Lozinke mogu stvoriti veliku sigurnosnu glavobolju i upravljivost za IT administratore preduzeća i organizacija. Korisnici često kreiraju jednostavne lozinke ili zapisuju lozinke kako ih ne bi zaboravili. Pored toga, nekoliko postupaka resetovanja lozinke su efikasni i sigurni. S obzirom na ova ograničenja, kako se ove vrste sigurnosnih problema mogu ublažiti kada mreži pristupaju udaljeni korisnici? Kako možete učiniti rješenje za lozinku vaše kompanije sigurnijim znajući da mnogi korisnici zapisuju svoje lozinke?
Postoji rješenje - to je uvođenje u organizaciju dodatnog sistema zaštite pristupa baziranog na unosu jednokratnih lozinki (OTP - One Time Password), koje se generišu na mobilnom uređaju vašeg zaposlenika. Prijelaz na autentifikaciju zasnovanu na jednokratnim lozinkama obično se događa kada postane jasno da su standardne dugoročne lozinke nedovoljne u smislu sigurnosti, a istovremeno su mogućnosti korištenja pametnih kartica ograničene, na primjer, u situaciji masovne upotrebe mobilnih klijenata.
Naša kompanija je razvila tehnološko rješenje, što će vam omogućiti da dobijete dodatna linija odbrane za terminalski server ili 1C server na osnovu jednokratnih lozinki , na koji se zaposleni povezuju na daljinu.
Obim posla za implementaciju i konfiguraciju OTP sistema
Na vašem serveru je instaliran i konfigurisan specijalizovan softver za rad sistema za autentifikaciju pristupa zasnovanog na jednokratnim lozinkama (OTP) Svi zaposleni u organizaciji kojima je potreban pristup serveru ulaze u OTP sistem Za svakog zaposlenog vrši se inicijalna konfiguracija mobilnog telefona uz instalaciju programa za generisanje jednokratne lozinke
Počinje trošak uvođenja sistema za autentifikaciju pristupa na terminal server ili 1C server na osnovu jednokratnih lozinki (OTP) od 6 400 rubalja.
U slučajevima kada će OTP sistem biti raspoređen u sprezi sa iznajmljivanjem infrastrukture u našem sigurnom "oblaku", popust za implementaciju sistema zaštite korišćenjem jednokratnih lozinki (OTP) može dostići 50%.
Jednokratne lozinke - dodatni sloj sigurnosti podataka
Tradicionalna, statična lozinka se obično mijenja samo kada je to potrebno, bilo kada istekne ili kada je korisnik zaboravi i želi da je resetuje. Pošto se lozinke keširaju na hard diskove računara i čuvaju na serveru, one su podložne hakovanju. Ovaj problem je posebno akutan za prijenosne računare jer ih je lako ukrasti. Mnoge kompanije daju zaposlenima laptop računare i otvaraju svoje mreže za daljinski pristup. Oni također zapošljavaju zaposlene na određeno vrijeme i dobavljače. U takvom okruženju, jednostavno rješenje statičke lozinke postaje nedostatak.
Za razliku od statičke lozinke, jednokratna lozinka se mijenja svaki put kada se korisnik prijavi na sistem i vrijedi samo kratko vrijeme (30 sekundi). Same lozinke se kreiraju i šifriraju prema složenom algoritmu koji ovisi o mnogim varijablama: vremenu, broju uspješnih/neuspješnih prijava, nasumično generiranim brojevima itd. Ovaj naizgled složen pristup zahtijeva jednostavne radnje od korisnika - Instalirajte specijalnu aplikaciju na svoj telefon koja se sinkronizira jednom sa serverom i nakon toga generiše jednokratnu lozinku. Sa svakom novom uspješnom prijavom, klijent i server se automatski resinhroniziraju nezavisno jedan od drugog prema posebnom algoritmu. Vrijednost brojača se povećava svaki put kada se od uređaja zatraži OTP vrijednost i kada se korisnik želi prijaviti, unosi OTP koji je trenutno prikazan na njegovom mobilnom uređaju.
Stvarnosti u zemljama u kojima živi većina Khabrovaca su takve da je držanje servera sa važnim informacijama izvan zemlje poslovanja postala dobar oblik, koji vam omogućava da sačuvate svoje živce i podatke.
Prvo pitanje koje se nameće prilikom prelaska u oblak nakon enkripcije podataka, a možda i prije nje, je osigurati da podacima s korisničkim računom pristupa korisnik, a ne neko drugi. A ako se u članku mog kolege raspravlja o dobrom načinu šifriranja podataka koji se nalaze u privatnom oblaku, onda je autentifikacija teža.
O korisnicima i načinima zaštite
Priroda tipičnog korisnika je takva da je stav o sigurnosti lozinki sa naloga prilično neozbiljan i nemoguće je to popraviti. Naše iskustvo pokazuje da čak i ako kompanija ima stroge politike, obuku korisnika itd., i dalje će postojati nešifrovani uređaj koji je napustio zidove kancelarije, a gledajući listu proizvoda jedne poznate kompanije, shvatićete da izdvajanje lozinke sa nešifrovanog uređaja samo je pitanje vremena.
