Հաքերները մուտք են գործել միջազգային Deloitte ընկերության գլխավոր փոստային սերվեր։ Այս սերվերի ադմինիստրատորի հաշիվը պաշտպանված էր միայն գաղտնաբառով:
Անկախ ավստրիացի հետազոտող Դեյվիդ Վինդը ստացել է 5 դոլար պարգև՝ Google-ի ինտրանետ մուտքի էջում խոցելիություն հայտնաբերելու համար։
Ռուսական ընկերությունների 91%-ը թաքցնում է տվյալների արտահոսքը.
Նման լուրեր կարելի է գտնել գրեթե ամեն օր համացանցային նորությունների հոսքերում: Սա ուղղակի ապացույց է, որ ընկերության ներքին ծառայությունները պետք է պաշտպանված լինեն:
Եվ որքան մեծ է ընկերությունը, որքան շատ աշխատակիցներ ունի և որքան բարդ է ներքին ՏՏ ենթակառուցվածքը, այնքան ավելի հրատապ է նրա համար տեղեկատվության արտահոսքի խնդիրը։ Ի՞նչ տեղեկատվություն է հետաքրքրում հարձակվողներին և ինչպես պաշտպանել այն:
Ի՞նչ տեսակի տեղեկատվության արտահոսք կարող է վնասել ընկերությանը:
- հաճախորդների և գործարքների մասին տեղեկատվություն;
- արտադրանքի տեխնիկական տեղեկատվություն և նոու-հաու;
- տեղեկատվություն գործընկերների և հատուկ առաջարկների մասին.
- անձնական տվյալներ և հաշվապահական հաշվառում:
Եվ եթե հասկանում եք, որ վերը նշված ցուցակից որոշ տեղեկություններ հասանելի են ձեր ցանցի ցանկացած հատվածից միայն մուտքի և գաղտնաբառի ներկայացման դեպքում, ապա պետք է մտածեք տվյալների անվտանգության մակարդակը բարձրացնելու և այն չթույլատրված մուտքից պաշտպանելու մասին:
Երկգործոն նույնականացումը՝ օգտագործելով ապարատային կրիպտոգրաֆիկ մեդիա (նշաններ կամ խելացի քարտեր) շատ հուսալի և միևնույն ժամանակ բավականին հեշտ օգտագործման համբավ է վաստակել:
Գրեթե յուրաքանչյուր հոդվածում գրում ենք երկգործոն նույնականացման առավելությունների մասին: Այս մասին ավելին կարող եք կարդալ հոդվածներում и .
Այս հոդվածում մենք ձեզ ցույց կտանք, թե ինչպես օգտագործել երկգործոն նույնականացումը՝ ձեր կազմակերպության ներքին պորտալներ մուտք գործելու համար:
Որպես օրինակ՝ մենք կվերցնենք կորպորատիվ օգտագործման համար ամենահարմար մոդելը՝ Rutoken-ը՝ գաղտնագրված USB նշան: .
Եկեք սկսենք կարգավորումից:
Քայլ 1 - Սերվերի կարգավորում
Ցանկացած սերվերի հիմքը օպերացիոն համակարգն է: Մեր դեպքում սա Windows Server 2016-ն է։ Եվ դրա և Windows ընտանիքի այլ օպերացիոն համակարգերի հետ միասին բաշխվում է IIS (Internet Information Services)։
IIS-ը ինտերնետ սերվերների խումբ է, ներառյալ վեբ սերվերը և FTP սերվերը: IIS-ը ներառում է կայքեր ստեղծելու և կառավարելու հավելվածներ:
IIS-ը նախատեսված է վեբ ծառայություններ ստեղծելու համար՝ օգտագործելով տիրույթի կամ Active Directory-ի կողմից տրամադրված օգտատերերի հաշիվները: Սա թույլ է տալիս օգտագործել օգտվողների առկա տվյալների բազաները:
В Մենք մանրամասն նկարագրեցինք, թե ինչպես տեղադրել և կարգավորել Հավաստագրման մարմինը ձեր սերվերի վրա: Այժմ մենք մանրամասն չենք անդրադառնա դրա վրա, այլ կենթադրենք, որ ամեն ինչ արդեն կազմաձևված է: Վեբ սերվերի համար HTTPS վկայագիրը պետք է ճիշտ տրված լինի: Ավելի լավ է սա անմիջապես ստուգել:
Windows Server 2016-ը գալիս է ներկառուցված IIS 10.0 տարբերակով:
Եթե IIS-ը տեղադրված է, ապա մնում է միայն այն ճիշտ կարգավորել:
Դերերի ծառայությունների ընտրության փուլում մենք ստուգեցինք վանդակը Հիմնական նույնականացում.
Հետո ներս Ինտերնետ տեղեկատվական ծառայությունների մենեջեր ներառված Հիմնական նույնականացում.
