Lozinke mogu stvoriti veliku sigurnosnu glavobolju i upravljivost za IT administratore poduzeća i organizacija. Korisnici često stvaraju jednostavne lozinke ili ih zapisuju kako ih ne bi zaboravili. Osim toga, nekoliko je postupaka za ponovno postavljanje lozinke učinkovito ili sigurno. S obzirom na ova ograničenja, kako se ove vrste sigurnosnih problema mogu ublažiti kada mreži pristupaju udaljeni korisnici? Kako možete učiniti rješenje za lozinku vaše tvrtke sigurnijim, znajući da mnogi korisnici zapisuju svoje zaporke?
Rješenje postoji – to je implementacija u organizaciju dodatni sustav zaštita pristupa temeljena na unosu jednokratne lozinke(OTP – One Time Password), koji se generiraju na mobilni uređaj vaš zaposlenik. Prijelaz na autentifikaciju temeljenu na jednokratnim lozinkama obično se događa u situaciji kada se shvati da su standardne dugoročne lozinke nedostatne sa sigurnosnog gledišta, a istovremeno su mogućnosti korištenja pametnih kartica ograničene, tj. na primjer, u situaciji u kojoj se mobilni klijenti široko koriste.
Naša tvrtka je razvila tehnološko rješenje, koji će vam omogućiti da dobijete dodatna linija obrane za terminalski poslužitelj ili 1C poslužitelj temeljen na jednokratnim lozinkama , na koji se zaposlenici spajaju na daljinu.
Opseg rada za implementaciju i konfiguraciju OTP sustava
Specijalizirani softver za rad sustava autentifikacije pristupa temeljenog na jednokratnim lozinkama (OTP) Svi zaposlenici organizacije koji trebaju pristup serveru prijavljeni su u OTP sustav Za svakog zaposlenika se izrađuje početno postavljanje mobilni telefon s instalacijom programa za generiranje jednokratne lozinke
Počinju troškovi uvođenja u organizaciju sustava autentifikacije pristupa za terminalski poslužitelj ili 1C poslužitelj temeljen na jednokratnim lozinkama (OTP). od 6400 rub..
U slučajevima kada će OTP sustav biti postavljen zajedno s najmom infrastrukture u našem sigurnom "oblaku", popust na implementaciju sustava zaštite pomoću jednokratnih lozinki (OTP) može doseći 50%.
Jednokratne lozinke - dodatna razina sigurnosti podataka
Tradicionalna, statična lozinka obično se mijenja samo kada je to potrebno: bilo kada istekne, ili kada ju je korisnik zaboravio i želi je resetirati. Jer su lozinke u predmemoriji tvrdi diskovi računalu i pohranjeni na poslužitelju, ranjivi su na hakiranje. Ovaj problem je posebno akutan za prijenosna računala jer ih je lako ukrasti. Mnoge tvrtke zaposlenicima daju prijenosna računala i otvaraju svoje mreže za daljinski pristup. Također zapošljavaju privremene zaposlenike i dobavljače. U takvom okruženju jednostavno rješenje statičke lozinke postaje nedostatak.
Za razliku od statične lozinke, jednokratna lozinka se mijenja svaki put kada se korisnik prijavi u sustav i vrijedi samo kratko vrijeme (30 sekundi). Same lozinke se kreiraju i šifriraju pomoću složenog algoritma koji ovisi o mnogim varijablama: vremenu, broju uspješnih/neuspješnih prijava, nasumično generiranim brojevima itd. Ovaj naizgled složen pristup zahtijeva jednostavne radnje od korisnika - Instalirajte na svoj telefon posebna primjena, koji se jednom sinkronizira s poslužiteljem i potom generira jednokratnu lozinku. Sa svakom novom uspješnom prijavom, klijent i poslužitelj se automatski ponovno sinkroniziraju neovisno jedan o drugom pomoću posebnog algoritma. Vrijednost brojača se povećava svaki put kada se od uređaja traži OTP vrijednost i kada se korisnik želi prijaviti, on unosi OTP-ove koji su trenutno prikazani na njegovom mobilnom uređaju.
Stvarnosti zemalja u kojima živi većina stanovnika Khabrovsk takve su da čuvanje poslužitelja važna informacija Poslovanje izvan zemlje postala je dobra praksa koja vam omogućuje uštedu živaca i podataka.
Prvo pitanje koje se postavlja pri prelasku na oblak nakon enkripcije podataka, a možda i prije nje, jest osigurati da pristup podacima s korisničkog računa obavlja sam korisnik, a ne netko drugi. A ako se u članku mog kolege govori o dobrom načinu šifriranja podataka koji se nalaze u privatnom oblaku, onda je s autentifikacijom sve kompliciranije.
O korisnicima i načinima zaštite
Priroda tipičnog korisnika je takva da je odnos prema sigurnosti korisničkih lozinki prilično neozbiljan i to je nemoguće ispraviti. Naše iskustvo pokazuje da čak i ako tvrtka ima stroge politike, obuku korisnika itd., i dalje će postojati nešifrirani uređaj koji će napustiti zidove ureda, a kada pogledate popis proizvoda jedne poznate tvrtke, shvatit ćete da samo je pitanje vremena prije preuzimanja lozinki s nešifriranog uređaja.