Neke kompanije uspostavljaju tunele između oblaka i ureda za kontrolu pristupa podacima u oblaku, zabranjuju daljinski pristup https://habrahabr.ru/company/pc-administrator/blog/320016/. Po našem mišljenju, ovo nije sasvim optimalno rješenje, prvo, izgubljene su neke od prednosti rješenja u oblaku, a drugo, postoje problemi s performansama koji su navedeni u članku.
Rješenje korištenjem terminal servera i Remote Desktop Gateway (RDG) fleksibilniji, možete podesiti visok nivo sigurnosti, kao što je opisao moj kolega https://habrahabr.ru/post/134860/ (članak iz 2011, ali sam princip je i dalje relevantan). Ova metoda vam omogućava da spriječite prijenos podataka iz oblaka, ali nameće ograničenja u radu korisnika i ne rješava u potpunosti problem autentifikacije, već je to DLP rješenje.
Možda je najbolji način da osigurate da nijedan napadač ne radi pod korisničkim računom dvofaktorska autentifikacija. Članci mog kolege https://habrahabr.ru/post/271259/ https://habrahabr.ru/post/271113/ opisuju postavljanje MFA od Microsofta i Googlea za klijentski VPN. Metoda je dobra, ali, prvo, zahtijeva CISCO ASA, što nije uvijek lako implementirati, posebno u proračunskim oblacima, a drugo, rad preko VPN-a je nezgodan. Rad sa terminalskom sesijom preko RDG-a je mnogo udobniji, a protokol SSL enkripcije izgleda svestraniji i pouzdaniji od VPN-a iz CISCO-a.
Postoji mnogo rješenja s dvofaktorskom autentifikacijom na samom terminal serveru, evo primjera postavljanja besplatnog rješenja - http://servilon.ru/dvuhfaktornaya-autentifikaciya-otp/. Ovo rješenje nažalost ne radi kroz RDG.
RDG server traži potvrdu autorizacije od MFA servera. MFA, ovisno o odabranom načinu autentifikacije, zove, šalje SMS ili šalje zahtjev mobilnoj aplikaciji. Korisnik odobrava ili odbija zahtjev za pristup. MFA vraća rezultat drugog faktora provjere autentičnosti RDG serveru.
Instaliranje i konfigurisanje Azure servera višefaktorske autentikacije
Kreirajte dobavljača provjere autentičnosti na portalu Microsoft Azure
Idemo na Microsoft Azure (nalog mora imati pretplatu ili je instalirana probna verzija) i nalazimo Multi-Factor Authentication (MFA).U ovom trenutku, MFA menadžment nije dodat u novu verziju Azure portala, tako da će se otvoriti stara verzija portala.
Da kreirate novog provajdera višefaktorske autentikacije, kliknite KREIRAJ → Usluge aplikacija → Aktivni direktorijum → Dobavljač višefaktorske autentikacije → Brzo kreiranje u donjem levom uglu. Navedite naziv i model upotrebe.
Model korištenja određuje kako će se plaćanje naplaćivati, bilo po broju korisnika ili po broju autentifikacija.
Nakon kreiranja, MFA će se pojaviti na listi. Zatim idite na kontrolu pritiskom na odgovarajuće dugme.
Idite na preuzimanja i preuzmite MFA server
Postavljanje MFA servera
MFA server mora biti instaliran na virtuelnoj mašini koja nije RDG server. Podržani OS stariji od Windows Server 2008 ili Windows 7. Za rad je potreban Microsoft .NET Framework 4.0.Adrese na portu 443 trebaju biti dostupne:
Instaliramo MFA server, tokom instalacije odbijamo čarobnjaka za podešavanje.
Prilikom prvog pokretanja morate uneti podatke sa naloga, koji se moraju generisati na stranici za preuzimanje servera.
Zatim dodajte korisnike. Da biste to učinili, idite na odjeljak Korisnici i kliknite na Uvezi iz Active Directory, odaberite korisnike za uvoz.
Ako je potrebno, možete konfigurirati automatsko dodavanje novih korisnika iz AD:
„Integracija direktorijuma → Sinhronizacija → Dodaj“, i tako dalje. dodajte direktorij koji će se automatski sinkronizirati u navedenom vremenskom intervalu.
Hajde da testiramo performanse MFA servera. Idite na odjeljak Korisnici. Za svoj nalog navedite telefonski broj (ako već nije postavljen) i odaberite metodu provjere autentičnosti "Telefonski poziv". Kliknite na dugme Test i unesite svoje korisničko ime i lozinku. Telefon bi trebao primiti poziv. Odgovorite i pritisnite #.
Postavljanje MFA servera za rad sa Radius zahtjevima
Idite na odjeljak Radius Authentication i potvrdite izbor u polju za potvrdu "Omogući RADIUS provjeru autentičnosti".Dodamo novog klijenta navodeći IP adresu NPS servera i dijeljenu tajnu. Ako treba izvršiti autentifikaciju za sve korisnike, označite odgovarajući okvir (u ovom slučaju svi korisnici moraju biti dodati na MFA server).
Takođe morate da se uverite da portovi navedeni za vezu odgovaraju portovima navedenim na NPS serveru i da ih zaštitni zid ne blokira.
Idite na karticu Cilj i dodajte Radius server.
Napomena: Ako ne postoji centralni NPS server na mreži, IP adrese Radius klijenta i servera će biti iste.
