Hakeri su dobili pristup glavnom mail serveru međunarodne kompanije Deloitte. Administratorski račun za ovaj poslužitelj bio je zaštićen samo lozinkom.
Nezavisni austrijski istraživač David Wind dobio je nagradu od 5 dolara za otkrivanje ranjivosti na stranici za prijavu na Google intranet.
91% ruskih tvrtki skriva curenje podataka.
Takve se vijesti gotovo svakodnevno mogu pronaći u internetskim feedovima vijesti. Ovo je izravan dokaz da interne usluge tvrtke moraju biti zaštićene.
A što je tvrtka veća, što ima više zaposlenih i što joj je interna informatička infrastruktura složenija, to je problem curenja informacija za nju gorući. Koje informacije zanimaju napadače i kako ih zaštititi?
Kakvo bi curenje informacija moglo naštetiti tvrtki?
- informacije o klijentima i transakcijama;
- tehničke informacije o proizvodu i know-how;
- informacije o partnerima i posebnim ponudama;
- osobni podaci i računovodstvo.
A ako razumijete da su neke informacije s gornjeg popisa dostupne iz bilo kojeg segmenta vaše mreže samo uz predočenje korisničkog imena i lozinke, trebali biste razmisliti o povećanju razine sigurnosti podataka i njihovoj zaštiti od neovlaštenog pristupa.
Dvofaktorska provjera autentičnosti pomoću hardverskih kriptografskih medija (tokena ili pametnih kartica) stekla je reputaciju vrlo pouzdane, au isto vrijeme prilično jednostavne za korištenje.
O prednostima dvofaktorske autentifikacije pišemo u gotovo svakom članku. Više o tome možete pročitati u člancima o и .
U ovom članku pokazat ćemo vam kako koristiti dvofaktorsku provjeru autentičnosti za prijavu na interne portale vaše organizacije.
Kao primjer uzet ćemo najprikladniji model za korporativnu upotrebu, Rutoken - kriptografski USB token .
Započnimo s postavljanjem.
Korak 1 — Postavljanje poslužitelja
Osnova svakog poslužitelja je operativni sustav. U našem slučaju, to je Windows Server 2016. A uz njega i druge operativne sustave iz obitelji Windows distribuira se IIS (Internet Information Services).
IIS je grupa internetskih poslužitelja, uključujući web poslužitelj i FTP poslužitelj. IIS uključuje aplikacije za izradu i upravljanje web stranicama.
IIS je dizajniran za izgradnju web usluga pomoću korisničkih računa koje pruža domena ili Active Directory. To vam omogućuje korištenje postojećih korisničkih baza podataka.
В Detaljno smo opisali kako instalirati i konfigurirati Certifikacijsko tijelo na vašem poslužitelju. Sada se nećemo detaljno zadržavati na ovome, već ćemo pretpostaviti da je sve već konfigurirano. HTTPS certifikat za web poslužitelj mora biti ispravno izdan. Bolje je to odmah provjeriti.
Windows Server 2016 dolazi s ugrađenim IIS-om verzije 10.0.
Ako je IIS instaliran, ostaje samo da ga ispravno konfigurirate.
U fazi odabira usluga uloga označili smo okvir Osnovna autentifikacija.
Zatim unutra Upravitelj internetskih informacijskih usluga Upaljeno Osnovna autentifikacija.
I naznačio domenu u kojoj se nalazi web poslužitelj.
Zatim smo dodali vezu na stranicu.
I odabrali SSL opcije.
Ovo dovršava postavljanje poslužitelja.
Nakon dovršetka ovih koraka samo će korisnik koji ima token s certifikatom i token PIN moći pristupiti stranici.
Još jednom podsjećamo da je prema , korisniku je prethodno izdan token s ključevima i certifikat izdan prema predlošku poput Korisnik sa pametnom karticom.
Sada prijeđimo na postavljanje korisničkog računala. Trebao bi konfigurirati preglednike koje će koristiti za povezivanje sa zaštićenim web stranicama.
Korak 2 — Postavljanje korisničkog računala
Radi jednostavnosti, pretpostavimo da naš korisnik ima Windows 10.
Pretpostavimo također da ima instaliran komplet .
Instaliranje skupa upravljačkih programa nije obavezno jer će najvjerojatnije podrška za token stići putem Windows Updatea.
Ali ako se to odjednom ne dogodi, tada će instaliranje skupa Rutoken upravljačkih programa za Windows riješiti sve probleme.
Spojimo token na računalo korisnika i otvorimo Rutoken Control Panel.
U kartici Sertifikati Označite okvir pored potrebnog certifikata ako nije označen.
Stoga smo provjerili radi li token i sadrži li potrebni certifikat.
Svi preglednici osim Firefoxa automatski se konfiguriraju.
Ne morate ništa posebno raditi s njima.
Sada otvorite bilo koji preglednik i unesite adresu resursa.
Prije učitavanja stranice otvara se prozor za odabir certifikata, a zatim prozor za unos tokena PIN koda.
Ako je Aktiv ruToken CSP odabran kao zadani kripto pružatelj za uređaj, otvorit će se drugi prozor za unos PIN koda.
I tek nakon uspješnog unosa u preglednik otvorit će se naša web stranica.
Za preglednik Firefox potrebno je napraviti dodatne postavke.
U postavkama preglednika odaberite Privatnost i sigurnost, U odjeljku Sertifikati za guranje Zaštitni uređaj... Otvorit će se prozor Upravljanje uređajem.
tisak preuzimanje datoteka, navedite naziv Rutoken EDS i stazu C:windowssystem32rtpkcs11ecp.dll.
To je to, Firefox sada zna kako postupati s tokenom i omogućuje vam da se prijavite na stranicu pomoću njega.
Usput, prijava pomoću tokena na web stranice također radi na Mac računalima u preglednicima Safari, Chrome i Firefox.
Samo trebate instalirati Rutoken s web stranice i vidi certifikat na tokenu u njemu.
Nema potrebe za konfiguriranjem Safari, Chrome, Yandex i drugih preglednika; samo trebate otvoriti stranicu u bilo kojem od ovih preglednika.
Firefox preglednik konfiguriran je gotovo isto kao u Windowsima (Postavke - Napredno - Certifikati - Sigurnosni uređaji). Samo je put do knjižnice malo drugačiji /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.
Zaključci
Pokazali smo vam kako postaviti dvofaktorsku autentifikaciju na web stranicama pomoću kriptografskih tokena. Kao i uvijek, za ovo nam nije trebao nikakav dodatni softver, osim knjižnica sustava Rutoken.
Ovu proceduru možete izvesti s bilo kojim od svojih internih resursa, a također možete fleksibilno konfigurirati korisničke grupe koje će imati pristup stranici, baš kao bilo gdje drugdje u Windows Serveru.
Koristite li drugi OS za poslužitelj?
Ako želite da pišemo o postavljanju drugih operativnih sustava, pišite o tome u komentarima na članak.
Izvor: www.habr.com