Хакерлер халықаралық Deloitte компаниясының негізгі пошта серверіне қол жеткізді. Бұл сервердің әкімші тіркелгісі құпия сөзбен ғана қорғалған.
Австриялық тәуелсіз зерттеуші Дэвид Винд Google интранетіне кіру бетіндегі осалдықты анықтағаны үшін 5 доллар сыйақы алды.
Ресейлік компаниялардың 91%-ы деректердің ағып кетуін жасырады.
Мұндай жаңалықтарды күн сайын дерлік интернет жаңалықтар ленталарынан табуға болады. Бұл компанияның ішкі қызметтері қорғалуы керек екендігінің тікелей дәлелі.
Компания неғұрлым үлкен болса, соғұрлым оның қызметкерлері көп және ішкі АТ-инфрақұрылымы неғұрлым күрделі болса, соғұрлым ол үшін ақпараттың ағып кету мәселесі өзекті болады. Қандай ақпарат шабуылдаушыларды қызықтырады және оны қалай қорғауға болады?
Қандай ақпараттың ағып кетуі компанияға зиян келтіруі мүмкін?
- клиенттер мен транзакциялар туралы ақпарат;
- техникалық өнім туралы ақпарат және ноу-хау;
- серіктестер және арнайы ұсыныстар туралы ақпарат;
- жеке деректер және бухгалтерлік есеп.
Егер сіз жоғарыда аталған тізімдегі кейбір ақпаратқа желіңіздің кез келген сегментінен логин мен парольді көрсеткенде ғана қол жеткізуге болатынын түсінсеңіз, деректер қауіпсіздігінің деңгейін арттыру және оны рұқсатсыз кіруден қорғау туралы ойлану керек.
Аппараттық криптографиялық тасымалдағыштарды (токендер немесе смарт-карталар) пайдалана отырып, екі факторлы аутентификация өте сенімді және сонымен бірге қолдануда өте оңай беделге ие болды.
Біз әрбір дерлік мақалада екі факторлы аутентификацияның артықшылықтары туралы жазамыз. Бұл туралы мақалалардан көбірек оқи аласыз и .
Бұл мақалада ұйымыңыздың ішкі порталдарына кіру үшін екі факторлы аутентификацияны қалай пайдалану керектігін көрсетеміз.
Мысал ретінде біз корпоративтік пайдалану үшін ең қолайлы үлгіні аламыз, Rutoken - криптографиялық USB таңбалауышы .
Орнатудан бастайық.
1-қадам — Серверді орнату
Кез келген сервердің негізі операциялық жүйе болып табылады. Біздің жағдайда бұл Windows Server 2016. Онымен және Windows отбасының басқа операциялық жүйелерімен бірге IIS (Internet Information Services) таратылады.
IIS - бұл веб-сервер мен FTP серверін қамтитын Интернет-серверлер тобы. IIS веб-сайттарды жасауға және басқаруға арналған қолданбаларды қамтиды.
IIS домен немесе Active Directory ұсынған пайдаланушы тіркелгілерін пайдаланып веб-қызметтерді құруға арналған. Бұл бар пайдаланушы дерекқорларын пайдалануға мүмкіндік береді.
В Серверде сертификаттау орталығын орнату және конфигурациялау жолын егжей-тегжейлі сипаттадық. Енді біз бұл туралы егжей-тегжейлі тоқталмаймыз, бірақ бәрі қазірдің өзінде конфигурацияланған деп есептейміз. Веб-серверге арналған HTTPS сертификаты дұрыс шығарылуы керек. Мұны бірден тексерген дұрыс.
Windows Server 2016 ендірілген IIS 10.0 нұсқасымен бірге жеткізіледі.
Егер IIS орнатылған болса, оны дұрыс конфигурациялау ғана қалады.
Рөл қызметтерін таңдау кезеңінде біз құсбелгіні қойдық Негізгі аутентификация.
Содан кейін Интернет ақпарат қызметтерінің менеджері енгізілген Негізгі аутентификация.
Және веб-сервер орналасқан доменді көрсетті.
Содан кейін біз сайтқа сілтеме қостық.
Және SSL опцияларын таңдады.
Бұл серверді орнатуды аяқтайды.
