Hackers hebben toegang gekregen tot de hoofdmailserver van het internationale bedrijf Deloitte. Het beheerdersaccount voor deze server was alleen beveiligd met een wachtwoord.
De onafhankelijke Oostenrijkse onderzoeker David Wind ontving een beloning van $ 5 voor het ontdekken van een kwetsbaarheid op de inlogpagina van het Google-intranet.
91% van de Russische bedrijven verbergt datalekken.
Dergelijk nieuws is bijna elke dag te vinden in nieuwsfeeds op internet. Dit is een direct bewijs dat de interne diensten van het bedrijf beschermd moeten worden.
En hoe groter het bedrijf, hoe meer werknemers het heeft en hoe complexer de interne IT-infrastructuur, hoe urgenter het probleem van het lekken van informatie voor het bedrijf is. Welke informatie is van belang voor aanvallers en hoe kunnen ze deze beschermen?
Welk soort informatielek zou het bedrijf kunnen schaden?
- informatie over klanten en transacties;
- technische productinformatie en knowhow;
- informatie over partners en speciale aanbiedingen;
- persoonlijke gegevens en boekhouding.
En als u begrijpt dat sommige informatie uit de bovenstaande lijst alleen toegankelijk is vanuit elk segment van uw netwerk op vertoon van een login en wachtwoord, dan zou u moeten nadenken over het verhogen van het niveau van gegevensbeveiliging en het beschermen ervan tegen ongeoorloofde toegang.
Tweefactorauthenticatie met behulp van cryptografische hardware (tokens of smartcards) heeft de reputatie opgebouwd zeer betrouwbaar en tegelijkertijd vrij eenvoudig te gebruiken te zijn.
In bijna elk artikel schrijven we over de voordelen van tweefactorauthenticatie. Meer hierover leest u in artikelen over и .
In dit artikel laten we u zien hoe u tweefactorauthenticatie kunt gebruiken om in te loggen op de interne portals van uw organisatie.
Als voorbeeld nemen we het meest geschikte model voor zakelijk gebruik, Rutoken: een cryptografisch USB-token .
Laten we beginnen met de installatie.
Stap 1 — Serverconfiguratie
De basis van elke server is het besturingssysteem. In ons geval is dit Windows Server 2016. En samen met deze en andere besturingssystemen uit de Windows-familie wordt IIS (Internet Information Services) gedistribueerd.
IIS is een groep internetservers, waaronder een webserver en een FTP-server. IIS bevat toepassingen voor het maken en beheren van websites.
IIS is ontworpen om webservices te bouwen met behulp van gebruikersaccounts die door een domein of Active Directory worden geleverd. Hierdoor kunt u bestaande gebruikersdatabases gebruiken.
В We hebben gedetailleerd beschreven hoe u de certificeringsinstantie op uw server installeert en configureert. Nu zullen we hier niet in detail op ingaan, maar ervan uitgaan dat alles al is geconfigureerd. Het HTTPS-certificaat voor de webserver moet correct zijn uitgegeven. Het is beter om dit meteen te controleren.
Windows Server 2016 wordt geleverd met IIS versie 10.0 ingebouwd.
Als IIS is geïnstalleerd, hoeft u het alleen nog maar correct te configureren.
In de fase van het selecteren van rolservices hebben we het vakje aangevinkt Basisverificatie.
Dan in Beheerder van internetinformatiediensten Opgewonden Basisauthenticatie.
En gaf het domein aan waarin de webserver zich bevindt.
Vervolgens hebben we een sitelink toegevoegd.
En selecteerde de SSL-opties.
Hiermee is de serverinstallatie voltooid.
Na het voltooien van deze stappen heeft alleen een gebruiker die een token met een certificaat en een token-pincode heeft, toegang tot de site.
Wij herinneren u er nogmaals aan dat volgens , kreeg de gebruiker eerder een token met sleutels en een certificaat uitgegeven volgens een sjabloon zoals Gebruiker met smartcard.
Laten we nu verder gaan met het instellen van de computer van de gebruiker. Hij moet de browsers configureren die hij zal gebruiken om verbinding te maken met beschermde websites.
Stap 2 — De computer van de gebruiker instellen
Laten we voor de eenvoud aannemen dat onze gebruiker Windows 10 heeft.
Laten we ook aannemen dat hij de kit heeft geïnstalleerd .
Het installeren van een set stuurprogramma's is optioneel, aangezien ondersteuning voor het token hoogstwaarschijnlijk via Windows Update komt.
Maar als dit plotseling niet gebeurt, zal het installeren van een set Rutoken-stuurprogramma's voor Windows alle problemen oplossen.
Laten we het token verbinden met de computer van de gebruiker en het Rutoken-configuratiescherm openen.
Op het tabblad Certificaten Vink het vakje naast het vereiste certificaat aan als dit niet is aangevinkt.
We hebben dus geverifieerd dat het token werkt en het vereiste certificaat bevat.
Alle browsers behalve Firefox worden automatisch geconfigureerd.
Je hoeft niets speciaals met ze te doen.
Open nu een browser en voer het bronadres in.
Voordat de site wordt geladen, wordt een venster geopend waarin u een certificaat kunt selecteren en vervolgens een venster waarin u de token-PIN-code kunt invoeren.
Als Aktiv ruToken CSP is geselecteerd als de standaard cryptoprovider voor het apparaat, wordt een ander venster geopend waarin u de pincode kunt invoeren.
En pas nadat u deze succesvol in de browser heeft ingevoerd, wordt onze website geopend.
Voor de Firefox-browser moeten aanvullende instellingen worden gemaakt.
Selecteer in uw browserinstellingen Privacy en veiligheid. In sectie Certificaten duwen Beveiligingsapparaat. Er gaat een venster open Apparaatbeheer.
pers Downloaden, geef de naam Rutoken EDS en het pad C:windowssystem32rtpkcs11ecp.dll op.
Dat is alles, Firefox weet nu hoe het met het token moet omgaan en biedt u de mogelijkheid om ermee op de site in te loggen.
Inloggen met een token op websites werkt overigens ook op Macs in de browser Safari, Chrome en Firefox.
U hoeft Rutoken alleen maar vanaf de website te installeren en zie het certificaat op het token erin.
Het is niet nodig om Safari, Chrome, Yandex en andere browsers te configureren; u hoeft de site alleen maar in een van deze browsers te openen.
De Firefox-browser is vrijwel op dezelfde manier geconfigureerd als in Windows (Instellingen - Geavanceerd - Certificaten - Beveiligingsapparaten). Alleen het pad naar de bibliotheek is iets anders /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.
Bevindingen
We hebben u laten zien hoe u tweefactorauthenticatie instelt op websites met behulp van cryptografische tokens. Zoals altijd hadden we hiervoor geen extra software nodig, behalve de Rutoken-systeembibliotheken.
U kunt deze procedure uitvoeren met al uw interne bronnen, en u kunt ook flexibel gebruikersgroepen configureren die toegang hebben tot de site, net als overal in Windows Server.
Gebruikt u een ander besturingssysteem voor de server?
Als je wilt dat we schrijven over het instellen van andere besturingssystemen, schrijf hierover dan in de reacties op het artikel.
Bron: www.habr.com