Каков ваш метод решения проблемы доступа к vpn для подрядчиков / внештатных сотрудников?

Я хочу узнать, как другие справляются с доступом к vpn подрядчикам / сторонним лицам.

Как вы предоставляете / деактивируете их учетные записи?
- Находятся ли они в вашем AD или в другом хранилище учетных записей?
Как вы ограничиваете их, чтобы у них был доступ только к тому, над чем они наняли для работы?
Как вы управляете паролями?
- Их заставляют менять свой пароль?
- Как им предоставляется пароль?
Используете ли вы какие-либо формы контроля доступа к сети / сканирование безопасности своих компьютеров?

Мы создаем учетную запись в организационном подразделении консультанта, в котором указаны часы входа в систему, за исключением особых случаев, когда им требуется доступ на более длительный срок.

Их пароль меняется при первом входе в систему, как и все остальные.

Ноутбук консультанта подключается к сети VLAN, которая имеет только ограниченный доступ в Интернет и не имеет доступа к внутренней сети. Чтобы получить доступ ко всему в нашей локальной сети, они используют наш SSL VPN и ограничены возможностью подключаться только к серверам, используемым в любом проекте, над которым они работают.

Обычно консультант использует предоставленный нами портативный компьютер, в противном случае он получит необходимое нам антивирусное программное обеспечение или соединение VPN не будет выполнено.

Я бы использовал двухфакторную аутентификацию. Одно физическое устройство, которым они должны обладать помимо имени пользователя и пароля.

Электронные токены / устройства SafeWord от Аладдин работают довольно хорошо с физической частью устройства, и они относительно недороги, если они потеряны или подрядчик не вернет их.

На бэкэнде я бы использовал RADIUS-сервер или TACACS-сервер, если они будут работать с вашим брандмауэром.

у нас есть пара файлов pcf, которые содержат только определенный сервер, на котором им разрешено работать. У них есть учетные записи в AD, которые обычно отключены, когда необходимо их использовать, мы активируем учетные записи, но устанавливаем срок их действия, когда они думают, что они должны были закончить.

Учетные записи активируются только по электронной почте от действительного источника, и все запросы и действия находятся в службе поддержки. У нас хорошо работает

Мы требуем, чтобы подрядчики с внешним оборудованием использовали SSL-VPN для доступа к внутренним ресурсам, точка. В офисе не допускается использование внешнего оборудования, за исключением лабораторной зоны, где они могут подключать внешнее оборудование к сети, которая дает им доступ в Интернет в течение ограниченных периодов времени - но доступ к внутренней сети не разрешен.

Если им выдается ноутбук, на них распространяются все те же правила, что и на любого другого сотрудника, за исключением того, что их учетные записи периодически истекают и должны быть повторно авторизованы уполномоченным менеджером.