Tin tặc đã giành được quyền truy cập vào máy chủ thư chính của công ty quốc tế Deloitte. Tài khoản quản trị viên của máy chủ này chỉ được bảo vệ bằng mật khẩu.
Nhà nghiên cứu độc lập người Áo David Wind đã nhận được phần thưởng trị giá 5 USD vì đã phát hiện ra lỗ hổng trong trang đăng nhập mạng nội bộ của Google.
91% công ty Nga che giấu rò rỉ dữ liệu
Những tin tức như vậy có thể được tìm thấy hầu như hàng ngày trên các nguồn cấp tin tức trên Internet. Đây là bằng chứng trực tiếp cho thấy các dịch vụ nội bộ của công ty phải được bảo vệ.
Và công ty càng lớn, càng có nhiều nhân viên và cơ sở hạ tầng CNTT nội bộ càng phức tạp thì vấn đề rò rỉ thông tin càng cấp bách hơn. Thông tin nào được kẻ tấn công quan tâm và làm thế nào để bảo vệ nó?
Loại rò rỉ thông tin nào có thể gây hại cho công ty?
- thông tin về khách hàng và giao dịch;
- thông tin kỹ thuật và bí quyết sản phẩm;
- thông tin về đối tác và ưu đãi đặc biệt;
- dữ liệu cá nhân và kế toán.
Và nếu bạn hiểu rằng một số thông tin từ danh sách trên chỉ có thể truy cập được từ bất kỳ phân đoạn nào trong mạng của bạn khi xuất trình thông tin đăng nhập và mật khẩu, thì bạn nên nghĩ đến việc tăng mức độ bảo mật dữ liệu và bảo vệ dữ liệu đó khỏi bị truy cập trái phép.
Xác thực hai yếu tố sử dụng phương tiện mật mã phần cứng (mã thông báo hoặc thẻ thông minh) đã nổi tiếng là rất đáng tin cậy và đồng thời khá dễ sử dụng.
Chúng tôi viết về lợi ích của xác thực hai yếu tố trong hầu hết các bài viết. Bạn có thể đọc thêm về điều này trong các bài viết về и .
Trong bài viết này, chúng tôi sẽ hướng dẫn bạn cách sử dụng xác thực hai yếu tố để đăng nhập vào cổng thông tin nội bộ của tổ chức bạn.
Ví dụ: chúng tôi sẽ lấy mô hình phù hợp nhất để sử dụng cho doanh nghiệp, Rutoken - mã thông báo USB mật mã .
Hãy bắt đầu với việc thiết lập.
Bước 1 - Thiết lập máy chủ
Cơ sở của bất kỳ máy chủ nào là hệ điều hành. Trong trường hợp của chúng tôi, đây là Windows Server 2016. Và cùng với nó và các hệ điều hành khác thuộc họ Windows, IIS (Dịch vụ thông tin Internet) được phân phối.
IIS là một nhóm các máy chủ Internet, bao gồm máy chủ web và máy chủ FTP. IIS bao gồm các ứng dụng để tạo và quản lý trang web.
IIS được thiết kế để xây dựng các dịch vụ web bằng cách sử dụng tài khoản người dùng do miền hoặc Active Directory cung cấp. Điều này cho phép bạn sử dụng cơ sở dữ liệu người dùng hiện có.
В Chúng tôi đã mô tả chi tiết cách cài đặt và định cấu hình Cơ quan cấp chứng chỉ trên máy chủ của bạn. Bây giờ chúng ta sẽ không đi sâu vào vấn đề này một cách chi tiết mà sẽ cho rằng mọi thứ đã được cấu hình. Chứng chỉ HTTPS cho máy chủ web phải được cấp chính xác. Tốt hơn là nên kiểm tra điều này ngay lập tức.
Windows Server 2016 được tích hợp sẵn IIS phiên bản 10.0.
Nếu IIS đã được cài đặt, thì tất cả những gì còn lại là cấu hình nó một cách chính xác.
Ở giai đoạn chọn dịch vụ vai trò, chúng tôi đã chọn hộp Xác thực cơ bản.
Sau đó trong Giám đốc dịch vụ thông tin Internet đã bật lên Xác thực cơ bản.
Và chỉ ra tên miền nơi đặt máy chủ web.
Sau đó, chúng tôi đã thêm một liên kết trang web.
Và đã chọn các tùy chọn SSL.
Điều này hoàn tất việc thiết lập máy chủ.
