A hackerek hozzáfértek a Deloitte nemzetközi cég fő levelezőszerveréhez. A kiszolgáló rendszergazdai fiókját csak jelszó védte.
David Wind független osztrák kutató 5 dollár jutalmat kapott azért, mert egy sebezhetőséget fedezett fel a Google intranet bejelentkezési oldalán.
Az orosz cégek 91%-a rejtegeti az adatszivárgásokat.
Ilyen hírekkel szinte minden nap találkozhatunk az internetes hírfolyamokban. Ez közvetlen bizonyítéka annak, hogy a vállalat belső szolgáltatásait védeni kell.
Minél nagyobb a cég, minél több alkalmazottja van, és minél bonyolultabb a belső informatikai infrastruktúrája, annál égetőbb számára az információszivárgás problémája. Milyen információk érdeklik a támadókat, és hogyan védhetjük meg őket?
Milyen információszivárgás árthat a cégnek?
- információk az ügyfelekről és a tranzakciókról;
- műszaki termékinformáció és know-how;
- információk a partnerekről és különleges ajánlatokról;
- személyes adatok és könyvelés.
És ha megérti, hogy a fenti listából néhány információ csak bejelentkezési név és jelszó bemutatásával érhető el a hálózat bármely szegmenséből, akkor érdemes megfontolni az adatbiztonság szintjének növelését és az illetéktelen hozzáféréstől való védelmét.
A hardveres kriptográfiai adathordozók (tokenek vagy intelligens kártyák) használatával végzett kéttényezős hitelesítés nagyon megbízható és ugyanakkor meglehetősen könnyen használható hírnevet szerzett.
Szinte minden cikkben írunk a kéttényezős hitelesítés előnyeiről. Erről bővebben a következő cikkekben olvashat и .
Ebben a cikkben bemutatjuk, hogyan lehet kétfaktoros hitelesítést használni a szervezet belső portáljaira való bejelentkezéshez.
Példaként a vállalati használatra legmegfelelőbb modellt vesszük, a Rutoken - egy kriptográfiai USB-token .
Kezdjük a beállítással.
1. lépés – Szerver beállítása
Minden szerver alapja az operációs rendszer. Esetünkben ez a Windows Server 2016. És vele és a Windows család többi operációs rendszerével együtt az IIS (Internet Information Services) is terjesztésre kerül.
Az IIS internetes kiszolgálók csoportja, beleértve a webszervert és az FTP-kiszolgálót. Az IIS webhelyek létrehozására és kezelésére szolgáló alkalmazásokat tartalmaz.
Az IIS-t webszolgáltatások létrehozására tervezték egy tartomány vagy Active Directory által biztosított felhasználói fiókok használatával. Ez lehetővé teszi a meglévő felhasználói adatbázisok használatát.
В Részletesen leírtuk, hogyan kell telepíteni és konfigurálni a hitelesítésszolgáltatót a szerveren. Most nem foglalkozunk ezzel részletesen, hanem feltételezzük, hogy minden már be van állítva. A webszerver HTTPS-tanúsítványát megfelelően kell kiállítani. Jobb ezt azonnal ellenőrizni.
A Windows Server 2016 beépített IIS 10.0-s verziójával érkezik.
Ha az IIS telepítve van, akkor nincs más hátra, mint helyesen konfigurálni.
A szerepkör-szolgáltatások kiválasztásának szakaszában bejelöltük a négyzetet Alapvető hitelesítés.
Aztán be Internet Information Services Manager bekapcsolva Alapvető hitelesítés.
És jelezte a domaint, amelyben a webszerver található.
Ezután hozzáadtunk egy webhely hivatkozást.
És kiválasztotta az SSL opciókat.
Ezzel befejeződik a szerver beállítása.
A lépések végrehajtása után csak az a felhasználó férhet hozzá a webhelyhez, aki rendelkezik tanúsítvánnyal rendelkező tokennel és token PIN-kóddal.
