Χάκερ απέκτησαν πρόσβαση στον κεντρικό διακομιστή αλληλογραφίας της διεθνούς εταιρείας Deloitte. Ο λογαριασμός διαχειριστή για αυτόν τον διακομιστή προστατεύτηκε μόνο με κωδικό πρόσβασης.
Ο ανεξάρτητος Αυστριακός ερευνητής Ντέιβιντ Γουίντ έλαβε ανταμοιβή 5 δολαρίων για την ανακάλυψη μιας ευπάθειας στη σελίδα σύνδεσης του Google intranet.
Το 91% των ρωσικών εταιρειών κρύβουν διαρροές δεδομένων.
Τέτοιες ειδήσεις μπορούν να βρεθούν σχεδόν καθημερινά στις ειδήσεις του Διαδικτύου. Αυτό αποτελεί άμεση απόδειξη ότι οι εσωτερικές υπηρεσίες της εταιρείας πρέπει να προστατεύονται.
Και όσο μεγαλύτερη είναι η εταιρεία, όσο περισσότερους υπαλλήλους έχει και όσο πιο περίπλοκη είναι η εσωτερική της υποδομή πληροφορικής, τόσο πιο πιεστικό είναι για αυτήν το πρόβλημα της διαρροής πληροφοριών. Ποιες πληροφορίες ενδιαφέρουν τους επιτιθέμενους και πώς να τις προστατέψουν;
Τι είδους διαρροή πληροφοριών θα μπορούσε να βλάψει την εταιρεία;
- πληροφορίες για πελάτες και συναλλαγές·
- τεχνικές πληροφορίες και τεχνογνωσία προϊόντος·
- πληροφορίες σχετικά με συνεργάτες και ειδικές προσφορές·
- προσωπικά δεδομένα και λογιστική.
Και αν καταλαβαίνετε ότι ορισμένες πληροφορίες από την παραπάνω λίστα είναι προσβάσιμες από οποιοδήποτε τμήμα του δικτύου σας μόνο με την παρουσίαση σύνδεσης και κωδικού πρόσβασης, τότε θα πρέπει να σκεφτείτε να αυξήσετε το επίπεδο ασφάλειας δεδομένων και να το προστατέψετε από μη εξουσιοδοτημένη πρόσβαση.
Ο έλεγχος ταυτότητας δύο παραγόντων με χρήση κρυπτογραφικών μέσων υλικού (tokens ή έξυπνες κάρτες) έχει κερδίσει τη φήμη ότι είναι πολύ αξιόπιστος και ταυτόχρονα αρκετά εύκολος στη χρήση.
Γράφουμε για τα οφέλη του ελέγχου ταυτότητας δύο παραγόντων σχεδόν σε κάθε άρθρο. Μπορείτε να διαβάσετε περισσότερα σχετικά με αυτό σε άρθρα σχετικά и .
Σε αυτό το άρθρο, θα σας δείξουμε πώς να χρησιμοποιείτε τον έλεγχο ταυτότητας δύο παραγόντων για να συνδεθείτε στις εσωτερικές πύλες του οργανισμού σας.
Ως παράδειγμα, θα πάρουμε το πιο κατάλληλο μοντέλο για εταιρική χρήση, το Rutoken - ένα κρυπτογραφικό διακριτικό USB .
Ας ξεκινήσουμε με τη ρύθμιση.
Βήμα 1 — Ρύθμιση διακομιστή
Η βάση κάθε διακομιστή είναι το λειτουργικό σύστημα. Στην περίπτωσή μας, πρόκειται για τον Windows Server 2016. Και μαζί με αυτόν και άλλα λειτουργικά συστήματα της οικογένειας των Windows, διανέμεται το IIS (Internet Information Services).
Το IIS είναι μια ομάδα διακομιστών Διαδικτύου, συμπεριλαμβανομένου ενός διακομιστή web και ενός διακομιστή FTP. Το IIS περιλαμβάνει εφαρμογές για τη δημιουργία και τη διαχείριση ιστοσελίδων.