Neke tvrtke, kako bi kontrolirale pristup podacima u oblaku, instaliraju tunele između oblaka i ureda i zabranjuju daljinski pristup https://habrahabr.ru/company/pc-administrator/blog/320016/. Po našem mišljenju, to nije u potpunosti optimalno rješenje, prvo, izgubljene su neke od prednosti rješenje u oblaku, a drugo, postoje problemi s izvedbom navedeni u članku.
Rješenje pomoću terminalskog poslužitelja i Pristupnik udaljene radne površine (RDG) fleksibilniji, može se prilagoditi visoka razina sigurnosti, kako je opisao moj kolega https://habrahabr.ru/post/134860/ (članak iz 2011., ali sam princip je još uvijek relevantan). Ova metoda omogućuje sprječavanje prijenosa podataka iz oblaka, ali nameće ograničenja u radu korisnika i ne rješava u potpunosti problem autentifikacije, već je to DLP rješenje.
Možda je najbolji način da se osigura da ne postoji napadač koji radi pod korisničkim računom dvofaktorska autentifikacija. Članci mog kolege https://habrahabr.ru/post/271259/ https://habrahabr.ru/post/271113/ opisuju postavljanje MFA od Microsofta i Googlea za VPN klijenta. Metoda je dobra, ali, prvo, zahtijeva CISCO ASA, što nije uvijek lako implementirati, posebno u proračunskim oblacima, a drugo, rad putem VPN-a je nezgodan. Rad s terminalskom sesijom putem RDG-a puno je ugodniji, a SSL enkripcijski protokol izgleda univerzalnije i pouzdanije od VPN-a tvrtke CISCO.
Rješenja s dvofaktorskom autentifikacijom terminalski poslužitelj puno, evo primjera postavljanja besplatnog rješenja - http://servilon.ru/dvuhfaktornaya-autentifikaciya-otp/. Ovo rješenje nažalost ne radi preko RDG-a.
RDG poslužitelj traži potvrdu autorizacije od MFA poslužitelja. MFA, ovisno o odabranoj metodi autentifikacije, zove, šalje SMS ili šalje zahtjev mobilnoj aplikaciji. Korisnik potvrđuje ili odbija zahtjev za pristup. MFA vraća rezultat drugog faktora provjere autentičnosti RDG poslužitelju.
Instalirajte i konfigurirajte Azure Multi-Factor Authentication Server
Stvorite davatelja autentifikacije na portalu Microsoft Azure
Idemo na Microsoft Azure (na računu mora biti instalirana pretplata ili probna verzija) i nalazimo Multi-Factor Authentication (MFA).Na ovaj trenutak MFA upravljanje nije dodano nova verzija Azure portal, pa će se otvoriti stara verzija portal.
Da biste kreirali novog pružatelja višefaktorske provjere autentičnosti, trebate kliknuti donji lijevi “CREATE → Application Services → Active Directory → Multi-factor authentication provider → Brzo stvaranje" Navedite naziv i model korištenja.
Kako će se plaćanje obračunavati ovisi o modelu korištenja, bilo po broju korisnika ili po broju autentifikacija.
Nakon izrade, MFA će se pojaviti na popisu. Zatim prijeđite na kontrolu pritiskom odgovarajuće tipke.
Idite na preuzimanja i preuzmite MFA poslužitelj
Postavljanje MFA poslužitelja
MFA poslužitelj mora biti instaliran na virtualni stroj različit od RDG poslužitelja. Podržani su operativni sustavi stariji od Windows Server 2008 ili Windows 7. Za rad je potreban Microsoft .NET Framework 4.0.Adrese na portu 443 trebale bi biti dostupne:
Instaliramo MFA poslužitelj, tijekom instalacije odbijamo čarobnjaka za postavke.
Prilikom prvog pokretanja morate unijeti podatke o računu koji se moraju generirati na stranici za učitavanje poslužitelja.
Zatim dodajemo korisnike. Da biste to učinili, idite na odjeljak Korisnici i kliknite Uvezi iz Aktivni direktorij, odaberite korisnike za uvoz.
Ako je potrebno, možete konfigurirati automatsko dodavanje novih korisnika iz AD-a:
“Integracija imenika → Sinkronizacija → Dodaj”, itd. dodajte direktorij koji će se automatski sinkronizirati u navedenom vremenskom intervalu.
Testirajmo funkcionalnost MFA poslužitelja. Idite na odjeljak Korisnici. Za svoj račun navedite telefonski broj (ako već nije naveden) i odaberite metodu provjere autentičnosti "Telefonski poziv". Pritisnite gumb Test i unesite svoju prijavu i lozinku. Telefon bi trebao primiti poziv. Odgovorimo i pritisnemo #.
Konfiguriranje MFA poslužitelja za rad s Radius zahtjevima
Idite na odjeljak Radius Authentication i označite potvrdni okvir "Enable RADIUS Authentication".Dodajte novog klijenta navođenjem IP adrese NPS poslužitelja i dijeljenog tajnog ključa. Ako se autentifikacija mora provesti za sve korisnike, označite odgovarajući okvir (u u ovom slučaju svi korisnici moraju biti dodani na MFA poslužitelj).
Također morate biti sigurni da portovi navedeni za vezu odgovaraju portovima navedenim na NPS poslužitelju i da ih vatrozid ne blokira.
Idemo Target kartica i dodajte Radius poslužitelj.
Napomena: Ako na mreži nema središnjeg NPS poslužitelja, IP adrese Radius klijenta i poslužitelja bit će iste.
