Estoy buscando ver cómo otros tratan con el acceso VPN de contratistas/no empleados.
- ¿Cómo aprovisionas/desactivas sus cuentas?
- ¿Están en su AD o en otro silo de cuenta?
- ¿Cómo los restringes para que solo tengan acceso a aquello para lo que fueron contratados?
- ¿Cómo se gestionan las contraseñas?
- ¿Se ven obligados a cambiar su contraseña?
- ¿Cómo se les proporciona la contraseña?
- ¿Utiliza alguna forma de control de acceso a la red/escaneo de seguridad de sus computadoras?
Respuesta1
Creamos una cuenta en una unidad organizativa de consultor que tiene horas de inicio de sesión específicas, a menos que por circunstancias especiales necesiten acceso por más tiempo.
Su contraseña se cambia la primera vez que inicia sesión, como todos los demás.
La computadora portátil del consultor está conectada a una VLAN que solo tiene Internet restringido y no tiene acceso a intranet. Para acceder a cualquier cosa en nuestra LAN, usan nuestra VPN SSL y están restringidos a solo poder conectarse a los servidores utilizados en cualquier proyecto en el que se encuentren.
Normalmente, un consultor utilizará una computadora portátil que le proporcionamos; de lo contrario, obtendrá el software AV que necesitamos o la conexión VPN fallará.
Respuesta2
Tenemos un par de archivos pcf que contienen solo un servidor específico en el que pueden trabajar. Tienen cuentas en AD que normalmente están deshabilitadas, cuando es necesario usarlas, activamos las cuentas pero las configuramos para que caduquen cuando crean que deberían haber terminado.
Las cuentas solo se activan a través de un correo electrónico de una fuente válida, y todas las solicitudes y acciones se encuentran en el servicio de asistencia técnica. A nosotros nos funciona bastante bien
Respuesta3
Yo usaría la autenticación de dos factores. Uno, un dispositivo físico que deben poseer además de un nombre de usuario y contraseña.
Dispositivos E-token/SafeWord deAladinofuncionan bastante bien para la parte del dispositivo físico y son relativamente económicos en caso de que se pierdan o el contratista no devuelva los suyos.
En el backend, usaría un servidor Radius o un servidor TACACS en caso de que estuvieran realizando algún trabajo en su firewall.
Respuesta4
Requerimos que los contratistas con equipos externos utilicen SSL-VPN para acceder a los recursos internos, punto. En la oficina, no se permite ningún equipo externo, excepto un área de laboratorio donde pueden conectar equipos externos a una red que les brinde acceso a Internet por períodos de tiempo limitados, pero no se permite el acceso a la red interna.
Si les entregamos una computadora portátil, están sujetos a las mismas reglas que cualquier otro empleado, excepto que sus cuentas caducan periódicamente y deben ser reautorizadas por un gerente autorizado.