Το IIS έχει σχεδιαστεί για τη δημιουργία υπηρεσιών Ιστού χρησιμοποιώντας λογαριασμούς χρηστών που παρέχονται από έναν τομέα ή Active Directory. Αυτό σας επιτρέπει να χρησιμοποιήσετε τις υπάρχουσες βάσεις δεδομένων χρηστών.
В Περιγράψαμε λεπτομερώς τον τρόπο εγκατάστασης και διαμόρφωσης της Αρχής πιστοποίησης στον διακομιστή σας. Τώρα δεν θα σταθούμε λεπτομερώς σε αυτό, αλλά θα υποθέσουμε ότι όλα έχουν ήδη ρυθμιστεί. Το πιστοποιητικό HTTPS για τον διακομιστή ιστού πρέπει να εκδοθεί σωστά. Είναι καλύτερα να το ελέγξετε αμέσως.
Ο Windows Server 2016 διαθέτει ενσωματωμένη έκδοση 10.0 των υπηρεσιών IIS.
Εάν είναι εγκατεστημένο το IIS, τότε το μόνο που μένει είναι να το ρυθμίσετε σωστά.
Στο στάδιο της επιλογής των υπηρεσιών ρόλων, επιλέξαμε το πλαίσιο Βασικός έλεγχος ταυτότητας.
Μετά μέσα Διευθυντής Υπηρεσιών Πληροφοριών Διαδικτύου άναψε Βασικός έλεγχος ταυτότητας.
Και υποδεικνύεται ο τομέας στον οποίο βρίσκεται ο διακομιστής web.
Στη συνέχεια προσθέσαμε έναν σύνδεσμο ιστότοπου.
Και επέλεξε τις επιλογές SSL.
Αυτό ολοκληρώνει τη ρύθμιση του διακομιστή.
Μετά την ολοκλήρωση αυτών των βημάτων, μόνο ένας χρήστης που διαθέτει διακριτικό με πιστοποιητικό και κωδικό PIN θα μπορεί να έχει πρόσβαση στον ιστότοπο.
Υπενθυμίζουμε για άλλη μια φορά ότι σύμφωνα με , στο χρήστη είχε εκδοθεί προηγουμένως ένα διακριτικό με κλειδιά και ένα πιστοποιητικό που εκδόθηκε σύμφωνα με ένα πρότυπο όπως Χρήστης με έξυπνη κάρτα.
Τώρα ας προχωρήσουμε στη ρύθμιση του υπολογιστή του χρήστη. Θα πρέπει να διαμορφώσει τα προγράμματα περιήγησης που θα χρησιμοποιεί για να συνδέεται με προστατευμένους ιστότοπους.
Βήμα 2 — Ρύθμιση του υπολογιστή του χρήστη
Για απλότητα, ας υποθέσουμε ότι ο χρήστης μας έχει Windows 10.
Ας υποθέσουμε επίσης ότι έχει εγκαταστήσει το κιτ .
Η εγκατάσταση ενός συνόλου προγραμμάτων οδήγησης είναι προαιρετική, καθώς πιθανότατα η υποστήριξη για το διακριτικό θα φτάσει μέσω του Windows Update.
Αλλά αν αυτό δεν συμβεί ξαφνικά, τότε η εγκατάσταση ενός συνόλου προγραμμάτων οδήγησης Rutoken για Windows θα λύσει όλα τα προβλήματα.
Ας συνδέσουμε το διακριτικό στον υπολογιστή του χρήστη και ας ανοίξουμε τον Πίνακα Ελέγχου Rutoken.
Στην καρτέλα Πιστοποιητικά Επιλέξτε το πλαίσιο δίπλα στο απαιτούμενο πιστοποιητικό εάν δεν είναι επιλεγμένο.
Έτσι, επαληθεύσαμε ότι το διακριτικό λειτουργεί και περιέχει το απαιτούμενο πιστοποιητικό.