Konfiguriranje RDG i NPS servera da rade zajedno sa MFA
RD Gateway mora biti konfiguriran da šalje Radius zahtjeve MFA serveru. Da biste to učinili, otvorite svojstva mrežnog prolaza i idite na karticu “RDG CAP Store”, odaberite “NPS radi na centralnom serveru” i navedite adresu MFA servera i zajednički tajni ključ.
Zatim konfigurišemo NPS server. Proširite odjeljak Radius klijenti i serveri → Grupe udaljenih radius servera. Otvorite svojstva grupe "TS gateway server group" (grupa se kreira prilikom konfigurisanja RDG) i dodajte naš MFA server.
Prilikom dodavanja, na kartici “Load Balancing” povećavamo ograničenja vremena čekanja servera. Postavljamo "Broj sekundi bez odgovora, nakon kojeg se zahtjev smatra odbačenim" i "Broj sekundi između zahtjeva, nakon kojih se server smatra nedostupnim" u rasponu od 30-60 sekundi.
Na kartici "Authentication / Accounting" provjeravamo ispravnost navedenih portova i postavljamo zajednički tajni ključ.
Sada idemo na odjeljak "Klijentsi i Radius serveri → Radius klijenti" i dodajmo MFA server, navodeći "Prijateljsko ime", adresu i zajedničku tajnu.
Idite na odjeljak "Smjernice → Politike zahtjeva za povezivanje". Ovaj odjeljak bi trebao sadržavati politiku kreiranu prilikom konfiguriranja RDG-a. Ova politika usmjerava Radius zahtjeve na MFA server.
Duplirajte politiku i idite na njena svojstva. Dodajte uslov koji odgovara "Nazivu prilagođenom klijentu" sa "Prijateljskim imenom" postavljenim u prethodnom koraku.
Na kartici "Postavke" mijenjamo provajdera usluge autentikacije u lokalni server.
Ova politika će osigurati da kada se primi Radius zahtjev od MFA servera, zahtjev će biti obrađen lokalno, što će eliminirati petlje zahtjeva.
Provjeravamo da li je ova politika postavljena iznad originalne.
U ovoj fazi, gomila RDG i MFA je u radnom stanju. Sljedeći koraci su potrebni za one koji trebaju biti u mogućnosti koristiti autentifikaciju mobilne aplikacije ili korisnicima dati pristup nekim od postavki višefaktorske provjere autentičnosti putem korisničkog portala.
Instalacija SDK-a, web servisa mobilnih aplikacija i korisničkog portala
Povezivanje sa ovim komponentama se vrši preko HTTPS protokola. Stoga, na serveru na kojem će biti raspoređeni, morate instalirati SSL certifikat.Korisnički portal i web servis mobilnih aplikacija koriste SDK za komunikaciju sa MFA serverom.
Instaliranje SDK-a
SDK je instaliran na MFA serveru i zahtijeva IIS, ASP.NET, Basic Authentication, koji se prvo mora instalirati pomoću Server Managera.Da biste instalirali SDK, idite na odjeljak Web Service SDK u Serveru za višefaktorsku autentifikaciju i kliknite na dugme za instaliranje, pratite čarobnjaka za instalaciju.
Instalacija web servisa mobilne aplikacije
Ova usluga je neophodna za interakciju mobilne aplikacije sa MFA serverom. Da bi servis ispravno radio, računar na kojem će biti instaliran mora imati pristup Internetu i port 443 mora biti otvoren za povezivanje sa Interneta.Datoteka za instalaciju usluge nalazi se u folderu C:\Program Files\Azure višefaktorska autentifikacija na računaru sa instaliranim MFA. Pokrenite instalater i pratite čarobnjaka za instalaciju. Za praktičnost korisnika, naziv virtuelnog direktorija "MultiFactorAuthMobileAppWebService" možete zamijeniti kraćim.
Nakon instalacije idite u folder C:\inetpub\wwwroot\MultiFactorAuthMobileAppWebService i modificirajte web.config datoteku. U ovoj datoteci morate postaviti ključeve odgovorne za račun koji je dio sigurnosne grupe PhoneFactor Admins. Ovaj račun će se koristiti za povezivanje na SDK.
U istoj datoteci morate navesti URL adresu na kojoj je SDK dostupan.
Napomena: Veza sa SDK-om se vrši preko SSL protokola, tako da se na SDK trebate pozivati po imenu servera (navedenom u SSL certifikatu), a ne po IP adresi. Ako je zahtjev upućen lokalnim imenom, morate dodati odgovarajući unos u hosts datoteku kako biste koristili SSL certifikat.
Dodajte URL na kojem je web usluga mobilne aplikacije dostupna aplikaciji Server za višefaktorsku autentifikaciju u odjeljak Mobilna aplikacija. Ovo je neophodno za pravilno generisanje QR koda na korisničkom portalu za povezivanje mobilnih aplikacija.
Takođe u ovom odeljku možete označiti polje za potvrdu "Omogući OATH tokene", što vam omogućava da koristite mobilnu aplikaciju kao softverski token za generisanje jednokratnih lozinki na osnovu vremena.
