Hackers krigen tagong ta de haadposttsjinner fan it ynternasjonale bedriuw Deloitte. It behearderaccount foar dizze tsjinner waard allinich beskerme troch in wachtwurd.
Unôfhinklike Eastenrykske ûndersiker David Wind krige in beleanning fan $ 5 foar it ûntdekken fan in kwetsberens yn 'e Google-yntranet-oanmeldside.
91% fan Russyske bedriuwen ferbergje gegevenslekken.
Sok nijs is hast alle dagen te finen yn ynternetnijsfeeds. Dit is direkt bewiis dat de ynterne tsjinsten fan it bedriuw moatte wurde beskerme.
En hoe grutter it bedriuw, hoe mear meiwurkers it hat en hoe komplekser syn ynterne IT-ynfrastruktuer, hoe dreger it probleem fan ynformaasjelekkage foar it is. Hokker ynformaasje is fan belang foar oanfallers en hoe te beskermjen it?
Hokker soarte ynformaasjelek kin it bedriuw skea dwaan?
- ynformaasje oer kliïnten en transaksjes;
- technyske produktynformaasje en know-how;
- ynformaasje oer partners en spesjale oanbiedingen;
- persoanlike gegevens en boekhâlding.
En as jo begripe dat guon ynformaasje út 'e boppesteande list tagonklik is fan elk segmint fan jo netwurk allinich op presintaasje fan in oanmelding en wachtwurd, dan moatte jo tinke oer it ferheegjen fan it nivo fan gegevensfeiligens en it beskermjen fan net-autorisearre tagong.
Twa-faktora-autentikaasje mei hardware-kryptografyske media (tokens as smart cards) hat in reputaasje fertsjinne om heul betrouber te wêzen en tagelyk frij maklik te brûken.
Wy skriuwe oer de foardielen fan twa-faktor autentikaasje yn hast elk artikel. Jo kinne mear oer dit lêze yn artikels oer и .
Yn dit artikel sille wy jo sjen litte hoe't jo twa-faktor-autentikaasje kinne brûke om oan te melden by de ynterne portalen fan jo organisaasje.
As foarbyld sille wy it meast geskikte model nimme foar bedriuwsgebrûk, Rutoken - in kryptografysk USB-token .
Litte wy begjinne mei de opset.
Stap 1 - Server Setup
De basis fan elke server is it bestjoeringssysteem. Yn ús gefal is dit Windows Server 2016. En tegearre mei it en oare bestjoeringssystemen fan 'e Windows-famylje wurdt IIS (Internet Information Services) ferspraat.
IIS is in groep ynternetservers, ynklusyf in webtsjinner en in FTP-tsjinner. IIS omfettet applikaasjes foar it meitsjen en behearen fan websiden.
IIS is ûntworpen om webtsjinsten te bouwen mei brûkersakkounts levere troch in domein of Active Directory. Hjirmei kinne jo besteande brûkersdatabases brûke.
В Wy hawwe yn detail beskreaun hoe't jo de sertifikaasjeautoriteit op jo server kinne ynstallearje en konfigurearje. No sille wy hjir net yn detail oer wenje, mar sille oannimme dat alles al ynsteld is. It HTTPS-sertifikaat foar de webtsjinner moat goed útjûn wurde. It is better om dit daliks te kontrolearjen.
Windows Server 2016 komt mei IIS ferzje 10.0 ynboud.
As IIS is ynstalleare, dan bliuwt it allinich om it korrekt te konfigurearjen.
Op it poadium fan it selektearjen fan roltsjinsten kontrolearren wy it fak Basis autentikaasje.
Dan yn Internet Information Services Manager ynbegrepen Basis autentikaasje.
En oanjûn it domein wêryn de webserver sit.
Dêrnei hawwe wy in side-keppeling tafoege.
En selekteare de SSL-opsjes.
Dit foltôget de tsjinner opset.
