Bilgisayar korsanları, uluslararası şirket Deloitte'un ana posta sunucusuna erişim sağladı. Bu sunucunun yönetici hesabı yalnızca bir parolayla korunuyordu.
Bağımsız Avusturyalı araştırmacı David Wind, Google intranet giriş sayfasındaki bir güvenlik açığını keşfettiği için 5 ABD doları ödül aldı.
Rus şirketlerinin %91'i veri sızıntılarını gizliyor.
Bu tür haberlere hemen hemen her gün İnternet haber akışlarında rastlamak mümkündür. Bu, şirketin iç hizmetlerinin korunması gerektiğinin doğrudan kanıtıdır.
Şirket büyüdükçe, çalışan sayısı arttıkça ve dahili BT altyapısı da karmaşıklaştıkça, bilgi sızıntısı sorunu da o kadar acil hale geliyor. Saldırganların ilgisini çeken bilgiler nelerdir ve bu bilgiler nasıl korunur?
Ne tür bir bilgi sızıntısı şirkete zarar verebilir?
- müşteriler ve işlemler hakkında bilgi;
- teknik ürün bilgisi ve teknik bilgi;
- ortaklar ve özel teklifler hakkında bilgi;
- kişisel veriler ve muhasebe.
Ve yukarıdaki listedeki bazı bilgilere ağınızın herhangi bir bölümünden yalnızca bir kullanıcı adı ve şifre sunulduğunda erişilebildiğini anlıyorsanız, o zaman veri güvenliği düzeyini artırmayı ve onu yetkisiz erişime karşı korumayı düşünmelisiniz.
Donanım şifreleme ortamını (belirteçler veya akıllı kartlar) kullanan iki faktörlü kimlik doğrulama, çok güvenilir ve aynı zamanda kullanımı oldukça kolay olmasıyla ün kazanmıştır.
Hemen hemen her makalede iki faktörlü kimlik doğrulamanın faydalarından bahsediyoruz. Bununla ilgili daha fazla bilgiyi ilgili makalelerde okuyabilirsiniz. и .
Bu makalede, kuruluşunuzun dahili portallarına giriş yapmak için iki faktörlü kimlik doğrulamayı nasıl kullanacağınızı göstereceğiz.
Örnek olarak kurumsal kullanıma en uygun modeli, kriptografik bir USB belirteci olan Rutoken'i ele alacağız. .
Kuruluma başlayalım.
Adım 1 – Sunucu Kurulumu
Herhangi bir sunucunun temeli işletim sistemidir. Bizim durumumuzda bu Windows Server 2016'dır. Ve onunla ve Windows ailesinin diğer işletim sistemleriyle birlikte IIS (İnternet Bilgi Hizmetleri) dağıtılmaktadır.
IIS, bir web sunucusu ve bir FTP sunucusunu içeren bir grup İnternet sunucusudur. IIS, web siteleri oluşturmaya ve yönetmeye yönelik uygulamaları içerir.
IIS, bir etki alanı veya Active Directory tarafından sağlanan kullanıcı hesaplarını kullanarak web hizmetleri oluşturmak üzere tasarlanmıştır. Bu, mevcut kullanıcı veritabanlarını kullanmanıza olanak tanır.
В Sertifika Yetkilisinin sunucunuza nasıl kurulacağını ve yapılandırılacağını detaylı olarak anlattık. Şimdi bunun üzerinde ayrıntılı olarak durmayacağız, ancak her şeyin zaten yapılandırılmış olduğunu varsayacağız. Web sunucusunun HTTPS sertifikasının doğru şekilde verilmesi gerekir. Bunu hemen kontrol etmek daha iyidir.
Windows Server 2016, yerleşik IIS sürüm 10.0 ile birlikte gelir.
IIS kuruluysa, geriye kalan tek şey onu doğru şekilde yapılandırmak olacaktır.
Rol hizmetlerini seçme aşamasında kutuyu işaretledik. Temel kimlik doğrulama.
Daha sonra İnternet Bilgi Hizmetleri Müdürü açık Temel kimlik doğrulama.
Ve web sunucusunun bulunduğu etki alanını belirtir.
Daha sonra site linki ekledik.
Ve SSL seçeneklerini seçtim.
Bu, sunucu kurulumunu tamamlar.