Konfiguriranje RDG i NPS poslužitelja za rad s MFA
Remote Desktop Gateway mora biti konfiguriran za slanje Radius zahtjeva MFA poslužitelju. Da biste to učinili, otvorite svojstva pristupnika i idite na karticu "RDG CAP Store", odaberite "NPS radi na središnjem poslužitelju" i navedite adresu MFA poslužitelja i zajednički tajni ključ.
Zatim konfiguriramo NPS poslužitelj. Proširite odjeljak “Radius klijenti i poslužitelji → Izbrisane grupe Radius poslužitelji". Otvorite svojstva grupe “TS gateway server group” (grupa se stvara prilikom postavljanja RDG-a) i dodajte naš MFA poslužitelj.
Prilikom dodavanja, na kartici "Balansiranje opterećenja" povećavamo ograničenja vremenskog ograničenja poslužitelja. Postavljamo “Broj sekundi bez odgovora, nakon čega se zahtjev smatra odbačenim” i “Broj sekundi između zahtjeva, nakon kojih se poslužitelj smatra nedostupnim” u rasponu od 30-60 sekundi.
Na kartici “Authentication/Accounting” provjeravamo ispravnost navedenih portova i postavljamo zajednički tajni ključ.
Sada idemo na odjeljak "Radius klijenti i poslužitelji → Radius klijenti" i dodamo MFA poslužitelj, navodeći "Prijateljsko ime", adresu i zajedničku tajnu.
Idite na odjeljak “Pravila → Pravila zahtjeva za povezivanje”. U ovaj odjeljak mora postojati pravilo kreirano prilikom konfiguriranja RDG-a. Ovo pravilo usmjerava Radius zahtjeve na MFA poslužitelj.
Duplicirajte pravilo i idite na njegova svojstva. Dodajte uvjet koji odgovara “Naziv prilagođen klijentu” s “Prijateljskim imenom” navedenim u prethodnom koraku.
Na kartici "Postavke" promijenite davatelja usluge autentifikacije na lokalni poslužitelj.
Ovo pravilo će osigurati da kada se radius zahtjev primi od MFA poslužitelja, zahtjev će biti obrađen lokalno, što će eliminirati ponavljanje zahtjeva.
Provjerimo to ovu politiku postavljen iznad izvornog.
U ovoj fazi kombinacija RDG i MFA radi. Sljedeći su koraci neophodni za one koji žele moći koristiti provjeru autentičnosti mobilne aplikacije ili žele korisnicima dati pristup nekim MFA postavkama putem korisničkog portala.
Instaliranje SDK-a, web-usluge mobilne aplikacije i korisničkog portala
Povezivanje s ovim komponentama ostvaruje se putem HTTPS protokola. Stoga morate instalirati SSL certifikat na poslužitelj na kojem će biti postavljeni.Korisnički portal i web-usluga mobilne aplikacije koriste SDK za komunikaciju s MFA poslužiteljem.
Instalacija SDK-a
SDK je instaliran na MFA poslužitelju i zahtijeva IIS, ASP.NET, osnovnu provjeru autentičnosti, koji moraju biti unaprijed instalirani pomoću Upravitelja poslužitelja.Da biste instalirali SDK, idite na odjeljak Web Service SDK u Multi-Factor Authentication Server i kliknite gumb za instalaciju i slijedite čarobnjaka za instalaciju.
Instaliranje web usluge mobilne aplikacije
Ova je usluga potrebna za interakciju mobilne aplikacije s MFA poslužiteljem. Za ispravan rad uslugu, računalo na koje će se instalirati mora imati pristup internetu i port 443 mora biti otvoren za spajanje s interneta.Instalacijska datoteka usluge nalazi se u mapi C:\Program Files\Azure Multi-Factor Authentication na računalu s instaliranim MFA. Pokrenite instalacijski program i slijedite čarobnjaka za instalaciju. Za praktičnost korisnika, možete zamijeniti naziv virtualnog direktorija “MultiFactorAuthMobileAppWebService” s kraćim.
Nakon instalacije idite u mapu C:\inetpub\wwwroot\MultiFactorAuthMobileAppWebService i promijenite datoteku web.config. U ovoj datoteci morate navesti ključeve odgovorne za račun, dio sigurnosne grupe PhoneFactor Admins. Ovaj će se račun koristiti za povezivanje sa SDK-om.
U istoj datoteci morate navesti URL adresa za koje je dostupan SDK.
Napomena: Povezivanje sa SDK-om se vrši preko SSL protokola, tako da se morate pozvati na SDK prema imenu poslužitelja (navedenom u SSL certifikat), a ne po IP adresi. Ako je žalbu uputio mjesni naziv, potrebno je dodati datoteka domaćina odgovarajući unos za korištenje SSL certifikata.
Dodajemo URL gdje je dostupna web usluga mobilne aplikacije u aplikaciji Multi-Factor Authentication Server u odjeljku Mobile App. To je potrebno za ispravno generiranje QR koda u korisničkom portalu za povezivanje mobilnih aplikacija.
Također u ovom odjeljku možete označiti potvrdni okvir "Omogući OATH tokene", koji vam omogućuje korištenje mobilne aplikacije kao softverskog tokena za generiranje jednokratnih lozinki na temelju vremena.
