Πίνακας περιεχομένων:
- Τοπικός έλεγχος ταυτότητας
- Ελαφρύ πρωτόκολλο πρόσβασης καταλόγου (LDAP)
- Active Directory (AD)
- Συστήματα ελέγχου ταυτότητας RADIUS και κωδικό πρόσβασης
- Χ. Πιστοποίηση πιστοποίησης 509
- Γλώσσα σήμανσης ασφαλείας
Βίντεο: Introduction to Amazon Web Services by Leo Zhadanovsky 2024
Προτού επιτρέψετε την πρόσβαση στο εταιρικό δίκτυο από οποιαδήποτε κινητή συσκευή, θα πρέπει πρώτα να προσδιορίσετε τον χρήστη. Ένας τύπος επικύρωσης ταυτότητας χρήστη είναι ο έλεγχος ταυτότητας. Ο έλεγχος ταυτότητας χρήστη είναι η επικύρωση που ο χρήστης είναι πραγματικά ποιος λέει ότι είναι. Με άλλα λόγια, ο έλεγχος ταυτότητας χρήστη αποδεικνύει ότι το άτομο που επιχειρεί να συνδεθεί στο VPN ως SueB είναι πραγματικά ο Sue Berks και όχι ο Joe Hacker.
Όπως συμβαίνει με πολλές τεχνολογίες ασφάλειας, προσφέρεται μια σειρά από δυνατότητες ασφάλειας μέσω αυτών των διαφόρων λύσεων. Οι οργανισμοί που έχουν μεγάλη συνείδηση της ασφάλειας χρησιμοποιούν τυπικά μια ισχυρή λύση ελέγχου ταυτότητας, όπως ένα μοναδικό σύστημα κωδικού πρόσβασης ή ψηφιακά πιστοποιητικά X. 509. Η χρήση ισχυρής πιστοποίησης έχει γίνει πολύ δημοφιλής τα τελευταία χρόνια. είναι μια βέλτιστη πρακτική για όλους τους οργανισμούς. Λιγότεροι οργανισμοί με συνείδηση της ασφάλειας διατηρούν στατικά συστήματα ονόματος χρήστη και κωδικού πρόσβασης για έλεγχο ταυτότητας απομακρυσμένου χρήστη.
Τοπικός έλεγχος ταυτότητας
Ο τοπικός έλεγχος ταυτότητας είναι μια βάση δεδομένων για τον έλεγχο ταυτότητας των χρηστών. Ολόκληρη η διαχείριση λογαριασμού χρήστη και η αποθήκευση αρχείων γίνεται στη συσκευή VPN.
Οι περισσότεροι προμηθευτές VPN προσφέρουν αυτό το είδος ελέγχου ταυτότητας, αν και χρησιμοποιείται κυρίως για έλεγχο ταυτότητας διαχειριστή ή για μικρότερους οργανισμούς.
Ελαφρύ πρωτόκολλο πρόσβασης καταλόγου (LDAP)
Το LDAP (Lightweight Directory Access Protocol) είναι ένα τυπικό πρωτόκολλο για την αναζήτηση μιας βάσης δεδομένων καταλόγου και την ενημέρωση αρχείων βάσης δεδομένων. Ως μία από τις συνηθέστερα χρησιμοποιούμενες διασυνδέσεις σε εφαρμογές VPN, το LDAP λειτουργεί ως το πρωτόκολλο επιλογής για την αναζήτηση πολλών τύπων βάσεων δεδομένων, συμπεριλαμβανομένης της υπηρεσίας καταλόγου Active Directory.
Active Directory (AD)
Η υπηρεσία καταλόγου Active Directory είναι ένας από τους κορυφαίους διακομιστές καταλόγων και οι περισσότεροι οργανισμοί την αναπτύσσουν σε κάποιο βαθμό. Πολλοί διακομιστές VPN προσφέρουν μια εγγενή διεπαφή διακομιστή ελέγχου ταυτότητας Active Directory, αλλά οι εφαρμογές AD μπορούν επίσης να αξιοποιήσουν το LDAP / LDAPS (LDAP over SSL) για ερωτήματα και ενημερώσεις.
