Se afișează postările cu eticheta VPN. Afișați toate postările
Se afișează postările cu eticheta VPN. Afișați toate postările

luni, 16 martie 2020

Soluții tehnice pentru lucrul de acasă

Salutare, e ceva vreme de când n-am mai postat. De data asta, cu ocazia creșterii nevoii companiilor de a oferi posibilitatea lucrului de acasă, intenționez să scriu despre unele scenarii posibile pentru companii, pentru a putea oferi angajaților posibilitatea de a lucra de la distanță. În această postare voi descrie mai multe scenarii pentru a face posibil acest lucru, în funcție de natura aplicațiilor folosite de companie și de modul în care a fost concepută infrastructura IT. Postarea se adresează în mod special administratorilor de sisteme informatice și/sau deținătorilor de companii ce au în vedere implementarea modului de lucru de la distanță. Nu intenționez să abordez amănunțit, în această postare, detalii despre autentificare multi-factor. Evident, se presupune că accesul la aplicații web se face întotdeauna prin intermediul unui canal securizat.

Scenariul 1 - Aplicațiile companiei sunt de tip client-server, cu protocol propriu


Acesta este tipul tradițional de infrastructură IT. Resursele de stocare, serviciile de bază și aplicațiile sunt livrate prin intermediul serverelor pe care compania le-a achiziționat și le exploatează din rețeaua locală a companiei. Pentru a face posibil lucrul de la distanță, este necesar ca aplicațiile să poată fi accesate din exteriorul rețelei companiei. Pentru că vorbim de aplicații client/server, trebuie ca terminalul unde rulează software-ul (client) să poată comunica cu serverele.
Citește mai jos care sunt posibilitățile tehnice de implementare a unei infrastructuri IT flexibile, care permite lucrul de la distanță, cât și avantajele/dezavantajele fiecăreia dintre opțiuni.

Soluția 1.a - Conexiune VPN + aplicații client instalate pe laptop

Aceasta este cea mai veche soluție a acestei probleme. Software-ul client se instalează pe un laptop, se deschide o conexiune VPN (Virtual Private Network) către rețeaua companiei, apoi aplicația se folosește ca și când utilizatorul ar fi conectat la rețeaua locală. Există o gamă largă de servere și appliance-uri care oferă acces securizat la rețeaua companiei, precum: clientul VPN IKEv2 integrat în Microsoft Windows, Pulse Secure, Cisco, Checkpoint Remote Secure Access. Pentru că accesul la resursele rețelei companiei trebuie să se facă de pe dispozitive de încredere, administratorii de rețea vor permite accesul doar dispozitivelor care pot demonstra că sunt "de încredere", lucru atestat prin aderarea la domeniul companiei, prin utilizarea unui sistem antivirus în care compania are încredere, și/sau prin înrolarea dispozitivelor personale în flote BYOD (Bring Your Own Device), precum: Microsoft Intune, MAAS 360 etc, ceea ce înseamnă că administratorii infrastructurii companiei pot impune anumite cerințe minimale de securitate pe aceste dispozitive.

marți, 7 august 2012

Conexiunile VPN - mai puţin sigure decât se crede?

MS-CHAPv2 este una dintre cele mai populare scheme de autentificare in retele, in special retele de tip point-to-point. Specificatia de bază a protocolului CHAP datează din 1996, pe sistemele de operare Windows fiind implementate variante modificate de Microsoft, MS-CHAPv1 si MS-CHAPv2.
Cea mai populară utilizare a acestei scheme de autentificare se regăseşte în conexiunile de tip VPN, folosite pentru accesul securizat într-o reţea corporativă. Unii furnizori de servicii internet folosesc aceeaşi metodă pentru autentificarea utilizatorilor. Aceeaşi schemă se foloseşte şi pentru autentificarea utilizatorilor unor reţele wireless corporative.

Până de curând, se considera că nivelul de siguranţă oferit de această metodă de autentificare depinde doar de nivelul de complexitate a parolei, fiind vulnerabilă doar la atacuri de tip 'dicţionar', prin încercarea unei liste lungi de combinaţii de cuvinte. Un asemenea atac durează foarte mult timp, fiind foarte dificilă obţinerea unei parole într-un interval de timp rezonabil.
O analiză recent publicată schimbă în mod dramatic datele problemei, arătând că este posibilă obţinerea unei parole în mai puţin de o zi, prin simplificarea operaţiilor necesare pentru determinarea cheilor de criptare, cu ajutorul serviciului online CloudCracker şi cu utilitarul chapcrack, sau cu alte instrumente similare.

Care sunt concluziile?
Dacă în urmă cu câţiva ani erau necesari 250.000 dolari pentru achiziţia unui sistem dedicat decriptării, astăzi este posibilă utilizarea unui asemenea echipament online. MS-CHAPv2 nu mai poate fi considerat un protocol suficient de sigur, motiv pentru care conexiunile VPN care se bazează pe această schemă de autentificare trebuiesc înlocuite cu alte metode de conectare, folosind protocoale mai sigure, precum OpenVPN sau IPSEC folosind autentificare pe bază de certificate X509.

Sursă material: https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/

Consideraţi acest material util? Recomandaţi prietenilor, folosind butoanele de mai jos

Super ofertă la eMag!

Related Posts Plugin for WordPress, Blogger...