Хакерите добија пристап до главниот сервер за пошта на меѓународната компанија Делоит. Администраторската сметка за овој сервер беше заштитена само со лозинка.
Независниот австриски истражувач Дејвид Винд доби награда од 5 долари за откривање на ранливост на страницата за најавување на интранетот на Google.
91% од руските компании кријат протекување податоци.
Вакви вести може да се најдат речиси секој ден во вестите на Интернет. Ова е директен доказ дека внатрешните услуги на компанијата мора да бидат заштитени.
И колку е поголема компанијата, колку повеќе вработени има и колку е посложена нејзината внатрешна ИТ инфраструктура, толку е погорлив проблемот со истекувањето на информации за неа. Кои информации се од интерес за напаѓачите и како да се заштитат?
Каков вид на протекување информации може да и наштети на компанијата?
- информации за клиенти и трансакции;
- технички информации и знаење за производот;
- информации за партнери и специјални понуди;
- лични податоци и сметководство.
И ако разбирате дека некои информации од горната листа се достапни од кој било сегмент од вашата мрежа само по презентирање на најавување и лозинка, тогаш треба да размислите за зголемување на нивото на безбедност на податоците и заштита од неовластен пристап.
Двофакторната автентикација со користење на хардверски криптографски медиуми (токени или паметни картички) стекна репутација дека е многу доверлива и во исто време прилично лесна за употреба.
Ние пишуваме за придобивките од двофакторната автентикација во речиси секоја статија. Можете да прочитате повеќе за ова во статиите за и .
Во оваа статија, ќе ви покажеме како да користите двофакторна автентикација за да се најавите на внатрешните портали на вашата организација.
Како пример, ќе го земеме најсоодветниот модел за корпоративна употреба, Rutoken - криптографски USB токен .
Ајде да започнеме со поставувањето.
Чекор 1 - Поставување сервер
Основата на секој сервер е оперативниот систем. Во нашиот случај, ова е Windows Server 2016. И заедно со него и другите оперативни системи од семејството Windows, се дистрибуира IIS (Интернет информативни услуги).
IIS е група на Интернет сервери, вклучувајќи веб сервер и FTP сервер. IIS вклучува апликации за креирање и управување со веб-страници.
IIS е дизајниран да изгради веб-услуги користејќи кориснички сметки обезбедени од домен или Active Directory. Ова ви овозможува да ги користите постоечките бази на податоци за корисници.
В Детално опишавме како да го инсталирате и конфигурирате органот за сертификација на вашиот сервер. Сега нема да се задржиме на ова детално, туку ќе претпоставиме дека сè е веќе конфигурирано. Сертификатот HTTPS за веб-серверот мора да биде правилно издаден. Подобро е да го проверите ова веднаш.
Windows Server 2016 доаѓа со вградена IIS верзија 10.0.
Ако IIS е инсталиран, тогаш останува само да го конфигурирате правилно.
Во фазата на избор на услуги за улоги, го означивме полето Основна автентикација.
Потоа во Менаџер за информативни услуги за Интернет вклучено Основна автентикација.
И го означи доменот во кој се наоѓа веб-серверот.
Потоа додадовме врска на страницата.
И ги избравте SSL опциите.
Ова го комплетира поставувањето на серверот.
По завршувањето на овие чекори, само корисникот кој има токен со сертификат и токен PIN ќе може да пристапи на страницата.
Уште еднаш потсетуваме дека според , на корисникот претходно му бил издаден токен со клучеви и сертификат издаден според шаблон како Корисник со паметна картичка.
Сега да продолжиме со поставувањето на компјутерот на корисникот. Тој треба да ги конфигурира прелистувачите што ќе ги користи за поврзување со заштитени веб-локации.
Чекор 2 - Поставување на компјутерот на корисникот
За едноставност, да претпоставиме дека нашиот корисник има Windows 10.
Ајде, исто така, да претпоставиме дека го има инсталирано комплетот .
Инсталирањето сет на драјвери е опционално, бидејќи најверојатно поддршката за токенот ќе пристигне преку Windows Update.
Но, ако ова не се случи одеднаш, тогаш инсталирањето на сет на Rutoken драјвери за Windows ќе ги реши сите проблеми.
Ајде да го поврземе токенот со компјутерот на корисникот и да го отвориме контролниот панел Рутокен.
Во јазичето Сертификати Проверете го полето до бараниот сертификат ако не е означен.
Така, потврдивме дека токенот работи и го содржи потребниот сертификат.
Сите прелистувачи освен Firefox се конфигурираат автоматски.
Не треба да правите ништо посебно со нив.
Сега отворете кој било прелистувач и внесете ја адресата на ресурсот.
Пред да се вчита страницата, ќе се отвори прозорец за избор на сертификат, а потоа прозорец за внесување на PIN-кодот за токен.
Ако Aktiv ruToken CSP е избран како стандарден провајдер на крипто за уредот, тогаш ќе се отвори друг прозорец за внесување на PIN-кодот.
И само по успешно внесување во прелистувачот ќе се отвори нашата веб-страница.
За прелистувачот Firefox, мора да се направат дополнителни поставки.
Во поставките на вашиот прелистувач изберете Приватност и безбедност. Во делот Сертификати да притиснете Заштитен уред... Ќе се отвори прозорец Управување со уредот.
Кликнете Превземи, означете го името Rutoken EDS и патеката C:windowssystem32rtpkcs11ecp.dll.
Тоа е тоа, Firefox сега знае како да се справи со токенот и ви дозволува да се најавите на страницата користејќи го.
Патем, најавувањето со помош на токен на веб-локации функционира и на Mac во прелистувачот Safari, Chrome и Firefox.
Треба само да го инсталирате Rutoken од веб-страницата и видете го сертификатот на токенот во него.
Нема потреба да ги конфигурирате прелистувачите Safari, Chrome, Yandex и други, само треба да ја отворите страницата во кој било од овие прелистувачи.
Прелистувачот Firefox е конфигуриран на речиси ист начин како и во Windows (Поставки - Напредни - Сертификати - Уреди за безбедност). Само патеката до библиотеката е малку поинаква /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.
Наоди
Ви покажавме како да поставите двофакторна автентикација на веб-локации користејќи криптографски токени. Како и секогаш, за ова не ни требаше никаков дополнителен софтвер, освен системските библиотеки Рутокен.
Оваа постапка можете да ја направите со кој било од вашите внатрешни ресурси, а исто така можете флексибилно да конфигурирате кориснички групи кои ќе имаат пристап до страницата, исто како и каде било на друго место во Windows Server.
Дали користите различен ОС за серверот?
Ако сакате да пишуваме за поставување други оперативни системи, тогаш пишете за тоа во коментарите на статијата.
Извор: www.habr.com