Instalacija korisničkog portala
Instalacija zahtijeva IIS, ASP.NET i ulogu kompatibilnosti metabaze IIS 6 (za IIS 7 ili noviju verziju).Ako je portal instaliran na MFA poslužitelju, samo idite na odjeljak User Portal u Multi-Factor Authentication Serveru, kliknite gumb za instalaciju i slijedite čarobnjaka za instalaciju. Ako je računalo pridruženo domeni, tada će se tijekom instalacije kreirati korisnik koji je član sigurnosne grupe PhoneFactor Admins. Ovaj je korisnik potreban za sigurnu vezu sa SDK-om.
Prilikom instalacije na zasebnom poslužitelju morate kopirati instalacijsku datoteku s MFA poslužitelja (instalacijska datoteka se nalazi u mapi C:\Program Files\Multi-Factor Authentication Server). Instalirajte i uredite datoteku web.config do lokacije C:\inetpub\wwwroot\MultiFactorAuth. Morate promijeniti ključ u ovoj datoteci USE_WEB_SERVICE_SDK od lažnog do istinitog. Navedite pojedinosti o računu koji pripada grupi PhoneFactor Admins u ključevima WEB_SERVICE_SDK_AUTHENTICATION_USERNAME i WEB_SERVICE_SDK_AUTHENTICATION_PASSWORD. I navedite URL adresu servisnog SDK-a, ne zaboravite urediti host datoteku ako je potrebno tako da SSL protokol radi.
Dodajemo URL gdje je dostupan korisnički portal u aplikaciji Multi-Factor Authentication Server u odjeljku User Portal.
Demonstracija kako Azure MFA radi za provjeru autentičnosti RDG veza
Razmotrit ćemo rad MFA sa strane korisnika. U našem slučaju, drugi čimbenik provjere autentičnosti bit će mobilna aplikacija, jer mobilna mreža ima niz ranjivosti koje omogućuju, uz pravilnu pripremu, presretanje poziva i SMS-ova.Prije svega, korisnik će morati otići na korisnički portal i naznačiti svoj broj telefona (ako nije naveden u oglasu) te povezati mobilnu aplikaciju sa svojim računom. Idemo na portal pod našim računom i upisujemo odgovore na sigurnosna pitanja(Trebat ćemo ih ako se pristup računu vrati).
Zatim odaberite metodu provjere autentičnosti, u našem slučaju mobilnu aplikaciju i kliknite gumb "Stvori aktivacijski kod". Generirat će se QR kod koji je potrebno skenirati u mobilnoj aplikaciji.
Budući da je prilikom uvoza korisnika na MFA poslužitelj postavljena provjera autentičnosti pomoću PIN koda, od nas će se tražiti da ga izradimo. Unesite željeni PIN kod i kliknite na “Provjeri moju autentičnost”. U mobilnoj aplikaciji morate potvrditi zahtjev koji se pojavi. Nakon ovih koraka imamo aplikaciju povezanu s računom i puni pristup portalu za promjenu osobnih postavki.
Dobio sam nevjerojatno dobre komentare i pojašnjenja od prijatelja koji je želio ostati anoniman:
1) Na samom početku postavljanja poslužitelja unesite naredbu:
multiotp.exe -debug -config default-request-prefix-pin=0 display-log=1 nakon njega nema potrebe za unosom pin koda prilikom postavljanja korisnika i zapisnik svake operacije se prikazuje u konzoli.
2) Pomoću ove naredbe možete podesiti bantime za korisnike koji su pogriješili s lozinkom (zadano 30 sekundi):
multiotp.exe -debug -config failure-delayed-time=60
3) Ono što će biti napisano u aplikaciji Google Authenticator iznad 6 znamenki, pod nazivom izdavatelj, može se promijeniti iz zadanog MultiOTP-a u nešto drugo:
multiotp.exe -debug -config issuer=other
4) Nakon što su operacije dovršene, naredba za kreiranje korisnika postaje malo jednostavnija:
multiotp.exe -debug -create user TOTP 12312312312312312321 6 (ne postavljam vrijeme ažuriranja znamenki od 30 sekundi, čini se da je 30 prema zadanim postavkama).
5) Svaki korisnik može promijeniti opis (tekst ispod brojeva u Google aplikacija Auth.):
multiotp.exe -postavite opis korisničkog imena=2
6) QR kodovi se mogu kreirati izravno u aplikaciji:
multiotp.exe -qrcode korisničko ime c:\multiotp\qrcode\user.png:\multiotp\qrcode\user.png
7) Možete koristiti ne samo TOTP, već i HOTP (ne Trenutno vrijeme, i vrijednost inkrementalnog brojača):
multiotp.exe -debug -stvori korisničko ime HOTP 12312312312312312321 6
Danas ćemo vam reći kako možete brzo i jednostavno postaviti dvofaktorsku autentifikaciju i šifrirati važne podatke, čak i uz mogućnost korištenja biometrije. Rješenje će biti relevantno za male tvrtke ili samo za osobno računalo ili prijenosno računalo. Bitno je da nam za to nije potrebna infrastruktura javnih ključeva (PKI), poslužitelj s ulogom certifikacijskog tijela (Certificate Services), a ne treba nam niti domena (Active Directory). Svi zahtjevi sustava bit će ograničeni na rad Windows sustav i prisutnost elektroničkog ključa od strane korisnika, au slučaju biometrijske autentifikacije i čitač otiska prsta, koji je, primjerice, možda već ugrađen u vaše prijenosno računalo.
