Os hackers obtiveram acesso ao principal servidor de e-mail da empresa internacional Deloitte. A conta do administrador deste servidor foi protegida apenas por uma senha.
O pesquisador austríaco independente David Wind recebeu uma recompensa de US$ 5 por descobrir uma vulnerabilidade na página de login da intranet do Google.
91% das empresas russas escondem vazamentos de dados.
Essas notícias podem ser encontradas quase todos os dias nos feeds de notícias da Internet. Esta é uma prova direta de que os serviços internos da empresa devem ser protegidos.
E quanto maior a empresa, mais funcionários ela tem e mais complexa sua infraestrutura interna de TI, mais premente é para ela o problema do vazamento de informações. Quais informações são de interesse dos invasores e como protegê-las?
Que tipo de vazamento de informações pode prejudicar a empresa?
- informações sobre clientes e transações;
- informações técnicas sobre produtos e know-how;
- informações sobre parceiros e ofertas especiais;
- dados pessoais e contabilidade.
E se você entende que algumas informações da lista acima só podem ser acessadas de qualquer segmento da sua rede mediante apresentação de login e senha, então você deve pensar em aumentar o nível de segurança dos dados e protegê-los contra acessos não autorizados.
A autenticação de dois fatores usando mídia criptográfica de hardware (tokens ou cartões inteligentes) ganhou a reputação de ser muito confiável e, ao mesmo tempo, bastante fácil de usar.
Escrevemos sobre os benefícios da autenticação de dois fatores em quase todos os artigos. Você pode ler mais sobre isso em artigos sobre и .
Neste artigo, mostraremos como usar a autenticação de dois fatores para fazer login nos portais internos da sua organização.
Como exemplo, tomaremos o modelo mais adequado para uso corporativo, Rutoken – um token criptográfico USB .
Vamos começar com a configuração.
Passo 1 — Configuração do Servidor
A base de qualquer servidor é o sistema operacional. No nosso caso, este é o Windows Server 2016. E junto com ele e outros sistemas operacionais da família Windows, o IIS (Internet Information Services) é distribuído.
IIS é um grupo de servidores de Internet, incluindo um servidor web e um servidor FTP. O IIS inclui aplicativos para criação e gerenciamento de sites.
O IIS foi projetado para criar serviços da Web usando contas de usuário fornecidas por um domínio ou Active Directory. Isso permite que você use bancos de dados de usuários existentes.
В Descrevemos detalhadamente como instalar e configurar a Autoridade de Certificação em seu servidor. Agora não vamos nos alongar sobre isso, mas assumiremos que tudo já está configurado. O certificado HTTPS do servidor web deve ser emitido corretamente. É melhor verificar isso imediatamente.
O Windows Server 2016 vem com IIS versão 10.0 integrado.
Se o IIS estiver instalado, resta configurá-lo corretamente.
Na fase de seleção dos serviços de função, marcamos a caixa Autenticação básica.
Então em Gerente de serviços de informações da Internet ligado Autenticação básica.
E indicou o domínio em que o servidor web está localizado.
Em seguida, adicionamos um link de site.
E selecionei as opções de SSL.
Isso conclui a configuração do servidor.
Após concluir essas etapas, apenas um usuário que possua um token com certificado e um PIN do token poderá acessar o site.
Lembramos mais uma vez que de acordo com , o usuário recebeu anteriormente um token com chaves e um certificado emitido de acordo com um modelo como Usuário com cartão inteligente.
Agora vamos configurar o computador do usuário. Ele deverá configurar os navegadores que usará para se conectar a sites protegidos.
Passo 2 — Configurando o computador do usuário
Para simplificar, vamos supor que nosso usuário tenha o Windows 10.
Vamos supor também que ele tenha o kit instalado .
A instalação de um conjunto de drivers é opcional, pois provavelmente o suporte para o token chegará através do Windows Update.
Mas se isso não acontecer de repente, a instalação de um conjunto de drivers Rutoken para Windows resolverá todos os problemas.
Vamos conectar o token ao computador do usuário e abrir o Painel de Controle Rutoken.
aba Certificados Marque a caixa ao lado do certificado necessário se não estiver marcada.
Assim, verificamos que o token está funcionando e contém o certificado necessário.
Todos os navegadores, exceto o Firefox, são configurados automaticamente.
Você não precisa fazer nada de especial com eles.
Agora abra qualquer navegador e digite o endereço do recurso.
Antes de o site carregar, uma janela será aberta para selecionar um certificado e, em seguida, uma janela para inserir o código PIN do token.
Se Aktiv ruToken CSP for selecionado como o provedor de criptografia padrão para o dispositivo, outra janela será aberta para inserir o código PIN.
E somente depois de inseri-lo com sucesso no navegador nosso site será aberto.
Para o navegador Firefox, configurações adicionais devem ser feitas.
Nas configurações do seu navegador selecione Privacidade e segurança. Na seção Certificados empurrar Dispositivo de proteção... Uma janela se abrirá Gerenciamento de dispositivo.
Clique em Baixar, indique o nome Rutoken EDS e o caminho C:windowssystem32rtpkcs11ecp.dll.
É isso, o Firefox agora sabe como lidar com o token e permite que você faça login no site usando-o.
A propósito, o login usando um token em sites também funciona em Macs nos navegadores Safari, Chrome e Firefox.
Você só precisa instalar o Rutoken do site e veja o certificado no token nele.
Não há necessidade de configurar os navegadores Safari, Chrome, Yandex e outros, basta abrir o site em qualquer um desses navegadores.
O navegador Firefox é configurado quase da mesma forma que no Windows (Configurações - Avançado - Certificados - Dispositivos de segurança). Apenas o caminho para a biblioteca é ligeiramente diferente /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.
Descobertas
Mostramos como configurar a autenticação de dois fatores em sites usando tokens criptográficos. Como sempre, não precisamos de nenhum software adicional para isso, exceto as bibliotecas do sistema Rutoken.
Você pode fazer este procedimento com qualquer um dos seus recursos internos e também pode configurar de forma flexível grupos de usuários que terão acesso ao site, como em qualquer outro lugar no Windows Server.
Você está usando um sistema operacional diferente para o servidor?
Se você quiser que escrevamos sobre a configuração de outros sistemas operacionais, escreva sobre isso nos comentários do artigo.
Fonte: habr.com