احراز هویت دو مرحله ای در سایت با استفاده از رمز USB. چگونه می توانم ورود به پورتال سرویس را ایمن کنم؟

هکرها به سرور ایمیل اصلی شرکت بین المللی Deloitte دسترسی پیدا کردند. حساب مدیر این سرور فقط با یک رمز عبور محافظت می شود.

دیوید ویند، محقق اتریشی مستقل، برای کشف یک آسیب‌پذیری در صفحه ورود به اینترانت گوگل، جایزه 5 دلاری دریافت کرد.

91 درصد از شرکت های روسی نشت داده ها را پنهان می کنند.

چنین اخباری تقریباً هر روز در فیدهای خبری اینترنتی یافت می شود. این شواهد مستقیمی است که نشان می دهد خدمات داخلی شرکت باید محافظت شود.

و هرچه شرکت بزرگتر باشد، کارکنان بیشتری داشته باشد و زیرساخت داخلی IT پیچیده تر باشد، مشکل نشت اطلاعات برای آن مهم تر است. چه اطلاعاتی مورد توجه مهاجمان است و چگونه از آن محافظت کنیم؟

چه نوع نشت اطلاعاتی می تواند به شرکت آسیب برساند؟

• اطلاعات در مورد مشتریان و معاملات؛
• اطلاعات فنی و دانش فنی محصول؛
• اطلاعات در مورد شرکا و پیشنهادات ویژه؛
• داده های شخصی و حسابداری

و اگر متوجه شدید که برخی از اطلاعات لیست بالا از هر بخش از شبکه شما فقط با ارائه یک ورود و رمز عبور قابل دسترسی است، باید به فکر افزایش سطح امنیت داده ها و محافظت از آن در برابر دسترسی غیرمجاز باشید.

احراز هویت دو مرحله‌ای با استفاده از رسانه‌های رمزنگاری سخت‌افزاری (توکن‌ها یا کارت‌های هوشمند) به دلیل قابل اعتماد بودن و در عین حال بسیار آسان برای استفاده، شهرت پیدا کرده است.

تقریباً در هر مقاله در مورد مزایای احراز هویت دو مرحله ای می نویسیم. می توانید در مقالاتی درباره این موضوع بیشتر بخوانید چگونه از یک حساب کاربری در دامنه ویندوز محافظت کنیم и پست الکترونیک.

در این مقاله به شما نشان خواهیم داد که چگونه از احراز هویت دو مرحله ای برای ورود به پورتال های داخلی سازمان خود استفاده کنید.

به عنوان مثال، ما مناسب ترین مدل را برای استفاده شرکتی، روتوکن - یک توکن USB رمزنگاری می کنیم. روتوکن EDS PKI.

بیایید با راه اندازی شروع کنیم.

مرحله 1 - راه اندازی سرور

اساس هر سروری سیستم عامل است. در مورد ما، این ویندوز سرور 2016 است. و همراه با آن و سایر سیستم عامل های خانواده ویندوز، IIS (Internet Information Services) توزیع شده است.

IIS گروهی از سرورهای اینترنتی است که شامل وب سرور و سرور FTP می شود. IIS شامل برنامه هایی برای ایجاد و مدیریت وب سایت ها می شود.

IIS برای ساخت سرویس های وب با استفاده از حساب های کاربری ارائه شده توسط یک دامنه یا اکتیو دایرکتوری طراحی شده است. این به شما امکان می دهد از پایگاه داده های کاربران موجود استفاده کنید.

В مقاله اول نحوه نصب و پیکربندی Certification Authority بر روی سرور خود را به تفصیل شرح دادیم. اکنون ما در این مورد با جزئیات صحبت نمی کنیم، اما فرض می کنیم که همه چیز از قبل پیکربندی شده است. گواهی HTTPS برای وب سرور باید به درستی صادر شود. بهتر است فوراً این را بررسی کنید.

Windows Server 2016 دارای IIS نسخه 10.0 داخلی است.

اگر IIS نصب شده باشد، تنها چیزی که باقی می ماند این است که آن را به درستی پیکربندی کنید.

در مرحله انتخاب خدمات نقش، کادر را علامت زدیم احراز هویت اولیه.

سپس در مدیر خدمات اطلاعات اینترنتی روشن شد احراز هویت اولیه.

و دامنه ای که وب سرور در آن قرار دارد را نشان داد.

سپس یک لینک سایت اضافه کردیم.

و گزینه های SSL را انتخاب کنید.

این کار راه اندازی سرور را کامل می کند.

