Хакерууд олон улсын Deloitte компанийн үндсэн шуудангийн серверт нэвтэрчээ. Энэ серверийн администраторын бүртгэл зөвхөн нууц үгээр хамгаалагдсан.
Австрийн бие даасан судлаач Дэвид Винд Google-ийн интранетэд нэвтрэх хуудасны цоорхойг илрүүлснийхээ төлөө 5 долларын шагнал хүртжээ.
Оросын компаниудын 91% нь мэдээлэл алдагдлаа нуудаг.
Ийм мэдээг интернетийн мэдээллийн сувгаас бараг өдөр бүр олж болно. Энэ нь компанийн дотоод үйлчилгээг хамгаалах ёстойг шууд нотолж байна.
Компани хэдий чинээ том байх тусам олон ажилтантай, мэдээллийн технологийн дотоод дэд бүтэц нь нарийн төвөгтэй байх тусам түүний хувьд мэдээлэл алдагдах асуудал улам хурцдаж байна. Халдагчид ямар мэдээлэл сонирхож, түүнийг хэрхэн хамгаалах вэ?
Ямар төрлийн мэдээлэл алдагдсан нь компанид хохирол учруулж болох вэ?
- үйлчлүүлэгч, гүйлгээний талаархи мэдээлэл;
- техникийн бүтээгдэхүүний мэдээлэл, ноу-хау;
- түншүүд болон тусгай саналуудын талаархи мэдээлэл;
- хувийн мэдээлэл, нягтлан бодох бүртгэл.
Хэрэв та дээрх жагсаалтын зарим мэдээллийг зөвхөн нэвтрэх болон нууц үгээ танилцуулсны дараа сүлжээний аль ч сегментээс авах боломжтой гэдгийг ойлгож байгаа бол мэдээллийн аюулгүй байдлын түвшинг нэмэгдүүлэх, зөвшөөрөлгүй нэвтрэхээс хамгаалах талаар бодох хэрэгтэй.
Техник хангамжийн криптографийн зөөвөрлөгч (жетон эсвэл ухаалаг карт) ашиглан хоёр хүчин зүйлийн баталгаажуулалт нь маш найдвартай бөгөөд ашиглахад хялбар гэдгээрээ алдартай болсон.
Бид бараг бүх нийтлэлдээ хоёр хүчин зүйлийн баталгаажуулалтын ашиг тусын талаар бичдэг. Та энэ тухай нийтлэлээс илүү ихийг уншиж болно и .
Энэ нийтлэлд бид танай байгууллагын дотоод портал руу нэвтрэхийн тулд хоёр хүчин зүйлийн баталгаажуулалтыг хэрхэн ашиглахыг харуулах болно.
Жишээ болгон бид корпорацийн хэрэглээнд хамгийн тохиромжтой загвар болох Rutoken - криптограф USB жетоныг авах болно. .
Тохиргооноос эхэлцгээе.
Алхам 1 - Серверийн тохиргоо
Аливаа серверийн үндэс нь үйлдлийн систем юм. Манай тохиолдолд энэ бол Windows Server 2016. Мөн Windows-ийн гэр бүлийн бусад үйлдлийн системүүдийн хамт IIS (Интернет мэдээллийн үйлчилгээ) түгээгддэг.
IIS нь вэб сервер, FTP сервер зэрэг интернет серверүүдийн бүлэг юм. IIS нь вэбсайт үүсгэх, удирдахад зориулагдсан програмуудыг агуулдаг.
IIS нь домэйн эсвэл Active Directory-ээс олгосон хэрэглэгчийн бүртгэлийг ашиглан вэб үйлчилгээг бий болгоход зориулагдсан. Энэ нь танд одоо байгаа хэрэглэгчийн мэдээллийн санг ашиглах боломжийг олгоно.
В Бид Сервер дээрээ Гэрчилгээжүүлэх байгууллагыг хэрхэн суулгах, тохируулах талаар дэлгэрэнгүй тайлбарласан. Одоо бид энэ талаар дэлгэрэнгүй ярихгүй, гэхдээ бүх зүйл аль хэдийн тохируулагдсан гэж үзэх болно. Вэб серверт зориулсан HTTPS гэрчилгээг зөв гаргасан байх ёстой. Үүнийг нэн даруй шалгах нь дээр.
Windows Server 2016 нь IIS 10.0 хувилбартай хамт ирдэг.
Хэрэв IIS суулгасан бол үүнийг зөв тохируулахад л үлддэг.
Үүргийн үйлчилгээг сонгох үе шатанд бид хайрцгийг шалгасан Үндсэн баталгаажуулалт.
Дараа нь Интернет мэдээллийн үйлчилгээний менежер идэвхжсэн Үндсэн баталгаажуулалт.
Мөн вэб сервер байрладаг домэйныг зааж өгсөн.
Дараа нь бид сайтын холбоосыг нэмсэн.
Мөн SSL сонголтуудыг сонгосон.
Энэ нь серверийн тохиргоог дуусгана.