Za autentifikaciju ćemo koristiti naš softver - JaCarta SecurLogon i JaCarta PKI elektronički ključ kao autentifikator. Alat za šifriranje bit će standardni Windows EFS, pristup šifriranim datotekama također će biti omogućen putem JaCarta PKI ključa (isti onaj koji se koristi za autentifikaciju).
Podsjetimo, JaCarta SecurLogon je certificirana FSTEC Rusije softversko i hardversko rješenje tvrtke Aladdin R.D., koje omogućuje jednostavan i brz prijelaz s jednofaktorske autentifikacije temeljene na paru login-password na dvofaktorska autentifikacija u OS putem USB tokena ili pametnih kartica. Suština rješenja je vrlo jednostavna - JSL generira složena lozinka(~63 znaka) i zapisuje ga u sigurnu memoriju elektroničkog ključa. U tom slučaju lozinka može biti nepoznata samom korisniku; korisnik zna samo PIN kod. Unosom PIN koda tijekom autentifikacije, uređaj se otključava i lozinka se šalje sustavu na autentifikaciju. Po želji unos PIN koda možete zamijeniti skeniranjem otiska prsta korisnika, a možete koristiti i kombinaciju PIN + otisak prsta.
EFS, kao i JSL, može raditi u samostalnom načinu rada, ne zahtijevajući ništa osim samog OS-a. U svim Microsoft operativnim sustavima iz obitelji NT, počevši od Windows 2000 i novijih (osim kućne verzije), postoji ugrađena tehnologija šifriranja podataka EFS (Encrypting File System). EFS enkripcija temelji se na mogućnostima sustav datoteka NTFS i CryptoAPI arhitektura i dizajniran je za brzo šifriranje datoteka na tvrdom disku računala. Za enkripciju EFS koristi privatne i javnih ključeva korisnika, koji se generiraju prvi put kada korisnik koristi funkciju šifriranja. Ovi ključevi ostaju nepromijenjeni sve dok njegov račun postoji. Prilikom šifriranja EFS datoteka nasumično generira jedinstveni broj, tzv. File Ključ šifriranja(FEK) 128 bita, s kojim su datoteke šifrirane. FEK ključevi su šifrirani glavnim ključem, koji je šifriran ključem korisnika sustava koji imaju pristup datoteci. Privatni ključ korisnika zaštićen je hashom korisničke lozinke. Podaci šifrirani pomoću EFS-a mogu se dešifrirati samo pomoću istog računa. Windows unosi s istom lozinkom koja se koristi za šifriranje. A ako pohranjujete enkripcijski certifikat i privatni ključ na USB token ili pametnu karticu, tada će vam za pristup šifriranim datotekama trebati i ovaj USB token ili pametna kartica, što rješava problem kompromisa lozinke, jer će biti potrebno imati i dodatni uređaj u obliku elektroničkog ključa.
Ovjera
Kao što je već spomenuto, ne trebate AD ili ovlašteno tijelo za izdavanje certifikata da biste ga konfigurirali; trebate bilo koji moderni Windows, JSL distribuciju i licencu. Postavljanje je smiješno jednostavno.Morate instalirati datoteku licence.
Dodajte korisnički profil.
I počnite koristiti dvofaktornu autentifikaciju.
Biometrijska autentifikacija
Moguće je koristiti biometrijsku autentifikaciju otiskom prsta. Rješenje radi pomoću tehnologije Match On Card. Raspršivač otiska prsta zapisuje se na karticu tijekom početne inicijalizacije i naknadno se uspoređuje s izvornikom. Ne ostavlja karticu nigdje, ne pohranjuje se ni u jednoj bazi podataka. Za otključavanje takvog ključa koristi se otisak prsta ili kombinacija PIN + otisak prsta, PIN ili otisak prsta.Za početak korištenja samo trebate inicijalizirati karticu s potrebne parametre, snimite otisak prsta korisnika.
Ubuduće će se isti prozor pojaviti prije ulaska u OS.
U ovom primjeru, kartica je inicijalizirana s mogućnošću provjere autentičnosti pomoću otiska prsta ili PIN koda, kao što pokazuje prozor za provjeru autentičnosti.
Nakon davanja otiska prsta ili PIN koda, korisnik će biti odveden u OS.
Šifriranje podataka
Postavljanje EFS-a također nije jako komplicirano, svodi se na postavljanje certifikata i njegovo izdavanje elektroničkom ključu te postavljanje direktorija za šifriranje. Obično ne morate šifrirati cijeli disk. Stvarno važne datoteke, kojima nije poželjno da treće strane dobiju pristup, obično se nalaze u zasebnim direktorijima, a ne razbacani po disku.Za izdavanje enkripcijskog certifikata i privatnog ključa, otvorite svoj korisnički račun, odaberite - Upravljanje enkripcijskim certifikatima datoteka. U čarobnjaku koji se otvori stvorite samopotpisani certifikat na pametnoj kartici. Budući da nastavljamo koristiti pametnu karticu s BIO appletom, morate dati otisak prsta ili PIN za snimanje certifikata za šifriranje.
Na sljedeći korak navedite direktorije koji će biti povezani s novim certifikatom; ako je potrebno, možete navesti sve logičke pogone.
Sam šifrirani direktorij i datoteke u njemu bit će označene drugom bojom.
