Hekerji so pridobili dostop do glavnega poštnega strežnika mednarodne družbe Deloitte. Skrbniški račun za ta strežnik je bil zaščiten samo z geslom.
Neodvisni avstrijski raziskovalec David Wind je prejel nagrado v višini 5 dolarjev za odkritje ranljivosti na strani za prijavo v Googlov intranet.
91 % ruskih podjetij skriva uhajanje podatkov.
Takšne novice je skoraj vsak dan mogoče najti v internetnih virih novic. To je neposreden dokaz, da je treba notranje storitve podjetja zaščititi.
In večje ko je podjetje, več ko ima zaposlenih in bolj zapletena kot je njegova notranja informacijska infrastruktura, bolj pereč je problem uhajanja informacij zanj. Katere informacije so zanimive za napadalce in kako jih zaščititi?
Kakšno uhajanje informacij bi lahko škodovalo podjetju?
- informacije o strankah in transakcijah;
- tehnične informacije o izdelku in znanje;
- informacije o partnerjih in posebnih ponudbah;
- osebni podatki in računovodstvo.
In če razumete, da so nekatere informacije z zgornjega seznama dostopne iz katerega koli segmenta vašega omrežja le ob predložitvi prijave in gesla, potem razmislite o povečanju stopnje varnosti podatkov in njihovi zaščiti pred nepooblaščenim dostopom.
Dvofaktorska avtentikacija s strojnimi kriptografskimi mediji (žetoni ali pametne kartice) si je prislužila sloves zelo zanesljive in hkrati zelo enostavne za uporabo.
O prednostih dvofaktorske avtentikacije pišemo skoraj v vsakem članku. Več o tem lahko preberete v člankih o и .
V tem članku vam bomo pokazali, kako uporabiti dvostopenjsko avtentikacijo za prijavo v notranje portale vaše organizacije.
Kot primer bomo vzeli najprimernejši model za korporativno uporabo, Rutoken - kriptografski USB žeton .
Začnimo z nastavitvijo.
1. korak — Nastavitev strežnika
Osnova vsakega strežnika je operacijski sistem. V našem primeru je to Windows Server 2016. In skupaj z njim in drugimi operacijskimi sistemi družine Windows se distribuira IIS (Internet Information Services).
IIS je skupina internetnih strežnikov, vključno s spletnim strežnikom in strežnikom FTP. IIS vključuje aplikacije za ustvarjanje in upravljanje spletnih mest.
IIS je zasnovan za gradnjo spletnih storitev z uporabo uporabniških računov, ki jih zagotavlja domena ali Active Directory. To vam omogoča uporabo obstoječih baz podatkov uporabnikov.
В Podrobno smo opisali, kako namestiti in konfigurirati overitelja potrdil na vašem strežniku. Zdaj se o tem ne bomo podrobneje ukvarjali, ampak bomo domnevali, da je vse že konfigurirano. Potrdilo HTTPS za spletni strežnik mora biti pravilno izdano. Bolje je, da to takoj preverite.
Windows Server 2016 ima vgrajen IIS različice 10.0.
Če je IIS nameščen, ostane le še, da ga pravilno konfigurirate.
V fazi izbire storitev vlog smo označili polje Osnovna avtentikacija.
Nato notri Upravitelj internetnih informacijskih storitev vključen Osnovna avtentikacija.
In navedel domeno, v kateri se nahaja spletni strežnik.
Nato smo dodali povezavo do spletnega mesta.
In izbrali možnosti SSL.
S tem je nastavitev strežnika končana.
Po opravljenih teh korakih bo do spletnega mesta lahko dostopal le uporabnik, ki ima žeton s potrdilom in PIN žetona.
Še enkrat opozarjamo, da po , je bil uporabniku predhodno izdan žeton s ključi in potrdilo, izdano po predlogi kot je Uporabnik s pametno kartico.
Zdaj pa preidimo na nastavitev uporabnikovega računalnika. Konfigurirati mora brskalnike, ki jih bo uporabljal za povezavo z zaščitenimi spletnimi mesti.
2. korak — Nastavitev uporabnikovega računalnika
Za poenostavitev predpostavimo, da ima naš uporabnik Windows 10.
Predpostavimo tudi, da ima nameščen komplet .
Namestitev nabora gonilnikov ni obvezna, saj bo podpora za žeton najverjetneje prispela prek storitve Windows Update.
Če pa se to nenadoma ne zgodi, bo namestitev kompleta gonilnikov Rutoken za Windows rešila vse težave.
Povežimo žeton z uporabnikovim računalnikom in odprimo nadzorno ploščo Rutoken.
V zavihku Potrdila Potrdite polje poleg zahtevanega potrdila, če ni označeno.
Tako smo preverili, ali žeton deluje in vsebuje zahtevano potrdilo.
Vsi brskalniki razen Firefoxa so samodejno konfigurirani.
Z njimi vam ni treba narediti nič posebnega.
Zdaj odprite kateri koli brskalnik in vnesite naslov vira.
Preden se stran naloži, se odpre okno za izbiro certifikata, nato pa okno za vnos PIN kode žetona.
Če je kot privzeti kripto ponudnik za napravo izbran Aktiv ruToken CSP, se odpre drugo okno za vnos kode PIN.
In šele po uspešnem vnosu v brskalnik se bo odprla naša spletna stran.
Za brskalnik Firefox je treba izvesti dodatne nastavitve.
V nastavitvah brskalnika izberite Zasebnost in varnost. V razdelku Potrdila pritisniti Zaščitna naprava... Odpre se okno Upravljanje naprav.
Kliknite Prenesi, navedite ime Rutoken EDS in pot C:windowssystem32rtpkcs11ecp.dll.
To je to, Firefox zdaj ve, kako ravnati z žetonom, in vam omogoča, da se z njim prijavite na spletno mesto.
Mimogrede, prijava z žetonom na spletna mesta deluje tudi na računalnikih Mac v brskalnikih Safari, Chrome in Firefox.
Samo namestiti morate Rutoken s spletnega mesta in si oglejte potrdilo na žetonu v njem.
Ni vam treba konfigurirati brskalnikov Safari, Chrome, Yandex in drugih; spletno mesto morate samo odpreti v katerem koli od teh brskalnikov.
Brskalnik Firefox je konfiguriran na skoraj enak način kot v sistemu Windows (Nastavitve - Napredno - Certifikati - Varnostne naprave). Le pot do knjižnice je nekoliko drugačna /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.
Ugotovitve
Pokazali smo vam, kako nastavite dvofaktorsko avtentikacijo na spletnih mestih z uporabo kriptografskih žetonov. Kot vedno za to nismo potrebovali nobene dodatne programske opreme, razen sistemskih knjižnic Rutoken.
Ta postopek lahko izvedete s katerim koli svojim notranjim virom, prav tako pa lahko prilagodljivo konfigurirate uporabniške skupine, ki bodo imele dostop do spletnega mesta, tako kot kjerkoli drugje v Windows Serverju.
Ali za strežnik uporabljate drug OS?
Če želite, da pišemo o nastavitvi drugih operacijskih sistemov, potem o tem napišite v komentarjih k članku.
Vir: www.habr.com