Les pirates ont eu accès au serveur de messagerie principal de la société internationale Deloitte. Le compte administrateur de ce serveur était protégé uniquement par un mot de passe.
Le chercheur autrichien indépendant David Wind a reçu une récompense de 5 XNUMX $ pour avoir découvert une vulnérabilité dans la page de connexion intranet de Google.
91 % des entreprises russes cachent des fuites de données.
De telles nouvelles peuvent être trouvées presque tous les jours dans les fils d’actualité Internet. C’est la preuve directe que les services internes de l’entreprise doivent être protégés.
Et plus l'entreprise est grande, plus elle compte d'employés et plus son infrastructure informatique interne est complexe, plus le problème des fuites d'informations est pressant pour elle. Quelles informations intéressent les attaquants et comment les protéger ?
Quel type de fuite d’informations pourrait nuire à l’entreprise ?
- informations sur les clients et les transactions ;
- informations techniques sur les produits et savoir-faire ;
- des informations sur les partenaires et les offres spéciales ;
- données personnelles et comptabilité.
Et si vous comprenez que certaines informations de la liste ci-dessus sont accessibles depuis n'importe quel segment de votre réseau uniquement sur présentation d'un identifiant et d'un mot de passe, vous devriez alors penser à augmenter le niveau de sécurité des données et à les protéger contre tout accès non autorisé.
L'authentification à deux facteurs utilisant des supports cryptographiques matériels (jetons ou cartes à puce) a acquis la réputation d'être très fiable et en même temps assez simple à utiliser.
Nous écrivons sur les avantages de l’authentification à deux facteurs dans presque tous les articles. Vous pouvez en savoir plus à ce sujet dans les articles sur и .
Dans cet article, nous allons vous montrer comment utiliser l'authentification à deux facteurs pour vous connecter aux portails internes de votre organisation.
A titre d'exemple, nous prendrons le modèle le plus adapté à un usage en entreprise, Rutoken - un token USB cryptographique .
Commençons par la configuration.
Étape 1 — Configuration du serveur
La base de tout serveur est le système d'exploitation. Dans notre cas, il s'agit de Windows Server 2016. Et avec lui et d'autres systèmes d'exploitation de la famille Windows, IIS (Internet Information Services) est distribué.
IIS est un groupe de serveurs Internet comprenant un serveur Web et un serveur FTP. IIS comprend des applications pour créer et gérer des sites Web.
IIS est conçu pour créer des services Web à l'aide de comptes d'utilisateurs fournis par un domaine ou Active Directory. Cela vous permet d'utiliser des bases de données d'utilisateurs existantes.
В Nous avons décrit en détail comment installer et configurer l'autorité de certification sur votre serveur. Nous ne nous attarderons pas maintenant sur cela en détail, mais supposerons que tout est déjà configuré. Le certificat HTTPS du serveur Web doit être émis correctement. Il vaut mieux vérifier cela tout de suite.
Windows Server 2016 est livré avec IIS version 10.0 intégré.
Si IIS est installé, il ne reste plus qu'à le configurer correctement.
Au stade de la sélection des services de rôle, nous avons coché la case Authentification de base.
Puis dans Responsable des services d'informations Internet allumé Authentification de base.
Et indiqué le domaine dans lequel se trouve le serveur Web.
Ensuite, nous avons ajouté un lien vers le site.
Et sélectionné les options SSL.
Ceci termine la configuration du serveur.
Après avoir terminé ces étapes, seul un utilisateur disposant d'un token avec un certificat et d'un code PIN de token pourra accéder au site.
Nous vous rappelons encore une fois que selon , l'utilisateur a préalablement reçu un jeton avec des clés et un certificat émis selon un modèle tel que Utilisateur avec carte à puce.
Passons maintenant à la configuration de l'ordinateur de l'utilisateur. Il doit configurer les navigateurs qu'il utilisera pour se connecter aux sites Web protégés.
Étape 2 — Configuration de l'ordinateur de l'utilisateur
Pour plus de simplicité, supposons que notre utilisateur dispose de Windows 10.
Supposons également qu'il ait installé le kit .
L'installation d'un ensemble de pilotes est facultative, car la prise en charge du jeton arrivera très probablement via Windows Update.
Mais si cela ne se produit soudainement pas, l'installation d'un ensemble de pilotes Rutoken pour Windows résoudra tous les problèmes.
Connectons le token à l'ordinateur de l'utilisateur et ouvrons le panneau de configuration Rutoken.
patte Certificats Cochez la case à côté du certificat requis si elle n'est pas cochée.
Ainsi, nous avons vérifié que le token fonctionne et contient le certificat requis.
Tous les navigateurs sauf Firefox sont configurés automatiquement.
Vous n'avez rien de spécial à faire avec eux.
Ouvrez maintenant n'importe quel navigateur et entrez l'adresse de la ressource.
Avant le chargement du site, une fenêtre s'ouvrira pour sélectionner un certificat, puis une fenêtre pour saisir le code PIN du jeton.
Si Aktiv ruToken CSP est sélectionné comme fournisseur de chiffrement par défaut pour l'appareil, une autre fenêtre s'ouvrira pour saisir le code PIN.
Et ce n'est qu'après l'avoir saisi avec succès dans le navigateur que notre site Web s'ouvrira.
Pour le navigateur Firefox, des paramètres supplémentaires doivent être définis.
Dans les paramètres de votre navigateur, sélectionnez Confidentialité et sécurité... Dans le chapitre Certificats Appuyez sur Dispositif de protection... Une fenêtre va s'ouvrir Gestion d'appareils.
Presse Télécharger, indiquez le nom Rutoken EDS et le chemin C:windowssystem32rtpkcs11ecp.dll.
Ça y est, Firefox sait désormais gérer le token et vous permet de vous connecter au site en l'utilisant.
À propos, la connexion à des sites Web à l'aide d'un jeton fonctionne également sur les Mac dans les navigateurs Safari, Chrome et Firefox.
Il vous suffit d'installer Rutoken depuis le site Web et voyez le certificat sur le jeton qu'il contient.
Il n'est pas nécessaire de configurer les navigateurs Safari, Chrome, Yandex et autres, il vous suffit d'ouvrir le site dans l'un de ces navigateurs.
Le navigateur Firefox est configuré presque de la même manière que sous Windows (Paramètres - Avancés - Certificats - Périphériques de sécurité). Seul le chemin d'accès à la bibliothèque est légèrement différent /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.
résultats
Nous vous avons montré comment mettre en place une authentification à deux facteurs sur des sites Web à l'aide de jetons cryptographiques. Comme toujours, nous n'avons eu besoin d'aucun logiciel supplémentaire pour cela, à l'exception des bibliothèques système Rutoken.
Vous pouvez effectuer cette procédure avec n'importe laquelle de vos ressources internes et vous pouvez également configurer de manière flexible des groupes d'utilisateurs qui auront accès au site, comme partout ailleurs dans Windows Server.
Utilisez-vous un autre système d'exploitation pour le serveur ?
Si vous souhaitez que nous écrivions sur la configuration d'autres systèmes d'exploitation, écrivez-le dans les commentaires de l'article.
Source: habr.com