Хакери отримали доступ до головного поштового сервера міжнародної компанії Deloitte. Обліковий запис адміністратора цього сервера був захищений лише паролем.
Незалежний австрійський дослідник Девід Вінд отримав винагороду у розмірі 5 тис доларів за виявлення вразливості на сторінці для введення логіну інтранету Google.
91% російських компаній приховують факти витоку даних.
Такі новини майже щодня можна зустріти у стрічках новин Інтернету. Це прямий доказ того, що внутрішні послуги компанії обов'язково слід захищати.
І чим більша компанія, чим більше в ній співробітників і складніша внутрішня IT-інфраструктура, тим актуальнішою для неї є проблема витоку інформації. Яка інформація цікава зловмисникам та як захистити її?
Витік якої інформації може завдати шкоди компанії?
- інформації про клієнтів та угоди;
- технічної інформації про продукти та ноу-хау;
- інформації про партнерів та спеціальні пропозиції;
- персональні дані та бухгалтерія.
І якщо ви зрозуміли, що якась інформація з наведеного списку доступна з будь-якого сегменту вашої мережі лише за пред'явленням логіну та пароля, то варто задуматися про підвищення рівня безпеки даних та захист їх від несанкціонованого доступу.
Двофакторна аутентифікація по апаратним криптографічним носіям (токенам або смарт-картам) заслужила репутацію дуже надійною і при цьому досить простою у застосуванні.
Про переваги двофакторної автентифікації ми пишемо майже у кожній статті. Докладніше про це можна почитати у статтях про те, и .
У цій статті ми покажемо вам, як застосувати двофакторну автентифікацію для входу на внутрішні портали організації.
Для прикладу ми візьмемо найпридатнішу для корпоративного застосування модель Рутокен - криптографічний USB-токен .
Давайте приступимо до налаштування.
Крок 1 — Налаштування сервера
Основа будь-якого сервера – це операційна система. У нашому випадку це Windows Server 2016. А разом із нею та іншими операційними системами сімейства Windows поширюється IIS (Internet Information Services).
IIS є групою інтернет-серверів, у тому числі веб-сервер і FTP-сервер. IIS включає програми для створення та керування веб-сайтами.
IIS розроблена для побудови веб-сервісів з використанням облікових записів користувачів, що надається доменом або службою Active Directory. Це дозволяє використовувати наявні бази даних користувачів.
В ми докладно розповіли, як доустановити та налаштувати на вашому сервері Центр Сертифікації (Certification Authority). Зараз ми на цьому докладно зупинятись не станемо, а вважатимемо, що все вже налаштовано. HTTPS-сертифікат для web-сервера має бути виписаний коректно. Краще одразу це перевірити.
У Windows Server 2016 вбудовано IIS версію 10.0.
Якщо IIS встановлений, залишилося його правильно налаштувати.
На етапі вибору служб ролей ми поставили галочку Звичайна автентифікація.
Потім в Диспетчер служб IIS увімкнули Звичайну автентифікацію.
І вказали домен, в якому розташований веб-сервер.
Потім додали прив'язку сайту.
І вибрали параметри SSL.
На цьому налаштування сервера завершено.
Після виконання зазначених дій на сайт зможе зайти тільки користувач, який має токен із сертифікатом та PIN-код токена.
Ми ще раз нагадуємо, що згідно , користувачеві заздалегідь був виданий токен з ключами та сертифікатом, виписаним за шаблоном типу Користувач зі смарт-карткою.
Тепер переходимо до налаштування комп'ютера користувача. Йому слід налаштувати браузери, які він використовуватиме для підключення до веб-сайтів, що захищаються.
Крок 2 — Налаштування комп'ютера користувача
Для простоти припустимо, що у нашого користувача Windows 10.
Також припустимо, що він має комплект .
Встановлення комплекту драйверів є опціональним, оскільки швидше за все підтримка токена прилетить по Windows Update.
Але якщо цього раптом не сталося, то встановлення комплекту Драйверів Рутокен для Windows вирішить усі проблеми.
Підключимо токен до комп'ютера користувача та відкриємо Панель керування Рутокен.
На вкладці Сертифікати встановимо галочку напроти необхідного сертифіката, якщо вона не стоїть.
Тим самим ми перевірили, що токен робітник і містить потрібний сертифікат.
Усі браузери, крім Firefox, налаштовуються автоматично.
Спеціально з ними робити нічого не треба.
Тепер відкриємо будь-який браузер та введемо адресу ресурсу.
До того, як сайт завантажиться, у нас відкриється вікно для вибору сертифіката, а потім вікно для введення PIN-коду токена.
Якщо для пристрою як криптопровайдера за замовчуванням вибрано Aktiv ruToken CSP, то для введення PIN-коду відкриється інше вікно.
І тільки після його успішного введення в браузері відкриється наш сайт.
Для браузера Firefox слід виконати додаткові налаштування.
У налаштуваннях браузера вибрати Приватність та Захист. У розділі Сертифікати натиснути Пристрій захисту. Відкриється вікно управління пристроями.
натиснути Завантажитивказати назву Рутокен ЕЦП і шлях C:windowssystem32rtpkcs11ecp.dll.
Це все тепер Firefox знає, як поводитися з токеном і дозволяє входити на сайт, використовуючи його.
До речі, вхід по токену на веб-сайти працює і на Маках у браузері Safari, Chrome і Firefox.
Потрібно лише встановити із сайту Рутокен та побачити в ньому сертифікат на токені.
Налаштовувати браузери Safari, Chrome, Яндекс та інші не потрібно, достатньо лише відкрити сайт у будь-якому з цих браузерів.
Браузер Firefox налаштовується майже так само, як і Windows (Налаштування — Додаткові — Сертифікати — Пристрої захисту). Тільки шлях до бібліотеки трохи інший /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.
Висновки
Ми продемонстрували вам, як налаштувати двофакторну аутентифікацію на сайтах за допомогою криптографічних токенів. Як завжди, нам не знадобилося для цього жодного додаткового програмного забезпечення, крім системних бібліотек Рутокен.
Таку процедуру ви можете зробити з будь-яким своїм внутрішнім ресурсом, також ви гнучко зможете налаштовувати групи користувачів, які матимуть доступ до сайту, втім, як і скрізь у Windows Server-і.
Чи використовуєте іншу ОС для сервера?
Якщо ви хочете, щоб ми написали про налаштування інших ОС, напишіть про це в коментарях до статті.
Джерело: habr.com