Pristup datotekama ostvaruje se samo uz posjedovanje elektroničkog ključa, uz predočenje otiska prsta ili PIN koda, ovisno o odabranom.
Ovo dovršava postavljanje.
Možete koristiti oba scenarija (autentifikaciju i enkripciju) ili možete odabrati jedan.
Ako je jedina prepreka pristupu vašim podacima lozinka, izloženi ste velikom riziku. Prolaz može biti zarobljen, presretnut, odvučen od strane trojanaca, izlovljen koristeći socijalni inženjering. Nemojte koristiti u ovoj situaciji dvofaktorska autentifikacija- gotovo zločin.
Već smo više puta govorili o jednokratnim ključevima. Značenje je vrlo jednostavno. Ako napadač nekako uspije dobiti vašu lozinku za prijavu, može lako pristupiti vašoj e-pošti ili se povezati s njom udaljeni poslužitelj. Ali ako mu je na putu dodatni faktor, na primjer, jednokratni ključ (koji se naziva i OTP ključ), tada ništa neće raditi. Čak i ako takav ključ dođe u ruke napadača, više ga neće biti moguće koristiti jer vrijedi samo jednom. Takav bi drugi faktor mogao biti dodatni poziv, šifra primljena SMS-om, ključ generiran na telefonu pomoću određenih algoritama na temelju trenutnog vremena (vrijeme je način sinkronizacije algoritma na klijentu i poslužitelju). Isto Google već već dugo preporučuje svojim korisnicima da omoguće autentifikaciju u dva faktora (par klikova u postavkama računa). Sada je vrijeme da dodate takav sloj zaštite za svoje usluge!
Što nudi Duo Security?
Banalni primjer. Moje računalo ima RDP priključak otvoren "vani" za daljinsko povezivanje s radnom površinom. Ako lozinka za prijavu procuri, napadač će je odmah primiti puni pristup do auta. Stoga nije bilo pitanja o jačanju zaštite OTP lozinkom - to se jednostavno moralo učiniti. Bilo je glupo izmišljati kotač i pokušavati sve sam implementirati, pa sam samo gledao rješenja koja su na tržištu. Većina ih se pokazala komercijalnom (više detalja na bočnoj traci), ali za mali broj korisnika mogu se koristiti besplatno. Baš ono što vam treba za vaš dom. Jedna od najuspješnijih usluga koja vam omogućuje organiziranje dvofaktorske autentifikacije za doslovno sve (uključujući VPN, SSH i RDP) pokazala se Duo Security (www.duosecurity.com). Atraktivnosti je dodala činjenica da je projektant i osnivač projekta John Oberheid, poznati stručnjak za sigurnost informacija. Na primjer, odabrao je Googleov komunikacijski protokol sa Android pametni telefoni, pomoću kojeg možete instalirati ili ukloniti proizvoljne aplikacije. Ova baza se osjeća: kako bi pokazali važnost dvofaktorske autentifikacije, dečki su pokrenuli VPN usluga Hunter (www.vpnhunter.com), koji može brzo pronaći neskrivene VPN poslužitelje tvrtke (i istovremeno odrediti vrstu opreme na kojoj rade), usluge udaljenog pristupa (OpenVPN, RDP, SSH) i druge infrastrukturne elemente koji omogućiti napadaču da može dobiti pristup internoj mreži jednostavnim poznavanjem prijave i lozinke. Smiješno je da su na službenom Twitteru servisa vlasnici počeli objavljivati dnevna izvješća o skeniranju poznatih tvrtki, nakon čega je račun zabranjen :). Usluga Duo Security, naravno, prvenstveno je usmjerena na uvođenje dvofaktorske autentifikacije u tvrtkama s veliki broj korisnika. Na našu sreću, moguće je kreirati besplatni osobni račun, koji vam omogućuje besplatno organiziranje dvofaktorske autentifikacije za deset korisnika.
Što bi mogao biti drugi faktor?
Zatim ćemo pogledati kako ojačati sigurnost vaše veze s udaljenom radnom površinom i SSH na vašem poslužitelju u samo deset minuta. Ali prvo želim govoriti o dodatnom koraku koji Duo Security uvodi kao drugi faktor autorizacije. Postoji nekoliko opcija: telefonski poziv, SMS s šiframa, Duo Mobile šifre, Duo Push, elektronički ključ. Malo više o svakom.
Koliko dugo ga mogu koristiti besplatno?
Kao što je već spomenuto, Duo Security nudi poseban tarifni plan "Personal". Potpuno je besplatan, ali broj korisnika ne smije biti veći od deset. Podržava dodavanje neograničenog broja integracija, svih dostupne metode ovjera. Omogućuje tisuće besplatnih kredita za telefonske usluge. Krediti su poput interne valute koja se tereti s vašeg računa svaki put kada se autentifikacija izvrši pozivom ili SMS-om. U postavkama računa možete postaviti tako da kada dosegnete određeni broj kredita, dobijete obavijest i imate vremena nadopuniti svoj saldo. Tisuću kredita košta samo 30 dolara. Cijena poziva i SMS-a za različite zemlje drugačije je. Za Rusiju će poziv koštati od 5 do 20 kredita, SMS - 5 kredita. Međutim, ništa se ne naplaćuje za poziv koji se dogodi tijekom autentifikacije na web stranici Duo Security. Na kredite možete u potpunosti zaboraviti ako za autentifikaciju koristite Duo Mobile aplikaciju - ništa se ne naplaćuje.
