Įsilaužėliai gavo prieigą prie pagrindinio tarptautinės kompanijos Deloitte pašto serverio. Šio serverio administratoriaus paskyra buvo apsaugota tik slaptažodžiu.
Nepriklausomas austrų tyrinėtojas Davidas Windas gavo 5 USD atlygį už tai, kad atrado pažeidžiamumą „Google“ intraneto prisijungimo puslapyje.
91% Rusijos įmonių slepia duomenų nutekėjimą.
Tokias naujienas galima rasti kone kasdien interneto naujienų srautuose. Tai yra tiesioginis įrodymas, kad įmonės vidaus paslaugos turi būti apsaugotos.
Ir kuo didesnė įmonė, kuo daugiau darbuotojų ir sudėtingesnė vidinė IT infrastruktūra, tuo jai aktualesnė informacijos nutekėjimo problema. Kokia informacija domina užpuolikai ir kaip ją apsaugoti?
Koks informacijos nutekėjimas gali pakenkti įmonei?
- informacija apie klientus ir sandorius;
- techninė informacija apie gaminį ir know-how;
- informacija apie partnerius ir specialius pasiūlymus;
- asmens duomenys ir apskaita.
Ir jei suprantate, kad tam tikra informacija iš aukščiau pateikto sąrašo pasiekiama iš bet kurio jūsų tinklo segmento tik pateikus prisijungimo vardą ir slaptažodį, tuomet turėtumėte pagalvoti apie duomenų saugumo lygio padidinimą ir apsaugą nuo neteisėtos prieigos.
Dviejų veiksnių autentifikavimas naudojant aparatinę kriptografinę laikmeną (žetonus arba intelektualiąsias korteles) užsitarnavo labai patikimo ir tuo pačiu gana paprasto naudojimo reputaciją.
Beveik kiekviename straipsnyje rašome apie dviejų veiksnių autentifikavimo naudą. Daugiau apie tai galite perskaityti straipsniuose apie и .
Šiame straipsnyje parodysime, kaip naudoti dviejų veiksnių autentifikavimą prisijungiant prie organizacijos vidinių portalų.
Kaip pavyzdį paimsime tinkamiausią modelį įmonės naudojimui Rutoken – kriptografinį USB prieigos raktą .
Pradėkime nuo sąrankos.
1 veiksmas – serverio sąranka
Bet kurio serverio pagrindas yra operacinė sistema. Mūsų atveju tai yra Windows Server 2016. Kartu su ja ir kitomis Windows šeimos operacinėmis sistemomis platinamas IIS (Internet Information Services).
IIS yra interneto serverių grupė, įskaitant žiniatinklio serverį ir FTP serverį. IIS apima programas svetainėms kurti ir tvarkyti.
IIS skirta kurti žiniatinklio paslaugas naudojant domeno arba „Active Directory“ teikiamas vartotojų paskyras. Tai leidžia naudoti esamas vartotojų duomenų bazes.
В Išsamiai aprašėme, kaip įdiegti ir konfigūruoti sertifikavimo tarnybą jūsų serveryje. Dabar mes apie tai nekalbėsime išsamiai, bet manysime, kad viskas jau sukonfigūruota. Žiniatinklio serverio HTTPS sertifikatas turi būti išduotas teisingai. Geriau tuoj pat tai patikrinti.
„Windows Server 2016“ yra su integruota IIS 10.0 versija.
Jei IIS įdiegta, belieka ją teisingai sukonfigūruoti.
Vaidmenų paslaugų pasirinkimo etape pažymėjome langelį Pagrindinis autentifikavimas.
Tada į Interneto informacijos paslaugų vadovas įjungtas Pagrindinis autentifikavimas.
Ir nurodė domeną, kuriame yra žiniatinklio serveris.
Tada pridėjome svetainės nuorodą.
Ir pasirinko SSL parinktis.
Tai užbaigia serverio sąranką.
Atlikus šiuos veiksmus, tik vartotojas, turintis prieigos raktą su sertifikatu ir prieigos rakto PIN kodą, galės pasiekti svetainę.