Եվ նշվեց այն տիրույթը, որտեղ գտնվում է վեբ սերվերը:
Այնուհետև մենք ավելացրեցինք կայքի հղումը:
Եվ ընտրեց SSL տարբերակները:
Սա ավարտում է սերվերի կարգավորումը:
Այս քայլերն ավարտելուց հետո միայն այն օգտատերը, ով ունի վկայականով և նշանային PIN-ով նշան, կկարողանա մուտք գործել կայք:
Եվս մեկ անգամ հիշեցնում ենք, որ ըստ , օգտատիրոջը նախկինում տրվել է բանալիներով նշան և վկայագիր՝ տրված կաղապարի համաձայն Սմարթ քարտով օգտվող.
Այժմ եկեք անցնենք օգտվողի համակարգչի կարգավորումը: Նա պետք է կարգավորի այն բրաուզերները, որոնք կօգտագործի պաշտպանված կայքերին միանալու համար:
Քայլ 2 — Օգտագործողի համակարգչի կարգավորում
Պարզության համար ենթադրենք, որ մեր օգտվողն ունի Windows 10:
Ենթադրենք նաև, որ նա ունի տեղադրված հանդերձանքը .
Վարորդների հավաքածուի տեղադրումը պարտադիր չէ, քանի որ, ամենայն հավանականությամբ, նշանի աջակցությունը կհասնի Windows Update-ի միջոցով:
Բայց եթե դա հանկարծ տեղի չունենա, ապա Windows-ի համար Rutoken Drivers-ի մի շարք տեղադրելը կլուծի բոլոր խնդիրները:
Եկեք միացնենք նշանը օգտագործողի համակարգչին և բացենք Rutoken Control Panel-ը:
Ներդիրում Վկայագրեր Նշեք պահանջվող վկայագրի կողքին գտնվող վանդակը, եթե այն նշված չէ:
Այսպիսով, մենք ստուգեցինք, որ նշանն աշխատում է և պարունակում է պահանջվող վկայականը:
Բոլոր բրաուզերները, բացի Firefox-ից, կարգավորվում են ավտոմատ կերպով:
Նրանց հետ առանձնահատուկ բան պետք չէ անել:
Այժմ բացեք ցանկացած բրաուզեր և մուտքագրեք ռեսուրսի հասցեն:
Նախքան կայքի բեռնումը, կբացվի վկայագիր ընտրելու պատուհան, այնուհետև խորհրդանշական PIN կոդը մուտքագրելու պատուհան:
Եթե Aktiv ruToken CSP-ն ընտրվի որպես սարքի լռելյայն կրիպտո մատակարար, ապա կբացվի մեկ այլ պատուհան՝ PIN կոդը մուտքագրելու համար:
Եվ միայն այն բրաուզերում հաջողությամբ մուտքագրելուց հետո կբացվի մեր կայքը։
Firefox բրաուզերի համար լրացուցիչ կարգավորումներ պետք է կատարվեն:
Ձեր բրաուզերի կարգավորումներում ընտրեք Գաղտնիություն և անվտանգություն. Բաժնում Վկայագրեր մղել Պաշտպանիչ սարք. Կբացվի պատուհան Կառավարման ուսուցում.
Սեղմեք Բեռնել, նշեք Rutoken EDS անունը և C:windowssystem32rtpkcs11ecp.dll ուղին:
Վերջ, Firefox-ն այժմ գիտի, թե ինչպես վարվել նշանի հետ և թույլ է տալիս մուտք գործել կայք դրա միջոցով:
Ի դեպ, վեբ կայքերում նշանի միջոցով մուտք գործելը գործում է նաև Safari, Chrome և Firefox բրաուզերի Mac-ների վրա:
Պարզապես պետք է տեղադրել Rutoken-ը կայքից և տեսեք դրա մեջ առկա նշանի վկայականը:
Կարիք չկա կարգավորել Safari, Chrome, Yandex և այլ բրաուզերները, պարզապես անհրաժեշտ է բացել կայքը այս բրաուզերներից որևէ մեկում:
Firefox բրաուզերը կազմաձևված է գրեթե նույն կերպ, ինչ Windows-ում (Կարգավորումներ - Ընդլայնված - Վկայագրեր - Անվտանգության սարքեր): Միայն գրադարան տանող ուղին մի փոքր այլ է /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib:
Արդյունքները
Մենք ձեզ ցույց տվեցինք, թե ինչպես կարելի է ստեղծել երկգործոն նույնականացում կայքերում՝ օգտագործելով գաղտնագրային նշաններ: Ինչպես միշտ, մենք դրա համար լրացուցիչ ծրագրակազմի կարիք չունեինք, բացառությամբ Rutoken համակարգի գրադարանների:
Դուք կարող եք այս պրոցեդուրան կատարել ձեր ներքին ռեսուրսներից ցանկացածով, ինչպես նաև կարող եք ճկուն կերպով կարգավորել օգտվողների խմբերը, որոնք մուտք կունենան կայք, ինչպես Windows Server-ի ցանկացած այլ վայրում:
Սերվերի համար այլ ՕՀ եք օգտագործում:
Եթե ցանկանում եք, որ մենք գրենք այլ օպերացիոն համակարգերի տեղադրման մասին, ապա գրեք այդ մասին հոդվածի մեկնաբանություններում:
Source: www.habr.com