پس از انجام این مراحل، تنها کاربری که دارای توکن دارای گواهی و پین توکن باشد می تواند به سایت دسترسی پیدا کند.

یک بار دیگر یادآوری می کنیم که با توجه به مقاله اول، قبلاً یک توکن با کلید و گواهی صادر شده بر اساس الگوی مشابه برای کاربر صادر شده است کاربر دارای کارت هوشمند.

حالا بیایید به راه اندازی کامپیوتر کاربر برویم. او باید مرورگرهایی را که برای اتصال به وب سایت های محافظت شده استفاده می کند، پیکربندی کند.

مرحله 2 - راه اندازی رایانه کاربر

برای سادگی، فرض می کنیم که کاربر ما دارای ویندوز 10 است.

بیایید همچنین فرض کنیم که کیت را نصب کرده است درایورهای روتوکن برای ویندوز.

نصب مجموعه ای از درایورها اختیاری است، زیرا به احتمال زیاد پشتیبانی از توکن از طریق Windows Update ارائه می شود.

اما اگر به طور ناگهانی این اتفاق نیفتد، نصب مجموعه ای از درایورهای روتوکن برای ویندوز همه مشکلات را حل می کند.

بیایید توکن را به کامپیوتر کاربر متصل کنیم و کنترل پنل روتوکن را باز کنیم.

در برگه گواهینامه ها در صورت عدم تیک زدن، کادر کنار گواهینامه مورد نیاز را علامت بزنید.

بنابراین، ما تأیید کردیم که توکن کار می کند و حاوی گواهینامه مورد نیاز است.

همه مرورگرها به جز فایرفاکس به صورت خودکار پیکربندی می شوند.

 

لازم نیست کار خاصی با آنها انجام دهید.

حالا هر مرورگری را باز کنید و آدرس منبع را وارد کنید.

قبل از بارگیری سایت، پنجره ای برای انتخاب گواهی باز می شود و سپس پنجره ای برای وارد کردن کد پین رمز باز می شود.

اگر Aktiv ruToken CSP به عنوان ارائه‌دهنده رمزنگاری پیش‌فرض برای دستگاه انتخاب شود، پنجره دیگری برای وارد کردن کد پین باز می‌شود.

و تنها پس از وارد کردن موفقیت آمیز آن در مرورگر وب سایت ما باز می شود.

برای مرورگر فایرفاکس، تنظیمات اضافی باید انجام شود.

در تنظیمات مرورگر خود را انتخاب کنید حریم خصوصی و امنیت. در بخش گواهینامه ها فشار دادن دستگاه حفاظتی... پنجره ای باز خواهد شد مدیریت دستگاه.

کلیک کنید دانلود، نام Rutoken EDS و مسیر C:windowssystem32rtpkcs11ecp.dll را مشخص کنید.

تمام، فایرفاکس اکنون می داند که چگونه توکن را مدیریت کند و به شما اجازه می دهد با استفاده از آن وارد سایت شوید.

به هر حال، ورود با استفاده از رمز به وب‌سایت‌ها در رایانه‌های مک در مرورگر سافاری، کروم و فایرفاکس نیز کار می‌کند.

شما فقط باید Rutoken را از وب سایت نصب کنید ماژول پشتیبانی زنجیره کلید و گواهی روی توکن موجود در آن را ببینید.

نیازی به پیکربندی مرورگرهای Safari، Chrome، Yandex و سایر مرورگرها نیست، فقط باید سایت را در هر یک از این مرورگرها باز کنید.

مرورگر فایرفاکس تقریباً به همان روشی که در ویندوز (تنظیمات - پیشرفته - گواهینامه ها - دستگاه های امنیتی) پیکربندی شده است. فقط مسیر کتابخانه کمی متفاوت است /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.

یافته ها

ما به شما نشان دادیم که چگونه با استفاده از توکن های رمزنگاری، احراز هویت دو مرحله ای را در وب سایت ها تنظیم کنید. مثل همیشه، به جز کتابخانه های سیستم روتوکن، به هیچ نرم افزار اضافی برای این کار نیاز نداشتیم.

شما می توانید این روش را با هر یک از منابع داخلی خود انجام دهید، و همچنین می توانید به طور انعطاف پذیر گروه های کاربری را پیکربندی کنید که به سایت دسترسی داشته باشند، مانند هر جای دیگری در ویندوز سرور.

آیا از سیستم عامل دیگری برای سرور استفاده می کنید؟

اگر می خواهید در مورد راه اندازی سیستم عامل های دیگر بنویسیم، در نظرات مقاله در مورد آن بنویسید.

منبع: www.habr.com