Jednostavna registracija
Kako biste zaštitili svoj poslužitelj koristeći Duo Security, morate preuzeti i instalirati poseban klijent koji će komunicirati s Duo Security poslužiteljem za provjeru autentičnosti i pružiti drugi sloj zaštite. Sukladno tome, ovaj će klijent biti drugačiji u svakoj situaciji: ovisno o tome gdje je točno potrebno implementirati dvofaktorsku autentifikaciju. O tome ćemo govoriti u nastavku. Prvo što trebate učiniti je registrirati se u sustav i dobiti račun. Stoga otvaramo glavnu stranicu web-mjesta, kliknemo "Besplatna probna verzija", na stranici koja se otvori kliknemo gumb "Prijavi se" pod vrstom osobnog računa. Nakon toga od nas se traži da unesemo svoje ime, prezime, e-mail adresu i naziv tvrtke. Trebali biste primiti e-poruku koja sadrži poveznicu za potvrdu vaše registracije. U tom slučaju, sustav će sigurno automatski nazvati navedeni broj telefona: Da biste aktivirali svoj račun, trebate odgovoriti na poziv i pritisnuti tipku # na svom telefonu. Nakon toga, račun će biti aktivan i možete započeti borbeno testiranje.
Zaštita RDP-a
Gore sam rekao da sam krenuo s velikom željom da osiguram daljinske veze na svoju radnu površinu. Stoga ću kao prvi primjer opisati kako ojačati sigurnost RDP-a.
- Svaka implementacija dvofaktorske autentifikacije počinje s jednostavna radnja: stvaranje tzv. integracije u Duo Security profilu. Idite na odjeljak "Integracije Nova integracija", odredite naziv integracije (na primjer, "Home RDP"), odaberite njenu vrstu "Microsoft RDP" i kliknite "Dodaj integraciju".
- Prozor koji se pojavi prikazuje parametre integracije: Integracijski ključ, Tajni ključ, API hostname. Trebat će nam kasnije kada budemo konfigurirali klijentski dio. Važno je razumjeti: nitko ih ne smije znati.
- Zatim morate na zaštićeni stroj instalirati poseban klijent koji će instalirati sve što je potrebno u Windows sustav. Može se preuzeti sa službene stranice ili preuzeti s našeg diska. Njegovo cjelokupno postavljanje svodi se na činjenicu da ćete tijekom postupka instalacije morati unijeti gore spomenuti integracijski ključ, tajni ključ, API hostname.
- To je zapravo sve. Sada, kada se sljedeći put prijavite na poslužitelj putem RDP-a, ekran će imati tri polja: korisničko ime, lozinku i Duo jednokratni ključ. Sukladno tome, više nije moguće prijaviti se u sustav samo s prijavom i lozinkom.
Prvi put kada se novi korisnik pokuša prijaviti, morat će jednom proći kroz Duo Security postupak provjere. Usluga će mu dati posebnu vezu, nakon koje mora unijeti svoj telefonski broj i čekati poziv za potvrdu. Dobiti dodatni ključevi(ili ih primiti prvi put), možete unijeti ključnu riječ “sms”. Ako želite autentifikaciju putem telefonskog poziva, unesite "phone", ako koristite Duo Push, unesite "push". Povijest svih pokušaja povezivanja (i uspješnih i neuspješnih) s poslužiteljem možete pogledati na svom računu na web stranici Duo Security tako da prvo odaberete željenu integraciju i odete na njen “Authentication Log”.
Povežite Duo Security bilo gdje!
Pomoću dvofaktorske provjere autentičnosti možete zaštititi ne samo RDP ili SSH, već i VPN-ove, RADIUS poslužitelje i sve web usluge. Na primjer, postoje gotovi klijenti koji dodaju dodatni sloj autentifikacije popularnim motorima Drupal i WordPress. Ako nema gotovog klijenta, nemojte se uzrujavati: uvijek možete sami dodati dvofaktorsku autentifikaciju za svoju aplikaciju ili web stranicu koristeći API koji nudi sustav. Logika rada s API-jem je jednostavna - napravite zahtjev za Određeni URL metodu i analizirati vraćeni odgovor, koji može doći u JSON formatu (ili BSON, XML). Kompletna dokumentacija za Duo REST API dostupna je na službenoj web stranici. Reći ću samo da postoje metode ping, check, preauth, auth, status, iz čijeg naziva je lako pogoditi čemu su namijenjene.
Zaštita SSH
Razmotrimo drugu vrstu integracije - "UNIX integracija" za implementaciju sigurne autentifikacije. Dodamo još jednu integraciju našem profilu Duo Security i nastavljamo s instalacijom klijenta na sustav.
Izvorni kod potonjeg možete preuzeti na bit.ly/IcGgk0 ili ga preuzeti s našeg diska. Koristio sam Najnovija verzija- 1.8. Usput, klijent radi na većini nix platformi, tako da se lako može instalirati na FreeBSD, NetBSD, OpenBSD, Mac OS X, Solaris/Illumos, HP-UX i AIX. Proces izgradnje je standardan - konfigurirajte && make && sudo make install. Jedina stvar koju bih preporučio je korištenje configure s opcijom --prefix=/usr, inače klijent možda neće pronaći potrebne knjižnice. Nakon uspješne instalacije idite na uređivanje konfiguracijske datoteke /etc/duo/login_duo.conf. To se mora učiniti iz korijena. Sve promjene koje je potrebno izvršiti uspješan rad, je postavljanje vrijednosti integracijskog ključa, tajnog ključa, naziva hosta API-ja, koje se mogu pronaći na integracijskoj stranici.
