Hakerët fituan akses në serverin kryesor të postës së kompanisë ndërkombëtare Deloitte. Llogaria e administratorit për këtë server mbrohej vetëm me një fjalëkalim.
Studiuesi i pavarur austriak David Wind mori një shpërblim prej 5 dollarësh për zbulimin e një dobësie në faqen e hyrjes në intranet të Google.
91% e kompanive ruse fshehin rrjedhjet e të dhënave.
Lajme të tilla mund të gjenden pothuajse çdo ditë në burimet e lajmeve në internet. Kjo është dëshmi e drejtpërdrejtë se shërbimet e brendshme të kompanisë duhet të mbrohen.
Dhe sa më e madhe të jetë kompania, sa më shumë punonjës të ketë dhe sa më komplekse infrastruktura e saj e brendshme e TI-së, aq më i ngutshëm është problemi i rrjedhjes së informacionit për të. Çfarë informacioni është me interes për sulmuesit dhe si ta mbrojmë atë?
Çfarë lloj rrjedhje informacioni mund të dëmtojë kompaninë?
- informacione për klientët dhe transaksionet;
- informacion teknik dhe njohuri për produktin;
- informacione për partnerët dhe ofertat speciale;
- të dhënat personale dhe kontabiliteti.
Dhe nëse e kuptoni që disa informacione nga lista e mësipërme janë të aksesueshme nga çdo segment i rrjetit tuaj vetëm me paraqitjen e hyrjes dhe fjalëkalimit, atëherë duhet të mendoni për rritjen e nivelit të sigurisë së të dhënave dhe mbrojtjen e tij nga aksesi i paautorizuar.
Autentifikimi me dy faktorë duke përdorur media kriptografike harduerike (tokena ose karta inteligjente) ka fituar një reputacion për të qenë shumë i besueshëm dhe në të njëjtën kohë mjaft i lehtë për t'u përdorur.
Ne shkruajmë për përfitimet e vërtetimit me dy faktorë pothuajse në çdo artikull. Ju mund të lexoni më shumë rreth kësaj në artikujt rreth и .
Në këtë artikull, ne do t'ju tregojmë se si të përdorni vërtetimin me dy faktorë për t'u identifikuar në portalet e brendshme të organizatës suaj.
Si shembull, ne do të marrim modelin më të përshtatshëm për përdorim të korporatës, Rutoken - një shenjë USB kriptografike .
Le të fillojmë me konfigurimin.
Hapi 1 - Konfigurimi i serverit
Baza e çdo serveri është sistemi operativ. Në rastin tonë, ky është Windows Server 2016. Dhe së bashku me të dhe sistemet e tjera operative të familjes Windows, shpërndahet IIS (Internet Information Services).
IIS është një grup serverësh interneti, duke përfshirë një server në internet dhe një server FTP. IIS përfshin aplikacione për krijimin dhe menaxhimin e faqeve të internetit.
IIS është krijuar për të ndërtuar shërbime në internet duke përdorur llogaritë e përdoruesve të ofruara nga një domen ose Active Directory. Kjo ju lejon të përdorni bazat e të dhënave ekzistuese të përdoruesve.
В Ne përshkruam në detaje se si të instaloni dhe konfiguroni Autoritetin e Certifikimit në serverin tuaj. Tani ne nuk do të ndalemi në këtë në detaje, por do të supozojmë se gjithçka është konfiguruar tashmë. Certifikata HTTPS për serverin në internet duhet të lëshohet saktë. Është më mirë ta kontrolloni këtë menjëherë.
Windows Server 2016 vjen me versionin IIS 10.0 të integruar.
Nëse IIS është i instaluar, atëherë gjithçka që mbetet është ta konfiguroni saktë.
Në fazën e zgjedhjes së shërbimeve të roleve, ne kontrolluam kutinë Autentifikimi bazë.
Pastaj në Menaxher i Shërbimeve të Informacionit në Internet ndezur Autentifikimi bazë.
Dhe tregoi domenin në të cilin ndodhet serveri në internet.
Pastaj shtuam një lidhje faqeje.
Dhe zgjodhi opsionet SSL.
Kjo përfundon konfigurimin e serverit.
Pas përfundimit të këtyre hapave, vetëm një përdorues që ka një shenjë me një certifikatë dhe një kod PIN do të mund të hyjë në sajt.
