствами: показать на странице Captive-портала после первой успешной авторизации, выслать с помощью SMS, отправить по электронной почте. Мы зададим вариант «Показать ключ на странице Captive-портала». Также отметим опцию «Показывать QR-код» для облегчения настройки устройства или программного обеспечения клиента.

Рисунок 5. Профиль MFA в UserGate

Профиль MFA в UserGate
Профиль MFA в UserGate

После создания профиля MFA по TOTP необходимо сформировать профиль авторизации на UserGate. Он позволит указать набор способов и параметров, которые в дальнейшем можно будет использовать в различных подсистемах UserGate, например Captive-портале, VPN, веб-портале и т.д. Для этого необходимо перейти на вкладку «Профили авторизации».

Рисунок 6. Вкладка «Профили авторизации» в UserGate

Вкладка «Профили авторизации» в UserGate
Вкладка «Профили авторизации» в UserGate

 

В данном случае у нас на шлюзе UserGate уже есть два созданных и настроенных профиля — с MFA-авторизацией и без неё (с использованием логина и пароля Active Directory). Для нашего кейса нам, очевидно, интересен первый вариант.

Рисунок 7. Свойства профиля авторизации с MFA в UserGate

Свойства профиля авторизации с MFA в UserGate
Свойства профиля авторизации с MFA в UserGate

 

В данном случае главной является настройка «Профиль MFA». Именно она даёт возможность использовать мультифакторную аутентификацию для входа в систему. Выбираем ранее созданный профиль TOTP.

Рисунок 8. Свойства профиля авторизации с MFA в UserGate

Свойства профиля авторизации с MFA в UserGate
Свойства профиля авторизации с MFA в UserGate

Задаём созданные ранее методы авторизации пользователей — например, через сервер Active Directory или по базе данных локальных аккаунтов UserGate. Затем необходимо настроить сам веб-портал. Для этого переходим на вкладку «Настройки». В рабочей области вкладки находим «Веб-портал» и выбираем «Настроить».

 

Рисунок 9. Вкладка «Настройки» в UserGate

Вкладка «Настройки» в UserGate
Вкладка «Настройки» в UserGate

В настройках веб-портала задаём следующие параметры: «Имя хоста» (в нашем случае это — sslvpn.demo2.usergate.com); «Порт TCP», который будет использоваться сервисом веб-портала (порт и имя хоста образуют URL); «Профиль авторизации», который мы создали ранее. После этого выбираем шаблон веб-портала для отображения доступных ресурсов (в данном случае у нас уже был заранее создан шаблон «SSL VPN (RU)»). Создать свою индивидуальную страницу авторизации можно в разделе «Шаблоны страниц». Опция «Показывать CAPTCHA» рекомендуется для защиты от ботов, подбирающих пароли. Значение, указанное в поле «Сертификат», будет использоваться для создания HTTPS-соединения. Мы выберем режим «Автоматически». Функция «Авторизация пользователя по сертификату» потребует предъявления последнего браузером; этот флаг мы устанавливать не будем.

Рисунок 10. Настройки веб-портала в UserGate

Настройки веб-портала в UserGate
Настройки веб-портала в UserGate

Далее необходимо задать сетевые параметры: в разделе «Сеть» -> «Зоны»понадобится разрешить сервис веб-портала для выбранных зон (обычно — Untrusted), а в разделе «VPN» -> «Веб-портал» — добавить URL-идентификаторы внутренних ресурсов, к которым необходим доступ пользователей. Теперь выполним публикацию необходимых нам для работы ресурсов на веб-портале. Ресурсы добавляются на одноимённой вкладке.

Рисунок 11. Вкладка «Веб-портал» (обзор опубликованных ресурсов) в UserGate

Вкладка «Веб-портал» (обзор опубликованных ресурсов) в UserGate
Вкладка «Веб-портал» (обзор опубликованных ресурсов) в UserGate

Настройка веб-портала (раздел «Глобальный портал» -> «Веб-портал») сводится к созданию записей публикации URL-адресов внутренних веб-ресурсов. Для каждого URL необходимо создать закладку и указать: название закладки, описание закладки, URL ресурса, который необходимо опубликовать через веб-портал, домен прямого доступа (необязательный параметр), иконку (она будет отображаться на веб-портале для данной закладки; возможно выбрать одну из готовых иконок, указать внешний URL, по которому она доступна, или загрузить свою), вспомогательные URL (те, которые необходимы для работы основного URL, но не нуждаются в публикации), пользователей (список учётных записей или групп, которым разрешены отображение закладки на веб-портале и доступ к основному и вспомогательным URL). Для нашего сценария мы опубликуем приложения Outlook Web Access (OWA), RDP — для доступа к Windows-станции, SSH — для доступа к Linux-станции, где развёрнут SSH-сервер.

