Hakerzy uzyskali dostęp do głównego serwera pocztowego międzynarodowej firmy Deloitte. Konto administratora tego serwera było chronione jedynie hasłem.
Niezależny austriacki badacz David Wind otrzymał nagrodę w wysokości 5 dolarów za odkrycie luki w zabezpieczeniach strony logowania do intranetu Google.
91% rosyjskich firm ukrywa wycieki danych.
Takie wiadomości można znaleźć niemal codziennie w internetowych serwisach informacyjnych. Jest to bezpośredni dowód na to, że wewnętrzne usługi firmy muszą być chronione.
A im większa firma, im więcej zatrudnia pracowników i im bardziej złożona jest jej wewnętrzna infrastruktura IT, tym bardziej palący jest dla niej problem wycieku informacji. Jakie informacje są interesujące dla atakujących i jak je chronić?
Jaki rodzaj wycieku informacji może zaszkodzić firmie?
- informacje o klientach i transakcjach;
- informacje techniczne i know-how dotyczące produktów;
- informacje o partnerach i ofertach specjalnych;
- dane osobowe i rachunkowość.
A jeśli rozumiesz, że niektóre informacje z powyższej listy dostępne są z dowolnego segmentu Twojej sieci jedynie po okazaniu loginu i hasła, to warto pomyśleć o zwiększeniu poziomu bezpieczeństwa danych i zabezpieczeniu ich przed nieuprawnionym dostępem.
Uwierzytelnianie dwuskładnikowe przy użyciu sprzętowych nośników kryptograficznych (tokenów lub kart inteligentnych) zyskało reputację bardzo niezawodnego, a jednocześnie dość łatwego w użyciu.
O zaletach uwierzytelniania dwuskładnikowego piszemy niemal w każdym artykule. Więcej na ten temat można przeczytać w artykułach dot и .
W tym artykule pokażemy Ci, jak używać uwierzytelniania dwuskładnikowego do logowania się do wewnętrznych portali Twojej organizacji.
Jako przykład weźmiemy najbardziej odpowiedni model do użytku korporacyjnego, Rutoken – kryptograficzny token USB .
Zacznijmy od konfiguracji.
Krok 1 — Konfiguracja serwera
Podstawą każdego serwera jest system operacyjny. W naszym przypadku jest to Windows Server 2016. Wraz z nim i innymi systemami operacyjnymi z rodziny Windows dystrybuowane są IIS (Internet Information Services).
IIS to grupa serwerów internetowych, obejmująca serwer WWW i serwer FTP. IIS zawiera aplikacje do tworzenia stron internetowych i zarządzania nimi.
Usługi IIS służą do tworzenia usług internetowych przy użyciu kont użytkowników udostępnianych przez domenę lub usługę Active Directory. Pozwala to na wykorzystanie istniejących baz danych użytkowników.
В Opisaliśmy szczegółowo jak zainstalować i skonfigurować Urząd Certyfikacji na Twoim serwerze. Teraz nie będziemy się nad tym szczegółowo rozwodzić, ale założymy, że wszystko jest już skonfigurowane. Certyfikat HTTPS dla serwera WWW musi zostać wystawiony poprawnie. Lepiej to sprawdzić od razu.
Windows Server 2016 ma wbudowaną wersję IIS 10.0.
Jeśli IIS jest zainstalowany, pozostaje tylko poprawnie go skonfigurować.
Na etapie wyboru usług ról zaznaczyliśmy pole Uwierzytelnianie podstawowe.
Następnie w Menedżer Internetowych Usług Informacyjnych włączone Podstawowe uwierzytelnianie.
I wskazał domenę, w której znajduje się serwer WWW.
Następnie dodaliśmy link do witryny.
I wybrałem opcje SSL.
To kończy konfigurację serwera.
Po wykonaniu tych kroków dostęp do serwisu będzie mógł uzyskać jedynie użytkownik posiadający token z certyfikatem oraz PIN do tokena.