Sau khi hoàn thành các bước này, chỉ người dùng có mã thông báo có chứng chỉ và mã PIN mã thông báo mới có thể truy cập trang web.
Chúng tôi xin nhắc bạn một lần nữa rằng theo , người dùng trước đây đã được cấp mã thông báo có khóa và chứng chỉ được cấp theo mẫu như Người dùng có thẻ thông minh.
Bây giờ chúng ta hãy chuyển sang thiết lập máy tính của người dùng. Anh ta nên định cấu hình các trình duyệt mà anh ta sẽ sử dụng để kết nối với các trang web được bảo vệ.
Bước 2 - Thiết lập máy tính của người dùng
Để đơn giản, giả sử rằng người dùng của chúng tôi có Windows 10.
Giả sử anh ta đã cài đặt bộ công cụ này .
Việc cài đặt một bộ trình điều khiển là tùy chọn vì rất có thể hỗ trợ cho mã thông báo sẽ đến thông qua Windows Update.
Nhưng nếu điều này đột nhiên không xảy ra thì việc cài đặt một bộ Trình điều khiển Rutoken cho Windows sẽ giải quyết được mọi vấn đề.
Hãy kết nối mã thông báo với máy tính của người dùng và mở Bảng điều khiển Rutoken.
Trong tab Giấy chứng nhận Chọn hộp bên cạnh chứng chỉ được yêu cầu nếu nó không được chọn.
Do đó, chúng tôi đã xác minh rằng mã thông báo đang hoạt động và chứa chứng chỉ được yêu cầu.
Tất cả các trình duyệt ngoại trừ Firefox đều được cấu hình tự động.
Bạn không cần phải làm bất cứ điều gì đặc biệt với họ.
Bây giờ hãy mở bất kỳ trình duyệt nào và nhập địa chỉ tài nguyên.
Trước khi tải trang web, một cửa sổ sẽ mở để chọn chứng chỉ và sau đó là cửa sổ để nhập mã PIN mã thông báo.
Nếu Aktiv ruToken CSP được chọn làm nhà cung cấp tiền điện tử mặc định cho thiết bị thì một cửa sổ khác sẽ mở ra để nhập mã PIN.
Và chỉ sau khi nhập thành công vào trình duyệt, trang web của chúng tôi mới mở.
Đối với trình duyệt Firefox, phải thực hiện cài đặt bổ sung.
Trong cài đặt trình duyệt của bạn, chọn Quyền riêng tư và bảo mật. Trong phần Giấy chứng nhận đẩy Thiết bị bảo vệ... Một cửa sổ sẽ mở ra Quản lý thiết bị.
Nhấn Tải về, cho biết tên Rutoken EDS và đường dẫn C:windowssystem32rtpkcs11ecp.dll.
Thế là xong, Firefox giờ đã biết cách xử lý mã thông báo và cho phép bạn đăng nhập vào trang web bằng cách sử dụng nó.
Nhân tiện, đăng nhập bằng mã thông báo vào các trang web cũng hoạt động trên máy Mac trong trình duyệt Safari, Chrome và Firefox.
Bạn chỉ cần cài đặt Rutoken từ trang web và xem chứng chỉ trên mã thông báo trong đó.
Không cần định cấu hình Safari, Chrome, Yandex và các trình duyệt khác; bạn chỉ cần mở trang web trong bất kỳ trình duyệt nào trong số này.
Trình duyệt Firefox được cấu hình gần giống như trong Windows (Cài đặt - Nâng cao - Chứng chỉ - Thiết bị bảo mật). Chỉ có đường dẫn đến thư viện hơi khác một chút /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.
Những phát hiện
Chúng tôi đã hướng dẫn bạn cách thiết lập xác thực hai yếu tố trên các trang web bằng cách sử dụng mã thông báo mật mã. Như mọi khi, chúng tôi không cần bất kỳ phần mềm bổ sung nào cho việc này, ngoại trừ thư viện hệ thống Rutoken.
Bạn có thể thực hiện quy trình này với bất kỳ tài nguyên nội bộ nào của mình và bạn cũng có thể định cấu hình linh hoạt các nhóm người dùng sẽ có quyền truy cập vào trang web, giống như bất kỳ nơi nào khác trong Windows Server.
Bạn có đang sử dụng hệ điều hành khác cho máy chủ không?
Nếu bạn muốn chúng tôi viết về việc thiết lập các hệ điều hành khác, hãy viết về nó trong phần bình luận của bài viết.
Nguồn: www.habr.com