Hakerlər beynəlxalq Deloitte şirkətinin əsas poçt serverinə giriş əldə ediblər. Bu server üçün administrator hesabı yalnız parolla qorunurdu.
Müstəqil avstriyalı tədqiqatçı David Wind Google intranet giriş səhifəsində boşluq aşkar etdiyinə görə 5 dollar mükafat alıb.
Rusiya şirkətlərinin 91%-i məlumat sızması faktlarını gizlədir.
Belə xəbərlərə demək olar ki, hər gün internetin xəbər lentlərində rast gəlmək olar. Bu birbaşa sübutdur ki, şirkətin daxili xidmətləri qorunmalıdır.
Şirkət nə qədər böyükdürsə, nə qədər çox işçisi varsa və daxili İT infrastrukturu nə qədər mürəkkəbdirsə, məlumat sızması problemi onun üçün bir o qədər aktualdır. Təcavüzkarları hansı məlumat maraqlandırır və onu necə qorumaq olar?
Hansı məlumatların sızması şirkətə zərər verə bilər?
- müştəri və əməliyyat məlumatları;
- məhsullar və nou-hau haqqında texniki məlumatlar;
- tərəfdaşlar və xüsusi təkliflər haqqında məlumat;
- şəxsi məlumatlar və mühasibatlıq.
Yuxarıdakı siyahıdan bəzi məlumatların şəbəkənizin hər hansı bir seqmentindən yalnız giriş və şifrə təqdim edildikdən sonra mövcud olduğunu başa düşsəniz, məlumatların təhlükəsizliyi səviyyəsini artırmaq və onları icazəsiz girişdən qorumaq barədə düşünməlisiniz.
Aparat kriptoqrafik mediasına (tokenlər və ya smart kartlar) əsaslanan iki faktorlu autentifikasiya çox etibarlı və eyni zamanda istifadəsi olduqca asan olduğu üçün şöhrət qazanmışdır.
Demək olar ki, hər məqalədə iki faktorlu autentifikasiyanın faydaları haqqında yazırıq. Bu barədə məqalələrdə daha çox oxuya bilərsiniz и .
Bu yazıda təşkilatınızın daxili portallarına daxil olmaq üçün iki faktorlu autentifikasiyadan necə istifadə edəcəyinizi sizə göstərəcəyik.
Məsələn, biz korporativ istifadə üçün ən uyğun Rutoken modelini - kriptoqrafik USB tokenini götürəcəyik .
Quraşdırma ilə başlayaq.
Addım 1 - Serverin qurulması
İstənilən serverin ürəyi əməliyyat sistemidir. Bizim vəziyyətimizdə bu, Windows Server 2016-dır. Və onunla və Windows ailəsinin digər əməliyyat sistemləri ilə birlikdə IIS (İnternet İnformasiya Xidmətləri) paylanır.
IIS veb server və FTP server daxil olmaqla İnternet serverləri qrupudur. IIS veb-saytların yaradılması və idarə edilməsi üçün proqramları ehtiva edir.
IIS bir domen və ya Active Directory tərəfindən təmin edilən istifadəçi hesablarından istifadə edərək veb xidmətləri yaratmaq üçün nəzərdə tutulmuşdur. Bu, mövcud istifadəçi məlumat bazalarından istifadə etməyə imkan verir.
В biz serverinizdə Sertifikatlaşdırma Təşkilatının necə qurulacağını və konfiqurasiya olunacağını ətraflı təsvir etdik. İndi biz bu barədə ətraflı danışmayacağıq, lakin hər şeyin artıq qurulduğunu düşünəcəyik. Veb server üçün HTTPS sertifikatı düzgün verilməlidir. Dərhal yoxlamaq daha yaxşıdır.
Windows Server 2016 daxili IIS 10.0 versiyasına malikdir.
IIS quraşdırılıbsa, onu düzgün konfiqurasiya etmək qalır.
Rol xidmətlərinin seçilməsi mərhələsində qutunu işarələdik Əsas autentifikasiya.
Sonra daxil IIS meneceri daxil edilmişdir Əsas autentifikasiya.
Və veb serverin yerləşdiyi domeni göstərdilər.
Sonra sayta bir keçid əlavə etdik.
Və SSL seçimlərini seçin.
Bu, server quraşdırmasını tamamlayır.
