Divu faktoru autentifikācija vietnē, izmantojot USB marķieri. Kā padarīt pakalpojumu portāla pieteikšanos drošu?

Hakeri ieguva piekļuvi starptautiskās kompānijas Deloitte galvenajam pasta serverim. Šī servera administratora konts tika aizsargāts tikai ar paroli.

Neatkarīgais austriešu pētnieks Deivids Vinds saņēma 5 ASV dolāru atlīdzību par ievainojamības atklāšanu Google iekštīkla pieteikšanās lapā.

91% Krievijas uzņēmumu slēpj datu noplūdes.

Šādas ziņas interneta ziņu plūsmās var atrast gandrīz katru dienu. Tas ir tiešs pierādījums tam, ka uzņēmuma iekšējie pakalpojumi ir jāaizsargā.

Un jo lielāks uzņēmums, jo vairāk darbinieku un sarežģītāka iekšējā IT infrastruktūra, jo aktuālāka tam ir informācijas noplūdes problēma. Kāda informācija interesē uzbrucējus un kā to aizsargāt?

Kāda veida informācijas noplūde var kaitēt uzņēmumam?

• informācija par klientiem un darījumiem;
• tehniskā informācija par produktu un zinātība;
• informācija par partneriem un īpašajiem piedāvājumiem;
• personas dati un grāmatvedība.

Un, ja saprotat, ka kādai informācijai no iepriekš minētā saraksta var piekļūt no jebkura jūsu tīkla segmenta, tikai uzrādot pieteikumvārdu un paroli, tad jādomā par datu drošības līmeņa paaugstināšanu un aizsardzību pret nesankcionētu piekļuvi.

Divu faktoru autentifikācija, izmantojot aparatūras kriptogrāfiskos datu nesējus (žetonus vai viedkartes), ir izpelnījusies reputāciju kā ļoti uzticamu un tajā pašā laikā diezgan viegli lietojamu.

Gandrīz katrā rakstā mēs rakstām par divu faktoru autentifikācijas priekšrocībām. Vairāk par to varat lasīt rakstos par kā aizsargāt kontu Windows domēnā и e-pasts.

Šajā rakstā mēs parādīsim, kā izmantot divu faktoru autentifikāciju, lai pieteiktos savas organizācijas iekšējos portālos.

Kā piemēru ņemsim korporatīvai lietošanai piemērotāko modeli Rutoken - kriptogrāfisko USB marķieri Rutoken EDS PKI.

Sāksim ar iestatīšanu.

1. darbība — servera iestatīšana

Jebkura servera pamatā ir operētājsistēma. Mūsu gadījumā tas ir Windows Server 2016. Un kopā ar to un citām Windows saimes operētājsistēmām tiek izplatīts IIS (Internet Information Services).

IIS ir interneta serveru grupa, tostarp tīmekļa serveris un FTP serveris. IIS ietver lietojumprogrammas vietņu izveidei un pārvaldībai.

IIS ir paredzēts tīmekļa pakalpojumu izveidei, izmantojot domēna vai Active Directory nodrošinātos lietotāju kontus. Tas ļauj izmantot esošās lietotāju datu bāzes.

В pirmais raksts Mēs detalizēti aprakstījām, kā instalēt un konfigurēt sertifikācijas iestādi jūsu serverī. Tagad mēs par to nekavēsimies sīkāk, bet pieņemsim, ka viss jau ir konfigurēts. Tīmekļa servera HTTPS sertifikātam ir jābūt pareizi izsniegtam. Labāk to pārbaudīt uzreiz.

Sistēmā Windows Server 2016 ir iebūvēta IIS versija 10.0.

Ja IIS ir instalēts, atliek tikai pareizi konfigurēt.

Lomu pakalpojumu atlases posmā mēs atzīmējām izvēles rūtiņu Pamata autentifikācija.

Tad iekšā Interneta informācijas pakalpojumu vadītājs ieslēgts Pamata autentifikācija.

Un norādīja domēnu, kurā atrodas tīmekļa serveris.

Pēc tam mēs pievienojām vietnes saiti.

Un izvēlējās SSL opcijas.

Tas pabeidz servera iestatīšanu.

Pēc šo darbību veikšanas vietnei varēs piekļūt tikai lietotājs, kuram ir marķieris ar sertifikātu un marķiera PIN.

