Os hackers accederon ao servidor de correo principal da empresa internacional Deloitte. A conta de administrador deste servidor só estaba protexida por un contrasinal.
O investigador independente austríaco David Wind recibiu unha recompensa de 5 dólares por descubrir unha vulnerabilidade na páxina de inicio de sesión da intranet de Google.
O 91% das empresas rusas ocultan filtracións de datos.
Este tipo de noticias pódense atopar case todos os días nas fontes de noticias de Internet. Esta é unha evidencia directa de que os servizos internos da empresa deben estar protexidos.
E canto máis grande é a empresa, máis empregados ten e máis complexa a súa infraestrutura de TI interna, máis apremiante é para ela o problema da fuga de información. Que información lles interesa aos atacantes e como protexela?
Que tipo de fuga de información pode prexudicar á empresa?
- información sobre clientes e transaccións;
- información técnica do produto e coñecementos;
- información sobre socios e ofertas especiais;
- datos persoais e contabilidade.
E se entendes que algunha información da lista anterior é accesible desde calquera segmento da túa rede só despois de presentar un inicio de sesión e un contrasinal, deberías pensar en aumentar o nivel de seguridade dos datos e protexelos do acceso non autorizado.
A autenticación de dous factores mediante medios criptográficos de hardware (fichas ou tarxetas intelixentes) gañouse a reputación de ser moi fiable e, ao mesmo tempo, bastante fácil de usar.
Escribimos sobre os beneficios da autenticación de dous factores en case todos os artigos. Podes ler máis sobre isto nos artigos sobre и .
Neste artigo, mostrarémosche como usar a autenticación de dous factores para iniciar sesión nos portais internos da túa organización.
Como exemplo, tomaremos o modelo máis axeitado para uso corporativo, Rutoken, un token USB criptográfico .
Comecemos coa configuración.
Paso 1 - Configuración do servidor
A base de calquera servidor é o sistema operativo. No noso caso, trátase de Windows Server 2016. E xunto con el e outros sistemas operativos da familia Windows, distribúese IIS (Internet Information Services).
IIS é un grupo de servidores de Internet, incluíndo un servidor web e un servidor FTP. IIS inclúe aplicacións para crear e xestionar sitios web.
IIS está deseñado para crear servizos web utilizando contas de usuario proporcionadas por un dominio ou Active Directory. Isto permítelle utilizar as bases de datos de usuarios existentes.
В Describimos en detalle como instalar e configurar a Autoridade de Certificación no seu servidor. Agora non nos deteremos niso en detalle, senón que asumiremos que xa está todo configurado. O certificado HTTPS para o servidor web debe emitirse correctamente. É mellor comprobar isto de inmediato.
Windows Server 2016 inclúe a versión 10.0 de IIS integrada.
Se IIS está instalado, só queda configuralo correctamente.
Na fase de selección de servizos de función, marcamos a caixa Autenticación básica.
Despois en Xestor de Internet Information Services incluído Autenticación básica.
E indicou o dominio no que se atopa o servidor web.
Despois engadimos unha ligazón ao sitio.
E seleccionou as opcións SSL.
Isto completa a configuración do servidor.
Despois de completar estes pasos, só un usuario que teña un token cun certificado e un token PIN poderá acceder ao sitio.
Lembrámosvos unha vez máis que segundo , o usuario recibiu previamente un token con claves e un certificado emitido segundo un modelo como Usuario con tarxeta intelixente.
Agora pasemos á configuración do ordenador do usuario. Debe configurar os navegadores que utilizará para conectarse a sitios web protexidos.
Paso 2 - Configurar o ordenador do usuario
Para simplificar, supoñamos que o noso usuario ten Windows 10.
Supoñamos tamén que ten o kit instalado .
A instalación dun conxunto de controladores é opcional, xa que o máis probable é que o soporte para o token chegue a través de Windows Update.
Pero se isto non ocorre de súpeto, a instalación dun conxunto de controladores Rutoken para Windows resolverá todos os problemas.
Conectemos o token ao ordenador do usuario e abramos o Panel de control de Rutoken.
Na pestana Certificados Marque a caixa situada xunto ao certificado necesario se non está marcada.
Así, comprobamos que o token funciona e contén o certificado necesario.
Todos os navegadores, excepto Firefox, están configurados automaticamente.
Non necesitas facer nada especial con eles.
Agora abre calquera navegador e introduce o enderezo do recurso.
Antes de que se cargue o sitio, abrirase unha xanela para seleccionar un certificado e, a continuación, unha xanela para introducir o código PIN do token.
Se se selecciona Aktiv ruToken CSP como provedor de criptografía predeterminado para o dispositivo, abrirase outra xanela para introducir o código PIN.
E só despois de introducilo correctamente no navegador abrirase o noso sitio web.
Para o navegador Firefox, hai que facer unha configuración adicional.
Na configuración do navegador seleccione Privacidade e seguridade. Na sección Certificados para empurrar Dispositivo de protección... Abrirase unha xanela Xestión de dispositivos.
Faga clic Descargar, indique o nome Rutoken EDS e a ruta C:windowssystem32rtpkcs11ecp.dll.
Xa está, Firefox agora sabe como manexar o token e permíteche iniciar sesión no sitio usándoo.
Por certo, iniciar sesión en sitios web mediante un token tamén funciona en Mac no navegador Safari, Chrome e Firefox.
Só tes que instalar Rutoken desde o sitio web e vexa o certificado no token.
Non é necesario configurar Safari, Chrome, Yandex e outros navegadores; só tes que abrir o sitio en calquera destes navegadores.
O navegador Firefox está configurado case do mesmo xeito que en Windows (Configuración - Avanzado - Certificados - Dispositivos de seguridade). Só o camiño á biblioteca é lixeiramente diferente /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.
Descubrimentos
Mostrámosche como configurar a autenticación de dous factores en sitios web usando tokens criptográficos. Como sempre, non necesitamos ningún software adicional para iso, excepto as bibliotecas do sistema Rutoken.
Podes facer este procedemento con calquera dos teus recursos internos e tamén podes configurar de forma flexible grupos de usuarios que terán acceso ao sitio, como en calquera outro lugar de Windows Server.
Estás a usar un sistema operativo diferente para o servidor?
Se queres que escribamos sobre a configuración doutros sistemas operativos, escribe sobre iso nos comentarios do artigo.
Fonte: www.habr.com