Ju rikujtojmë edhe një herë se sipas , përdoruesit i është lëshuar më parë një shenjë me çelësa dhe një certifikatë e lëshuar sipas një modeli si Përdorues me kartë inteligjente.
Tani le të kalojmë te konfigurimi i kompjuterit të përdoruesit. Ai duhet të konfigurojë shfletuesit që do të përdorë për t'u lidhur me faqet e internetit të mbrojtura.
Hapi 2 - Konfigurimi i kompjuterit të përdoruesit
Për thjeshtësi, le të supozojmë se përdoruesi ynë ka Windows 10.
Le të supozojmë gjithashtu se ai e ka të instaluar kompletin .
Instalimi i një grupi drejtuesish është opsional, pasi ka shumë të ngjarë që mbështetja për tokenin të arrijë përmes Windows Update.
Por nëse kjo nuk ndodh papritmas, atëherë instalimi i një grupi drejtuesish Rutoken për Windows do të zgjidhë të gjitha problemet.
Le të lidhim shenjën me kompjuterin e përdoruesit dhe të hapim panelin e kontrollit Rutoken.
Në skedën Certifikimi Kontrolloni kutinë pranë certifikatës së kërkuar nëse nuk është e shënuar.
Kështu, ne verifikuam që token funksionon dhe përmban certifikatën e kërkuar.
Të gjithë shfletuesit përveç Firefox-it konfigurohen automatikisht.
Ju nuk keni nevojë të bëni ndonjë gjë të veçantë me ta.
Tani hapni çdo shfletues dhe shkruani adresën e burimit.
Para se të ngarkohet faqja, do të hapet një dritare për zgjedhjen e një certifikate dhe më pas një dritare për futjen e kodit PIN të shenjës.
Nëse Aktiv ruToken CSP zgjidhet si ofruesi i parazgjedhur i kriptos për pajisjen, atëherë do të hapet një dritare tjetër për të futur kodin PIN.
Dhe vetëm pasi ta keni futur me sukses në shfletues, faqja jonë e internetit do të hapet.
Për shfletuesin Firefox, duhet të bëhen cilësime shtesë.
Në cilësimet e shfletuesit tuaj zgjidhni Privatësia dhe Siguria. Në pjesën Certifikimi për të shtypur Pajisja mbrojtëse... Do të hapet një dritare Menaxhimi i pajisjes.
shtyp Shkarko, tregoni emrin Rutoken EDS dhe shtegun C:windowssystem32rtpkcs11ecp.dll.
Kjo është e gjitha, Firefox-i tani e di se si ta trajtojë tokenin dhe ju lejon të identifikoheni në sajt duke përdorur atë.
Nga rruga, identifikimi duke përdorur një shenjë në faqet e internetit funksionon gjithashtu në Mac në shfletuesin Safari, Chrome dhe Firefox.
Thjesht duhet të instaloni Rutoken nga faqja e internetit dhe shikoni certifikatën në shenjën në të.
Nuk ka nevojë të konfiguroni shfletuesit Safari, Chrome, Yandex dhe të tjerë; thjesht duhet të hapni faqen në cilindo nga këta shfletues.
Shfletuesi Firefox është konfiguruar pothuajse në të njëjtën mënyrë si në Windows (Cilësimet - Të avancuara - Certifikatat - Pajisjet e sigurisë). Vetëm rruga për në bibliotekë është paksa e ndryshme /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.
Gjetjet
Ne ju treguam se si të vendosni vërtetimin me dy faktorë në faqet e internetit duke përdorur shenja kriptografike. Si gjithmonë, nuk kishim nevojë për ndonjë softuer shtesë për këtë, përveç bibliotekave të sistemit Rutoken.
Ju mund ta bëni këtë procedurë me cilindo nga burimet tuaja të brendshme, dhe gjithashtu mund të konfiguroni në mënyrë fleksibël grupet e përdoruesve që do të kenë akses në sajt, ashtu si kudo tjetër në Windows Server.
A po përdorni një OS tjetër për serverin?
Nëse dëshironi që ne të shkruajmë për vendosjen e sistemeve të tjera operative, atëherë shkruani për këtë në komentet e artikullit.
Burimi: www.habr.com