Hakeri su dobili pristup glavnom mail serveru međunarodne kompanije Deloitte. Administratorski nalog za ovaj server bio je zaštićen samo lozinkom.
Nezavisni austrijski istraživač David Wind dobio je nagradu od 5 dolara za otkrivanje ranjivosti na stranici za prijavu na Google intranet.
91% ruskih kompanija krije curenje podataka.
Takve vijesti se gotovo svakodnevno mogu naći u internetskim vijestima. Ovo je direktan dokaz da interne službe kompanije moraju biti zaštićene.
I što je kompanija veća, što više zaposlenih ima i što je njena interna IT infrastruktura složenija, problem curenja informacija je za nju sve važniji. Koje informacije su od interesa za napadače i kako ih zaštititi?
Kakva vrsta curenja informacija može naštetiti kompaniji?
- informacije o klijentima i transakcijama;
- tehničke informacije o proizvodu i know-how;
- informacije o partnerima i posebnim ponudama;
- lične podatke i računovodstvo.
A ako shvatite da su neke informacije sa gornje liste dostupne iz bilo kog segmenta vaše mreže samo uz predočenje login i lozinke, onda biste trebali razmisliti o povećanju razine sigurnosti podataka i zaštiti ih od neovlaštenog pristupa.
Dvofaktorska autentifikacija korištenjem hardverskih kriptografskih medija (tokena ili pametnih kartica) stekla je reputaciju vrlo pouzdane i u isto vrijeme prilično jednostavne za korištenje.
O prednostima dvofaktorske autentifikacije pišemo u gotovo svakom članku. Više o tome možete pročitati u člancima o и .
U ovom članku ćemo vam pokazati kako da koristite dvofaktorsku autentifikaciju za prijavu na interne portale vaše organizacije.
Kao primjer, uzet ćemo najprikladniji model za korporativnu upotrebu, Rutoken - kriptografski USB token .
Počnimo s postavljanjem.
Korak 1 — Podešavanje servera
Osnova svakog servera je operativni sistem. U našem slučaju to je Windows Server 2016. Uz njega i druge operativne sisteme Windows porodice distribuira se IIS (Internet Information Services).
IIS je grupa Internet servera, uključujući web server i FTP server. IIS uključuje aplikacije za kreiranje i upravljanje web stranicama.
IIS je dizajniran za izgradnju web servisa koristeći korisničke naloge koje obezbjeđuje domena ili Active Directory. Ovo vam omogućava da koristite postojeće korisničke baze podataka.
В Detaljno smo opisali kako instalirati i konfigurirati Certification Authority na vašem serveru. Sada se nećemo detaljnije zadržavati na tome, već ćemo pretpostaviti da je sve već konfigurirano. HTTPS certifikat za web server mora biti ispravno izdat. Bolje je to odmah provjeriti.
Windows Server 2016 dolazi sa ugrađenim IIS verzijom 10.0.
Ako je IIS instaliran, preostaje samo da ga ispravno konfigurirate.
U fazi odabira usluga uloga, označili smo kućicu Osnovna autentifikacija.
Onda unutra Internet Information Services Manager uključeno Osnovna autentifikacija.
I naznačio je domenu u kojoj se web server nalazi.
Zatim smo dodali link do stranice.
I odabrali SSL opcije.
Ovo dovršava podešavanje servera.
Nakon dovršetka ovih koraka, samo korisnik koji ima token sa certifikatom i token PIN će moći pristupiti stranici.
Još jednom vas podsjećamo da prema , korisniku je prethodno izdat token s ključevima i certifikat izdat prema šablonu poput Korisnik sa pametnom karticom.
Sada pređimo na podešavanje korisničkog računara. Trebao bi konfigurirati pretraživače koje će koristiti za povezivanje sa zaštićenim web stranicama.
Korak 2 — Podešavanje računara korisnika
Radi jednostavnosti, pretpostavimo da naš korisnik ima Windows 10.
Pretpostavimo i da ima instaliran komplet .
Instaliranje seta drajvera je opciono, jer će najvjerovatnije podrška za token stići preko Windows Update-a.
Ali ako se to iznenada ne dogodi, tada će instalacija rutoken drajvera za Windows riješiti sve probleme.
Povežimo token sa računarom korisnika i otvorimo Rutoken Control Panel.
Na kartici Sertifikati Označite polje pored potrebnog certifikata ako nije označeno.
Tako smo potvrdili da token radi i da sadrži potreban certifikat.
Svi pretraživači osim Firefoxa se konfigurišu automatski.
Ne morate ništa posebno raditi s njima.
Sada otvorite bilo koji pretraživač i unesite adresu resursa.
Prije nego što se stranica učita otvorit će se prozor za odabir certifikata, a zatim prozor za unos PIN koda tokena.
Ako je Aktiv ruToken CSP odabran kao zadani kripto provajder za uređaj, tada će se otvoriti drugi prozor za unos PIN koda.
I tek nakon što ga uspješno unesete u pretraživač, naša će se web stranica otvoriti.
Za pretraživač Firefox moraju se izvršiti dodatna podešavanja.
U podešavanjima pretraživača izaberite Privatnost i sigurnost. U odjeljku Sertifikati pritisnuti Zaštitni uređaj... Otvoriće se prozor Upravljanje uređajem.
Kliknite Skinuti, navedite ime Rutoken EDS i putanju C:windowssystem32rtpkcs11ecp.dll.
To je to, Firefox sada zna kako da rukuje tokenom i omogućava vam da se prijavite na sajt koristeći ga.
Usput, prijava pomoću tokena na web stranice radi i na Mac računarima u Safari, Chrome i Firefox pretraživaču.
Potrebno je samo da instalirate Rutoken sa web stranice i pogledajte certifikat na tokenu u njemu.
Nema potrebe da konfigurišete Safari, Chrome, Yandex i druge pretraživače; samo je potrebno da otvorite sajt u bilo kom od ovih pretraživača.
Firefox pretraživač je konfigurisan na skoro isti način kao u Windows-u (Postavke - Napredno - Certifikati - Sigurnosni uređaji). Samo je put do biblioteke malo drugačiji /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.
nalazi
Pokazali smo vam kako postaviti dvofaktorsku autentifikaciju na web-lokacijama koristeći kriptografske tokene. Kao i uvijek, za ovo nam nije bio potreban nikakav dodatni softver, osim biblioteka sistema Rutoken.
Ovu proceduru možete obaviti sa bilo kojim od svojih internih resursa, a možete i fleksibilno konfigurirati korisničke grupe koje će imati pristup stranici, kao i bilo gdje drugdje u Windows Serveru.
Koristite li drugi OS za server?
Ako želite da pišemo o postavljanju drugih operativnih sistema, pišite o tome u komentarima na članak.
izvor: www.habr.com