Vēlreiz atgādinām, ka saskaņā ar pirmais raksts, lietotājam iepriekš tika izsniegts marķieris ar atslēgām un sertifikāts, kas izsniegts saskaņā ar veidni, piemēram Lietotājs ar viedkarti.

Tagad pāriesim pie lietotāja datora iestatīšanas. Viņam ir jākonfigurē pārlūkprogrammas, kuras viņš izmantos, lai izveidotu savienojumu ar aizsargātām vietnēm.

2. darbība — lietotāja datora iestatīšana

Vienkāršības labad pieņemsim, ka mūsu lietotājam ir Windows 10.

Pieņemsim arī, ka viņam ir uzstādīts komplekts Rutoken draiveri operētājsistēmai Windows.

Draiveru komplekta instalēšana nav obligāta, jo, visticamāk, marķiera atbalsts tiks nodrošināts, izmantojot Windows Update.

Bet, ja tas pēkšņi nenotiek, Rutoken draiveru komplekta instalēšana operētājsistēmai Windows atrisinās visas problēmas.

Savienosim marķieri ar lietotāja datoru un atveram Rutoken vadības paneli.

Cilnē Sertifikāti Atzīmējiet izvēles rūtiņu blakus vajadzīgajam sertifikātam, ja tas nav atzīmēts.

Tādējādi mēs pārliecinājāmies, ka marķieris darbojas un satur nepieciešamo sertifikātu.

Visas pārlūkprogrammas, izņemot Firefox, tiek konfigurētas automātiski.

 

Ar viņiem nekas īpašs nav jādara.

Tagad atveriet jebkuru pārlūkprogrammu un ievadiet resursa adresi.

Pirms vietnes ielādes tiks atvērts logs sertifikāta izvēlei un pēc tam logs marķiera PIN koda ievadīšanai.

Ja Aktiv ruToken CSP ir izvēlēts kā noklusējuma šifrēšanas nodrošinātājs ierīcei, tiks atvērts cits logs PIN koda ievadīšanai.

Un tikai pēc veiksmīgas ievadīšanas pārlūkprogrammā tiks atvērta mūsu vietne.

Pārlūkprogrammai Firefox ir jāveic papildu iestatījumi.

Pārlūkprogrammas iestatījumos atlasiet Privātums un drošība. Sadaļā Sertifikāti nospiest Aizsardzības ierīce... Tiks atvērts logs Ierīču pārvaldība.

Noklikšķiniet Lejupielādēt, norādiet nosaukumu Rutoken EDS un ceļu C:windowssystem32rtpkcs11ecp.dll.

Tas ir viss, Firefox tagad zina, kā rīkoties ar marķieri, un ļauj jums pieteikties vietnē, izmantojot to.

Starp citu, pieteikšanās vietnēs, izmantojot marķieri, darbojas arī Mac datoros pārlūkprogrammās Safari, Chrome un Firefox.

Jums vienkārši jāinstalē Rutoken no vietnes Atslēgu piekariņu atbalsta modulis un skatiet sertifikātu uz marķiera tajā.

Nav nepieciešams konfigurēt Safari, Chrome, Yandex un citas pārlūkprogrammas; jums vienkārši jāatver vietne jebkurā no šīm pārlūkprogrammām.

Pārlūkprogramma Firefox ir konfigurēta gandrīz tādā pašā veidā kā operētājsistēmā Windows (Iestatījumi - Papildu - Sertifikāti - Drošības ierīces). Tikai ceļš uz bibliotēku ir nedaudz atšķirīgs /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.

Atzinumi

Mēs parādījām, kā vietnēs iestatīt divu faktoru autentifikāciju, izmantojot kriptogrāfijas marķierus. Kā vienmēr, šim nolūkam mums nebija nepieciešama papildu programmatūra, izņemot Rutoken sistēmas bibliotēkas.

Šo procedūru var veikt ar jebkuru no saviem iekšējiem resursiem, kā arī varat elastīgi konfigurēt lietotāju grupas, kurām būs piekļuve vietnei, tāpat kā jebkur citur sistēmā Windows Server.

Vai serverim izmantojat citu OS?

Ja vēlaties, lai mēs rakstām par citu operētājsistēmu iestatīšanu, rakstiet par to raksta komentāros.

Avots: www.habr.com