Dar kartą primename, kad pagal , vartotojui anksčiau buvo išduotas žetonas su raktais ir sertifikatas, išduotas pagal šabloną kaip Vartotojas su intelektualiąja kortele.
Dabar pereikime prie vartotojo kompiuterio nustatymo. Jis turėtų sukonfigūruoti naršykles, kurias naudos prisijungdamas prie apsaugotų svetainių.
2 veiksmas – vartotojo kompiuterio nustatymas
Paprastumo dėlei tarkime, kad mūsų vartotojas turi „Windows 10“.
Taip pat tarkime, kad jis įdiegė rinkinį .
Tvarkyklių rinkinio įdiegimas yra neprivalomas, nes greičiausiai prieigos raktas bus palaikytas per „Windows Update“.
Bet jei tai staiga neįvyks, įdiegę „Rutoken“ tvarkyklių rinkinį „Windows“ išspręsite visas problemas.
Prijunkite žetoną prie vartotojo kompiuterio ir atidarykime „Rutoken“ valdymo skydelį.
Skirtuke Sertifikatai Pažymėkite laukelį šalia reikiamo sertifikato, jei jis nepažymėtas.
Taigi patikrinome, ar prieigos raktas veikia ir jame yra reikalingas sertifikatas.
Visos naršyklės, išskyrus Firefox, sukonfigūruojamos automatiškai.
Su jais nieko ypatingo daryti nereikia.
Dabar atidarykite bet kurią naršyklę ir įveskite šaltinio adresą.
Prieš įkeliant svetainę, atsidarys sertifikato pasirinkimo langas, o tada langas, kuriame bus įvestas žetono PIN kodas.
Jei „Aktiv ruToken CSP“ pasirinktas kaip numatytasis įrenginio šifravimo paslaugų teikėjas, atsidarys kitas langas PIN kodui įvesti.
Ir tik sėkmingai jį įvedus naršyklėje atsidarys mūsų svetainė.
„Firefox“ naršyklėje reikia atlikti papildomus nustatymus.
Naršyklės nustatymuose pasirinkite Privatumas ir saugumas... Skyriuje Sertifikatai paspauskite Apsaugos įtaisas... Atsidarys langas Įrenginių valdymas.
Spustelėkite Parsisiųsti, nurodykite pavadinimą Rutoken EDS ir kelią C:windowssystem32rtpkcs11ecp.dll.
Štai viskas, „Firefox“ dabar žino, kaip elgtis su prieigos raktu, ir leidžia prisijungti prie svetainės naudojant jį.
Beje, prisijungimas naudojant žetoną prie svetainių veikia ir Mac kompiuteriuose su Safari, Chrome ir Firefox naršyklėmis.
Jums tereikia įdiegti „Rutoken“ iš svetainės ir pamatysite jame esantį pažymėjimą.
Nereikia konfigūruoti „Safari“, „Chrome“, „Yandex“ ir kitų naršyklių, tereikia atidaryti svetainę bet kurioje iš šių naršyklių.
„Firefox“ naršyklė sukonfigūruota beveik taip pat, kaip ir „Windows“ (Nustatymai – Išplėstinė – Sertifikatai – Apsaugos įrenginiai). Tik kelias į biblioteką šiek tiek skiriasi /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.
išvados
Mes parodėme, kaip nustatyti dviejų veiksnių autentifikavimą svetainėse naudojant kriptografinius prieigos raktus. Kaip visada, mums nereikėjo jokios papildomos programinės įrangos, išskyrus Rutoken sistemos bibliotekas.
Šią procedūrą galite atlikti naudodami bet kokius vidinius išteklius, taip pat galite lanksčiai konfigūruoti vartotojų grupes, kurios turės prieigą prie svetainės, kaip ir bet kur kitur Windows Server.
Ar naudojate kitą OS serveriui?
Jei norite, kad parašytume apie kitų operacinių sistemų nustatymą, parašykite apie tai straipsnio komentaruose.
Šaltinis: www.habr.com