Hackerrek Deloitte nazioarteko konpainiaren posta zerbitzari nagusirako sarbidea lortu zuten. Zerbitzari honen administratzaile-kontua pasahitz batez soilik babestuta zegoen.
David Wind austriar ikertzaile independenteak 5 dolarreko saria jaso zuen Google intranet-eko saioa hasteko orrian ahultasun bat aurkitzeagatik.
Errusiako enpresen %91k datu-filtrazioak ezkutatzen ditu.
Halako berriak ia egunero aurki daitezke Interneteko albisteen jarioetan. Enpresaren barne zerbitzuak babestu behar direla froga zuzena da.
Eta zenbat eta handiagoa izan enpresa, orduan eta langile gehiago eta bere barneko IT azpiegitura konplexuagoa, orduan eta larriagoa da informazio-ihesaren arazoa. Zein informazio da erasotzaileentzat interesgarria eta nola babestu?
Zein informazio-ihesak kalte egin diezaioke enpresari?
- bezeroei eta transakzioei buruzko informazioa;
- produktuaren informazio teknikoa eta ezagutza;
- bazkideei eta eskaintza bereziei buruzko informazioa;
- datu pertsonalak eta kontabilitatea.
Eta ulertzen baduzu goiko zerrendako informazio batzuk zure sareko edozein segmentutik eskura daitezkeela saio-hasiera eta pasahitza aurkeztean, orduan pentsatu beharko zenuke datuen segurtasun-maila handitzea eta baimenik gabeko sarbideetatik babestea.
Bi faktoreko autentifikazioak hardware-euskarri kriptografikoak erabiliz (tokenak edo txartel adimendunak) oso fidagarria eta, aldi berean, erabiltzeko nahiko erraza izatearen ospea lortu du.
Bi faktoreko autentifikazioaren abantailei buruz idazten dugu ia artikulu guztietan. Honi buruz gehiago irakur dezakezu artikuluetan ΠΈ .
Artikulu honetan, zure erakundearen barneko atarietan saioa hasteko bi faktoreko autentifikazioa nola erabili erakutsiko dizugu.
Adibide gisa, erabilera korporatiborako eredu egokiena hartuko dugu, Rutoken - USB token kriptografikoa .
Has gaitezen konfigurazioarekin.
1. urratsa - Zerbitzariaren konfigurazioa
Edozein zerbitzariren oinarria sistema eragilea da. Gure kasuan, Windows Server 2016 da. Eta horrekin eta Windows familiako beste sistema eragile batzuekin batera, IIS (Internet Information Services) banatzen da.
IIS Interneteko zerbitzari talde bat da, web zerbitzari bat eta FTP zerbitzari bat barne. IISek webguneak sortzeko eta kudeatzeko aplikazioak biltzen ditu.
IIS domeinu batek edo Active Directory batek emandako erabiltzaile-kontuak erabiliz web zerbitzuak sortzeko diseinatuta dago. Honek lehendik dauden erabiltzaileen datu-baseak erabiltzeko aukera ematen du.
Π Zehazki deskribatu dugu nola instalatu eta konfiguratu Ziurtagiri-Agintaritzak zure zerbitzarian. Orain ez dugu horretan sakonduko, baina dena dagoeneko konfiguratuta dagoela suposatuko dugu. Web zerbitzariaren HTTPS ziurtagiria behar bezala igorri behar da. Hobe da hori berehala egiaztatzea.
Windows Server 2016 IIS 10.0 bertsioarekin batera dator.
IIS instalatuta badago, behar bezala konfiguratzea besterik ez da geratzen.
Rol zerbitzuak hautatzeko fasean, laukia markatu dugu Oinarrizko autentifikazioa.
Gero sartu Interneteko Informazio Zerbitzuen kudeatzailea piztuta Oinarrizko autentifikazioa.
Eta web zerbitzaria zein domeinu dagoen adierazi du.
Ondoren, gunearen esteka gehitu dugu.
Eta SSL aukerak hautatu ditu.
Honek zerbitzariaren konfigurazioa osatzen du.