Рисунок 12. Свойства опубликованного приложения Outlook Web Access на веб-портале UserGate

Свойства опубликованного приложения Outlook Web Access на веб-портале UserGate
Свойства опубликованного приложения Outlook Web Access на веб-портале UserGate

Рисунок 13. Свойства опубликованного приложения RDP на веб-портале UserGate

Свойства опубликованного приложения RDP на веб-портале UserGate
Свойства опубликованного приложения RDP на веб-портале UserGate

Рисунок 14. Свойства опубликованного приложения SSH на веб-портале UserGate

Свойства опубликованного приложения SSH на веб-портале UserGate
Свойства опубликованного приложения SSH на веб-портале UserGate

Теперь, после всех настроек, попробуем зайти на веб-портал UserGate и открыть опубликованные приложения, тем самым получив доступ к необходимым ресурсам корпоративной сети. Переходим на URL-адрес веб-портала, который мы указали в его настройках. В окне авторизации вводим логин и пароль, а также текст с CAPTCHA-картинки. Далее устанавливаем на смартфон приложение Google Authenticator.

Рисунок 15. Окно авторизации на веб-портале UserGate

Окно авторизации на веб-портале UserGate
Окно авторизации на веб-портале UserGate

После установки и успешной аутентификации с помощью пароля сканируем QR-код или вводим ключ, который отображается зелёным цветом в окне UserGate. Теперь мобильное приложение будет выдавать коды для двухфакторной аутентификации (TOTP) на веб-портале UserGate.   Рисунок 16. Окно приложения Google Authenticator на смартфоне

Рисунок 16. Окно приложения Google Authenticator на смартфоне

Окно приложения Google Authenticator на смартфоне
Окно приложения Google Authenticator на смартфоне

Полученный пароль вводим в поле One Time Password. После успешной авторизации мы попадаем на веб-портал UserGate.

Рисунок 17. Опубликованные приложения на веб-портале UserGate

Опубликованные приложения на веб-портале UserGate
Опубликованные приложения на веб-портале UserGate

Для нас опубликованы ранее настроенные ресурсы: RDP-клиент для терминального подключения к машине под управлением Windows 10, SSH-клиент для подключения к соответствующему серверу на Linux-станции, клиент OWA для подключения к Exchange-серверу. Пробуем воспользоваться каждым из этих ресурсов. Запускаем опубликованный OWA для подключения к Exchange-серверу, вводим учётные данные в окне авторизации.

Рисунок 18. Окно авторизации в Outlook Web Access (OWA) на веб-портале UserGate

Окно авторизации в Outlook Web Access (OWA) на веб-портале UserGate
Окно авторизации в Outlook Web Access (OWA) на веб-портале UserGate

Получаем доступ к своему почтовому ящику.

Рисунок 19. Доступ к почтовому ящику в Outlook Web Access (OWA)

Доступ к почтовому ящику в Outlook Web Access (OWA)
Доступ к почтовому ящику в Outlook Web Access (OWA)

Запускаем опубликованный RDP-клиент для подключения к станции под управлением Windows 10. Вводим учётные данные в окне авторизации UserGate.

Рисунок 20. Ввод учётных данных в окне авторизации UserGate

Ввод учётных данных в окне авторизации UserGate
Ввод учётных данных в окне авторизации UserGate

После успешной авторизации появляется приветственная заставка Windows 10.

Рисунок 21. Приветственная заставка Windows в рамках RDP-сеанса

Приветственная заставка Windows в рамках RDP-сеанса
Приветственная заставка Windows в рамках RDP-сеанса

Осуществлён вход в Windows 10 по RDP c веб-портала UserGate.

Рисунок 22. Вход в Windows 10 по RDP c веб-портала UserGate

Вход в Windows 10 по RDP c веб-портала UserGate
Вход в Windows 10 по RDP c веб-портала UserGate

Далее тестируем вход на SSH-сервер на Linux-станции. Запускаем опубликованный SSH-клиент и вводим учётные данные в окне авторизации UserGate.

Рисунок 23. Ввод учётных данных в окне авторизации UserGate

Ввод учётных данных в окне авторизации UserGate
Ввод учётных данных в окне авторизации UserGate

После успешной авторизации осуществлён вход на SSH-сервер Linux-станции c веб-портала UserGate.

Рисунок 24. Полученный доступ к SSH через веб-портал UserGate

Полученный доступ к SSH через веб-портал UserGate
Полученный доступ к SSH через веб-портал UserGate

 

Выводы

Пандемия коронавирусного заболевания поставила многие компании перед необходимостью организовать удалённую работу сотрудников. При этом в условиях глобальных изменений ИТ-специалистам требуются готовые и несложные решения для оперативного развёртывания.

UserGate предлагает несколько способов организовать защищённый удалённый доступ — DNAT, обратное проксирование, веб-портал и «классический VPN». О том, как организовать удалённую работу сотрудников с помощью веб-портала через SSL VPN c мультифакторной аутентификацией (MFA) без особо сложных настроек и дополнительных приложений, мы рассказали сегодня.

Механизм предоставления доступа к опубликованным на веб-портале UserGate приложениям в данной схеме работает весьма удобно, так как все вычисления происходят  на серверах внутри корпоративного периметра и не требуется дополнительно разворачивать VPN-клиенты на домашних компьютерах сотрудников. Для более надёжной защиты может применяться многофакторная аутентификация с получением одноразового пароля по SMS, электронной почте или из генератора одноразовых паролей — например, мобильного приложения Google Authenticator.

Источник: https://www.anti-malware.ru/practice/solutions/Secure-remote-access-with-UserGate
close