Instaliranje korisničkog portala
Instalacija zahtijeva IIS, ASP.NET i ulogu kompatibilnosti IIS metabaze 6 (za IIS 7 ili noviji).Ako je portal instaliran na MFA serveru, dovoljno je otići u odjeljak Korisnički portal u Serveru za višefaktorsku autentifikaciju, kliknuti na dugme za instaliranje i pratiti čarobnjaka za instalaciju. Ako je računar spojen na domenu, instalacija će kreirati korisnika koji je član PhoneFactor Admins sigurnosne grupe. Ovaj korisnik je potreban za sigurnu vezu sa SDK-om.
Kada instalirate na poseban server, morate kopirati instalacionu datoteku sa MFA servera (instalacioni fajl se nalazi u fascikli C:\Program Files\Multi-Factor Authentication Server). Instalirajte i uredite datoteku web.config na lokaciju C:\inetpub\wwwroot\MultiFactorAuth. U ovoj datoteci morate promijeniti ključ USE_WEB_SERVICE_SDK od lažnog do istinitog. Navedite detalje naloga koji je član PhoneFactor Admins grupe u ključevima WEB_SERVICE_SDK_AUTHENTICATION_USERNAME i WEB_SERVICE_SDK_AUTHENTICATION_PASSWORD. I navedite URL adresu servisnog SDK-a, ne zaboravljajući, ako je potrebno, da ispravite hosts fajl tako da SSL protokol radi.
Dodajte URL na kojem je korisnički portal dostupan aplikaciji poslužitelja višefaktorske provjere autentičnosti u odjeljak Korisnički portal.
Demonstriranje kako Azure MFA radi za provjeru autentičnosti RDG veza
Mi ćemo razmotriti rad MVP-a iz ugla korisnika. U našem slučaju, drugi faktor autentifikacije bit će mobilna aplikacija, budući da mobilna mreža ima niz ranjivosti koje omogućavaju, uz odgovarajuću pripremu, presretanje poziva i SMS-a.Prije svega, korisnik će morati otići na korisnički portal i naznačiti svoj broj telefona (ako nije naveden u AD) i povezati mobilnu aplikaciju sa nalogom. Idemo na portal pod našim nalogom i unosimo odgovore na tajna pitanja (trebat će nam u slučaju ponovnog pristupa računu).
Zatim odaberite metodu provjere autentičnosti, u našem slučaju mobilnu aplikaciju i kliknite gumb "Generiraj aktivacijski kod". Generirat će se QR kod koji se mora skenirati u mobilnoj aplikaciji.
Pošto je prilikom uvoza korisnika na MFA server autentifikacija postavljena pomoću PIN koda, od nas će biti zatraženo da ga kreiramo. Unesite željeni PIN kod i kliknite na "Verifikuj moj identitet". U mobilnoj aplikaciji morate potvrditi zahtjev koji se pojavi. Nakon ovih koraka, imamo aplikaciju povezanu sa nalogom i puni pristup portalu za promjenu ličnih postavki.
Dobio nevjerovatno dobre komentare i pojašnjenja od suborca koji je želio ostati anoniman:
1) Na samom početku podešavanja servera unesite naredbu:
multiotp.exe -debug -config default-request-prefix-pin=0 display-log=1 nakon toga, ne morate unositi pin kod prilikom postavljanja korisnika i prikazati dnevnik svake operacije u konzoli.
2) Koristeći ovu naredbu, možete podesiti bantime za korisnike koji su pogriješili sa lozinkom (30 sekundi po defaultu):
multiotp.exe -debug -config fail-delayed-time=60
3) Ono što će biti napisano u aplikaciji google Authenticator iznad 6 cifara zove se izdavač, možete promijeniti zadani MultiOTP na nešto drugo:
multiotp.exe -debug -config issuer=other
4) Nakon izvršenih operacija, komanda za kreiranje korisnika postaje malo lakša:
multiotp.exe -debug -create korisnika TOTP 12312312312312312321 6 (ne postavljam vrijeme ažuriranja cifara na 30 sekundi, čini se da je zadana vrijednost 30).
5) Svaki korisnik može promijeniti opis (tekst ispod brojeva u Google Auth aplikaciji):
multiotp.exe -set korisničko ime opis=2
6) QR kodovi se mogu kreirati direktno u aplikaciji:
multiotp.exe -qrcode korisničko ime c:\multiotp\qrcode\user.png:\multiotp\qrcode\user.png
7) Možete koristiti ne samo TOTP, već i HOTP (unos hash funkcije nije trenutno vrijeme, već vrijednost inkrementalnog brojača):
multiotp.exe -debug -kreiraj korisničko ime HOTP 12312312312312312321 6
Danas ćemo vam reći kako možete brzo i jednostavno postaviti dvofaktorsku autentifikaciju i šifrirati važne podatke, čak i uz mogućnost korištenja biometrije. Rješenje će biti relevantno za male kompanije ili samo za personalni računar ili laptop. Važno je da nam za to nije potrebna infrastruktura javnog ključa (PKI), server sa ulogom sertifikacionog tela (Certificate Services) pa čak ni domen (Active Directory). Svi sistemski zahtjevi svodit će se na operativni sistem Windows i posjedovanje elektronskog ključa korisnika, a u slučaju biometrijske autentifikacije i čitača otiska prsta, koji je, na primjer, možda već ugrađen u vaš laptop.
Za autentifikaciju ćemo koristiti naš razvijeni softver - JaCarta SecurLogon i JaCarta PKI elektronski ključ kao autentifikator. Alat za šifrovanje će biti standardni Windows EFS, pristup šifrovanim datotekama će takođe biti putem JaCarta PKI ključa (isti onaj koji se koristi za autentifikaciju).
