Peretas memperoleh akses ke server email utama perusahaan internasional Deloitte. Akun administrator untuk server ini hanya dilindungi oleh kata sandi.
Peneliti independen Austria David Wind menerima hadiah sebesar $5 karena menemukan kerentanan di halaman login intranet Google.
91% perusahaan Rusia menyembunyikan kebocoran data.
Berita seperti itu dapat ditemukan hampir setiap hari di feed berita Internet. Hal ini merupakan bukti langsung bahwa layanan internal perusahaan harus dilindungi.
Dan semakin besar suatu perusahaan, semakin banyak karyawan yang dimilikinya dan semakin kompleks infrastruktur TI internalnya, maka semakin besar pula masalah kebocoran informasi yang dihadapinya. Informasi apa yang menarik bagi penyerang dan bagaimana melindunginya?
Kebocoran informasi seperti apa yang dapat merugikan perusahaan?
- informasi tentang klien dan transaksi;
- informasi dan pengetahuan produk teknis;
- informasi tentang mitra dan penawaran khusus;
- data pribadi dan akuntansi.
Dan jika Anda memahami bahwa beberapa informasi dari daftar di atas dapat diakses dari segmen mana pun di jaringan Anda hanya dengan memberikan login dan kata sandi, maka Anda harus mempertimbangkan untuk meningkatkan tingkat keamanan data dan melindunginya dari akses yang tidak sah.
Otentikasi dua faktor menggunakan media kriptografi perangkat keras (token atau kartu pintar) telah mendapatkan reputasi sangat andal dan sekaligus cukup mudah digunakan.
Kami menulis tentang manfaat otentikasi dua faktor di hampir setiap artikel. Anda dapat membaca lebih lanjut tentang ini di artikel tentang ΠΈ .
Dalam artikel ini, kami akan menunjukkan cara menggunakan autentikasi dua faktor untuk masuk ke portal internal organisasi Anda.
Sebagai contoh, kami akan mengambil model yang paling cocok untuk penggunaan korporat, Rutoken - token USB kriptografi .
Mari kita mulai dengan penyiapannya.
Langkah 1 β Pengaturan Server
Dasar dari server mana pun adalah sistem operasi. Dalam kasus kami, ini adalah Windows Server 2016. Dan bersamaan dengan itu, sistem operasi lain dari keluarga Windows, IIS (Layanan Informasi Internet) juga didistribusikan.
IIS adalah sekelompok server Internet, termasuk server web dan server FTP. IIS mencakup aplikasi untuk membuat dan mengelola situs web.
IIS dirancang untuk membangun layanan web menggunakan akun pengguna yang disediakan oleh domain atau Direktori Aktif. Ini memungkinkan Anda untuk menggunakan database pengguna yang ada.
Π Kami menjelaskan secara rinci cara menginstal dan mengkonfigurasi Otoritas Sertifikasi di server Anda. Sekarang kami tidak akan membahasnya secara detail, tetapi kami akan berasumsi bahwa semuanya sudah dikonfigurasi. Sertifikat HTTPS untuk server web harus diterbitkan dengan benar. Lebih baik untuk segera memeriksanya.
Windows Server 2016 hadir dengan IIS versi 10.0 bawaan.
Jika IIS terinstal, maka yang tersisa hanyalah mengkonfigurasinya dengan benar.
Pada tahap memilih layanan peran, kami mencentang kotak Otentikasi dasar.
Kemudian di Manajer Layanan Informasi Internet dihidupkan Otentikasi dasar.
Dan menunjukkan domain tempat server web berada.
Kemudian kami menambahkan tautan situs.
Dan pilih opsi SSL.
Ini menyelesaikan pengaturan server.
Setelah menyelesaikan langkah-langkah ini, hanya pengguna yang memiliki token dengan sertifikat dan PIN token yang dapat mengakses situs tersebut.
Kami ingatkan sekali lagi bahwa menurut , pengguna sebelumnya diberikan token dengan kunci dan sertifikat yang diterbitkan sesuai dengan templat seperti Pengguna dengan kartu pintar.
Sekarang mari kita beralih ke pengaturan komputer pengguna. Dia harus mengkonfigurasi browser yang akan dia gunakan untuk terhubung ke situs web yang dilindungi.
Langkah 2 β Menyiapkan komputer pengguna
Untuk mempermudah, asumsikan pengguna kita memiliki Windows 10.
Anggap saja dia sudah memasang kitnya .
Menginstal serangkaian driver bersifat opsional, karena kemungkinan besar dukungan untuk token akan tiba melalui Pembaruan Windows.
Tetapi jika hal ini tiba-tiba tidak terjadi, maka menginstal seperangkat Driver Rutoken untuk Windows akan menyelesaikan semua masalah.
Mari sambungkan token ke komputer pengguna dan buka Panel Kontrol Rutoken.
Di tab Sertifikat Centang kotak di sebelah sertifikat yang diperlukan jika tidak dicentang.
Jadi, kami memverifikasi bahwa token tersebut berfungsi dan berisi sertifikat yang diperlukan.
Semua browser kecuali Firefox dikonfigurasi secara otomatis.
Anda tidak perlu melakukan sesuatu yang istimewa dengan mereka.
Sekarang buka browser apa saja dan masukkan alamat sumber daya.
Sebelum situs dimuat, sebuah jendela akan terbuka untuk memilih sertifikat, dan kemudian sebuah jendela untuk memasukkan kode PIN token.
Jika Aktiv ruToken CSP dipilih sebagai penyedia kripto default untuk perangkat, maka jendela lain akan terbuka untuk memasukkan kode PIN.
Dan baru setelah berhasil memasukkannya ke dalam browser barulah website kita akan terbuka.
Untuk browser Firefox, pengaturan tambahan harus dilakukan.
Di pengaturan browser Anda pilih Privasi dan Keamanan. Di bagian Sertifikat untuk menekan Perangkat Perlindungan... Sebuah jendela akan terbuka Manajemen perangkat.
Klik Unduh, tunjukkan nama Rutoken EDS dan jalur C:windowssystem32rtpkcs11ecp.dll.
Itu saja, Firefox sekarang tahu cara menangani token dan memungkinkan Anda masuk ke situs menggunakannya.
Omong-omong, login menggunakan token ke situs web juga berfungsi di Mac di browser Safari, Chrome, dan Firefox.
Anda hanya perlu menginstal Rutoken dari situs webnya dan lihat sertifikat pada token di dalamnya.
Tidak perlu mengonfigurasi browser Safari, Chrome, Yandex, dan lainnya; Anda hanya perlu membuka situs di salah satu browser ini.
Browser Firefox dikonfigurasi dengan cara yang hampir sama seperti di Windows (Pengaturan - Lanjutan - Sertifikat - Perangkat keamanan). Hanya jalur ke perpustakaan /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib yang sedikit berbeda.
Temuan
Kami menunjukkan kepada Anda cara mengatur otentikasi dua faktor di situs web menggunakan token kriptografi. Seperti biasa, kami tidak memerlukan perangkat lunak tambahan apa pun untuk ini, kecuali perpustakaan sistem Rutoken.
Anda dapat melakukan prosedur ini dengan sumber daya internal apa pun, dan Anda juga dapat secara fleksibel mengonfigurasi grup pengguna yang akan memiliki akses ke situs, sama seperti di mana pun di Windows Server.
Apakah Anda menggunakan OS yang berbeda untuk server?
Jika Anda ingin kami menulis tentang pengaturan sistem operasi lain, tulislah di komentar artikel.
Sumber: www.habr.com