Métodos de administración remota

0

Hay un requisito para que los usuarios accedan de forma remota a uno de mis servidores corporativos desde Internet. En cuanto a las políticas, me gustaría que al menos usen 2FA para la comunicación, por ejemplo, Tokens VPN, contraseña + SMS, etc. Sin embargo, también reconocí que algunos usuarios pueden no tener el presupuesto para implementar al menos 2FA. Por lo tanto, me gustaría recopilar comentarios de personas de la industria, lo que podría ser una alternativa lo suficientemente buena como para 2FA que también podría habilitar adecuadamente un tipo similar de protección para el acceso remoto. gracias

    
pregunta dorothy 09.01.2015 - 04:29
fuente

2 respuestas

3

La buena noticia es que dos factores pueden ser gratis. El autenticador de Google es gratuito y mezclado con FreeRadius debería funcionar con casi cualquier dispositivo de acceso.

No es tan elegante ni seguro como RSA o algunos de los otros, pero es bastante simple de implementar y satisface un segundo factor para el nombre de usuario y la contraseña.

Por lo que puedo decir, parece estar basado en certificados, ya que no necesita un servidor para hablar en el lado de la autenticación, solo la hora precisa. No tiene la protección adicional de RSA para adivinar OTP o pin, pero parte de eso se puede lograr con la detección de intrusos en el dispositivo que utiliza la autenticación.

Una cosa a tener en cuenta, si usa su teléfono para acceder a los servidores y para acceder a la OTP para GA, no creo que se considere un segundo factor desde la perspectiva del NIST, ya que lo que tiene debe estar separado de el dispositivo desde el que inicia sesión, a menos que haya una ruta de confianza definida.

Si el dinero es una preocupación, vale la pena echar un vistazo :)

    
respondido por el Brett Littrell 09.01.2015 - 05:07
fuente
2

El Google Authenticator necesita un sistema remoto para validar el valor otp introducido. Este podría ser un sitio remoto, un servidor o, en el caso más sencillo, es pam-google-authenticator, que almacena la clave secreta en el directorio principal del usuario.

Puedes tener OTP gratis y como código abierto. Echa un vistazo a privacyidea . Funciona como un backend, puede asignar diferentes tipos de dispositivos de autenticación a usuarios de algunas fuentes de usuarios. Puede pasar tokens de hardware, aplicaciones de teléfonos inteligentes (autenticador de google), correo electrónico o sms a los usuarios. Como cada usuario puede tener un tipo diferente, puede decidir qué usuario obtiene qué nivel de seguridad. Puede mezclar tokens de hardware y aplicaciones para teléfonos inteligentes, etc. ...

    
respondido por el cornelinux 22.01.2015 - 17:51
fuente

Lea otras preguntas en las etiquetas