Bu adımları tamamladıktan sonra yalnızca sertifikaya sahip token ve token PIN'i olan bir kullanıcı siteye erişebilecektir.
gereğini bir kez daha hatırlatıyoruz. , kullanıcıya daha önce anahtarları içeren bir belirteç ve aşağıdaki gibi bir şablona göre verilen bir sertifika verilmişti: Akıllı kartlı kullanıcı.
Şimdi kullanıcının bilgisayarını ayarlamaya geçelim. Korumalı web sitelerine bağlanmak için kullanacağı tarayıcıları yapılandırmalıdır.
Adım 2 — Kullanıcının bilgisayarını ayarlama
Basit olması açısından kullanıcımızın Windows 10'a sahip olduğunu varsayalım.
Ayrıca kitin kurulu olduğunu varsayalım. .
Belirteç desteği büyük olasılıkla Windows Update aracılığıyla sağlanacağından, bir dizi sürücünün yüklenmesi isteğe bağlıdır.
Ancak bu aniden olmazsa, Windows için bir dizi Rutoken Sürücüsünün kurulması tüm sorunları çözecektir.
Tokenı kullanıcının bilgisayarına bağlayalım ve Rutoken Kontrol Panelini açalım.
çıkıntı Sertifikalar İşaretli değilse gerekli sertifikanın yanındaki kutuyu işaretleyin.
Böylece tokenın çalıştığını ve gerekli sertifikayı içerdiğini doğruladık.
Firefox dışındaki tüm tarayıcılar otomatik olarak yapılandırılır.
Onlarla özel bir şey yapmanıza gerek yok.
Şimdi herhangi bir tarayıcıyı açın ve kaynak adresini girin.
Site yüklenmeden önce, sertifika seçmek için bir pencere ve ardından belirteç PIN kodunu girmek için bir pencere açılacaktır.
Aktiv ruToken CSP, cihazın varsayılan şifreleme sağlayıcısı olarak seçilirse, PIN kodunu girmek için başka bir pencere açılacaktır.
Ve ancak tarayıcıya başarıyla girdikten sonra web sitemiz açılacaktır.
Firefox tarayıcısı için ek ayarların yapılması gerekmektedir.
Tarayıcı ayarlarınızda seçin Gizlilik ve güvenlik. Bölümünde Sertifikalar Basın Koruma Cihazı... bir pencere açılacak Cihaz yönetimi.
basın İndir, Rutoken EDS adını ve C:windowssystem32rtpkcs11ecp.dll yolunu belirtin.
İşte bu, Firefox artık jetonu nasıl kullanacağını biliyor ve onu kullanarak siteye giriş yapmanıza izin veriyor.
Bu arada, web sitelerine jeton kullanarak giriş yapmak Safari, Chrome ve Firefox tarayıcısındaki Mac'lerde de çalışır.
Rutoken'i web sitesinden yüklemeniz yeterli ve içindeki jetonun üzerindeki sertifikayı görün.
Safari, Chrome, Yandex ve diğer tarayıcıları yapılandırmanıza gerek yoktur; siteyi bu tarayıcılardan herhangi birinde açmanız yeterlidir.
Firefox tarayıcısı neredeyse Windows'takiyle aynı şekilde yapılandırılmıştır (Ayarlar - Gelişmiş - Sertifikalar - Güvenlik cihazları). Yalnızca kütüphaneye giden yol biraz farklıdır /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.
Bulgular
Kriptografik belirteçler kullanan web sitelerinde iki faktörlü kimlik doğrulamanın nasıl kurulacağını gösterdik. Her zaman olduğu gibi bunun için de Rutoken sistem kütüphaneleri dışında herhangi bir ek yazılıma ihtiyaç duymadık.
Bu prosedürü dahili kaynaklarınızdan herhangi biriyle gerçekleştirebilir ve ayrıca Windows Server'ın herhangi bir yerinde olduğu gibi siteye erişimi olacak kullanıcı gruplarını da esnek bir şekilde yapılandırabilirsiniz.
Sunucu için farklı bir işletim sistemi mi kullanıyorsunuz?
Diğer işletim sistemlerini kurma hakkında yazmamızı istiyorsanız, makaleye yapılan yorumlarda bunun hakkında yazın.
Kaynak: habr.com