Хакеры атрымалі доступ да галоўнага паштовага сервера міжнароднай кампаніі Deloitte. Уліковы запіс адміністратара гэтага сервера была абаронена толькі паролем.
Незалежны аўстрыйскі даследчык Дэвід Вінд атрымаў узнагароду ў памеры 5 тыс. долараў за выяўленне ўразлівасці на старонцы для ўводу лагіна інтранэта Google.
91% расейскіх кампаній хаваюць факты ўцечкі дадзеных.
Такія навіны амаль кожны дзень можна сустрэць у стужках навін Інтэрнэту. Гэты прамы доказ таго, што ўнутраныя сэрвісы кампаніі абавязкова варта абараняць.
І чым буйнейшая кампанія, чым больш у ёй супрацоўнікаў і складаней унутраная IT-інфраструктура, тым больш актуальнай для яе з'яўляецца праблема ўцечкі інфармацыі. Якая інфармацыя цікавая зламыснікам і як абараніць яе?
Уцечка якой інфармацыі можа нанесці шкоду кампаніі?
- інфармацыі аб кліентах і здзелках;
- тэхнічнай інфармацыі аб прадуктах і ноў-хаў;
- інфармацыі аб партнёрах і спецыяльных прапановах;
- персанальныя дадзеныя і бухгалтэрыя.
І калі вы зразумелі, што нейкая інфармацыя з прыведзенага спісу даступная з любога сегмента вашай сеткі толькі па прад'яўленні лагіна і пароля, тое варта задумацца аб падвышэнні ўзроўня бяспекі дадзеных і абароне іх ад несанкцыянаванага доступу.
Двухфактарная аўтэнтыфікацыя па апаратных крыптаграфічных носьбітах (токена або смарт-карт) заслужыла рэпутацыю вельмі надзейнай і пры гэтым даволі просты ва ўжыванні.
Аб перавагах двухфактарнай аўтэнтыфікацыі мы пішам амаль у кожным артыкуле. Падрабязней пра гэта можна пачытаць у артыкулах аб тым, и .
У гэтым артыкуле мы пакажам вам, як прымяніць двухфактарную аўтэнтыфікацыю для ўваходу на ўнутраныя парталы арганізацыі.
Для прыкладу мы возьмем самае прыдатную для карпаратыўнага прымянення мадэль Рутокен – крыптаграфічны USB-токен. .
Давайце прыступім да налады.
Крок 1 - Настройка сервера
Аснова любога сервера - гэта аперацыйная сістэма. У нашым выпадку гэта Windows Server 2016. А разам з ёй і іншымі аперацыйнымі сістэмамі сямейства Windows распаўсюджваецца IIS (Internet Information Services).
IIS уяўляе сабой групу інтэрнэт-сервераў, у тым ліку вэб-сервер і FTP-сервер. IIS уключае прыкладанні для стварэння і кіравання вэб-сайтамі.
IIS распрацавана для пабудовы вэб-сэрвісаў з выкарыстаннем уліковых запісаў карыстальнікаў, якая прадастаўляецца даменам або службай Active Directory. Гэта дазваляе выкарыстоўваць існуючыя базы дадзеных карыстальнікаў.
В мы падрабязна распавялі, як даўсталяваць і наладзіць на вашым серверы Цэнтр Сертыфікацыі (Certification Authority). Цяпер мы на гэтым падрабязна спыняцца не станем, а будзем лічыць, што ўсё ўжо настроена. HTTPS-сертыфікат для web-сервера павінен быць выпісаны карэктна. Лепш адразу гэта праверыць.
У Windows Server 2016 убудаваны IIS версіі 10.0.
Калі IIS усталяваны, тое засталося яго правільна сканфігураваць.
На этапе выбару службаў роляў мы паставілі галачку Звычайная праверка сапраўднасці.
Затым у Дыспетчары службаў IIS уключылі Звычайную праверку сапраўднасці.
І паказалі дамен у якім размешчаны вэб-сервер.
Потым дадалі прывязку сайта.
І абралі параметры SSL.
