Hackeri získali prístup na hlavný poštový server medzinárodnej spoločnosti Deloitte. Administrátorský účet pre tento server bol chránený iba heslom.
Nezávislý rakúsky výskumník David Wind získal odmenu 5 XNUMX dolárov za objavenie zraniteľnosti na prihlasovacej stránke intranetu Google.
91 % ruských spoločností skrýva úniky dát.
Takéto správy možno nájsť takmer každý deň v internetových spravodajských kanáloch. Je to priamy dôkaz toho, že interné služby spoločnosti musia byť chránené.
A čím je spoločnosť väčšia, čím má viac zamestnancov a komplexnejšiu internú IT infraštruktúru, tým je pre ňu problém úniku informácií naliehavejší. Aké informácie zaujímajú útočníkov a ako ich chrániť?
Aký druh úniku informácií by mohol poškodiť spoločnosť?
- informácie o klientoch a transakciách;
- technické informácie o produktoch a know-how;
- informácie o partneroch a špeciálnych ponukách;
- osobné údaje a účtovníctvo.
A ak chápete, že niektoré informácie z vyššie uvedeného zoznamu sú prístupné z akéhokoľvek segmentu vašej siete iba po predložení prihlasovacieho mena a hesla, mali by ste popremýšľať o zvýšení úrovne bezpečnosti údajov a ich ochrane pred neoprávneným prístupom.
Dvojfaktorová autentifikácia pomocou hardvérových kryptografických médií (tokenov alebo čipových kariet) si vyslúžila povesť veľmi spoľahlivej a zároveň pomerne jednoducho použiteľnej.
O výhodách dvojfaktorovej autentifikácie píšeme takmer v každom článku. Viac si o tom môžete prečítať v článkoch o и .
V tomto článku vám ukážeme, ako použiť dvojfaktorovú autentifikáciu na prihlásenie do interných portálov vašej organizácie.
Ako príklad si vezmeme najvhodnejší model pre firemné použitie, Rutoken – kryptografický USB token .
Začnime s nastavením.
Krok 1 — Nastavenie servera
Základom každého servera je operačný systém. V našom prípade ide o Windows Server 2016. A spolu s ním a ďalšími operačnými systémami rodiny Windows sa distribuuje IIS (Internet Information Services).
IIS je skupina internetových serverov vrátane webového servera a FTP servera. IIS obsahuje aplikácie na vytváranie a správu webových stránok.
Služba IIS je navrhnutá na vytváranie webových služieb pomocou používateľských účtov poskytovaných doménou alebo službou Active Directory. To vám umožňuje používať existujúce databázy používateľov.
В Podrobne sme opísali, ako nainštalovať a nakonfigurovať certifikačnú autoritu na váš server. Teraz sa tým nebudeme podrobne zaoberať, ale budeme predpokladať, že všetko je už nakonfigurované. HTTPS certifikát pre webový server musí byť vydaný správne. Je lepšie to skontrolovať hneď.
Windows Server 2016 sa dodáva so vstavanou službou IIS verzie 10.0.
Ak je nainštalovaná služba IIS, zostáva len správne nakonfigurovať.
Vo fáze výberu služieb rolí sme zaškrtli políčko Základná autentifikácia.
Potom v Správca internetových informačných služieb zapnutý Základná autentifikácia.
A označil doménu, v ktorej sa webový server nachádza.
Potom sme pridali odkaz na stránku.
A vybrali možnosti SSL.
Tým sa dokončí nastavenie servera.
Po dokončení týchto krokov bude mať prístup na stránku iba používateľ, ktorý má token s certifikátom a kód PIN.
Ešte raz pripomíname, že podľa , používateľovi bol predtým vydaný token s kľúčmi a certifikát vydaný podľa šablóny ako napr Používateľ s čipovou kartou.
Teraz prejdime k nastaveniu počítača používateľa. Mal by nakonfigurovať prehliadače, ktoré bude používať na pripojenie k chráneným webovým stránkam.
Krok 2 — Nastavenie počítača používateľa
Pre jednoduchosť predpokladajme, že náš používateľ má Windows 10.
Predpokladajme tiež, že má nainštalovanú súpravu .
Inštalácia sady ovládačov je voliteľná, pretože podpora pre token bude pravdepodobne doručená prostredníctvom služby Windows Update.
Ak sa to však náhle nestane, všetky problémy vyrieši inštalácia sady ovládačov Rutoken pre Windows.
Pripojme token k počítaču používateľa a otvorme ovládací panel Rutoken.
V záložke Certifikáty Začiarknite políčko vedľa požadovaného certifikátu, ak nie je začiarknuté.
Takto sme overili, že token je funkčný a obsahuje požadovaný certifikát.
Všetky prehliadače okrem Firefoxu sú nakonfigurované automaticky.
Netreba s nimi robiť nič špeciálne.
Teraz otvorte ľubovoľný prehliadač a zadajte adresu zdroja.
Pred načítaním stránky sa otvorí okno na výber certifikátu a následne okno na zadanie PIN kódu tokenu.
Ak je aktiv ruToken CSP vybratý ako predvolený poskytovateľ kryptomien pre zariadenie, otvorí sa ďalšie okno na zadanie PIN kódu.
A až po úspešnom zadaní do prehliadača sa otvorí naša stránka.
Pre prehliadač Firefox je potrebné vykonať ďalšie nastavenia.
V nastaveniach prehliadača vyberte Súkromie a bezpečnosť, V časti Certifikáty stlačte Ochranné zariadenie... Otvorí sa okno Správa zariadenia.
lis Na stiahnutie, uveďte názov Rutoken EDS a cestu C:windowssystem32rtpkcs11ecp.dll.
To je všetko, Firefox teraz vie, ako zaobchádzať s tokenom a umožňuje vám prihlásiť sa na stránku pomocou neho.
Mimochodom, prihlásenie pomocou tokenu na webové stránky funguje aj na Macoch v prehliadači Safari, Chrome a Firefox.
Stačí si nainštalovať Rutoken z webovej stránky a uvidíte v ňom certifikát na tokene.
Nie je potrebné konfigurovať prehliadače Safari, Chrome, Yandex a ďalšie, stačí otvoriť stránku v ktoromkoľvek z týchto prehliadačov.
Prehliadač Firefox sa konfiguruje takmer rovnako ako v systéme Windows (Nastavenia - Rozšírené - Certifikáty - Bezpečnostné zariadenia). Len cesta ku knižnici je mierne odlišná /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.
Závery
Ukázali sme si, ako nastaviť dvojfaktorovú autentifikáciu na weboch pomocou kryptografických tokenov. Ako vždy sme na to nepotrebovali žiadny ďalší softvér, okrem systémových knižníc Rutoken.
Tento postup môžete vykonať s ľubovoľným z vašich interných zdrojov a môžete tiež flexibilne nakonfigurovať skupiny používateľov, ktoré budú mať prístup k lokalite, rovnako ako kdekoľvek inde v systéme Windows Server.
Používate pre server iný OS?
Ak chcete, aby sme písali o nastavení iných operačných systémov, napíšte o tom v komentároch k článku.
Zdroj: hab.com