Как организовать безопасный удаленный доступ с помощью продуктов Рутокен
Если в вашей компании уже есть токен или смарт-карта Рутокен, вы можете использовать их не только для электронного документооборота, но и организовать безопасное удаленное подключение к рабочему компьютеру и другим корпоративным ресурсам.
Существует два варианта организации удаленной работы – с использованием корпоративных ноутбуков с установленным необходимым программным обеспечением, либо на домашних ПК с использованием удаленного рабочего стола. В первом случае сотрудники будут подключаться к сети предприятия для доступа к необходимым ресурсам – серверам приложений, файловым хранилищам и базам данных. Во втором — будет осуществляться подключение к корпоративному серверу RDP или VDI.
В обоих случаях для подключения используются публичные каналы передачи данных сети Интернет. Это опасно, потому что передаваемые данные могут быть перехвачены и изменены. А если пароль будет украден, то злоумышленник сможет бесконтрольно подключаться к серверам предприятия. Это в офисе понятно кто за каким компьютером работает, а при удаленной работе сотрудником считается тот, кто знает пароль.
Поэтому для защиты передаваемых данных используется шифрование канала. А для предотвращения несанкционированного доступа к сети – двухфакторная аутентификация c помощью токенов и смарт-карт Рутокен. Для входа в сеть предприятия сотруднику необходимо подключить к своему ПК токен или смарт-карту и ввести PIN-код устройства. Владение устройством является первым фактором аутентификации, а PIN-код — вторым. Украв только токен или только PIN-код, злоумышленник подключиться не сможет. А когда сотрудник обнаружит пропажу токена, то уведомит системного администратора и доступ будет заблокирован.
С помощью сервера виртуальной частной сети (Virtual Private Network – VPN) можно организовать при работе из дома безопасный шифрованный канал между корпоративной сетью и рабочими компьютерами, а также двухфакторную аутентификацию удаленных пользователей на основе токенов и смарт-карт.
А при подключении к удаленным рабочим столам шифрование канала осуществляется с помощью встроенных средств серверов VDI и RDP, либо с использованием дополнительного сервера VPN. Двухфакторной аутентификацию можно внедрить с помощью встроенных возможностей операционной системы (требуется установка инфраструктуры открытых ключей — PKI, например, Microsoft Certification Service), либо использовать сервер VPN.
Устройства Рутокен помогут быстро защитить и упростить вход в удаленные рабочие столы или внутреннюю сеть предприятия, заменяя однофакторную парольную аутентификацию двухфакторной.
При двухфакторной аутентификации с использованием продуктов Рутокен к знанию пароля доступа к устройству (PIN-кода) добавляется второй фактор – владение физическим устройством. PIN-код защищен от перебора операционной системой Рутокен. После определенного количества неудачных попыток ввода PIN-код блокируется.
Использование двухфакторной аутентификации с помощью электронной подписи гарантирует серверу личность пользователя, поскольку аутентификационные данные лежат в специальной защищенной PIN-кодом памяти устройства Рутокен. Таким образом, продукты Рутокен защищены от несанкционированного доступа и копирования.
Рутокен VPN позволяет в короткие сроки организовать удаленный доступ сотрудников ко внутренним ресурсам компании с использованием двухфакторной аутентификации.
Подключение возможно с персональных компьютеров и мобильных устройств.
Вы получите готовый образ одной из виртуальных машин VmWare Workstation, VmWare ESXi или VirtualBox.
Чтобы развернуть VPN, нужно выполнить всего несколько шагов. Мы подготовили подробную инструкцию по настройке .
С помощью веб-интерфейса вы сможете установить настройки сети и центра сертификации, добавить пользователей вручную или через Active Directory.
Наши ключевые носители работают с промышленными отечественными VPN-решениями: ViPNet Coordinator , S-Terra VPN , КриптоПро NGate , Континент , Застава и другими.
А также корпоративными зарубежными: Cisco, Check Point, Viscocity, Palo Alto и другими.
Безопасный удаленный доступ к удаленным рабочим столам обеспечивается с помощью технологий Citrix , Microsoft , VMWare, Рутокен. При терминальном доступе смарт-карта или токен может использоваться для аутентификации и вычисления электронной подписи на удаленном рабочем столе, как будто устройство подключено к нему напрямую.