Przypominamy jeszcze raz, że wg , użytkownikowi został wcześniej wydany token z kluczami i certyfikatem wystawionym według wzoru np Użytkownik z kartą inteligentną.
Przejdźmy teraz do konfiguracji komputera użytkownika. Powinien skonfigurować przeglądarki, których będzie używał do łączenia się z chronionymi stronami internetowymi.
Krok 2 — Konfiguracja komputera użytkownika
Dla uproszczenia załóżmy, że nasz użytkownik posiada system Windows 10.
Załóżmy również, że ma on zainstalowany zestaw .
Zainstalowanie zestawu sterowników jest opcjonalne, ponieważ najprawdopodobniej obsługa tokena będzie dostępna za pośrednictwem witryny Windows Update.
Ale jeśli nagle tak się nie stanie, zainstalowanie zestawu sterowników Rutoken dla systemu Windows rozwiąże wszystkie problemy.
Podłączmy token do komputera użytkownika i otwórzmy Panel Sterowania Rutoken.
W zakładce Certyfikaty Zaznacz pole obok wymaganego certyfikatu, jeśli nie jest zaznaczone.
Tym samym sprawdziliśmy, czy token działa i zawiera wymagany certyfikat.
Wszystkie przeglądarki z wyjątkiem Firefoksa są konfigurowane automatycznie.
Nie trzeba z nimi robić nic specjalnego.
Teraz otwórz dowolną przeglądarkę i wprowadź adres zasobu.
Przed załadowaniem strony otworzy się okno wyboru certyfikatu, a następnie okno umożliwiające wprowadzenie kodu PIN tokena.
Jeżeli jako domyślny dostawca kryptowalut dla urządzenia zostanie wybrany Aktiv ruToken CSP, wówczas otworzy się kolejne okno umożliwiające wprowadzenie kodu PIN.
I dopiero po pomyślnym wpisaniu go w przeglądarce otworzy się nasza strona.
W przypadku przeglądarki Firefox należy dokonać dodatkowych ustawień.
W ustawieniach przeglądarki wybierz Prywatność i ochrona. W sekcji Certyfikaty naciśnięcie Urządzenie zabezpieczające. Otworzy się okno Zarządzanie urządzeniami.
Naciśnij Pobierz, wskaż nazwę Rutoken EDS i ścieżkę C:windowssystem32rtpkcs11ecp.dll.
To wszystko, Firefox wie już, jak obsłużyć token i umożliwia logowanie się do serwisu za jego pomocą.
Nawiasem mówiąc, logowanie za pomocą tokena do stron internetowych działa również na komputerach Mac w przeglądarkach Safari, Chrome i Firefox.
Wystarczy zainstalować Rutoken ze strony internetowej i zobacz w nim certyfikat na tokenie.
Nie ma potrzeby konfigurowania przeglądarek Safari, Chrome, Yandex i innych, wystarczy otworzyć witrynę w dowolnej z tych przeglądarek.
Przeglądarkę Firefox konfiguruje się niemal tak samo jak w systemie Windows (Ustawienia - Zaawansowane - Certyfikaty - Urządzenia zabezpieczające). Jedynie ścieżka do biblioteki jest nieco inna /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.
odkrycia
Pokazaliśmy Ci, jak skonfigurować uwierzytelnianie dwuskładnikowe na stronach internetowych wykorzystujących tokeny kryptograficzne. Jak zawsze nie potrzebowaliśmy do tego żadnego dodatkowego oprogramowania, poza bibliotekami systemu Rutoken.
Możesz wykonać tę procedurę z dowolnymi zasobami wewnętrznymi, a także możesz elastycznie skonfigurować grupy użytkowników, które będą miały dostęp do witryny, tak jak gdziekolwiek indziej w systemie Windows Server.
Czy używasz innego systemu operacyjnego dla serwera?
Jeśli chcesz, żebyśmy napisali o konfiguracji innych systemów operacyjnych, napisz o tym w komentarzach do artykułu.
Źródło: www.habr.com