Podsjetimo da je JaCarta SecurLogon softversko i hardversko rješenje certificirano od strane FSTEC Rusije od strane Aladdin RD, koje omogućava jednostavan i brz prijelaz sa jednofaktorske autentifikacije zasnovane na paru login-lozinka na dvofaktorsku autentifikaciju u OS-u koristeći USB tokeni ili pametne kartice. Suština rješenja je prilično jednostavna - JSL generira složenu lozinku (~63 znaka) i upisuje je u sigurnu memoriju elektronskog ključa. U tom slučaju, lozinka možda neće biti poznata samom korisniku, korisnik zna samo PIN kod. Unošenjem PIN koda tokom autentifikacije, uređaj se otključava i lozinka se prenosi sistemu na autentifikaciju. Po želji, unos PIN-a možete zamijeniti skeniranjem otiska prsta korisnika, a možete koristiti i kombinaciju PIN + otisak prsta.
EFS, kao i JSL, može raditi u samostalnom načinu rada, ne zahtijeva ništa osim samog OS-a. Svi Microsoft operativni sistemi iz NT porodice, počevši od Windows 2000 i novijih (osim kućnih verzija), imaju ugrađenu EFS (Encrypting File System) tehnologiju šifrovanja podataka. EFS enkripcija je zasnovana na mogućnostima NTFS sistema datoteka i CryptoAPI arhitekture i dizajnirana je za brzo šifrovanje datoteka na čvrstom disku računara. Šifriranje u EFS-u koristi privatne i javne ključeve korisnika, koji se generiraju prvi put kada korisnik koristi funkciju šifriranja. Ovi ključevi ostaju nepromijenjeni sve dok postoji njegov račun. Prilikom šifriranja datoteke, EFS nasumično generiše jedinstveni broj, takozvani ključ za šifrovanje datoteka (FEK), dužine 128 bita, kojim se šifruju datoteke. FEK-ovi su šifrirani glavnim ključem, koji je šifriran ključem korisnika sistema koji imaju pristup datoteci. Privatni ključ korisnika je zaštićen hešom korisničke lozinke. Podaci šifrirani pomoću EFS-a mogu se dešifrirati samo pomoću istog Windows računa s istom lozinkom pod kojom je šifriranje izvršeno. A ako pohranite certifikat za šifriranje i privatni ključ na USB token ili pametnu karticu, tada će vam također biti potreban ovaj USB token ili pametna kartica za pristup šifriranim datotekama, što rješava problem kompromitiranja lozinke, jer će također biti potreban dodatni uređaj u obliku elektronskog ključa.
Autentifikacija
Kao što je već napomenuto, nije vam potreban AD ili certifikacijski autoritet za konfiguraciju, potreban vam je moderni Windows, JSL distribucija i licenca. Postavka je jednostavna za sramotu.Morate instalirati datoteku licence.
Dodajte korisnički profil.
I počnite koristiti dvofaktorsku autentifikaciju.
Biometrijska autentifikacija
Moguće je koristiti biometrijsku autentifikaciju otiskom prsta. Rješenje radi na tehnologiji Match On Card. Heš otiska prsta se upisuje na karticu tokom početne inicijalizacije, a zatim se provjerava u odnosu na original. Ne ostavlja kartu nigdje, nije pohranjena u nekim bazama podataka. Za otključavanje takvog ključa koristi se otisak prsta ili kombinacija PIN + otisak prsta, PIN ili otisak prsta.Za početak korištenja potrebno je samo inicijalizirati karticu potrebnim parametrima, zapisati otisak prsta korisnika.
U budućnosti će se isti prozor pojaviti prije ulaska u OS.
U ovom primjeru, kartica je inicijalizirana sa mogućnošću autentifikacije otiskom prsta ili PIN kodom, što je naznačeno prozorom za autentifikaciju.
Nakon predstavljanja otiska prsta ili PIN koda, korisnik će ući u OS.
Šifrovanje podataka
Podešavanje EFS-a takođe nije mnogo komplikovano, svodi se na postavljanje sertifikata i njegovo izdavanje elektronskom ključu i postavljanje direktorijuma za šifrovanje. Obično ne morate šifrirati cijeli disk. Zaista važne datoteke, kojima nije poželjno pristupiti trećim stranama, obično se nalaze u zasebnim direktorijima i nisu razbacane po cijelom disku.Da biste izdali certifikat za šifriranje i privatni ključ, otvorite korisnički račun, odaberite - Upravljaj certifikatima šifriranja datoteka. U čarobnjaku koji se otvori kreirajte samopotpisani certifikat na pametnoj kartici. Budući da i dalje koristimo pametnu karticu sa BIO apletom, za pisanje certifikata za šifriranje mora se predočiti otisak prsta ili PIN.
U sljedećem koraku navedite direktorije koji će biti povezani s novim certifikatom; ako je potrebno, možete specificirati sve logičke pogone.
Sam šifrirani direktorij i datoteke u njemu bit će istaknuti drugom bojom.
Pristup datotekama se vrši isključivo elektronskim ključem, uz predočenje otiska prsta ili PIN koda, u zavisnosti od toga šta je odabrano.