Nei it foltôgjen fan dizze stappen sil allinich in brûker dy't in token hat mei in sertifikaat en in token-PIN tagong krije ta de side.
Wy herinnerje jim nochris dat neffens , de brûker waard earder in token útjûn mei kaaien en in sertifikaat útjûn neffens in sjabloan lykas Brûker mei smart card.
Litte wy no trochgean mei it ynstellen fan de kompjûter fan de brûker. Hy moat de browsers konfigurearje dy't hy sil brûke om te ferbinen mei beskerme websiden.
Stap 2 - Ynstelle fan de kompjûter fan de brûker
Foar ienfâld, lit ús oannimme dat ús brûker hat Windows 10.
Litte wy ek oannimme dat hy de kit ynstalleare hat .
It ynstallearjen fan in set fan bestjoerders is opsjoneel, om't wierskynlik stipe foar it token fia Windows Update komt.
Mar as dit ynienen net bart, dan sil it ynstallearjen fan in set Rutoken-bestjoerders foar Windows alle problemen oplosse.
Litte wy it token ferbine mei de kompjûter fan 'e brûker en iepenje it Rutoken Control Panel.
Yn de ljepper Sertifikaten Selektearje it fekje njonken it fereaske sertifikaat as it net selektearre is.
Sa hawwe wy ferifiearre dat it token wurket en it fereaske sertifikaat befettet.
Alle browsers útsein Firefox wurde automatysk ynsteld.
Jo hoege neat spesjaal mei har te dwaan.
Iepenje no elke browser en fier it boarneadres yn.
Foardat de side wurdt laden, sil in finster iepenje foar it selektearjen fan in sertifikaat, en dan in finster foar it ynfieren fan de token PIN-koade.
As Aktiv ruToken CSP is selektearre as de standert Krypto-oanbieder foar it apparaat, dan sil in oar finster iepenje om de PIN-koade yn te fieren.
En pas nei it suksesfolle ynfieren fan it yn 'e browser sil ús webside iepenje.
Foar de Firefox-blêder moatte ekstra ynstellings makke wurde.
Selektearje yn jo browserynstellingen Privacy en Feiligens... Yn haadstik Sertifikaten to push Beskerming apparaat... In finster sil iepenje Apparaat behear.
Klikje Download, jouwe de namme Rutoken EDS en it paad C:windowssystem32rtpkcs11ecp.dll oan.
Dat is it, Firefox wit no hoe't it mei it token omgean moat en lit jo oanmelde by de side mei it brûken.
Trouwens, oanmelde mei in token op websiden wurket ek op Macs yn 'e Safari-, Chrome- en Firefox-browser.
Jo moatte gewoan Rutoken fan 'e webside ynstallearje en sjoch it sertifikaat op it token dêryn.
D'r is gjin ferlet om Safari, Chrome, Yandex en oare browsers te konfigurearjen; jo moatte gewoan de side iepenje yn ien fan dizze browsers.
De Firefox-blêder is op hast deselde wize konfigurearre as yn Windows (Ynstellings - Avansearre - Sertifikaten - Feiligensapparaten). Allinnich it paad nei de bibleteek is wat oars /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.
befinings
Wy lieten jo sjen hoe't jo twa-faktor-autentikaasje ynstelle kinne op websiden mei kryptografyske tokens. Lykas altyd hawwe wy hjirfoar gjin ekstra software nedich, útsein de Rutoken-systeembiblioteken.
Jo kinne dizze proseduere dwaan mei ien fan jo ynterne boarnen, en jo kinne ek fleksibel brûkersgroepen ynstelle dy't tagong krije ta de side, krekt as oeral oars yn Windows Server.
Brûke jo in oar OS foar de tsjinner?
As jo wolle dat wy skriuwe oer it ynstellen fan oare bestjoeringssystemen, skriuw dan deroer yn 'e opmerkings by it artikel.
Boarne: www.habr.com