Источник
Рутокен впн как настроить
1) При первом входе на Рутокен VPN сервер установите на компьютере следующие настройки сетевого подключения:
| IP | 192.168.99.98 |
| маска подсети | 255.255.255.0 |
| Адрес шлюза и DNS сервера | можно не указывать |
2) Подключите Рутокен VPN сервер к локальной сети и перейдите на страницу:
Нажмите Продолжить открытие этого веб-сайта (не рекомендуется).
Введите логин RutokenVpn и пароль RutokenVpn.
3) На странице Настройка сети введите:
- IP-адрес сервера (на котором будет постоянно находиться Рутокен VPN сервер);
- маску подсети;
- IP шлюза подсети;
- DNS.
Нажмите Сохранить настройки.
4) Если вы устанавливали настройки из первого пункта, то верните изначальные настройки сетевого подключения.
5) Зайдите на Рутокен VPN сервер по IP (из третьего пункта).
6) На странице Настройка центра сертификации задайте название компании и нажмите Сохранить настройки.
7) На странице Настройка VPN-сервиса задайте внешний IP.
Этот IP должен быть доступен снаружи сети. Для этого на роутере настройте переадресацию порта 1194 по протоколу UDP. Также выберите IP адресацию из списка.
IP адресацию нужно выбрать отличную от настроек сети, указанных в третьем пункте.
Задайте тип шифрования (рекомендуется использовать AES-256).
Нажмите Сохранить настройки.
8) Теперь вы можете добавить локальных пользователей или пользователей Microsoft Active Directory.
Источник
Рутокен VPN в opensource – для кого, зачем и почему?
Не так давно Компания «Актив» предоставила в открытый доступ на GitHub исходный код версии продукта Рутокен VPN Community Edition. В этой статье мы хотим рассказать зачем и для кого мы это сделали, как можно воспользоваться исходным кодом, и чего ожидаем в результате от сообщества разработчиков.
Зачем нужен еще один VPN?
Как известно, события последних полутора лет стимулировали развитие рынка VPN, и сегодня он переживает эпоху роста. Конкуренция на этом рынке значительная, цены на услуги растут. Одновременно Россия в 2021 году остается в десятке топ-потребителей VPN сервисов, т.е. спрос на рынке присутствует.
Создавая Рутокен VPN, основной «фишкой» мы решили сделать ориентацию на малый и средний бизнес, т.е. на компании, которые, вероятно, не имеют в штате постоянного и высококвалифицированного системного администратора. Именно для таких компаний мы сделали версию продукта Рутокен VPN, которая упрощает настройку VPN-сервера и клиента. Кроме того, нашей целью было предоставить разработчикам возможность развивать интересный и востребованный продукт, совершенствовать свои навыки, получая таким образом бесценный опыт и дополнительные очки к своему CV. Не скроем также, что заинтересованы и в советах участников профессионального сообщества по улучшению Рутокен VPN, которым будем максимально рады.
Чем может быть полезен Рутокен VPN Community Edition:
быстро подготовить инфраструктуру для защищенного подключения к сетям компании;
внедрить двухфакторную аутентификацию, где в качестве фактора владения используются криптографические токены Рутокен ЭЦП;
обеспечить удобство пользователей: операции по настройке VPN-клиента могут быть выполнены с помощью web-интерфейса самообслуживания, а для подключения к VPN достаточно лишь запустить клиент, подключить одно из совместимых устройств Рутокен и ввести PIN-код.
В результате обеспечивается безопасность соединения за счет использования RSA 2048 для аутентификации и AES 256 для шифрования канала связи. Аутентификация удаленного пользователя происходит с применением криптографического токена, а это значит, что ключи аутентификации не могут быть скопированы, ведь криптографические операции с ними выполняются на самом устройстве.
Использование VPN повышает безопасность при удаленном подключении к корпоративной сети, в том числе обеспечивает защиту от перехвата паролей, подмены сертификатов, хищения платежной информации, адресов корпоративной почты и других ценных данных компаний, передаваемых по сети.
Рутокен VPN Community Edition можно развернуть на Linux-based ОС. Мы поддерживаем работу в Ubuntu 16 и Ubuntu 20.
Клиентская часть поддерживается на:
Microsoft Windows 7 SP1 и выше — Рутокен VPN Клиент, opensource решения;
OSX 10.11 и выше — Рутокен VPN Клиент, opensource решения;
iOS 6.1 и выше — opensource решения;
Android 4.0 и выше — opensource решения
Как работает версия Рутокен VPN Community Edition
Для наилучшего понимания взаимодействия компонентов при работе с «открытым» Рутокен VPN мы схематично представили их на рисунке.
