I pirate anu accessu à u servitore di mail principale di a cumpagnia internaziunale Deloitte. U contu amministratore per stu servitore era prutettu solu da una password.
L'investigatore austriacu indipendente David Wind hà ricevutu una ricumpensa di $ 5 per avè scupertu una vulnerabilità in a pagina di login intranet di Google.
U 91% di l'imprese russe ammuccianu fughe di dati.
Tali nutizie ponu esse truvate quasi ogni ghjornu in i nutizie di Internet. Questa hè una evidenza diretta chì i servizii internu di a cumpagnia deve esse prutetti.
E più grande hè a cumpagnia, più impiegati hà è più cumplessa a so infrastruttura IT interna, più pressante u prublema di a fuga di l'infurmazioni hè per questu. Chì infurmazione hè d'interessu per l'attaccanti è cumu a prutezzione?
Qualessu tipu di fuga di informazioni puderia dannà a cumpagnia?
- infurmazione nantu à i clienti è e transazzione;
- infurmazione tecnica di u produttu è sapè fà;
- infurmazione nantu à i partenarii è offerte speciali;
- dati persunali è cuntabilità.
È s'è tù capisci chì qualchi infurmazione da a lista suprana hè accessibile da ogni segmentu di a vostra reta solu nantu à a presentazione di un login è password, allura duvete pensà à aumentà u livellu di sicurità di dati è prutegge da l'accessu micca autorizatu.
L'autentificazione à dui fatturi chì utilizanu media criptografica hardware (tokens o smart cards) hà guadagnatu una reputazione per esse assai affidabile è à u stessu tempu abbastanza faciule d'utilizà.
Scrivemu nantu à i benefici di l'autentificazione à dui fattori in quasi ogni articulu. Pudete leghje più nantu à questu in l'articuli и .
In questu articulu, vi mustraremu cumu utilizà l'autentificazione à dui fattori per accede à i portali interni di a vostra urganizazione.
Comu esempiu, piglià u mudellu più adattatu per l'usu corporativu, Rutoken - un token USB criptograficu .
Cuminciamu cù a stallazione.
Passu 1 - Setup Server
A basa di ogni servitore hè u sistema operatore. In u nostru casu, questu hè Windows Server 2016. È cun ellu è altri sistemi operativi di a famiglia Windows, IIS (Internet Information Services) hè distribuitu.
IIS hè un gruppu di servitori Internet, cumpresu un servitore web è un servitore FTP. IIS include applicazioni per a creazione è a gestione di siti web.
IIS hè pensatu per custruisce servizii web utilizendu cunti d'utilizatori furniti da un duminiu o Active Directory. Questu permette di utilizà e basa di dati d'utilizatori esistenti.
В Avemu descrittu in dettagliu cumu installà è cunfigurà l'Autorità di Certificazione in u vostru servitore. Avà ùn demu micca nantu à questu in dettagliu, ma assumeremu chì tuttu hè digià cunfiguratu. U certificatu HTTPS per u servitore web deve esse emessu currettamente. Hè megliu verificà questu subitu.
Windows Server 2016 vene cù a versione IIS 10.0 integrata.
Se IIS hè stallatu, allora tuttu ciò chì resta hè di cunfigurà bè.
À a fase di selezzione di servizii di rolu, avemu marcatu a casella Autentificazione basica.
Allora in Manager di servizii d'infurmazione Internet accesa Autentificazione basica.
E hà indicatu u duminiu in quale si trova u servitore web.
Dopu avemu aghjustatu un ligame di u situ.
È selezziunate l'opzioni SSL.
Questu cumpleta a stallazione di u servitore.
Dopu à compie sti passi, solu un utilizatore chì hà un token cù un certificatu è un token PIN hà da pudè accede à u situ.
Vi ricurdemu una volta di più chì secondu , l'utilizatore era prima emessu un token cù chjavi è un certificatu emessu secondu un mudellu cum'è Utenti cù smart card.
Avà andemu à cunfigurà l'urdinatore di l'utilizatore. Deve cunfigurà i navigatori chì hà da aduprà per cunnette à i siti web protetti.
Passu 2 - Configurazione di l'urdinatore di l'utilizatore
Per simplicità, supponemu chì u nostru utilizatore hà Windows 10.
Assumimu ancu chì hà u kit installatu .
L'installazione di un set di drivers hè opzionale, postu chì u supportu più prubabile per u token ghjunghjerà via Windows Update.
Ma s'ellu ùn succede micca di colpu, allora installà un set di Rutoken Drivers per Windows risolverà tutti i prublemi.
Cunnetteremu u token à l'urdinatore di l'utilizatore è apre u Panel Control Rutoken.
In a tabulazione Certificati Verificate a casella accantu à u certificatu necessariu s'ellu ùn hè micca marcatu.
Cusì, avemu verificatu chì u token funziona è cuntene u certificatu necessariu.
Tutti i navigatori eccettu Firefox sò cunfigurati automaticamente.
Ùn avete bisognu di fà nunda di speciale cun elli.
Avà apre ogni navigatore è entre in l'indirizzu di a risorsa.
Prima di carica u situ, una finestra si apre per selezziunate un certificatu, è dopu una finestra per inserisce u codice PIN di u token.
Se Aktiv ruToken CSP hè sceltu cum'è u fornitore di criptu predeterminatu per u dispusitivu, allora una altra finestra si apre per inserisce u codice PIN.
È solu dopu avè inseritu cù successu in u navigatore, u nostru situ web apre.
Per u navigatore Firefox, paràmetri supplementari deve esse fattu.
In i paràmetri di u vostru navigatore selezziunate Privacy è Sicurezza. In a sezione Certificati appughjà Dispositivu di prutezzione... Una finestra si apre Gestione di u dispositivu.
Cliccate Scaricà, indicate u nome Rutoken EDS è u percorsu C:windowssystem32rtpkcs11ecp.dll.
Hè cusì, Firefox avà sapi cumu manighjà u token è vi permette di accede à u situ cù l'usu.
A propositu, login cù un token à i siti web funziona ancu in Mac in u navigatore Safari, Chrome è Firefox.
Basta à stallà Rutoken da u situ web è vede u certificatu nantu à u token in questu.
Ùn ci hè bisognu di cunfigurà Safari, Chrome, Yandex è altri navigatori; basta à apre u situ in qualsiasi di questi navigatori.
U navigatore Firefox hè cunfiguratu quasi in u listessu modu in Windows (Settings - Advanced - Certificates - Security devices). Solu u percorsu à a biblioteca hè un pocu sfarente /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.
scuperti
Vi avemu dimustratu cumu stabilisce l'autentificazione à dui fattori nantu à i siti web chì utilizanu tokens criptografici. Comu sempre, ùn avemu micca bisognu di software supplementu per questu, eccettu per e librerie di u sistema Rutoken.
Pudete fà sta prucedura cù qualsiasi di i vostri risorse internu, è pudete ancu cunfigurà in modu flexible i gruppi d'utilizatori chì anu accessu à u situ, cum'è in ogni locu in Windows Server.
Aduprate un SO diversu per u servitore?
Se vulete scrivitemu nantu à a creazione di altri sistemi operativi, allora scrivite nantu à questu in i cumenti à l'articulu.
Source: www.habr.com