Hacker kruten Zougang zum Haaptmailserver vun der internationaler Firma Deloitte. Den Administratorkonto fir dëse Server gouf nëmme mat engem Passwuert geschützt.
Den onofhängege éisträichesche Fuerscher David Wind krut eng Belounung vun $ 5 fir eng Schwachstelle op der Google Intranet Login Säit z'entdecken.
91% vun de russesche Firmen verstoppen Dateleaks.
Esou Neiegkeeten kënne bal all Dag an Internet Newsfeeds fonnt ginn. Dëst ass direkt Beweis datt d'intern Servicer vun der Firma musse geschützt ginn.
A wat d'Firma méi grouss ass, wat se méi Mataarbechter huet a wat méi komplex seng intern IT-Infrastruktur ass, wat méi dréngend de Problem vun der Informatiounsleck ass fir si. Wéi eng Informatioun ass interessant fir Ugräifer a wéi se schützen?
Wéi eng Informatiounslek kéint d'Firma schueden?
- Informatiounen iwwer Clienten an Transaktiounen;
- technesch Produktinformatioun a Know-how;
- Informatiounen iwwer Partner a speziell Offeren;
- perséinlech Donnéeën a Comptabilitéit.
A wann Dir verstitt datt e puer Informatioune vun der uewe genannter Lëscht aus all Segment vun Ärem Netz erreechbar ass nëmmen op Presentatioun vun engem Login a Passwuert, da sollt Dir drun denken den Niveau vun der Datesécherheet ze erhéijen an et virun onerlaabten Zougang ze schützen.
Zwee-Faktor Authentifikatioun mat Hardware-kryptographesche Medien (Tokens oder Smart Cards) huet e Ruff verdéngt fir ganz zouverlässeg a gläichzäiteg ganz einfach ze benotzen.
Mir schreiwen iwwer d'Virdeeler vun zwee-Faktor Authentifikatioun an bal all Artikel. Dir kënnt méi iwwer dëst an Artikelen iwwer liesen и .
An dësem Artikel wäerte mir Iech weisen wéi Dir Zwee-Faktor Authentifikatioun benotzt fir Iech op Är intern Portale vun Ärer Organisatioun ze loggen.
Als Beispill wäerte mir de gëeegentste Modell fir d'Firma benotzen, Rutoken - e kryptographesche USB Token .
Loosst eis mam Setup ufänken.
Schrëtt 1 - Server Setup
D'Basis vun all Server ass de Betribssystem. An eisem Fall ass dat Windows Server 2016. A mat him an aner Betribssystemer vun der Windows Famill gëtt IIS (Internet Information Services) verdeelt.
IIS ass eng Grupp vun Internet Serveren, dorënner e Webserver an en FTP Server. IIS enthält Uwendungen fir Websäiten ze kreéieren an ze managen.
IIS ass entwéckelt fir Webservicer ze bauen mat Benotzerkonten, déi vun engem Domain oder Active Directory geliwwert ginn. Dëst erlaabt Iech existent Benotzerdatenbanken ze benotzen.
В Mir hunn am Detail beschriwwe wéi d'Zertifizéierungsautoritéit op Ärem Server installéiert a konfiguréiert gëtt. Elo wäerte mir net iwwer dëst am Detail wunnen, awer huelen un datt alles scho konfiguréiert ass. Den HTTPS Zertifikat fir de Webserver muss korrekt ausgestallt ginn. Et ass besser dëst direkt ze kontrolléieren.
Windows Server 2016 kënnt mat IIS Versioun 10.0 agebaut.
Wann IIS installéiert ass, ass alles wat bleift et richteg ze konfiguréieren.
Op der Bühn vun der Auswiel vu Rollservicer hu mir d'Këscht iwwerpréift Basis Authentifikatioun.
Dann an Internet Informatiounsservicer Manager ageschalt Basis Authentifikatioun.
An uginn den Domain an deem de Webserver läit.
Duerno hu mir e Sitelink bäigefüügt.
A wielt d'SSL Optiounen.
Dëst fäerdeg de Server Setup.
