Estou procurando ver como outras pessoas lidam com o acesso VPN de empreiteiros/não funcionários.
- Como você provisiona/desativa suas contas?
- Eles estão no seu AD ou em outro silo de conta?
- Como você os restringe para que eles tenham acesso apenas ao que foram contratados para trabalhar?
- Como você gerencia senhas?
- Eles são forçados a alterar sua senha?
- Como a senha é fornecida a eles?
- Você usa alguma forma de controle de acesso à rede/verificação de segurança de seus computadores?
Responder1
Criamos uma conta em uma UO consultora que tenha especificado horários de logon, a menos que, em circunstâncias especiais, eles precisem de acesso por mais tempo.
A senha deles é alterada no primeiro login, assim como todos os outros.
O laptop do consultor é colocado em uma VLAN que possui apenas internet restrita e nenhum acesso à intranet. Para acessar qualquer coisa em nossa LAN, eles usam nossa VPN SSL e estão restritos a apenas poder se conectar aos servidores usados em qualquer projeto em que estejam.
Normalmente, um consultor usará um laptop fornecido por nós; caso contrário, ele obterá o software antivírus necessário ou a conexão VPN falhará.
Responder2
temos alguns arquivos pcf que contêm apenas servidores específicos nos quais eles têm permissão para trabalhar. Eles possuem contas no AD que normalmente ficam desabilitadas, quando há necessidade de utilizá-las ativamos as contas mas configuramos para expirarem quando acharem que deveriam ter finalizado.
As contas só são ativadas através de e-mail de fonte válida, e todas as solicitações e ações ficam no helpdesk. Funciona muito bem para nós
Responder3
Eu usaria autenticação de dois fatores. Um deles é um dispositivo físico que eles devem possuir, além de nome de usuário e senha.
Dispositivos E-token/SafeWord deAladimfuncionam muito bem para a parte do dispositivo físico e são relativamente baratos caso sejam perdidos ou o contratante não os devolva.
No back-end, eu usaria um servidor radius ou um servidor TACACS caso eles estivessem fazendo algum trabalho no seu firewall.
Responder4
Exigimos que os prestadores de serviços com equipamentos externos usem SSL-VPN para acessar recursos internos, ponto final. No escritório, nenhum equipamento externo é permitido, exceto uma área de laboratório onde eles podem conectar equipamentos externos a uma rede que lhes dá acesso à Internet por períodos limitados de tempo – mas não é permitido acesso à rede interna.
Se recebermos um laptop da nossa parte, eles estarão sujeitos às mesmas regras que qualquer outro funcionário, exceto que suas contas expiram periodicamente e precisam ser reautorizadas por um gerente autorizado.