Il-hackers kisbu aċċess għas-server prinċipali tal-posta tal-kumpanija internazzjonali Deloitte. Il-kont tal-amministratur għal dan is-server kien protett biss b'password.
Ir-riċerkatur indipendenti Awstrijak David Wind irċieva premju ta’ $5 talli skopra vulnerabbiltà fil-paġna tal-login tal-intranet ta’ Google.
91% tal-kumpaniji Russi jaħbu tnixxijiet tad-dejta.
Tali aħbarijiet jistgħu jinstabu kważi kuljum fl-aħbarijiet fuq l-Internet. Din hija evidenza diretta li s-servizzi interni tal-kumpanija għandhom ikunu protetti.
U iktar ma tkun kbira l-kumpanija, iktar ikollha impjegati u iktar tkun kumplessa l-infrastruttura interna tal-IT tagħha, aktar tkun urġenti l-problema tat-tnixxija tal-informazzjoni għaliha. X'informazzjoni hija ta' interess għall-attakkanti u kif tipproteġiha?
X'tip ta 'tnixxija ta' informazzjoni tista 'tagħmel ħsara lill-kumpanija?
- Informazzjoni dwar klijenti u tranżazzjonijiet;
- informazzjoni teknika dwar il-prodott u għarfien;
- informazzjoni dwar l-imsieħba u offerti speċjali;
- data personali u kontabilità.
U jekk tifhem li xi informazzjoni mil-lista ta 'hawn fuq hija aċċessibbli minn kwalunkwe segment tan-netwerk tiegħek biss mal-preżentazzjoni ta' login u password, allura għandek taħseb biex iżżid il-livell ta 'sigurtà tad-dejta u tipproteġiha minn aċċess mhux awtorizzat.
L-awtentikazzjoni b'żewġ fatturi bl-użu tal-midja kriptografika tal-ħardwer (tokens jew smart cards) kisbet reputazzjoni li hija affidabbli ħafna u fl-istess ħin pjuttost faċli biex tużah.
Aħna niktbu dwar il-benefiċċji ta 'awtentikazzjoni b'żewġ fatturi fi kważi kull artikolu. Tista 'taqra aktar dwar dan fl-artikoli dwar и .
F'dan l-artikolu, aħna ser nuruk kif tuża awtentikazzjoni b'żewġ fatturi biex tidħol fil-portali interni tal-organizzazzjoni tiegħek.
Bħala eżempju, se nieħdu l-aktar mudell adattat għall-użu korporattiv, Rutoken - token USB kriptografiku .
Ejja nibdew bis-setup.
Pass 1 — Setup tas-Server
Il-bażi ta 'kull server hija s-sistema operattiva. Fil-każ tagħna, dan huwa Windows Server 2016. U flimkien miegħu u sistemi operattivi oħra tal-familja Windows, IIS (Internet Information Services) huwa mqassam.
IIS huwa grupp ta' servers tal-Internet, inkluż server tal-web u server FTP. L-IIS jinkludi applikazzjonijiet għall-ħolqien u l-ġestjoni ta' websajts.
L-IIS huwa ddisinjat biex jibni servizzi tal-web billi juża kontijiet tal-utent ipprovduti minn dominju jew Active Directory. Dan jippermettilek tuża databases tal-utenti eżistenti.
В Iddeskrivejna fid-dettall kif tinstalla u tikkonfigura l-Awtorità taċ-Ċertifikazzjoni fuq is-server tiegħek. Issa mhux se noqogħdu fuq dan fid-dettall, iżda se nassumu li kollox huwa diġà kkonfigurat. Iċ-ċertifikat HTTPS għas-server tal-web għandu jinħareġ b'mod korrett. Huwa aħjar li tiċċekkja dan minnufih.
Windows Server 2016 jiġi mal-verżjoni IIS 10.0 built-in.
Jekk IIS huwa installat, allura dak kollu li jibqa 'huwa li jiġi kkonfigurat b'mod korrett.
Fl-istadju tal-għażla tas-servizzi tar-rwol, iċċekkajna l-kaxxa Awtentikazzjoni bażika.
Imbagħad ġewwa Maniġer tas-Servizzi tal-Informazzjoni tal-Internet mixgħula Awtentikazzjoni bażika.
U indika d-dominju li fih jinsab is-server tal-web.
Imbagħad żidna link tas-sit.
U għażel l-għażliet SSL.
Dan itemm is-setup tas-server.
