Hackeři získali přístup na hlavní poštovní server mezinárodní společnosti Deloitte. Účet správce tohoto serveru byl chráněn pouze heslem.
Nezávislý rakouský výzkumník David Wind obdržel odměnu 5 XNUMX dolarů za objevení zranitelnosti na přihlašovací stránce intranetu Google.
91 % ruských společností skrývá úniky dat.
Takové zprávy lze nalézt téměř každý den v internetových zpravodajských kanálech. To je přímý důkaz, že interní služby společnosti musí být chráněny.
A čím je společnost větší, čím více zaměstnanců má a čím je její vnitřní IT infrastruktura složitější, tím palčivější je pro ni problém úniku informací. Jaké informace zajímají útočníky a jak je chránit?
Jaký druh úniku informací by mohl společnost poškodit?
- informace o klientech a transakcích;
- technické informace o produktech a know-how;
- informace o partnerech a speciálních nabídkách;
- osobní údaje a účetnictví.
A pokud chápete, že některé informace z výše uvedeného seznamu jsou přístupné z jakéhokoli segmentu vaší sítě pouze po předložení přihlašovacího jména a hesla, měli byste přemýšlet o zvýšení úrovně zabezpečení dat a jejich ochraně před neoprávněným přístupem.
Dvoufaktorová autentizace pomocí hardwarových kryptografických médií (tokenů nebo čipových karet) si vydobyla pověst velmi spolehlivé a zároveň poměrně snadné obsluhy.
O výhodách dvoufaktorové autentizace píšeme téměř v každém článku. Více si o tom můžete přečíst v článcích o и .
V tomto článku vám ukážeme, jak používat dvoufaktorové ověřování k přihlášení do interních portálů vaší organizace.
Jako příklad si vezmeme nejvhodnější model pro firemní použití, Rutoken – kryptografický USB token .
Začněme s nastavením.
Krok 1 — Nastavení serveru
Základem každého serveru je operační systém. V našem případě se jedná o Windows Server 2016. A spolu s ním a dalšími operačními systémy rodiny Windows je distribuován IIS (Internet Information Services).
IIS je skupina internetových serverů, včetně webového serveru a FTP serveru. IIS zahrnuje aplikace pro vytváření a správu webových stránek.
Služba IIS je navržena k vytváření webových služeb pomocí uživatelských účtů poskytovaných doménou nebo službou Active Directory. To vám umožní používat existující databáze uživatelů.
В Podrobně jsme popsali, jak nainstalovat a nakonfigurovat certifikační autoritu na váš server. Nyní se tím nebudeme podrobně zabývat, ale budeme předpokládat, že vše je již nakonfigurováno. HTTPS certifikát pro webový server musí být vydán správně. Je lepší to zkontrolovat hned.
Windows Server 2016 je dodáván s vestavěnou službou IIS verze 10.0.
Pokud je služba IIS nainstalována, zbývá ji pouze správně nakonfigurovat.
Ve fázi výběru služeb rolí jsme zaškrtli políčko Základní autentizace.
Pak dovnitř Správce Internetových informačních služeb zahrnuta Základní autentizace.
A uvedl doménu, ve které se webový server nachází.
Poté jsme přidali odkaz na web.
A vybral možnosti SSL.
Tím je nastavení serveru dokončeno.
Po dokončení těchto kroků bude mít na stránky přístup pouze uživatel, který má token s certifikátem a token PIN.
Ještě jednou připomínáme, že podle , byl uživateli dříve vydán token s klíči a certifikát vydaný podle šablony jako Uživatel s čipovou kartou.
Nyní přejdeme k nastavení počítače uživatele. Měl by nakonfigurovat prohlížeče, které bude používat pro připojení k chráněným webovým stránkám.
Krok 2 — Nastavení počítače uživatele
Pro zjednodušení předpokládejme, že náš uživatel má Windows 10.
Předpokládejme také, že má nainstalovanou sadu .
Instalace sady ovladačů je volitelná, protože podpora pro token bude pravděpodobně doručena prostřednictvím služby Windows Update.
Pokud se to však náhle nestane, všechny problémy vyřeší instalace sady ovladačů Rutoken pro Windows.
Připojíme token k počítači uživatele a otevřeme ovládací panel Rutoken.
V záložce Certifikáty Zaškrtněte políčko vedle požadovaného certifikátu, pokud není zaškrtnuto.
Tím jsme ověřili, že token je funkční a obsahuje požadovaný certifikát.
Všechny prohlížeče kromě Firefoxu se konfigurují automaticky.
Nemusíte s nimi dělat nic zvláštního.
Nyní otevřete libovolný prohlížeč a zadejte adresu zdroje.
Před načtením webu se otevře okno pro výběr certifikátu a následně okno pro zadání PIN kódu tokenu.
Pokud je Aktiv ruToken CSP vybrán jako výchozí poskytovatel kryptoměn pro zařízení, otevře se další okno pro zadání PIN kódu.
A teprve po jeho úspěšném zadání do prohlížeče se otevře náš web.
Pro prohlížeč Firefox je třeba provést další nastavení.
V nastavení prohlížeče vyberte Ochrana osobních údajů a zabezpečení. V sekci Certifikáty stisknout Ochranné zařízení... Otevře se okno Správa zařízení.
Klikněte na Stažení, uveďte název Rutoken EDS a cestu C:windowssystem32rtpkcs11ecp.dll.
To je vše, Firefox nyní ví, jak zacházet s tokenem, a umožňuje vám se pomocí něj přihlásit na web.
Mimochodem, přihlašování pomocí tokenu na weby funguje i na Macu v prohlížeči Safari, Chrome a Firefox.
Stačí si nainstalovat Rutoken z webu a uvidíte certifikát na tokenu v něm.
Není třeba konfigurovat prohlížeče Safari, Chrome, Yandex a další, stačí otevřít web v kterémkoli z těchto prohlížečů.
Prohlížeč Firefox je nakonfigurován téměř stejně jako ve Windows (Nastavení - Pokročilé - Certifikáty - Bezpečnostní zařízení). Jen cesta ke knihovně se mírně liší /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.
Závěry
Ukázali jsme si, jak nastavit dvoufaktorovou autentizaci na webech pomocí kryptografických tokenů. Jako vždy jsme k tomu nepotřebovali žádný další software, kromě systémových knihoven Rutoken.
Tento postup můžete provést s libovolnými interními prostředky a můžete také flexibilně konfigurovat skupiny uživatelů, které budou mít přístup k webu, stejně jako kdekoli jinde na Windows Server.
Používáte pro server jiný OS?
Pokud chcete, abychom psali o nastavení jiných operačních systémů, pak o tom napište do komentářů k článku.
Zdroj: www.habr.com