Ismételten emlékeztetünk arra, hogy szerint , a felhasználó korábban kapott egy kulcsokat tartalmazó tokent és egy hasonló sablon szerint kiállított tanúsítványt Felhasználó intelligens kártyával.
Most térjünk át a felhasználó számítógépének beállítására. Be kell állítania azokat a böngészőket, amelyeket a védett webhelyekhez való csatlakozáshoz használ.
2. lépés – A felhasználó számítógépének beállítása
Az egyszerűség kedvéért tegyük fel, hogy felhasználónk Windows 10-et használ.
Tételezzük fel azt is, hogy telepítette a készletet .
Az illesztőprogramok telepítése nem kötelező, mivel a token támogatása valószínűleg a Windows Update-n keresztül érkezik meg.
De ha ez hirtelen nem történik meg, akkor a Rutoken Drivers for Windows telepítése minden problémát megold.
Csatlakoztassuk a tokent a felhasználó számítógépéhez, és nyissa meg a Rutoken Vezérlőpultot.
A lapon bizonylatok Ha nincs bejelölve, jelölje be a szükséges tanúsítvány melletti négyzetet.
Így ellenőriztük, hogy a token működik, és tartalmazza a szükséges tanúsítványt.
A Firefox kivételével minden böngésző automatikusan be van állítva.
Nem kell velük semmi különöset csinálni.
Most nyissa meg bármelyik böngészőt, és adja meg az erőforrás címét.
A webhely betöltése előtt megnyílik egy ablak a tanúsítvány kiválasztásához, majd egy ablak a token PIN kód megadásához.
Ha az Aktiv ruToken CSP van kiválasztva az eszköz alapértelmezett titkosítási szolgáltatójaként, akkor egy másik ablak nyílik meg a PIN kód megadásához.
És csak miután sikeresen beírta a böngészőbe, megnyílik a weboldalunk.
A Firefox böngészőben további beállításokat kell elvégezni.
A böngésző beállításaiban válassza a lehetőséget Adatvédelem és biztonság. A szakaszban bizonylatok nyomja Védőeszköz... Megnyílik egy ablak Eszköz kezelés.
kettyenés Letöltés, adja meg a Rutoken EDS nevet és a C:windowssystem32rtpkcs11ecp.dll elérési utat.
Ez az, a Firefox most már tudja, hogyan kell kezelni a tokent, és lehetővé teszi, hogy a használatával bejelentkezzen az oldalra.
A weboldalakra tokennel történő bejelentkezés egyébként a Safari, Chrome és Firefox böngészőben is működik Mac gépeken.
Csak telepítenie kell a Rutoken-t a webhelyről és lásd a bizonyítványt a benne lévő tokenen.
Nincs szükség Safari, Chrome, Yandex és más böngészők konfigurálására, csak meg kell nyitnia a webhelyet ezen böngészők bármelyikében.
A Firefox böngésző konfigurálása csaknem ugyanaz, mint a Windowsban (Beállítások - Speciális - Tanúsítványok - Biztonsági eszközök). Csak a könyvtár elérési útja különbözik kissé /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.
Álláspontja
Megmutattuk, hogyan állíthat be kétfaktoros hitelesítést a webhelyeken kriptográfiai tokenekkel. Mint mindig, most sem volt szükségünk további szoftverekre, kivéve a Rutoken rendszerkönyvtárakat.
Ezt az eljárást bármelyik belső erőforrásával elvégezheti, és rugalmasan beállíthatja azokat a felhasználói csoportokat is, amelyek hozzáférhetnek a webhelyhez, akárcsak bárhol máshol a Windows Serverben.
Más operációs rendszert használ a szerverhez?
Ha azt szeretné, hogy más operációs rendszerek beállításáról írjunk, írjon róla a cikkhez fűzött megjegyzésekben.
Forrás: will.com