Tag: PfSense

Home Office – Дистанционна работа – съвети, решения, опит

Резюме

Пандемията COVID-19 стана причина за бурно преминаване към така наречения home office (домашен офис, remote office, remote working и т.н.). Много компании, особено работещи в областта на информационните технологии и BPO (Business Process Oursourcing) бяха подготвени и кризисната реакция протече гладко. Други компании потърсиха и имплементираха решения в спешен порядък, при което основен фокус бе навременното осигуряване възможността за отдалечена работа. 

Home office представлява сериозно предизвикателство, а някои подценени аспекти на сигурността създават предпоставки за бъдещи проблеми. 

Целта на документа е да дефинира обща методологична и организационна рамка за изграждане и експлоатация на инфраструктура за отдалечена работа, както и насочване вниманието на мениджмънта към правилната организация на работния процес. 

Посочени са конкретни open source технологии и решения за изграждане и поддръжка на инфраструктура за дистанционна работа, но съветите и споделените добри практики са валидни за целия спектър на възможните, включително комерсиални решения. 

Принципи
Предварителна подготовка

Възможността за отдалечена работа се свежда до решаване на следните задачи на ниво организация и IT ресурси – 

  • Технология за създаване на роли, групи и потребители
    • Управление на фирмената IT сигурност чрез правилно проектиране нивата на достъп до фирмените ресурси
    • Дефиниране на потребителските роли
    • Разпределяне на правата по роли и групи потребители
  • Процес за управление на автентикация и оторизация на потребителите
  • Осигуряване на достъп до чрез VPN технология до фирмените ресурси
  • Контролиране на достъпа
  • Наблюдение, детекция на подозрително поведение, управление на инциденти свързани със сигурността

Доколкото във фирмите с развита IT инфраструктура, изброените проблеми и задачи са решени на локално ниво (т.е. вътре във формения офис), то накратко ще опишем технологично решение за отдалечена работа за малки фирми, не разполагащи със съответната инфраструктура, а след това ще се фокусираме върху общите предизвикателства и добри практики, гарантиращи сигурност и ефективност на отдалечената работа.  

Организация и управление на работния процес

За успешната отдалечена работа е необходимо да:

  • Организационни решения
    • Организирате управление на отдалечения достъп със съответните потребителски имена, пароли и сертификати за криптиране на комуникацията
    • Предварително определена и форсирана стратегия за управление на отдалечения достъп до фирмените ресурси

 

  •  
  • Технологични решения
    • Разполагате с механизъм потребителите самостоятелно да възстановяват забравени пароли
    • Разполагате с написана и добре структурирана помощна информация и екип в състояние да обучи потребителите и да ги поддържа в процеса на работа
    • Предварително конфигурирана и тествана в офиса свързаност към фирмения VPN сървър, за да се избегне ситуация за решаване на проблеми в момент, когато потребителите преминат към отдалечена работа от домовете си
    • Предварително инсталирани антивирусни програми
    • Предварително инсталирани системи за Host based Intrusion Detection, защитаващи критични системни файлове и директории
    • Предварително организирана система за събиране, анализ и реакция при критични събития 

 

Сигурност

Въпреки, че сигурността е част от работния процес, отделяме специално внимание на темата, защото инкубационният период на проблемите породени от бързо и недостатъчно добре планирано преминаване към режим на отдалечена работа е дълъг и това е предпоставка за сериозно компрометиране на фирмената и в частност информационна сигурност.

 

Технологии и решения с отворен код
Управление на потребители

Може да се използва LDAP или Active directory за управление на потребителски роли и групи. Извън екосистемата на Майкрософт решенията, може да се използва open source Samba Server като файлов, принт и сървър за управление на потребители в уиндоус или уеб базирана среда. 

Възможни open source решения –

VPN концентратор / сървър

Съществуват няколко широко използвани технологии, например – IPSEC или OpenVPN. Доколкото IPSEC се поддържа без инсталация на допълнителни клиенти в Windows, той изглежда естествена технологичен избор за уиндоус среда.

Лично аз препоръчвам като оптимален вариант OpenVPN, заради по-голямата гъвкавост и универсалност. Повече аргументация можете да намерите в статията тук: OpenVPN.

Ако организацията не разполага с наличен VPN концентратор, включително комерсиални решения от различни доставчици на мрежoв хардуер, като Cisco, Juniper, Fortinet, HP, Aruba, Ubiquiti, Mikrotik и много други, можете да изградите VPN решение от висок клас, базирано на софтуер с отворен код PfSense – представлява Firewall, VPN Concentrator, Intrusion Detection System, Intrusion Prevention System от най-висок клас. 

Решения за комуникация на служителите

Комуникацията между служителите (също и с клиентите) е интегриран елемент от организацията на отдалечената работа. Тук фокусът е към приложенията за онлайн съобщения – chat, а не към мейл – утвърдено, но според някои – остаряло решение за бизнес комуникация.

Обикновено фирмите разполагат с де факто механизъм, който може да е общо фирмено решение или изборът на комуникационна технология да е оставен в ръцете на обикновените потребители и в рамките на отдели и работни групи. 

Макар комерсиалните решения да имат някои преимущества, няма някакви съществени разлики, спрямо решенията с отворен код. Всъщност основна причина да използвате комерсиални решения е съвместимост с клиенти, които са инвестирали в тези технологии, но дори това не е особено огрничаващ фактор.  

