Los piratas informáticos obtuvieron acceso al servidor de correo principal de la empresa internacional Deloitte. La cuenta de administrador de este servidor estaba protegida únicamente por una contraseña.
El investigador austriaco independiente David Wind recibió una recompensa de 5 dólares por descubrir una vulnerabilidad en la página de inicio de sesión de la intranet de Google.
El 91% de las empresas rusas ocultan filtraciones de datos.
Estas noticias se pueden encontrar casi todos los días en las fuentes de noticias de Internet. Esta es una prueba directa de que los servicios internos de la empresa deben protegerse.
Y cuanto más grande es una empresa, más empleados tiene y más compleja es su infraestructura informática interna, más apremiante es para ella el problema de la fuga de información. ¿Qué información es de interés para los atacantes y cómo protegerla?
¿Qué tipo de filtración de información podría perjudicar a la empresa?
- información sobre clientes y transacciones;
- información técnica sobre productos y conocimientos técnicos;
- información sobre socios y ofertas especiales;
- datos personales y contabilidad.
Y si comprende que se puede acceder a parte de la información de la lista anterior desde cualquier segmento de su red solo presentando un nombre de usuario y contraseña, entonces debería pensar en aumentar el nivel de seguridad de los datos y protegerlos del acceso no autorizado.
La autenticación de dos factores utilizando medios criptográficos de hardware (tokens o tarjetas inteligentes) se ha ganado la reputación de ser muy confiable y al mismo tiempo bastante fácil de usar.
Escribimos sobre los beneficios de la autenticación de dos factores en casi todos los artículos. Puedes leer más sobre esto en artículos sobre и .
En este artículo, le mostraremos cómo utilizar la autenticación de dos factores para iniciar sesión en los portales internos de su organización.
Como ejemplo, tomaremos el modelo más adecuado para uso corporativo: Rutoken, un token USB criptográfico. .
Comencemos con la configuración.
Paso 1: configuración del servidor
La base de cualquier servidor es el sistema operativo. En nuestro caso, se trata de Windows Server 2016. Y junto con él y otros sistemas operativos de la familia Windows, se distribuye IIS (Internet Information Services).
IIS es un grupo de servidores de Internet, incluido un servidor web y un servidor FTP. IIS incluye aplicaciones para crear y administrar sitios web.
IIS está diseñado para crear servicios web utilizando cuentas de usuario proporcionadas por un dominio o Active Directory. Esto le permite utilizar bases de datos de usuarios existentes.
В Describimos en detalle cómo instalar y configurar la Autoridad de Certificación en su servidor. Ahora no nos detendremos en esto en detalle, pero asumiremos que ya todo está configurado. El certificado HTTPS para el servidor web debe emitirse correctamente. Es mejor comprobar esto de inmediato.
Windows Server 2016 viene con IIS versión 10.0 incorporada.
Si IIS está instalado, solo queda configurarlo correctamente.
En la etapa de selección de servicios de roles, marcamos la casilla Autenticación básica.
luego en Gerente de Servicios de Información de Internet encendido Autenticación básica.
E indicó el dominio en el que se encuentra el servidor web.
Luego agregamos un enlace al sitio.
Y seleccionó las opciones SSL.
Esto completa la configuración del servidor.
Después de completar estos pasos, solo un usuario que tenga un token con un certificado y un PIN de token podrá acceder al sitio.
Os recordamos una vez más que según , al usuario se le emitió previamente un token con claves y un certificado emitido de acuerdo con una plantilla como Usuario con tarjeta inteligente.
Ahora pasemos a configurar la computadora del usuario. Debe configurar los navegadores que utilizará para conectarse a sitios web protegidos.
Paso 2: configurar la computadora del usuario
Para simplificar, supongamos que nuestro usuario tiene Windows 10.
Supongamos también que tiene el kit instalado. .
La instalación de un conjunto de controladores es opcional, ya que lo más probable es que el soporte para el token llegue a través de Windows Update.
Pero si esto de repente no sucede, la instalación de un conjunto de controladores Rutoken para Windows resolverá todos los problemas.
Conectemos el token a la computadora del usuario y abramos el Panel de control de Rutoken.
lengüeta Certificados Marque la casilla junto al certificado requerido si no está marcado.
Así, verificamos que el token esté funcionando y contenga el certificado requerido.
Todos los navegadores excepto Firefox se configuran automáticamente.
No necesitas hacer nada especial con ellos.
Ahora abra cualquier navegador e ingrese la dirección del recurso.
Antes de que se cargue el sitio, se abrirá una ventana para seleccionar un certificado y luego una ventana para ingresar el código PIN del token.
Si se selecciona Aktiv ruToken CSP como proveedor de cifrado predeterminado para el dispositivo, se abrirá otra ventana para ingresar el código PIN.
Y solo después de ingresarlo exitosamente en el navegador se abrirá nuestro sitio web.
Para el navegador Firefox, se deben realizar configuraciones adicionales.
En la configuración de su navegador seleccione Privacidad y seguridad. En la seccion Certificados presionar Dispositivo de protección... Se abrirá una ventana Gestión de dispositivos.
Click Descargar, indique el nombre Rutoken EDS y la ruta C:windowssystem32rtpkcs11ecp.dll.
Eso es todo, Firefox ahora sabe cómo manejar el token y le permite iniciar sesión en el sitio usándolo.
Por cierto, iniciar sesión con un token en sitios web también funciona en Mac en los navegadores Safari, Chrome y Firefox.
Sólo necesitas instalar Rutoken desde el sitio web. y vea el certificado en el token que contiene.
No es necesario configurar los navegadores Safari, Chrome, Yandex y otros, solo necesita abrir el sitio en cualquiera de estos navegadores.
El navegador Firefox se configura casi de la misma forma que en Windows (Configuración - Avanzado - Certificados - Dispositivos de seguridad). Solo la ruta a la biblioteca es ligeramente diferente /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.
Hallazgos
Le mostramos cómo configurar la autenticación de dos factores en sitios web utilizando tokens criptográficos. Como siempre, no necesitábamos ningún software adicional para esto, excepto las bibliotecas del sistema Rutoken.
Puede realizar este procedimiento con cualquiera de sus recursos internos y también puede configurar de manera flexible grupos de usuarios que tendrán acceso al sitio, como en cualquier otro lugar de Windows Server.
¿Está utilizando un sistema operativo diferente para el servidor?
Si desea que escribamos sobre la configuración de otros sistemas operativos, escríbalo en los comentarios del artículo.
Fuente: habr.com