На гэтым настройка сервера завершана.
Пасля выканання паказаных дзеянняў на сайт зможа зайсці толькі карыстач, у якога ёсць токен з сертыфікатам і PIN-код токена.
Мы яшчэ раз нагадваем, што паводле , карыстачу загадзя быў выдадзены токен з ключамі і сертыфікатам, выпісаным па шаблоне тыпу Карыстальнік са смарт-картай.
Цяпер пераходзім да налады кампутара карыстальніка. Яму варта наладзіць браўзэры, якія ён будзе выкарыстоўваць для падлучэння да якія абараняюцца вэб-сайтаў.
Крок 2 - Настройка кампутара карыстальніка
Для прастаты выкажам здагадку, што ў нашага карыстача АС Windows 10.
Таксама выкажам здагадку, што ў яго ўсталяваны камплект .
Усталёўка камплекта драйвераў апцыянальная, бо хутчэй за ўсё падтрымка токена прыляціць па Windows Update.
Але калі гэтага раптам не адбылося, тое ўсталёўка камплекта Драйвераў Рутокен для Windows вырашыць усе праблемы.
Падлучым токен да кампутара карыстальніка і адкрыем Панэль кіравання Рутокен.
на ўкладцы Сертыфікаты усталюем галачку насупраць неабходнага сертыфіката, калі яна не варта.
Тым самым мы праверылі, што токен працоўны і ўтрымоўвае патрэбны сертыфікат.
Усе браўзэры, акрамя Firefox, наладжваюцца аўтаматычна.
Спецыяльна з імі рабіць нічога не трэба.
Цяпер адкрыем любы браўзэр і ўвядзем адрас рэсурса.
Да таго, як сайт загрузіцца ў нас адкрыецца акно для выбару сертыфіката, а затым акно для ўводу PIN-кода токена.
Калі для прылады ў якасці крыптаправайдэра па змаўчанні абраны Aktiv ruToken CSP, то для ўводу PIN-кода адкрыецца іншае акно.
І толькі пасля паспяховага яго ўводу ў браўзэры адкрыецца наш сайт.
Для браўзэра Firefox варта выканаць дадатковыя наладкі.
У наладах браўзэра абраць Прыватнасць і Абарона. У раздзеле Сертыфікаты націснуць Прылада Абароны. Адкрыецца акно кіраванне прыладамі.
націснуць Загрузіць, пазначыць назву Рутокен ЭЛП і шлях C:windowssystem32rtpkcs11ecp.dll.
Гэта ўсё, зараз Firefox ведае, як звяртацца з токенам і дазваляе ўваходзіць на сайт, выкарыстаючы яго.
Дарэчы ўваход па токене на вэб-сайты працуе і на Маках у браўзэры Safari, Chrome і Firefox.
Трэба толькі ўсталяваць з сайта Рутокен і ўбачыць у ім сертыфікат на токене.
Наладжваць браўзэры Safari, Chrome, Яндэкс і іншыя не трэба, дастаткова толькі адкрыць сайт у любым з гэтых браўзэраў.
Браўзэр Firefox наладжваецца амаль таксама, як і ў Windows (Налады - Дадатковыя - Сертыфікаты - Прылады абароны). Толькі шлях да бібліятэкі крыху іншы /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.
Высновы
Мы прадэманстравалі вам, як наладзіць двухфактарную аўтэнтыфікацыю на сайтах з дапамогай крыптаграфічных токенаў. Як заўсёды, нам не запатрабавалася для гэтага ніякага дадатковага ПЗ, акрамя сістэмных бібліятэк Рутокен.
Такую працэдуру вы можаце прарабіць з любым сваім унутраным рэсурсам, таксама вы гнутка зможаце наладжваць групы карыстачоў, якія будуць мець доступ да сайта, зрэшты як і ўсюды ў Windows Server-е.
Выкарыстоўваеце іншую АС для сервера?
Калі вы жадаеце, каб мы напісалі пра наладу іншых АС, то напішыце аб гэтым у каментарах да артыкула.
Крыніца: habr.com