Oświadczenie/regularmin połączenia zdalnego

4 views
Skip to first unread message

Pawel

unread,
Jul 17, 2008, 4:08:48 AM7/17/08
to ISSA Polska Wrocław
Witam wszystkich.
W swojej firmie wykorzystujemy do połączeń zdalnych certyfikaty
zaimplementowane do profilu.
Każdy pracownik musi więc wpierw się zalogować do systemu, a następnie
w celu zestawienia połączenia z zasobami firmy podać hasło do
certyfikatu.

Jak wszyscy wiedzą, z pracownikami wewnętrznymi raczej nie ma
problemów ;-).

Niestety do zasobów zaczyna łączyć się coraz większa rzesza ludzi nie
pracujących w firmie.
Są to nasi dostawcy, usługodawcy itp. Jako, że konfiguracja połączenia
zdalnego na użytkownika profilu nie zawsze jest możliwa, zastanawiam
się nad sposobem autoryzacji tych osób. Wydaje mi się tutaj, że
przekazanie im certyfikatu z trudnym hasłem będzie jedynym sposobem.
Niestety nie zabezpieczę się przed skopiowaniem jego i użyciem na
innej maszynie.
Dlatego też chciałbym aby użytkownik taki, osoba która otrzyma taki
certyfikat podpisała oświadczenie, w którym będzie wyraźnie napisane,
że:
- odpowiada za łączenie się naszych zasobów za pomocą tego certyfikatu
(czyli za wszystkie próby ataków z wykorzystaniem tego certyfikatu
jest on odpowiedzialny)
- w przypadku zagubienia klucza, bądź podstaw do ich użycia przez inne
osoby należy niezwłocznie o tym poinformować, unieważnić certyfikat i
wygenerować nowy.
- itd.

Teraz pytania:
1. co sadzicie o takim sposobie logowania się nie pracowników
firmowych?
2. Czy wiecie jak powinno wyglądać takie oświadczenie użytkownika,
macie może jakieś przykłady?

Pozdrawiam
Paweł

Radek Michalski

unread,
Jul 17, 2008, 4:41:46 AM7/17/08
to issa-pols...@googlegroups.com
Witam,

Z mojego punktu widzenia:
1. Wydzielona strefa z większymi obostrzeniami dla ludzi z zewnątrz - jeśli
jest możliwość. Gorzej z dostępem np. do BD itp., ale to zależy od profilu
użytkowników zewnętrznych.
2. Jak rozumiem, klucze prywatne z certyfikatami przechowujesz na dysku.
Jeśli któraś z dwóch stron negocjacji jest w stanie pokryć ten koszt -
najlepiej umieścić je na tokenie - rozwiążesz problem kradzieży klucza
prywatnego z dysku.
3. W miarę możliwości (systemy MS 2k8/XP/Vista) i Waszej pozycji w
negocjacjach z firmami zewnętrznymi - NAP.
4. Pytanie czy w ogóle oświadczenie użytkownika w tym przypadku powinno być
poruszane na pierwszym miejscu, jeśli nie jest możliwe zapewnienie
technicznych środków ochrony tego użytkownika przed wykradzeniem mu klucza.
Dlatego, moim zdaniem, najpierw zaoferujmy mu pewną ochronę (pkt 2), a
dopiero później oświadczenie. Wtedy będzie miało ono sens, bo świadomie
będzie musiał udostępnić komuś token i hasło do niego, czyli świadomie
naruszy warunki tego oświadczenia.
5. Niskobudżetowe rozwiązanie - zastosowanie OTP jako dodatku lub zastępstwa
certyfikatów (hasła przesyłane na przykład SMSem).

Pozdrawiam
Radek Michalski

Pawel

unread,
Jul 17, 2008, 5:47:52 PM7/17/08
to ISSA Polska Wrocław

Radek Michalski

unread,
Jul 18, 2008, 1:23:50 AM7/18/08
to issa-pols...@googlegroups.com
Witam,

NAP - tak, to miałem na myśli.

OTP - tak, one time passwords. Oczywiście przekazane/przesyłane drugim
kanałem (stąd propozycja SMS). Dzięki temu intruz będzie miał niewątpliwie
trudniej lub też będziesz miał mocniejszy argument wskazujący, że sprawca
działał we współpracy z osobą uprawnioną do wejścia z zewnątrz. Moim
zdaniem, na tym poziomie już można przedkładać do podpisu deklaracje dot.
właściwego i zgodnego z polityką bezpieczeństwa użycia zdalnego połączenia,
bo uzyskaliśmy dość przyzwoity poziom zabezpieczeń technicznych.

Pozdrawiam
Radek Michalski

-----Original Message-----
From: issa-pols...@googlegroups.com
[mailto:issa-pols...@googlegroups.com] On Behalf Of Pawel
Sent: Thursday, July 17, 2008 11:48 PM
To: ISSA Polska Wrocław

Pawel

unread,
Jul 18, 2008, 7:15:22 AM7/18/08
to ISSA Polska Wrocław
Bardzo dziękuję - brzmi nieźle, czy możesz polecić jakieś konkretne
rozwiązanie / producenta / oprogramowania?

Pozdrawiam
Paweł

Radek Michalski

unread,
Jul 18, 2008, 8:24:02 AM7/18/08
to issa-pols...@googlegroups.com
Witam,

A z czym to chcesz integrować? Co już jest?

Pozdrawiam
Radek Michalski

-----Original Message-----
From: issa-pols...@googlegroups.com
[mailto:issa-pols...@googlegroups.com] On Behalf Of Pawel
Sent: Friday, July 18, 2008 1:15 PM
To: ISSA Polska Wrocław
Subject: Re: Oświadczenie/regularmin połączenia zdalnego


januz

unread,
Jul 22, 2008, 4:09:27 AM7/22/08
to ISSA Polska Wrocław

Pawel

unread,
Jul 23, 2008, 8:13:52 AM7/23/08
to ISSA Polska Wrocław
Dzięki, trochę mało szczegłowa i jak zawsze tego typu dużo odnosników
do innych polityk.
Zapoznam si jednak jeszcze z odnosnikami i pewnie coś swojego wymyślę.

Jeszcze raz dziękuje.
Pozdrawiam
Paweł

On Jul 22, 10:09 am, januz <zmudzins...@gmail.com> wrote:
> A tu :
>
> http://www.google.pl/url?sa=t&ct=res&cd=1&url=http%3A%2F%2Fwww.sans.o...

Pawel

unread,
Jul 23, 2008, 8:14:37 AM7/23/08
to ISSA Polska Wrocław
Przepraszam, że tak długo nie odpowiadałem.
Z CheckPointem.

Pozdrawiam
Paweł
> Paweł- Hide quoted text -
>
> - Show quoted text -

Pawel

unread,
Sep 20, 2008, 4:10:51 AM9/20/08
to ISSA Polska Wrocław
Dzięki wszystkim.
Udało mnie się znaleźć ciekawe oprogramowanie http://www.nordicedge.se/
Jest o tyle fajne, iż pin/kod wysyła sms-em i nie potrzebny jest do
tego dodatkowy token.

Współpracuje z wieloma usługami a licencjonowany jest na użytkownika,
a nie na usługę.
Na razie to testuję, więc jeszcze nie mogę polecić, jednak aplikacja
godna testów ;-).

Pozdrawiam
Paweł
> > - Show quoted text -- Ukryj cytowany tekst -
>
> - Pokaż cytowany tekst -
Reply all
Reply to author
Forward
0 new messages