Συστήματα ελέγχου ταυτότητας RADIUS και κωδικό πρόσβασης
Τα περισσότερα συστήματα VPN παρέχουν έναν τυπικό τρόπο διασύνδεσης με αυτά τα συστήματα OTP μέσω του πρωτοκόλλου RADIUS. Υπηρεσία εξουσιοδότησης απομακρυσμένης ταυτότητας (RADIUS) παρέχει υπηρεσίες ελέγχου ταυτότητας, εξουσιοδότησης και λογιστικής. και τα περισσότερα συστήματα OTP που διατίθενται σήμερα στην αγορά υποστηρίζουν το RADIUS.
Χ. Πιστοποίηση πιστοποίησης 509
Τα τελευταία χρόνια, τα ψηφιακά πιστοποιητικά X. 509 έχουν γίνει πιο δημοφιλή ως μέθοδος ελέγχου ταυτότητας. Εκδίδονται από διάφορες αρχές αξιόπιστων πιστοποιητικών (CA) σε οργανισμούς και τελικούς χρήστες.Οι τοποθετήσεις στο πλαίσιο της κυβέρνησης του Ηνωμένου Βασιλείου αποτέλεσαν τεράστιο μοχλό για την έκδοση πιστοποιητικών X. 509. Ως αποτέλεσμα, η στήριξη έχει βελτιωθεί σημαντικά τα τελευταία χρόνια, καθιστώντας την ανάπτυξη και τη διαρκή διαχείριση πολύ πιο απλή.
Όταν μια συσκευή VPN υποστηρίζει X. 509 ψηφιακά πιστοποιητικά, η συσκευή πρέπει να εκτελέσει επικύρωση πιστοποιητικού για να βεβαιωθεί ότι το πιστοποιητικό δεν έχει ανακληθεί. Το VPN επικυρώνει το πιστοποιητικό με
-
CRLs (λίστες ανάκλησης πιστοποιητικών): Τα CRL είναι κατά βάση λίστες ανακληθέντων πιστοποιητικών που διανέμονται από τον εκδότη πιστοποιητικών.
-
OCSP (Πρωτόκολλο κατάστασης πιστοποιητικού ηλεκτρονικού ταχυδρομείου): Το OCSP είναι ένας τρόπος να παρακάμψετε ορισμένους από τους περιορισμούς του ελέγχου CRL (όπως το μέγεθος των λιστών) και καθορίζει έναν τρόπο επαλήθευσης της κατάστασης πιστοποιητικού σε πραγματικό χρόνο.
Εκτός από την επικύρωση της κατάστασης πιστοποιητικών, το VPN ενδέχεται επίσης να ανακτήσει τα χαρακτηριστικά χρήστη από το πιστοποιητικό έτσι ώστε το σύστημα ελέγχου πρόσβασης VPN να μπορεί να συγκριθεί με τα χαρακτηριστικά ενός καταλόγου.
Γλώσσα σήμανσης ασφαλείας
Η γλώσσα σήμανσης ασφαλείας (SAML) είναι ένα πρότυπο για τον έλεγχο ταυτότητας και την εξουσιοδότηση των χρηστών σε διάφορα συστήματα. Ουσιαστικά, είναι μια τεχνολογία Single Sign-On (SSO). Ορισμένες συσκευές SSL VPN παρέχουν υποστήριξη για το SAML, επιτρέποντας στους χρήστες που είναι ήδη συνδεδεμένοι σε άλλα συστήματα τη δυνατότητα να συνδεθούν άψογα στο σύστημα SSL VPN, όπως απαιτείται. Οι λύσεις ελέγχου ταυτότητας SAML συνήθως δεν συσχετίζονται με VPNs IPsec.