Эдгээр алхмуудыг гүйцэтгэсний дараа зөвхөн гэрчилгээ, жетон PIN кодтой хэрэглэгч сайт руу нэвтрэх боломжтой болно.
дагуу бид дахин нэг удаа сануулж байна , хэрэглэгч өмнө нь түлхүүр бүхий жетон, шиг загварын дагуу гэрчилгээ олгосон Ухаалаг карттай хэрэглэгч.
Одоо хэрэглэгчийн компьютерийн тохиргоо руу шилжье. Тэрээр хамгаалагдсан вэбсайтуудтай холбогдохын тулд ашиглах хөтчүүдийг тохируулах ёстой.
Алхам 2 — Хэрэглэгчийн компьютерийг тохируулах
Энгийн болгох үүднээс манай хэрэглэгч Windows 10 үйлдлийн системтэй гэж бодъё.
Тэр иж бүрдэл суулгасан гэж бодъё .
Токеныг дэмжих Windows Update-ээр дамжуулан ирэх магадлалтай тул драйверуудыг суулгах нь сонголттой.
Гэхдээ энэ нь гэнэт тохиолдоогүй бол Windows-д зориулсан Rutoken драйверуудыг суулгах нь бүх асуудлыг шийдэх болно.
Токеныг хэрэглэгчийн компьютерт холбож, Rutoken Control Panel-г нээцгээе.
Таб дотор Сертификат Хэрэв тэмдэглэгээгүй бол шаардлагатай гэрчилгээний хажууд байгаа нүдийг шалгана уу.
Тиймээс бид жетон ажиллаж байгаа бөгөөд шаардлагатай гэрчилгээг агуулж байгаа эсэхийг шалгасан.
Firefox-аас бусад бүх хөтөч автоматаар тохируулагдсан.
Та тэдэнтэй онцгой зүйл хийх шаардлагагүй.
Одоо дурын хөтчийг нээж, нөөцийн хаягийг оруулна уу.
Сайтыг ачаалахаас өмнө гэрчилгээ сонгох цонх нээгдэж, дараа нь жетон PIN кодыг оруулах цонх нээгдэнэ.
Хэрэв Aktiv ruToken CSP нь төхөөрөмжийн анхдагч крипто үйлчилгээ үзүүлэгчээр сонгогдвол PIN код оруулах өөр цонх нээгдэнэ.
Үүнийг хөтөч дээр амжилттай оруулсны дараа л манай вэбсайт нээгдэнэ.
Firefox хөтчийн хувьд нэмэлт тохиргоог хийх шаардлагатай.
Хөтөчийнхөө тохиргооноос сонгоно уу Нууцлал ба аюулгүй байдалБайна. Хэсэг дээр Сертификат түлхэх Хамгаалалтын төхөөрөмж. Цонх нээгдэнэ Төхөөрөмжийн удирдлага.
Дээр дарна уу Татаж авах, Rutoken EDS нэр болон C:windowssystem32rtpkcs11ecp.dll замыг зааж өгнө.
Ингээд л Firefox одоо токеныг хэрхэн зохицуулахаа мэддэг болсон бөгөөд үүнийг ашиглан сайт руу нэвтрэх боломжийг танд олгоно.
Дашрамд дурдахад, вэб сайтад токен ашиглан нэвтрэх нь Safari, Chrome, Firefox хөтөч дээрх Mac дээр ажилладаг.
Та зүгээр л вэбсайтаас Rutoken суулгах хэрэгтэй мөн тэмдэгт дээрх гэрчилгээг харна уу.
Safari, Chrome, Yandex болон бусад хөтчүүдийг тохируулах шаардлагагүй бөгөөд та эдгээр хөтчүүдийн аль нэгэнд сайтыг нээхэд хангалттай.
Firefox хөтчийг Windows-тэй бараг ижил аргаар тохируулсан (Тохиргоо - Нарийвчилсан - Сертификатууд - Хамгаалалтын төхөөрөмж). Зөвхөн номын санд хүрэх зам арай өөр байна /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.
үр дүн нь
Бид танд криптограф жетон ашиглан вэбсайтууд дээр хоёр хүчин зүйлийн баталгаажуулалтыг хэрхэн тохируулахыг харуулсан. Ердийнх шиг бидэнд Rutoken системийн сангаас бусад нэмэлт програм хангамж хэрэггүй байсан.
Та энэ процедурыг өөрийн дотоод нөөцийн аль нэгээр хийж болохоос гадна Windows Server-ийн хаана ч байсан шиг сайт руу нэвтрэх хэрэглэгчийн бүлгүүдийг уян хатан байдлаар тохируулах боломжтой.
Та серверт өөр үйлдлийн систем ашиглаж байна уу?
Хэрэв та бусад үйлдлийн системүүдийг тохируулах талаар бичихийг хүсвэл нийтлэлийн сэтгэгдэлд энэ талаар бичнэ үү.
Эх сурвалж: www.habr.com