Urrats hauek bete ondoren, ziurtagiria eta token PINa duen token bat duen erabiltzailea soilik sartu ahal izango da gunera.
Berriz ere gogorarazten dizuegu horren arabera , aurrez erabiltzaileari token bat jaulki zitzaion gakoekin eta antzeko txantiloi baten arabera emandako ziurtagiria Txartel adimenduna duen erabiltzailea.
Orain pasa gaitezen erabiltzailearen ordenagailua konfiguratzera. Babestutako webguneetara konektatzeko erabiliko dituen nabigatzaileak konfiguratu beharko ditu.
2. urratsa β Erabiltzailearen ordenagailua konfiguratzea
Sinpletasunerako, demagun gure erabiltzaileak Windows 10 duela.
Demagun, gainera, kit instalatuta duela .
Gidari multzo bat instalatzea aukerakoa da, ziurrenik tokenaren laguntza Windows Update bidez iritsiko baita.
Baina bat-batean hau gertatzen ez bada, Windows-erako Rutoken Drivers multzo bat instalatzeak arazo guztiak konponduko ditu.
Konektatu tokena erabiltzailearen ordenagailura eta ireki Rutoken Kontrol Panela.
Fitxan Ziurtagiriak Markatu behar den ziurtagiriaren ondoko laukia markatuta ez badago.
Horrela, tokena funtzionatzen ari dela eta beharrezko ziurtagiria duela egiaztatu dugu.
Firefox izan ezik, nabigatzaile guztiak automatikoki konfiguratzen dira.
Ez duzu ezer berezirik egin behar haiekin.
Orain ireki edozein arakatzaile eta idatzi baliabidearen helbidea.
Gunea kargatu aurretik, leiho bat irekiko da ziurtagiri bat hautatzeko, eta, ondoren, token PIN kodea sartzeko leiho bat.
Aktiv ruToken CSP gailuaren kriptografia-hornitzaile lehenetsi gisa hautatzen bada, beste leiho bat irekiko da PIN kodea sartzeko.
Eta nabigatzailean ongi sartu ondoren bakarrik irekiko da gure webgunea.
Firefox arakatzaileari dagokionez, ezarpen gehigarriak egin behar dira.
Zure arakatzailearen ezarpenetan, hautatu Pribatutasuna eta segurtasuna. Atalean Ziurtagiriak sakatu Babes-gailua... Leiho bat irekiko da Gailuen kudeaketa.
klik Deskargatu, adierazi Rutoken EDS izena eta C:windowssystem32rtpkcs11ecp.dll bidea.
Hori da, Firefox-ek orain badaki tokena nola maneiatzen duen eta hura erabiliz webgunean saioa hasteko aukera ematen dizu.
Bide batez, webguneetan token bat erabiliz saioa hastea Mac-etan ere funtzionatzen du Safari, Chrome eta Firefox arakatzailean.
Rutoken webgunetik instalatu besterik ez duzu behar eta ikusi bertan dagoen tokeneko ziurtagiria.
Ez dago Safari, Chrome, Yandex eta beste arakatzaile batzuk konfiguratu beharrik; webgunea arakatzaile horietako edozeinetan ireki besterik ez duzu behar.
Firefox arakatzailea Windows-en ia modu berean konfiguratuta dago (Ezarpenak - Aurreratua - Ziurtagiriak - Segurtasun gailuak). Liburutegirako bidea bakarrik apur bat desberdina da /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.
Findings
Webguneetan bi faktoreko autentifikazioa nola konfiguratu erakutsi genuen token kriptografikoak erabiliz. Beti bezala, ez genuen software gehigarririk behar horretarako, Rutoken sistemako liburutegiak izan ezik.
Prozedura hau zure barneko edozein baliabiderekin egin dezakezu, eta gunera sarbidea izango duten erabiltzaile-taldeak malgutasunez konfigura ditzakezu, Windows Server-en beste edozein tokitan bezala.
Zerbitzarirako beste sistema eragile bat erabiltzen al duzu?
Beste sistema eragile batzuk konfiguratzeari buruz idaztea nahi baduzu, idatzi horri buruz artikuluko iruzkinetan.
Iturria: www.habr.com