Gli hacker hanno avuto accesso al server di posta principale della società internazionale Deloitte. L'account amministratore di questo server era protetto solo da una password.
Il ricercatore austriaco indipendente David Wind ha ricevuto una ricompensa di 5 dollari per aver scoperto una vulnerabilità nella pagina di accesso all'intranet di Google.
Il 91% delle aziende russe nasconde fughe di dati.
Tali notizie possono essere trovate quasi ogni giorno nei feed di notizie di Internet. Questa è la prova diretta che i servizi interni dell’azienda devono essere protetti.
E quanto più grande è l'azienda, quanti più dipendenti ha e quanto più complessa è la sua infrastruttura IT interna, tanto più urgente diventa per lei il problema della fuga di informazioni. Quali informazioni interessano agli aggressori e come proteggerle?
Che tipo di fuga di informazioni potrebbe danneggiare l’azienda?
- informazioni su clienti e transazioni;
- informazioni tecniche e know-how sui prodotti;
- informazioni sui partner e sulle offerte speciali;
- dati anagrafici e contabilità.
E se capisci che alcune informazioni dell'elenco sopra sono accessibili da qualsiasi segmento della tua rete solo dietro presentazione di login e password, allora dovresti pensare ad aumentare il livello di sicurezza dei dati e proteggerli dall'accesso non autorizzato.
L'autenticazione a due fattori tramite supporti crittografici hardware (token o smart card) si è guadagnata la reputazione di essere molto affidabile e allo stesso tempo abbastanza facile da usare.
Scriviamo dei vantaggi dell'autenticazione a due fattori in quasi ogni articolo. Puoi leggere di più a riguardo negli articoli su и .
In questo articolo ti mostreremo come utilizzare l'autenticazione a due fattori per accedere ai portali interni della tua organizzazione.
Ad esempio, prenderemo il modello più adatto per uso aziendale, Rutoken, un token USB crittografico .
Iniziamo con la configurazione.
Passaggio 1: configurazione del server
La base di qualsiasi server è il sistema operativo. Nel nostro caso, questo è Windows Server 2016. E insieme ad esso e ad altri sistemi operativi della famiglia Windows, viene distribuito IIS (Internet Information Services).
IIS è un gruppo di server Internet, incluso un server Web e un server FTP. IIS include applicazioni per la creazione e la gestione di siti Web.
IIS è progettato per creare servizi Web utilizzando gli account utente forniti da un dominio o Active Directory. Ciò consente di utilizzare i database utente esistenti.
В Abbiamo descritto in dettaglio come installare e configurare l'Autorità di certificazione sul tuo server. Ora non ci soffermeremo su questo in dettaglio, ma supponiamo che tutto sia già configurato. Il certificato HTTPS per il server web deve essere emesso correttamente. È meglio verificarlo subito.
Windows Server 2016 viene fornito con IIS versione 10.0 integrata.
Se IIS è installato, non resta che configurarlo correttamente.
Nella fase di selezione dei servizi di ruolo, abbiamo selezionato la casella Autenticazione di base.
Poi dentro Responsabile dei servizi informativi su Internet acceso Autenticazione di base.
E indicato il dominio in cui si trova il server web.
Quindi abbiamo aggiunto un collegamento al sito.
E selezionato le opzioni SSL.
Questo completa la configurazione del server.
Dopo aver completato questi passaggi, solo un utente in possesso di un token con certificato e PIN del token potrà accedere al sito.
Vi ricordiamo ancora una volta che secondo , all'utente è stato precedentemente rilasciato un token con chiavi e un certificato emesso secondo un modello simile Utente con smart card.
Passiamo ora alla configurazione del computer dell'utente. Dovrebbe configurare i browser che utilizzerà per connettersi ai siti Web protetti.
Passaggio 2: configurazione del computer dell'utente
Per semplicità, supponiamo che il nostro utente abbia Windows 10.
Supponiamo anche che abbia il kit installato .
L'installazione di un set di driver è facoltativa, poiché molto probabilmente il supporto per il token arriverà tramite Windows Update.
Ma se all'improvviso ciò non accade, l'installazione di un set di driver Rutoken per Windows risolverà tutti i problemi.
Colleghiamo il token al computer dell'utente e apriamo il pannello di controllo di Rutoken.
linguetta Certificati Seleziona la casella accanto al certificato richiesto se non è selezionata.
Pertanto, abbiamo verificato che il token funzioni e contenga il certificato richiesto.
Tutti i browser tranne Firefox vengono configurati automaticamente.
Non è necessario fare nulla di speciale con loro.
Ora apri qualsiasi browser e inserisci l'indirizzo della risorsa.
Prima del caricamento del sito, si aprirà una finestra per la selezione di un certificato, quindi una finestra per l'inserimento del codice PIN del token.
Se Aktiv ruToken CSP è selezionato come provider di crittografia predefinito per il dispositivo, si aprirà un'altra finestra per inserire il codice PIN.
E solo dopo averlo inserito correttamente nel browser si aprirà il nostro sito Web.
Per il browser Firefox è necessario effettuare impostazioni aggiuntive.
Nelle impostazioni del browser seleziona Privacy e sicurezza. Nella sezione Certificati premere Dispositivo di protezione... Si aprirà una finestra Gestione dei dispositivi.
stampa Scarica, indicare il nome Rutoken EDS e il percorso C:windowssystem32rtpkcs11ecp.dll.
Questo è tutto, Firefox ora sa come gestire il token e ti consente di accedere al sito utilizzandolo.
A proposito, l'accesso tramite token ai siti Web funziona anche su Mac nel browser Safari, Chrome e Firefox.
Devi solo installare Rutoken dal sito web e vedere il certificato sul token al suo interno.
Non è necessario configurare Safari, Chrome, Yandex e altri browser; devi solo aprire il sito in uno qualsiasi di questi browser.
Il browser Firefox è configurato quasi allo stesso modo di Windows (Impostazioni - Avanzate - Certificati - Dispositivi di sicurezza). Solo il percorso della libreria è leggermente diverso /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.
risultati
Ti abbiamo mostrato come impostare l'autenticazione a due fattori sui siti Web utilizzando token crittografici. Come sempre, non abbiamo avuto bisogno di alcun software aggiuntivo, ad eccezione delle librerie di sistema Rutoken.
Puoi eseguire questa procedura con qualsiasi delle tue risorse interne e puoi anche configurare in modo flessibile i gruppi di utenti che avranno accesso al sito, proprio come qualsiasi altro posto in Windows Server.
Stai utilizzando un sistema operativo diverso per il server?
Se vuoi che scriviamo sulla configurazione di altri sistemi operativi, scrivilo nei commenti all'articolo.
Fonte: habr.com