Hackerii au obținut acces la serverul principal de e-mail al companiei internaționale Deloitte. Contul de administrator pentru acest server a fost protejat doar de o parolă.
Cercetătorul independent austriac David Wind a primit o recompensă de 5 USD pentru descoperirea unei vulnerabilități în pagina de conectare a intranetului Google.
91% dintre companiile rusești ascund scurgeri de date.
Astfel de știri pot fi găsite aproape în fiecare zi în fluxurile de știri de pe Internet. Aceasta este o dovadă directă că serviciile interne ale companiei trebuie protejate.
Și cu cât compania este mai mare, cu atât are mai mulți angajați și cu cât infrastructura IT internă este mai complexă, cu atât problema scurgerii de informații este mai presantă pentru ea. Ce informații sunt de interes pentru atacatori și cum să le protejăm?
Ce fel de scurgere de informații ar putea dăuna companiei?
- informatii despre clienti si tranzactii;
- informații tehnice despre produs și know-how;
- informatii despre parteneri si oferte speciale;
- date personale si contabilitate.
Și dacă înțelegeți că unele informații din lista de mai sus sunt accesibile din orice segment al rețelei dvs. numai prin prezentarea unui login și a unei parole, atunci ar trebui să vă gândiți la creșterea nivelului de securitate a datelor și la protejarea acestora împotriva accesului neautorizat.
Autentificarea cu doi factori folosind medii criptografice hardware (jetoane sau carduri inteligente) și-a câștigat reputația de a fi foarte fiabilă și, în același timp, destul de ușor de utilizat.
Despre beneficiile autentificării cu doi factori scriem în aproape fiecare articol. Puteți citi mai multe despre acest lucru în articolele despre и .
În acest articol, vă vom arăta cum să utilizați autentificarea cu doi factori pentru a vă conecta la portalurile interne ale organizației dvs.
Ca exemplu, vom lua cel mai potrivit model pentru uz corporativ, Rutoken - un token criptografic USB .
Să începem cu configurarea.
Pasul 1 — Configurarea serverului
Baza oricărui server este sistemul de operare. În cazul nostru, acesta este Windows Server 2016. Și împreună cu acesta și alte sisteme de operare din familia Windows, este distribuit IIS (Internet Information Services).
IIS este un grup de servere de Internet, inclusiv un server web și un server FTP. IIS include aplicații pentru crearea și gestionarea site-urilor web.
IIS este conceput pentru a construi servicii web folosind conturi de utilizator furnizate de un domeniu sau Active Directory. Acest lucru vă permite să utilizați bazele de date de utilizatori existente.
В Am descris în detaliu cum să instalați și să configurați Autoritatea de Certificare pe serverul dvs. Acum nu ne vom opri asupra acestui lucru în detaliu, ci vom presupune că totul este deja configurat. Certificatul HTTPS pentru serverul web trebuie emis corect. Este mai bine să verificați acest lucru imediat.
Windows Server 2016 vine cu versiunea IIS 10.0 încorporată.
Dacă IIS este instalat, atunci tot ce rămâne este să îl configurați corect.
În etapa de selectare a serviciilor de rol, am bifat caseta Autentificare de bază.
Apoi în Manager Servicii Internet Information aprins Autentificare de bază.
Și a indicat domeniul în care se află serverul web.
Apoi am adăugat un link de site.
Și selectați opțiunile SSL.
Aceasta completează configurarea serverului.
După parcurgerea acestor pași, doar un utilizator care are un token cu un certificat și un token PIN va putea accesa site-ul.
Vă reamintim încă o dată că conform , utilizatorului i s-a eliberat anterior un token cu chei și un certificat eliberat conform unui șablon ca Utilizator cu smart card.
Acum să trecem la configurarea computerului utilizatorului. Ar trebui să configureze browserele pe care le va folosi pentru a se conecta la site-uri web protejate.
Pasul 2 — Configurarea computerului utilizatorului
Pentru simplitate, să presupunem că utilizatorul nostru are Windows 10.
Să presupunem, de asemenea, că are kitul instalat .
Instalarea unui set de drivere este opțională, deoarece cel mai probabil suportul pentru token va ajunge prin Windows Update.
Dar dacă acest lucru nu se întâmplă brusc, atunci instalarea unui set de drivere Rutoken pentru Windows va rezolva toate problemele.
Să conectăm jetonul la computerul utilizatorului și să deschidem Panoul de control Rutoken.
În filă certificări Bifați caseta de lângă certificatul solicitat dacă nu este bifată.
Astfel, am verificat că token-ul funcționează și conține certificatul necesar.
Toate browserele, cu excepția Firefox, sunt configurate automat.
Nu trebuie să faci nimic special cu ei.
Acum deschideți orice browser și introduceți adresa resursei.
Înainte ca site-ul să se încarce, se va deschide o fereastră pentru selectarea unui certificat și apoi o fereastră pentru introducerea codului PIN al simbolului.
Dacă Aktiv ruToken CSP este selectat ca furnizor de criptografie implicit pentru dispozitiv, atunci se va deschide o altă fereastră pentru a introduce codul PIN.
Și numai după ce l-am introdus cu succes în browser se va deschide site-ul nostru.
Pentru browserul Firefox, trebuie făcute setări suplimentare.
În setările browserului, selectați Confidențialitate și securitate. În secțiunea certificări presa Dispozitiv de protecție... Se va deschide o fereastră Gestionarea dispozitivelor.
presa Descarca, indicați numele Rutoken EDS și calea C:windowssystem32rtpkcs11ecp.dll.
Asta e, Firefox știe acum să gestioneze tokenul și îți permite să te autentifici pe site folosindu-l.
Apropo, autentificarea folosind un token la site-uri web funcționează și pe Mac-uri în browserul Safari, Chrome și Firefox.
Trebuie doar să instalați Rutoken de pe site și vezi certificatul de pe simbolul din el.
Nu este nevoie să configurați Safari, Chrome, Yandex și alte browsere; trebuie doar să deschideți site-ul în oricare dintre aceste browsere.
Browserul Firefox este configurat aproape în același mod ca și în Windows (Setări - Avansat - Certificate - Dispozitive de securitate). Doar calea către bibliotecă este ușor diferită /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.
Constatări
V-am arătat cum să configurați autentificarea cu doi factori pe site-uri web folosind token-uri criptografice. Ca întotdeauna, nu am avut nevoie de niciun software suplimentar pentru asta, cu excepția bibliotecilor de sistem Rutoken.
Puteți face această procedură cu oricare dintre resursele dvs. interne și, de asemenea, puteți configura în mod flexibil grupuri de utilizatori care vor avea acces la site, la fel ca oriunde altundeva în Windows Server.
Folosiți un sistem de operare diferit pentru server?
Dacă doriți să scriem despre configurarea altor sisteme de operare, atunci scrieți despre asta în comentariile articolului.
Sursa: www.habr.com