Популярни средства са:

Групуеър решение за споделена работа

NextCloud е групуеър (groupware) платформа с отворен код, функционално подобна на Dropbox или Google Drive. Позволява изграждане на независима и безплатна платформа за споделяне на файлове, календар, контакти и съвместна работа върху файлове на ниво организация или по-малка работна група.

Към НексКлауд може да се интегрират уеб базирани офис приложения, например Only Office, което дава възможност за уеб базирана съвместна работа с документи (подобно на Google Drive или Offie365).

Има относително добра съвместимост с MS Office – т.е. Next Cloud + Only Office отваря и визуализира на приемливо ниво документи създадени с MS Office, респективно документите създадени през Only Office са съвместими с MS Office.  

Система за управление и контрол на сигурността

Възможността за отдалечена работа предтавлява изключителен риск за сигурността на организацията. Използването на технически средства за изграждане и гарантиране на сигурността е задължително, а използването на интегрирано решение, което съчетава както събирането, анализа на информация свързана със сигурността и механизми за реакция при инцидент – е силно препоръчително. 

Нашият избор е AlienVault OSSIM – система с отворен код, интегрираща набор от инструменти, предназначени да подпомогнат процеса на поддръжка на информационната сигурност – откриването, управление на последици и предотвратяване на прониквания. Повече информация в статията –  AlienVault OSSIM

 

Съвети към IT мениджъра:
  • Организацията на възможност за отдалечена работа е свързана с два компонента
    • Ефективност на работата – т.е. контрол на производителността на служителите
    • Информационна сигурност 
  • Никога не считайте, че използването на каквато и да е технология за защита, е достатъчна за сигурността на организацията. Сигурността е процес, а не само технология.  

OpenVPN

Кратко описание

OpenVPN е комерсиален софтуер с отворен код, който реализира техники за създаване на виртуална частна мрежа (VPN) и провизиране на сигурни връзки от точка до точка или между сайтове и локации на дадена организация (site to site VPN) Използва SSL / TLS за обмен на ключове. Работи добре и преминава пре NAT. 

OpenVPN позволява на участниците в комуникацията (независимо дали  клиент/сървър или сървър/сървър топология) да се удостоверяват взаимно, като използват предварително споделени секретни ключове, сертификати или потребителско име / парола. 

OpenVPN работи като самостоятелен сървър под дадена операционна система или като елемент от мрежови аплайънс (обикновено файъруол) като PfSense. В тези случаи има и добра интеграция със системи за генериране на ключове и сертификати, потребители, както и механизъми за разпространението на сертификати и ключове.

Разработен е и активно се поддържа за платформи като: 

  • Windows
  • Linux
  • Solaris
  • OpenBSD
  • FreeBSD
  • NetBSD
  • QNX
  • MacOS
  • Android
  • IOS
Подходящ за:
  • Целият спектър възможни приложения за играждане на VPN
    • От изграждане на персонално VPN решение 
    • До изграждане на хетерогенна виртуална инфраструктура на организация с много локации и/или използване на ресурси в публични и частни клауд инфраструктури
Неподходящ за:
  • Практически няма сценарий, който не може да изпълни, макар да липсват някои улеснения, които се предлагат от комерсиалните решения
За повече информация:
Защо OpenVPN:
  • Зрял проект с дългогодишно развитие и широка база от разработчици 
  • Предлага пълна функционалност в основна безплатна версия
  • Има комерсиална поддръжка, както и достатъчно подробна и надеждна поддръжка от общността на потребителите
  • Предлагат се завършени решения – интеграция на OpenVPN с firewall решения като PfSense 
  • Скалируемо решение – клъстер за постигане на висока производителност и отказоустойчивост
  • Много добра документация
Недостатъци:
  • Многото възможности на OpeVPN, го правят комплексен и сложен за конфигурация и поддръжка продукт
    • В тази връзка и ако използването на комерсиалните OpenVPN сървъри не е вариант, то подходящо решение е PfSense
Оценка на необходимите ресурси при внедряване:
  • Инсталацията на OpenVPN и базовата функционалност като VPN сървър е лесна, не изисква особена експертиза и има множество добре написани инструкции и видео материали по темата
  • За разширена функционалност и комплексна инфраструктура е необходима експертиза за мрежова сигурност и системна администрация
  • Поддържа се всякакъв хардуер – т.е. в зависимост от нуждите може да се използва наличен или специализиран хардуер за постигане на висока производителност
    • Следва да се има предвид необходимостта от използване на по-модерни процесори (поддържащи AES-NI  набор от инструкции) при необходимост от поддръжка на криптирани потоци с висока скорост
    • При необходимост от поддържане на голям брой едновременно работещи потребители – по-добър вариант е провизиране на повече VPN сървъри работещи върху един физически сървър, отколкото инсталация върху много отделни сървъри
Степен на завършеност на решението:
  • Напълно завършено решение
Съвети към IT мениджъра:
  • Тъй като експлоатацията на OpenVPN предполага по-високо ниво на познания в областта на мрежовата защита, наличието на минимално необходимата квалификация в екипа е задължителна
  • Постигането на желаната производителност е следствие от добро проектиране, изпълнение и правилна експлоатация
  • Добре се виртуализира и може да се използва за изграждане на хетерогенна виртуална инфраструктура на организация с много локации и/или използване на ресурси в публични и частни клауд инфраструктури
  • Никога не считайте, че използването на каквато и да е технология за защита, е достатъчна за сигурността на организацията. Сигурността е процес, а не само технология.