Я хочу посмотреть, как другие решают проблему доступа к VPN для подрядчиков/лиц, не являющихся сотрудниками.
- Как вы создаете/деактивируете их учетные записи?
- Они находятся в вашем AD или в другом хранилище аккаунтов?
- Как ограничить их, чтобы у них был доступ только к той работе, для которой их наняли?
- Как вы управляете паролями?
- Заставляют ли их менять пароль?
- Каким образом им предоставляется пароль?
- Используете ли вы какие-либо формы контроля доступа к сети/сканирования безопасности своих компьютеров?
решение1
Мы создаем учетную запись в организационном подразделении консультанта с указанием часов входа в систему, если только в особых случаях не требуется более длительный доступ.
Их пароль меняется при первом входе в систему, как и у всех остальных.
Ноутбук консультанта подключен к VLAN, которая имеет только ограниченный доступ к Интернету и не имеет доступа к интрасети. Чтобы получить доступ к чему-либо в нашей локальной сети, они используют наш SSL VPN и ограничены только возможностью подключения к серверам, используемым в любом проекте, над которым они работают.
Обычно консультант использует предоставленный нами ноутбук. В противном случае он получит необходимое нам антивирусное программное обеспечение, иначе VPN-подключение не будет установлено.
решение2
у нас есть пара pcf-файлов, которые содержат только определенные сервера, на которых им разрешено работать. У них есть учетные записи в AD, которые обычно отключены, когда возникает необходимость их использовать, мы активируем учетные записи, но устанавливаем срок их действия, когда они считают, что должны были закончить работу.
Учетные записи активируются только по электронной почте из действительного источника, и все запросы и действия находятся в службе поддержки. Работает довольно хорошо для нас
решение3
Я бы использовал двухфакторную аутентификацию. Одна — физическое устройство, которым они должны обладать в дополнение к имени пользователя и паролю.
Устройства E-token/SafeWord отАлладинОни отлично подходят для работы с физическими устройствами и относительно недороги, если они потеряются или подрядчик не вернет их.
На внутреннем уровне я бы использовал сервер RADIUS или сервер TACACS, если они выполняют какую-либо работу с вашим брандмауэром.
решение4
Мы требуем, чтобы подрядчики с внешним оборудованием использовали SSL-VPN для доступа к внутренним ресурсам, и точка. В офисе не допускается никакое внешнее оборудование, за исключением лабораторной зоны, где они могут подключить внешнее оборудование к сети, которая дает им доступ в Интернет на ограниченные периоды времени, но доступ к внутренней сети не допускается.
Если мы выдаем им ноутбук, на них распространяются все те же правила, что и на любых других сотрудников, за исключением того, что срок действия их учетных записей периодически истекает, и их необходимо повторно авторизовать у уполномоченного менеджера.