Осы қадамдарды орындағаннан кейін сайтқа сертификаты бар таңбалауышы және PIN коды бар пайдаланушы ғана кіре алады.
сәйкес тағы бір рет еске саламыз , пайдаланушыға бұрын кілттері бар таңбалауыш және сияқты үлгіге сәйкес сертификат берілген Смарт картасы бар пайдаланушы.
Енді пайдаланушының компьютерін орнатуға көшейік. Ол қорғалған веб-сайттарға қосылу үшін пайдаланатын браузерлерді конфигурациялауы керек.
2-қадам — Пайдаланушының компьютерін орнату
Қарапайымдылық үшін біздің пайдаланушыда Windows 10 бар деп есептейік.
Сондай-ақ ол жинақты орнатқан делік .
Драйверлер жинағын орнату міндетті емес, себебі таңбалауышқа қолдау Windows Update арқылы келеді.
Бірақ егер бұл кенеттен орын алмаса, Windows жүйесіне арналған Rutoken драйверлерінің жиынтығын орнату барлық мәселелерді шешеді.
Токенді пайдаланушының компьютеріне қосып, Rutoken басқару тақтасын ашайық.
Қойындыда Сертификаттар Қажетті сертификаттың жанындағы құсбелгіні қойыңыз, егер ол белгіленбесе.
Осылайша, біз таңбалауыштың жұмыс істеп тұрғанын және қажетті сертификатты қамтитынын тексердік.
Firefox-тан басқа барлық браузерлер автоматты түрде конфигурацияланады.
Олармен ерекше ештеңе жасаудың қажеті жоқ.
Енді кез келген браузерді ашып, ресурс мекенжайын енгізіңіз.
Сайт жүктелмес бұрын сертификатты таңдау үшін терезе, содан кейін таңбалауыш PIN кодын енгізу терезесі ашылады.
Құрылғы үшін әдепкі криптопровайдер ретінде Aktiv ruToken CSP таңдалса, PIN кодын енгізу үшін басқа терезе ашылады.
Оны браузерге сәтті енгізгеннен кейін ғана біздің веб-сайт ашылады.
Firefox браузері үшін қосымша параметрлерді жасау керек.
Браузер параметрлерінде таңдаңыз Құпиялық және қауіпсіздік. Бөлімде Сертификаттар түймесін басыңыз Қорғау құрылғысы... Терезе ашылады Құрылғыны басқару.
Басыңыз жүктеу, Rutoken EDS атауын және C:windowssystem32rtpkcs11ecp.dll жолын көрсетіңіз.
Міне, Firefox енді токенді қалай өңдеу керектігін біледі және оны пайдаланып сайтқа кіруге мүмкіндік береді.
Айтпақшы, веб-сайттарға таңбалауыш арқылы кіру Safari, Chrome және Firefox браузерлеріндегі Mac компьютерлерінде де жұмыс істейді.
Сізге тек веб-сайттан Rutoken орнату керек және ондағы токендегі сертификатты қараңыз.
Safari, Chrome, Yandex және басқа браузерлерді конфигурациялаудың қажеті жоқ, сайтты осы браузерлердің кез келгенінде ашу жеткілікті.
Firefox шолғышы Windows жүйесіндегідей дерлік конфигурацияланған (Параметрлер - Кеңейтілген - Сертификаттар - Қауіпсіздік құрылғылары). Тек кітапханаға апаратын жол сәл өзгеше /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.
қорытындылар
Біз сізге криптографиялық белгілерді қолданатын веб-сайттарда екі факторлы аутентификацияны қалай орнату керектігін көрсеттік. Әдеттегідей, бұл үшін бізге Rutoken жүйелік кітапханаларынан басқа қосымша бағдарламалық құрал қажет болмады.
Бұл процедураны кез келген ішкі ресурстармен орындауға болады, сондай-ақ Windows серверіндегі кез келген басқа жердегі сияқты сайтқа кіру мүмкіндігі бар пайдаланушы топтарын икемді түрде конфигурациялауға болады.
Сервер үшін басқа операциялық жүйені пайдаланасыз ба?
Егер сіз басқа операциялық жүйелерді орнату туралы жазғанымызды қаласаңыз, бұл туралы мақалаға түсініктемелерде жазыңыз.
Ақпарат көзі: www.habr.com