Хакерлер эл аралык Deloitte компаниясынын негизги почта серверине кирүү мүмкүнчүлүгүнө ээ болушту. Бул сервердин администратор эсеби сырсөз менен гана корголгон.
Көз карандысыз австриялык изилдөөчү Дэвид Винд Google интранетине кирүү барагында кемчиликти тапканы үчүн 5 доллар сыйлык алды.
Орусиялык компаниялардын 91%ы маалыматтардын ачыкка чыгышын жашырышат.
Мындай жаңылыктарды дээрлик күн сайын интернет жаңылыктар ленталарынан тапса болот. Бул компаниянын ички кызматтары корголушу керек экендигинин түздөн-түз далили.
Ал эми компания канчалык чоң болсо, анын кызматкерлери ошончолук көп болсо жана анын ички IT инфраструктурасы канчалык татаал болсо, ал үчүн маалыматтын агып чыгуу көйгөйү ошончолук курч болот. Кандай маалымат чабуулчуларды кызыктырат жана аны кантип коргоо керек?
Кандай маалыматтын чыгып кетиши компанияга зыян келтириши мүмкүн?
- кардарлар жана транзакциялар жөнүндө маалымат;
- техникалык продукт маалымат жана ноу-хау;
- өнөктөштөр жана атайын сунуштар жөнүндө маалымат;
- жеке маалыматтар жана эсепке алуу.
Ал эми жогорудагы тизмедеги кээ бир маалымат тармагыңыздын каалаган сегментинен логин жана паролду көрсөткөндө гана жеткиликтүү экенин түшүнсөңүз, анда маалыматтын коопсуздугунун деңгээлин жогорулатуу жана аны уруксатсыз кирүүдөн коргоо жөнүндө ойлонушуңуз керек.
Аппараттык криптографиялык медианы (токендер же смарт-карталар) колдонуу менен эки факторлуу аутентификация абдан ишенимдүү жана ошол эле учурда колдонууга абдан жеңил болгондугу үчүн репутацияга ээ болду.
Биз дээрлик ар бир макалада эки фактордук аутентификациянын артыкчылыктары жөнүндө жазабыз. Бул тууралуу макалалардан кененирээк окуй аласыз и .
Бул макалада биз сиздин уюмуңуздун ички порталдарына кирүү үчүн эки факторлуу аутентификацияны кантип колдонууну көрсөтөбүз.
Мисал катары биз корпоративдик колдонуу үчүн эң ылайыктуу моделди алабыз, Rutoken - криптографиялык USB энбелгиси .
Орнотуудан баштайлы.
1-кадам — Серверди орнотуу
Ар кандай сервердин негизин операциялык система түзөт. Биздин учурда, бул Windows Server 2016. Жана аны менен бирге Windows үй-бүлөсүнүн башка операциялык системалары, IIS (Internet Information Services) таратылат.
IIS – бул интернет-серверлердин тобу, анын ичинде веб-сервер жана FTP сервери. IIS веб-сайттарды түзүү жана башкаруу үчүн тиркемелерди камтыйт.
IIS домен же Active Directory тарабынан берилген колдонуучунун каттоо эсептерин колдонуу менен веб кызматтарын куруу үчүн иштелип чыккан. Бул колдонуучу базаларын колдонууга мүмкүндүк берет.
В Сервериңизге Сертификаттоо борборун кантип орнотууну жана конфигурациялоону майда-чүйдөсүнө чейин сүрөттөп бердик. Эми биз бул жөнүндө майда-чүйдөсүнө чейин токтолбойбуз, бирок баары мурунтан эле конфигурацияланган деп ойлойбуз. Веб сервер үчүн HTTPS тастыктамасы туура берилиши керек. Муну дароо текшергениңиз жакшы.
Windows Server 2016 орнотулган IIS 10.0 версиясы менен келет.
Эгерде IIS орнотулган болсо, анда аны туура конфигурациялоо гана калат.
Рол кызматтарын тандоо этабында биз кутучаны белгиледик Негизги аутентификация.
Андан кийин Интернет маалымат кызматтарынын менеджери киргизилген Негизги аутентификация.
Жана веб-сервер жайгашкан доменди көрсөттү.
Андан кийин биз сайттын шилтемесин коштук.
Жана SSL параметрлерин тандады.
Бул серверди орнотууну аяктайт.