Рутокен VPN Community Edition устанавливается на выделенный физический или виртуальный хост внутри сети. В результате установки этот хост начинает выполнять функции VPN-сервера, web-сервера и удостоверяющего центра PKI.
Web-сервер
Web-сервер содержит функциональность управления, доступную через web-интерфейс управления, и функциональность «самообслуживания пользователя», доступную через web-интерфейс «Личного кабинета пользователя». Этот сервер – ключевой компонент решения, позволяющий управлять VPN-сервером и использовать функциональность Удостоверяющего Центра.
В web-интерфейсе управления представлены следующие основные функции:
Настройка сети, роутинга, управление настройками VPN-сервера;
Управление инфраструктурой PKI: выпуск и отзыв сертификатов пользователей, обновление сертификата VPN-сервера.
Управление учетными записями дистанционных пользователей: интеграция с Active Directory, добавление и удаление локальных учетных записей.
Через web-интерфейс «Личного кабинета пользователя» без непосредственного участия администратора могут быть выполнены следующие действия:
Генерация криптографических ключей на токене и получение сертификата для подключения к VPN;
Скачивание Рутокен VPN Клиента и конфигурационного файла к нему;
Скачивание конфигурационного файла для использования на мобильных устройствах;
Отзыв (возврат или удаление) собственного сертификата пользователя.
Backend web-сервера использует Django и Nginx. Web-интерфейс реализован на Angular 10. Взаимодействие с токеном пользователя из браузера реализовано через Рутокен Плагин.
Как настроить Рутокен VPN Community Edition?
В подтверждение вышесказанного о простоте и удобстве разворачивания Рутокен VPN Community Edition, продемонстрируем, как же это делается.
Для быстрой автоматической установки можно воспользоваться специальным скриптом.
Для разворачивания решения вам понадобится зайти в подходящий образ Ubuntu, скачать скрипт из репозитория и запустить его с помощью команды:
sudo -s bash install.sh
После перезагрузки сервис «поднимется» автоматически. Останется только выполнить настройку сети. Для этого зайдите на страницу по адресу: http://127.0.0.1. Введите стандартные логин “RutokenVpn” и пароль “RutokenVpn” и на странице «Настройка сети» заполните форму с настройками:
IP адрес сервера — постоянный адрес, на котором будет находиться Рутокен VPN сервер;
Маска подсети — маска подсети локальной сети, в которой будет работать Рутокен VPN сервер;
IP шлюза подсети — адрес шлюза локальной сети, в которой будет работать Рутокен VPN сервер;
DNS (DNS 2 опционально) — DNS локальной сети, в которой будет работать Рутокен VPN сервер.
Наконец, нужно дать название и внешний IP вашему развернутому сервису. Зайдите на сервис по только что заданному IP со страницы «Настройки сети», введите название компании, нажмите «Сохранить настройки».
На странице “Настройка VPN-сервиса” задайте внешний IP. Для этого на роутере настройте переадресацию порта 1194 по протоколу UDP. Также выберите IP адресацию из списка. IP адресацию нужно выбрать отличную от настроек сети. Если вы устанавливаете решение на виртуальной машине, то не забудьте включить режим Bridged.
Сервис готов к работе. Теперь вам доступны все возможности панели администрирования — добавление локальных и Microsoft Active Directory- пользователей, генерация мобильных и токен-сертификатов, настройка доступа в личный кабинет, просмотр активных пользователей и блокировка подключений. Подробная инструкция, а также руководства пользователя и администратора располагаются по адресу — https://dev.rutoken.ru/pages/viewpage.action?pageId=20120334.
Пользовательский опыт
Что нужно сделать пользователю, чтобы подключиться внутрь корпоративной сети через Рутокен VPN Community Edition?
После того, как администратор добавил пользователей в систему, у каждого пользователя появляется возможность самому выписать себе сертификат и подключиться внутрь корпоративной сети. Для этого пользователю достаточно зайти на страницу самообслуживания.
Для продолжения работы, в зависимости от ОС и браузера пользователя, будет предложено установить плагин и расширение для браузера, которые понадобятся для корректной работы с токенами.
После его генерации остается только загрузить конфигурационный файл и установить клиент под требуемую ОС.
После загрузки нужного клиента, мы добавляем наш конфигурационный файл, вводим PIN-код токена, и доступ в корпоративную сеть открывается.
Более подробное руководство пользователя представлено на нашем портале документации Рутокен.
Источник