; Duo integracija Keykey = INTEGRATION_KEY; Duo tajni ključ = SECRET_KEY; Duo API hostnamehost = API_HOSTNAME
Da biste natjerali sve korisnike koji se prijavljuju na vaš poslužitelj putem SSH-a da koriste dvofaktorsku provjeru autentičnosti, samo dodajte sljedeći red u datoteku /etc/ssh/sshd_config:
> ForceCommand /usr/local/sbin/login_duo
Također je moguće organizirati dvofaktorsku autentifikaciju samo za pojedinačne korisnike tako da ih kombinirate u grupu i navedete tu grupu u datoteci login_duo.conf:
> grupa = kotač
Da bi promjene stupile na snagu, sve što trebate učiniti je ponovno pokrenuti ssh daemon. Od sada, nakon uspješnog unosa lozinke za prijavu, korisnik će biti upitan da prođe dodatnu provjeru autentičnosti. Zasebno treba napomenuti jednu suptilnost ssh postavke- Toplo se preporuča onemogućiti opcije PermitTunnel i AllowTcpForwarding u konfiguracijskoj datoteci, jer ih demon primjenjuje prije pokretanja druge faze autentifikacije. Stoga, ako napadač ispravno unese lozinku, može dobiti pristup interna mreža dok se ne završi druga faza provjere autentičnosti zahvaljujući prosljeđivanju porta. Da biste izbjegli ovaj učinak, dodajte sljedeće opcije u sshd_config:
PermitTunnel noAllowTcpProsljeđivanje br
Sada je vaš poslužitelj iza dvostrukog zida i napadaču je puno teže ući u njega.
Dodatne postavke
Ako se prijavite na svoj Duo Security račun i odete na odjeljak "Postavke", možete podesiti neke od postavki koje vam odgovaraju. Prvi važan odjeljak je "Telefonski pozivi". Ovo određuje parametre koji će biti na snazi kada se telefonski poziv koristi za potvrdu autentifikacije. Stavka "Tipke za povratni glasovni poziv" omogućuje vam da odredite koju telefonsku tipku treba pritisnuti za potvrdu autentifikacije. Prema zadanim postavkama, vrijednost je "Pritisnite bilo koju tipku za provjeru autentičnosti" - to jest, možete pritisnuti bilo koju. Ako postavite vrijednost "Pritisnite različite tipke za autentifikaciju ili prijavu prijevare", tada ćete morati postaviti dvije tipke: klikom na prvu potvrđujete autentifikaciju (Key to authenticate), klikom na drugu (Key to report fraud) znači da smo nije pokrenuo proces provjere autentičnosti, odnosno netko je primio našu lozinku i pokušava se ulogirati na poslužitelj pomoću nje. Stavka “SMS šifre” omogućuje vam da postavite broj šifri koje će sadržavati jedan SMS i njihov životni vijek (valjanost). Parametar “Lockout and fraud” omogućuje postavljanje e-mail adrese na koju će biti poslana obavijest u slučaju određenog broja neuspješnih pokušaja prijave na poslužitelj.
Iskoristi!
Iznenađujuće, mnogi ljudi još uvijek ignoriraju dvofaktornu autentifikaciju. Ne razumijem zašto. Ovo stvarno uvelike povećava sigurnost. Može se implementirati za gotovo sve, a pristojna rješenja dostupna su besplatno. Pa zašto? Od lijenosti ili nemara.
Analogne usluge
- Označiti(www.signify.net) Usluga nudi tri opcije za organiziranje dvofaktorske autentifikacije. Prvi je korištenje elektronički ključevi. Druga metoda je korištenje zaporki koje se šalju na korisnikov telefon putem SMS-a ili putem e-pošte. Treća opcija je mobilna aplikacija za Android telefone, iPhone, BlackBerry, koja generira jednokratne lozinke (u suštini analog Duo Mobile). Usluga je usmjerena na velike tvrtke, dakle u potpunosti plaćeno.
- SecurEnvoy(www.securenvoy.com) Također vam omogućuje korištenje vašeg mobilnog telefona kao drugog sloja zaštite. Zaporke se šalju korisniku putem SMS-a ili e-pošte. Svaka poruka sadrži tri zaporke, odnosno korisnik se može prijaviti tri puta prije nego što zatraži novi dio. Usluga se također plaća, ali nudi besplatno razdoblje od 30 dana. Značajna prednost je veliki broj integracija i nativnih i trećih strana.
- PhoneFactor(www.phonefactor.com) Ova usluga omogućuje organiziranje besplatne dvofaktorske autentifikacije za do 25 korisnika, pružajući 500 besplatnih autentifikacija mjesečno. Da biste organizirali zaštitu, morat ćete preuzeti i instalirati poseban klijent. Ako trebate dodati dvofaktorsku autentifikaciju na svoju stranicu, možete koristiti službeni SDK, koji pruža detaljnu dokumentaciju i primjere za sljedeće programske jezike: ASP.NET C#, ASP.NET VB, Java, Perl, Ruby, PHP.