Ovim je kompletno podešavanje završeno.
Možete koristiti oba scenarija (autentifikacija i enkripcija), možete se zaustaviti na jednoj stvari.
Ako je lozinka jedina prepreka pristupu vašim podacima, izloženi ste velikom riziku. Prolaz se može povezati, presresti, odvući trojancem, izvući ga uz pomoć socijalnog inženjeringa. Nekorištenje dvofaktorske autentifikacije u ovom scenariju je gotovo zločin.
Već smo više puta govorili o jednokratnim ključevima. Značenje je vrlo jednostavno. Ako napadač nekako uspije doći do vaše lozinke za prijavu, onda može lako pristupiti vašoj pošti ili se povezati na udaljeni server. Ali ako postoji dodatni faktor na putu, na primjer, jednokratni ključ (on se također zove OTP ključ), onda od toga neće biti ništa. Čak i ako takav ključ dođe do napadača, više ga neće biti moguće koristiti, jer vrijedi samo jednom. Takav drugi faktor može biti dodatni poziv, kod primljen putem SMS-a, ključ generiran na telefonu prema određenim algoritmima na osnovu trenutnog vremena (vrijeme je način sinhronizacije algoritma na klijentu i serveru). Isti Gugl je odavno preporučio svojim korisnicima da omoguće dvofaktorsku autentifikaciju (par klikova u postavkama naloga). Sada je red da dodate takav sloj zaštite za svoje usluge!
Šta nudi Duo Security?
Banalni primjer. Moj računar "spolja" ima otvoren RDP port za vezu sa udaljenom radnom površinom. Ako procuri lozinka za prijavu, napadač će odmah dobiti potpuni pristup mašini. Stoga nije bilo govora o jačanju zaštite OTP lozinkom - to je jednostavno trebalo učiniti. Bilo je glupo ponovo izmisliti točak i pokušati sve sam implementirati, pa sam samo pogledao rješenja koja postoje na tržištu. Većina njih se pokazala kao komercijalna (više u bočnoj traci), ali za mali broj korisnika mogu se koristiti besplatno. Baš ono što vam treba za dom. Jedan od najuspješnijih servisa koji vam omogućava da organizirate dvofaktorsku autorizaciju za doslovno sve (uključujući VPN, SSH i RDP) pokazao se Duo Security (www.duosecurity.com). Ono što je dodalo njegovoj atraktivnosti je činjenica da je programer i osnivač projekta John Oberheid, poznati stručnjak za sigurnost informacija. On je, na primjer, otkrio Google-ov komunikacijski protokol sa Android pametnim telefonima, pomoću kojih možete instalirati ili ukloniti proizvoljne aplikacije. Takva baza se i sama po sebi daje do znanja: da bi pokazali važnost dvofaktorske autorizacije, momci su pokrenuli uslugu VPN Hunter (www.vpnhunter.com), koja može brzo pronaći neskrivene VPN servere kompanije (i ujedno odrediti vrstu opreme na kojoj rade), usluge daljinskog pristupa (OpenVPN, RDP, SSH) i druge elemente infrastrukture koji omogućavaju napadaču da uđe u internu mrežu jednostavnim poznavanjem login-a i lozinke. Smiješno je da su na službenom Twitteru servisa vlasnici počeli svakodnevno objavljivati izvještaje o skeniranju poznatih kompanija, nakon čega je nalog zabranjen :). Usluga Duo Security je, naravno, usmjerena prvenstveno na uvođenje dvofaktorske autentifikacije u kompanije sa velikim brojem korisnika. Na našu sreću, moguće je kreirati besplatni osobni račun koji vam omogućava da besplatno postavite dvofaktorsku autentifikaciju za do deset korisnika.
Šta bi mogao biti drugi faktor?
Zatim ćemo pogledati kako ojačati sigurnost veze sa udaljenom radnom površinom, kao i SSH na serveru, za samo deset minuta. Ali prvo, želim govoriti o dodatnom koraku koji Duo Security uvodi kao drugi faktor autorizacije. Postoji nekoliko opcija: telefonski poziv, SMS sa šiframa, Duo Mobile šifre, Duo Push, elektronski ključ. Malo više o svakom.
Koliko dugo ga možete koristiti besplatno?
Kao što je već spomenuto, Duo Security nudi poseban tarifni plan "Personal". Potpuno je besplatan, ali broj korisnika ne smije biti veći od deset. Podržava dodavanje neograničenog broja integracija, sve dostupne metode provjere autentičnosti. Pruža hiljadu besplatnih kredita za telefonske usluge. Krediti su, takoreći, interna valuta koja se naplaćuje s vašeg računa svaki put kada dođe do autentifikacije putem poziva ili SMS-a. U postavkama računa možete podesiti tako da kada dostignete navedeni broj kredita, dobijete obavijest o sapunu i da ćete imati vremena da dopunite stanje. Hiljadu kredita košta samo 30 dolara. Cijena poziva i SMS-a za različite zemlje je različita. Za Rusiju, poziv će koštati od 5 do 20 kredita, SMS - 5 kredita. Međutim, poziv koji se javlja prilikom autentikacije na Duo Security lokaciji se ne naplaćuje. Možete potpuno zaboraviti na kredite ako koristite aplikaciju Duo Mobile za autentifikaciju - ništa se ne naplaćuje.