Nodeems Dir dës Schrëtt ofgeschloss hutt, kann nëmmen e Benotzer deen en Token mat engem Zertifika an engem Token PIN huet op de Site zougräifen.
Mir erënneren nach eng Kéier drun, datt laut , de Benotzer krut virdru en Token mat Schlësselen an e Certificat ausgestallt no enger Schabloun wéi Benotzer mat Smart Card.
Loosst eis elo weidergoen fir de Computer vum Benotzer opzestellen. Hie sollt d'Browser konfiguréieren déi hie benotzt fir mat geschützte Websäiten ze verbannen.
Schrëtt 2 - Konfiguratioun vum Computer vum Benotzer
Fir Einfachheet, loosst eis unhuelen datt eise Benotzer Windows 10 huet.
Loosst eis och unhuelen datt hien de Kit installéiert huet .
D'Installatioun vun engem Set vu Chauffeuren ass fakultativ, well héchstwahrscheinlech Ënnerstëtzung fir den Token iwwer Windows Update kënnt.
Awer wann dat op eemol net geschitt, da wäert d'Installatioun vun engem Set vu Rutoken Drivers fir Windows all d'Problemer léisen.
Loosst eis den Token mam Computer vum Benotzer verbannen an de Rutoken Control Panel opmaachen.
An der Tab Zertifikaten Kuckt d'Këscht nieft dem erfuerderleche Certificat wann et net markéiert ass.
Also hu mir verifizéiert datt den Token funktionnéiert an den erfuerderlechen Zertifika enthält.
All Browser ausser Firefox ginn automatesch konfiguréiert.
Dir braucht näischt Besonnesches mat hinnen ze maachen.
Elo öffnen all Browser a gitt d'Ressourceadress un.
Ier de Site lued, gëtt eng Fënster op fir en Zertifika ze wielen, an dann eng Fënster fir den Token PIN Code anzeginn.
Wann Aktiv ruToken CSP als Standard Krypto Provider fir den Apparat ausgewielt gëtt, gëtt eng aner Fënster op fir de PIN Code anzeginn.
An nëmmen nodeems se erfollegräich am Browser aginn, wäert eis Websäit opmaachen.
Fir de Firefox Browser mussen zousätzlech Astellunge gemaach ginn.
An Ärem Browser Astellunge wielt Privatsphär a Sécherheet... Am Kapitel Zertifikaten ze drécken Schutz Apparat. Eng Fënster wäert opmaachen Apparat Gestioun.
Klickt download, gitt den Numm Rutoken EDS an de Wee C:windowssystem32rtpkcs11ecp.dll un.
Dat ass et, Firefox weess elo wéi een den Token behandelt an erlaabt Iech Iech op de Site ze benotzen andeems Dir et benotzt.
Iwwregens, Login mat engem Token op Websäite funktionnéiert och op Macs am Safari, Chrome a Firefox Browser.
Dir musst just Rutoken vun der Websäit installéieren a kuckt den Zertifikat um Token dran.
Et ass net néideg Safari, Chrome, Yandex an aner Browser ze konfiguréieren; Dir musst just de Site an engem vun dëse Browser opmaachen.
De Firefox Browser ass bal déiselwecht wéi a Windows konfiguréiert (Settings - Advanced - Certificates - Security devices). Nëmmen de Wee an d'Bibliothéik ass liicht anescht /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.
Conclusiounen
Mir hunn Iech gewisen wéi Dir Zwee-Faktor Authentifikatioun op Websäiten opstellt mat kryptografeschen Tokens. Wéi ëmmer hu mir keng zousätzlech Software dofir gebraucht, ausser fir de Rutoken Systembibliothéiken.
Dir kënnt dës Prozedur mat all Ären internen Ressourcen maachen, an Dir kënnt och flexibel Benotzergruppen konfiguréieren déi Zougang zum Site hunn, grad wéi soss anzwousch am Windows Server.
Benotzt Dir en anert OS fir de Server?
Wann Dir wëllt datt mir iwwer d'Opstellung vun anere Betribssystemer schreiwen, da schreift doriwwer an de Kommentaren zum Artikel.
Source: will.com