Όλα τα προγράμματα περιήγησης εκτός του Firefox ρυθμίζονται αυτόματα.
Δεν χρειάζεται να κάνετε κάτι ιδιαίτερο μαζί τους.
Τώρα ανοίξτε οποιοδήποτε πρόγραμμα περιήγησης και εισαγάγετε τη διεύθυνση του πόρου.
Πριν φορτώσει ο ιστότοπος, θα ανοίξει ένα παράθυρο για την επιλογή ενός πιστοποιητικού και, στη συνέχεια, ένα παράθυρο για την εισαγωγή του κωδικού PIN.
Εάν επιλεγεί το Aktiv ruToken CSP ως ο προεπιλεγμένος πάροχος κρυπτογράφησης για τη συσκευή, τότε θα ανοίξει ένα άλλο παράθυρο για να εισαγάγετε τον κωδικό PIN.
Και μόνο μετά την επιτυχή εισαγωγή του στο πρόγραμμα περιήγησης θα ανοίξει ο ιστότοπός μας.
Για το πρόγραμμα περιήγησης Firefox, πρέπει να γίνουν πρόσθετες ρυθμίσεις.
Στις ρυθμίσεις του προγράμματος περιήγησής σας επιλέξτε Απόρρητο και ασφάλεια. Στο τμήμα Πιστοποιητικά πίεση Συσκευή Προστασίας. Θα ανοίξει ένα παράθυρο Διαχείριση συσκευής.
Πατήστε Λήψη, υποδείξτε το όνομα Rutoken EDS και τη διαδρομή C:windowssystem32rtpkcs11ecp.dll.
Αυτό είναι όλο, ο Firefox ξέρει πλέον πώς να χειρίζεται το διακριτικό και σας επιτρέπει να συνδεθείτε στον ιστότοπο χρησιμοποιώντας το.
Παρεμπιπτόντως, η σύνδεση χρησιμοποιώντας ένα διακριτικό σε ιστότοπους λειτουργεί επίσης σε Mac στο πρόγραμμα περιήγησης Safari, Chrome και Firefox.
Απλά πρέπει να εγκαταστήσετε το Rutoken από τον ιστότοπο και δείτε το πιστοποιητικό στο διακριτικό σε αυτό.
Δεν χρειάζεται να διαμορφώσετε τα προγράμματα περιήγησης Safari, Chrome, Yandex και άλλα προγράμματα περιήγησης, απλά πρέπει να ανοίξετε τον ιστότοπο σε οποιοδήποτε από αυτά τα προγράμματα περιήγησης.
Το πρόγραμμα περιήγησης Firefox έχει ρυθμιστεί σχεδόν με τον ίδιο τρόπο όπως στα Windows (Ρυθμίσεις - Προηγμένες - Πιστοποιητικά - Συσκευές ασφαλείας). Μόνο η διαδρομή προς τη βιβλιοθήκη είναι ελαφρώς διαφορετική /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.
Ευρήματα
Σας δείξαμε πώς να ρυθμίσετε τον έλεγχο ταυτότητας δύο παραγόντων σε ιστότοπους χρησιμοποιώντας κρυπτογραφικά διακριτικά. Όπως πάντα, δεν χρειαζόμασταν κανένα πρόσθετο λογισμικό για αυτό, εκτός από τις βιβλιοθήκες συστήματος Rutoken.
Μπορείτε να κάνετε αυτήν τη διαδικασία με οποιονδήποτε από τους εσωτερικούς σας πόρους και μπορείτε επίσης να διαμορφώσετε ευέλικτα τις ομάδες χρηστών που θα έχουν πρόσβαση στον ιστότοπο, όπως οπουδήποτε αλλού στον Windows Server.
Χρησιμοποιείτε διαφορετικό λειτουργικό σύστημα για τον διακομιστή;
Εάν θέλετε να γράψουμε για τη ρύθμιση άλλων λειτουργικών συστημάτων, τότε γράψτε γι 'αυτό στα σχόλια του άρθρου.
Πηγή: www.habr.com