Jednostavna registracija
Da biste zaštitili svoj server pomoću Duo Security-a, potrebno je da preuzmete i instalirate poseban klijent koji će komunicirati sa Duo Security serverom za autentifikaciju i pružiti drugi sloj zaštite. Shodno tome, ovaj klijent će biti drugačiji u svakoj situaciji: u zavisnosti od toga gde je tačno potrebno implementirati dvofaktorsku autorizaciju. O tome ćemo govoriti u nastavku. Prvo što treba da uradite je da se registrujete u sistemu i dobijete nalog. Stoga otvaramo glavnu stranicu web-mjesta, kliknemo "Besplatna probna verzija", na stranici koja se otvori, kliknemo dugme "Sing up" ispod tipa Ličnog naloga. Nakon toga, od nas se traži da unesemo ime, prezime, email adresu i naziv firme. Trebali biste primiti e-poštu koja sadrži link za potvrdu vaše registracije. U tom slučaju, sistem će automatski birati navedeni telefon: da biste aktivirali svoj nalog, morate odgovoriti na poziv i pritisnuti dugme # na svom telefonu. Nakon toga, račun će biti aktivan i možete započeti borbena ispitivanja.
Zaštita RDP-a
Gore sam rekao da sam počeo sa snažnom željom da osiguram udaljene veze sa svojom radnom površinom. Stoga ću kao prvi primjer opisati kako ojačati sigurnost RDP-a.
- Svaka implementacija dvofaktorske autentifikacije počinje jednostavnim korakom: kreiranjem takozvane integracije u Duo Security profilu. Idite na odjeljak "Integracije Nova integracija", navedite naziv integracije (na primjer, "Home RDP"), odaberite njen tip "Microsoft RDP" i kliknite na "Dodaj integraciju".
- Prozor koji se pojavi prikazuje parametre integracije: Integracijski ključ, Tajni ključ, API ime hosta. Trebat će nam kasnije kada postavimo klijentsku stranu. Važno je razumjeti: niko ih ne bi trebao znati.
- Zatim morate na zaštićenu mašinu instalirati poseban klijent koji će instalirati sve što vam je potrebno u Windows sistem. Može se preuzeti sa službene stranice ili preuzeti s našeg diska. Cijela njegova konfiguracija se svodi na činjenicu da će tokom procesa instalacije biti potrebno unijeti gore navedeni Integracijski ključ, Tajni ključ, API hostname.
- To je, u stvari, sve. Sada, kada se sljedeći put prijavite na server preko RDP-a, na ekranu će biti tri polja: korisničko ime, lozinka i Duo jednokratni ključ. Shodno tome, sa samo jednom lozinkom za prijavu, više nije moguće prijaviti se na sistem.
Prvi put kada se novi korisnik pokuša prijaviti, morat će jednom proći kroz Duo Security proces verifikacije. Usluga će mu dati posebnu vezu, klikom na koju morate unijeti svoj broj telefona i pričekati poziv za potvrdu. Da biste dobili dodatne ključeve (ili ih dobili po prvi put), možete unijeti ključnu riječ "sms". Ako želite da se autentifikujete telefonskim pozivom - unesite "telefon", ako koristite Duo Push - "push". Povijest svih pokušaja povezivanja (i uspješnih i neuspjelih) sa serverom može se vidjeti na vašem nalogu na web stranici Duo Security tako što ćete prvo odabrati željenu integraciju i otići na njen "Dnevnik autentifikacije".
Duo Security povezujemo bilo gdje!
Koristeći dvofaktorsku autentifikaciju, možete zaštititi ne samo RDP ili SSH, već i VPN-ove, RADIUS servere i sve web servise. Na primjer, postoje gotovi klijenti koji dodaju dodatni sloj provjere autentičnosti popularnim Drupal i WordPress mašinama. Ako nema gotovog klijenta, ne biste trebali biti uznemireni: uvijek možete sami dodati dvofaktorsku autentifikaciju za svoju aplikaciju ili web stranicu koristeći API koji pruža sistem. Logika rada sa API-jem je jednostavna - napravite zahtjev za URL-om određene metode i analizirate vraćeni odgovor, koji može doći u JSON (ili BSON, XML) formatu. Kompletna dokumentacija o Duo REST API-ju dostupna je na službenoj web stranici. Reći ću samo da postoje metode ping, check, preauth, auth, status, po čijem nazivu je lako pogoditi čemu su namijenjene.
Osiguravanje SSH
Razmotrite drugu vrstu integracije - "UNIX integraciju" za implementaciju sigurne autentifikacije. Dodamo još jednu integraciju u naš Duo Security profil i nastavljamo sa instalacijom klijenta u sistem.
Izvore potonjeg možete preuzeti na bit.ly/IcGgk0 ili preuzeti sa našeg diska. Koristio sam najnoviju verziju - 1.8. Usput, klijent radi na većini nix platformi, tako da ga možete lako instalirati na FreeBSD, NetBSD, OpenBSD, Mac OS X, Solaris/Illumos, HP-UX i AIX. Proces izgradnje je standardan - konfiguriši && napravi && sudo napravi instalaciju. Jedina stvar koju bih preporučio je da koristite configure sa opcijom --prefix=/usr, inače klijent možda neće pronaći potrebne biblioteke pri pokretanju. Nakon uspješne instalacije, idemo na uređivanje konfiguracijske datoteke /etc/duo/login_duo.conf. Ovo se mora uraditi iz root-a. Sve promjene koje je potrebno napraviti za uspješan rad su postavljanje vrijednosti integracijskog ključa, tajnog ključa, API hostname, koji se mogu naći na stranici integracije.