Wara li jlesti dawn il-passi, utent biss li għandu token b'ċertifikat u token PIN se jkun jista' jaċċessa s-sit.
Infakkrukom għal darb’oħra li skont , l-utent qabel kien inħareġ token b'ċwievet u ċertifikat maħruġ skont mudell simili Utent bi smart card.
Issa ejja ngħaddu għat-twaqqif tal-kompjuter tal-utent. Huwa għandu jikkonfigura l-browsers li se juża biex jgħaqqad ma' websajts protetti.
Pass 2 — Twaqqif tal-kompjuter tal-utent
Għal sempliċità, ejja nassumu li l-utent tagħna għandu Windows 10.
Ejja nassumu wkoll li għandu l-kit installat .
L-installazzjoni ta' sett ta' sewwieqa hija fakultattiva, peress li x'aktarx l-appoġġ għat-token jasal permezz tal-Windows Update.
Imma jekk dan f'daqqa waħda ma jseħħx, allura l-installazzjoni ta 'sett ta' Rutoken Drivers għall-Windows issolvi l-problemi kollha.
Ejja qabbad it-token mal-kompjuter tal-utent u tiftaħ il-Panew tal-Kontroll Rutoken.
Fit-tab Ċertifikati Iċċekkja l-kaxxa ħdejn iċ-ċertifikat meħtieġ jekk ma jkunx iċċekkjat.
Għalhekk, aħna vverifikajna li t-token qed jaħdem u fih iċ-ċertifikat meħtieġ.
Il-browsers kollha ħlief Firefox huma kkonfigurati awtomatikament.
M'għandekx bżonn tagħmel xi ħaġa speċjali magħhom.
Issa tiftaħ kwalunkwe browser u daħħal l-indirizz tar-riżorsi.
Qabel ma jitgħabba s-sit, tinfetaħ tieqa għall-għażla ta 'ċertifikat, u mbagħad tieqa biex jiddaħħal il-kodiċi tal-PIN tat-token.
Jekk Aktiv ruToken CSP jintgħażel bħala l-fornitur kripto default għall-apparat, allura tinfetaħ tieqa oħra biex tidħol il-kodiċi PIN.
U biss wara li ddaħħalha b'suċċess fil-browser se tiftaħ il-websajt tagħna.
Għall-browser Firefox, iridu jsiru settings addizzjonali.
Fis-settings tal-browser tiegħek agħżel Privatezza u Sigurtà... Fil-kapitolu Ċertifikati biex timbotta Apparat ta' Protezzjoni... Tinfetaħ tieqa Ġestjoni tal-apparat.
Ikklikkja Download, indika l-isem Rutoken EDS u l-passaġġ C:windowssystem32rtpkcs11ecp.dll.
Dak hu, Firefox issa jaf kif jimmaniġġja t-token u jippermettilek tidħol fis-sit li tużah.
Mill-mod, illoginja billi tuża token għal websajts taħdem ukoll fuq Macs fil-browser Safari, Chrome u Firefox.
Għandek bżonn biss li tinstalla Rutoken mill-websajt u ara ċ-ċertifikat fuq it-token fih.
M'hemmx bżonn li jiġi kkonfigurat Safari, Chrome, Yandex u browsers oħrajn; għandek bżonn biss li tiftaħ is-sit fi kwalunkwe minn dawn il-browsers.
Il-browser Firefox huwa kkonfigurat kważi bl-istess mod bħal fil-Windows (Settings - Avvanzati - Ċertifikati - Apparat tas-Sigurtà). It-triq lejn il-librerija biss hija kemmxejn differenti /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.
Sejbiet
Aħna wrejnek kif twaqqaf awtentikazzjoni b'żewġ fatturi fuq websajts li jużaw tokens kriptografiċi. Bħal dejjem, ma kellna bżonn l-ebda softwer addizzjonali għal dan, ħlief għal-libreriji tas-sistema Rutoken.
Tista 'tagħmel din il-proċedura bi kwalunkwe riżorsi interni tiegħek, u tista' wkoll tikkonfigura b'mod flessibbli gruppi ta 'utenti li se jkollhom aċċess għas-sit, bħal kullimkien ieħor fil-Windows Server.
Qed tuża OS differenti għas-server?
Jekk trid li niktbu dwar it-twaqqif ta 'sistemi operattivi oħra, imbagħad ikteb dwarha fil-kummenti għall-artiklu.
Sors: www.habr.com