Бул кадамдарды аткаргандан кийин, сайтка сертификаты жана PIN белгиси бар жетону бар колдонуучу гана кире алат.
ылайык экендигин дагы бир жолу эскертебиз , колдонуучу мурда ачкычтар менен токен жана окшош шаблон боюнча берилген күбөлүк берилген Смарт картасы бар колдонуучу.
Эми колдонуучунун компьютерин орнотууга өтөбүз. Ал корголгон веб-сайттарга туташуу үчүн колдоно турган браузерлерди конфигурациялашы керек.
2-кадам — Колдонуучунун компьютерин орнотуу
Жөнөкөйлүк үчүн, биздин колдонуучуда Windows 10 бар деп коёлу.
Ошондой эле ал комплект орнотулган деп коёлу .
Драйверлердин топтомун орнотуу милдеттүү эмес, анткени белгини колдоо Windows Update аркылуу келет.
Бирок бул күтүлбөгөн жерден болбосо, анда Windows үчүн Rutoken драйверлеринин топтомун орнотуу бардык көйгөйлөрдү чечет.
Токенди колдонуучунун компьютерине туташтырып, Rutoken башкаруу панелин ачалы.
Өтмөктө Тастыктамалар Эгерде ал белгиленбесе, талап кылынган сертификаттын жанындагы кутучаны белгилеңиз.
Ошентип, биз токен иштеп жатканын жана талап кылынган сертификатты камтыганын текшердик.
Firefoxдон башка бардык браузерлер автоматтык түрдө конфигурацияланат.
Алар менен өзгөчө эч нерсе кылуунун кереги жок.
Эми каалаган браузерди ачып, ресурстун дарегин киргизиңиз.
Сайт жүктөөдөн мурун, сертификатты тандоо үчүн терезе ачылат, андан кийин PIN кодду киргизүү үчүн терезе ачылат.
Эгерде Aktiv ruToken CSP түзмөк үчүн демейки крипто-провайдер катары тандалган болсо, анда PIN кодду киргизүү үчүн башка терезе ачылат.
Аны браузерге ийгиликтүү киргизгенден кийин гана биздин веб-сайт ачылат.
Firefox браузери үчүн кошумча жөндөөлөр жасалышы керек.
Браузериңиздин жөндөөлөрүнөн тандаңыз Купуялык жана коопсуздук. Бөлүмүндө Тастыктамалар басуу Коргоо аппараты. Терезе ачылат Түзмөктү башкаруу.
басма сөз жүктөп алуу, Rutoken EDS атын жана C:windowssystem32rtpkcs11ecp.dll жолун көрсөтүңүз.
Мына ушундай, Firefox эми токенди кантип иштетүүнү билет жана аны колдонуу менен сайтка кирүүгө мүмкүнчүлүк берет.
Баса, веб-сайттарга токенди колдонуу менен кирүү Safari, Chrome жана Firefox браузериндеги Mac компьютерлеринде да иштейт.
Сиз жөн гана сайттан Rutoken орнотуу керек жана андагы токендеги сертификатты караңыз.
Safari, Chrome, Yandex жана башка браузерлерди конфигурациялоонун кереги жок, сиз сайтты ушул браузерлердин каалаганында ачышыңыз керек.
Firefox браузери дээрлик Windowsдогудай конфигурацияланган (Орнотуулар - Өркүндөтүлгөн - Сертификаттар - Коопсуздук түзмөктөрү). Китепканага баруучу жол гана бир аз башкача /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.
табылгалары
Биз сизге криптографиялык токендерди колдонуу менен веб-сайттарда эки фактордук аутентификацияны кантип орнотууну көрсөттүк. Адаттагыдай эле, бул үчүн Rutoken тутумунун китепканаларынан башка эч кандай кошумча программалык камсыздоонун кереги жок болчу.
Сиз бул процедураны каалаган ички ресурстарыңыз менен аткара аласыз, ошондой эле Windows Serverдеги башка жердегидей эле сайтка кире турган колдонуучу топторун ийкемдүү конфигурациялай аласыз.
Сиз сервер үчүн башка OS колдонуп жатасызбы?
Эгерде сиз башка операциялык системаларды орнотуу жөнүндө жазууну кааласаңыз, анда бул тууралуу макалага комментарийлерде жазыңыз.
Source: www.habr.com