; Duo ključ za integraciju = INTEGRATION_KEY; Duo tajni ključ ključa = SECRET_KEY; Duo API hostnamehost = API_HOSTNAME
Da biste natjerali sve korisnike koji se prijavljuju na vaš server preko SSH-a da koriste dvofaktorsku autentifikaciju, samo dodajte sljedeći red u /etc/ssh/sshd_config datoteku:
> ForceCommand /usr/local/sbin/login_duo
Također je moguće organizirati dvofaktorsku autentifikaciju samo za pojedinačne korisnike tako što ćete ih kombinirati u grupu i specificirati ovu grupu u login_duo.conf datoteci:
>grupa=točak
Da bi promjene stupile na snagu, sve što ostaje je ponovno pokrenuti ssh demon. Od sada, nakon uspješnog unosa lozinke za prijavu, korisnik će biti zatražen da prođe dodatnu autentifikaciju. Jednu suptilnost ssh konfiguracije treba posebno napomenuti - snažno se preporučuje da se onemoguće opcije PermitTunnel i AllowTcpForwarding u konfiguracijskoj datoteci, budući da ih demon primjenjuje prije početka druge faze autentifikacije. Dakle, ako napadač ispravno unese lozinku, onda može dobiti pristup internoj mreži prije nego što se završi druga faza autentifikacije zahvaljujući prosljeđivanju porta. Da biste izbjegli ovaj efekat, dodajte sljedeće opcije u sshd_config:
PermitTunnel noAllowTcpForwarding br
Sada je vaš server iza dvostrukog zida i napadaču je mnogo teže ući u njega.
Dodatne postavke
Ako se prijavite na svoj Duo Security nalog i odete na odjeljak "Postavke", možete sami podesiti neke postavke. Prvi važan odjeljak je "Telefonski pozivi". Ovo određuje postavke koje će biti na snazi kada se telefonski poziv koristi za potvrdu autentifikacije. Stavka „Tasteri za povratni glasovni poziv” vam omogućava da podesite koji taster telefona treba da pritisnete da biste potvrdili autentifikaciju. Podrazumevano je tu vrijednost "Pritisnite bilo koji taster za autentifikaciju" - to jest, možete pritisnuti bilo koji taster. Ako postavite vrijednost na "Pritisnite različite tipke za autentifikaciju ili prijavu prijevare", tada ćete morati postaviti dva ključa: pritiskom na prvi potvrđujete autentifikaciju (Key to authenticate), pritiskom na drugi (Key to report prijevaru) znači da proces autentifikacije nismo inicirali mi, odnosno neko je primio našu lozinku i pokušava je iskoristiti za ulazak na server. Stavka “SMS šifre” vam omogućava da podesite broj lozinki koje će jedan SMS sadržavati i njihov vijek trajanja (važenje). Parametar "Lockout and fraud" vam omogućava da postavite adresu e-pošte koja će primati obavijest u slučaju određenog broja neuspješnih pokušaja prijave na server.
Koristi!
Iznenađujuće, mnogi još uvijek ignoriraju dvofaktorsku autentifikaciju. Ne razumijem zašto. Ovo zaista doprinosi velikoj sigurnosti. Možete ga implementirati za gotovo sve, a dostojna rješenja su dostupna besplatno. Pa zašto? Od lenjosti ili nemara.
Slične usluge
- signify(www.signify.net) Usluga pruža tri opcije za organizovanje dvofaktorske autentifikacije. Prvi je upotreba elektronskih ključeva. Drugi način je korištenje pristupnih ključeva, koji se šalju na telefon korisnika putem SMS-a ili dolaze putem e-maila. Treća opcija je mobilna aplikacija za Android, iPhone, BlackBerry telefone koja generira jednokratne lozinke (u suštini slično kao Duo Mobile). Usluga je namenjena velikim kompanijama, pa je u potpunosti plaćena.
- SecurEnvoy(www.securenvoy.com) Takođe vam omogućava da koristite svoj mobilni telefon kao drugi sigurnosni sloj. Zaporke se šalju korisniku putem SMS-a ili e-maila. Svaka poruka sadrži tri pristupna ključa, što znači da se korisnik može prijaviti tri puta prije nego što zatraži novi dio. Usluga se takođe plaća, ali pruža besplatan period od 30 dana. Značajan plus je veliki broj domaćih i nezavisnih integracija.
- PhoneFactor(www.phonefactor.com) Ova usluga vam omogućava da besplatno organizujete dvofaktornu autentifikaciju za do 25 korisnika, pružajući 500 besplatnih autentikacija mesečno. Da biste organizirali zaštitu, morat ćete preuzeti i instalirati poseban klijent. Ako trebate da dodate dvofaktorsku autentifikaciju na svoju web lokaciju, možete koristiti službeni SDK, koji pruža detaljnu dokumentaciju i primjere za sljedeće programske jezike: ASP.NET C#, ASP.NET VB, Java, Perl, Ruby, PHP.