Bu addımları tamamladıqdan sonra sayta yalnız sertifikatı olan token və PIN kodu olan istifadəçi daxil ola biləcək.
uyğun olaraq bir daha xatırladırıq , istifadəçi əvvəllər kimi bir şablona uyğun olaraq verilmiş açarları və sertifikatı olan bir token verilmişdir smart kart istifadəçisi.
İndi istifadəçinin kompüterinin qurulmasına keçək. O, qorunan vebsaytlara qoşulmaq üçün istifadə edəcəyi brauzerləri konfiqurasiya etməlidir.
Addım 2 - İstifadəçinin kompüterinin qurulması
Sadəlik üçün tutaq ki, istifadəçimiz Windows 10-a malikdir.
Həmçinin onun dəsti quraşdırdığını güman edin .
Bir sıra sürücülərin quraşdırılması isteğe bağlıdır, çünki işarəyə dəstək çox güman ki, Windows Update vasitəsilə gələcək.
Ancaq bu birdən baş vermədisə, Windows üçün Rutoken Sürücülərinin quraşdırılması bütün problemləri həll edəcəkdir.
Tokeni istifadəçinin kompüterinə qoşun və Rutoken İdarəetmə Panelini açın.
Nişanda Sertifikat yoxlanılmadıqda tələb olunan sertifikatın yanındakı qutuyu qeyd edin.
Beləliklə, biz tokenin işlədiyini və tələb olunan sertifikatı ehtiva etdiyini yoxladıq.
Firefox istisna olmaqla, bütün brauzerlər avtomatik olaraq konfiqurasiya edilir.
Onlarla xüsusi bir şey etmək lazım deyil.
İndi istənilən brauzeri açın və resursun ünvanını daxil edin.
Sayt yüklənməzdən əvvəl bizdə sertifikat seçmək üçün pəncərə, sonra isə tokenin PİN kodunu daxil etmək üçün pəncərə olacaq.
Əgər Aktiv ruToken CSP cihaz üçün standart kriptoprovayder kimi seçilibsə, PİN kodu daxil etmək üçün başqa pəncərə açılacaq.
Və yalnız brauzerə uğurlu daxil olduqdan sonra saytımız açılacaq.
Firefox brauzeri üçün əlavə parametrlər edilməlidir.
Brauzer parametrlərində seçin Məxfilik və Təhlükəsizlik. Bölmədə Sertifikat itələmək üçün Qoruyucu Cihaz... Bir pəncərə açılacaq Cihaz idarəçiliyi.
Mətbuat Download, Rutoken EDS adını və C yolunu göstərin: windowssystem32rtpkcs11ecp.dll.
Budur, indi Firefox tokeni necə idarə edəcəyini bilir və ondan istifadə edərək sayta daxil olmağa imkan verir.
Yeri gəlmişkən, veb-saytlara işarəli giriş Safari, Chrome və Firefox brauzerlərindəki Mac-lərdə də işləyir.
Sadəcə Rutoken saytından quraşdırmaq lazımdır və içindəki tokendəki sertifikata baxın.
Safari, Chrome, Yandex və digər brauzerləri konfiqurasiya etmək lazım deyil, sadəcə saytı bu brauzerlərdən hər hansı birində açmaq lazımdır.
Firefox brauzeri demək olar ki, Windows-da olduğu kimi konfiqurasiya edilmişdir (Parametrlər - Qabaqcıl - Sertifikatlar - Təhlükəsizlik cihazları). Yalnız kitabxanaya gedən yol bir qədər fərqlidir /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.
Tapıntılar
Sizə kriptoqrafik tokenlərdən istifadə edərək vebsaytlarda iki faktorlu autentifikasiyanı necə quracağınızı göstərdik. Həmişə olduğu kimi, bunun üçün Rutoken sistem kitabxanalarından başqa heç bir əlavə proqrama ehtiyacımız yox idi.
Siz bu proseduru daxili resurslarınızdan hər hansı biri ilə edə bilərsiniz və həmçinin Windows Serverin başqa yerlərində olduğu kimi sayta daxil olacaq istifadəçi qruplarını çevik şəkildə konfiqurasiya edə bilərsiniz.
Server üçün fərqli OS istifadə edirsiniz?
Digər əməliyyat sistemlərinin qurulması haqqında yazmağımızı istəyirsinizsə, məqalənin şərhlərində bu barədə yazın.
Mənbə: www.habr.com