Parolele pot crea o mare durere de cap de securitateși manevrabilitate pentru administratorii IT ai întreprinderilor și organizațiilor. Utilizatorii creează adesea parole simple sau notează parole pentru a nu le uita. În plus, câteva dintre procedurile de resetare a parolei sunt eficiente și sigure. Având în vedere aceste limitări, cum pot fi atenuate aceste tipuri de probleme de securitate atunci când rețeaua este accesată de utilizatori la distanță? Cum puteți face soluția de parole a companiei dvs. mai sigură, știind că mulți utilizatori își notează parolele?
Există o soluție - aceasta este introducerea în organizarea unui sistem suplimentar de protecție a accesului bazat pe introducerea parolelor unice (OTP - One Time Password), care sunt generate pe dispozitivul mobil al angajatului dumneavoastră. Trecerea la autentificarea bazată pe parole unice are loc de obicei atunci când devine clar că parolele standard pe termen lung sunt insuficiente din punct de vedere al securității și, în același timp, posibilitățile de utilizare a cardurilor inteligente sunt limitate, de exemplu, într-o situație. de utilizare în masă a clienților mobili.
Compania noastra a dezvoltat o solutie tehnologica, care vă va permite să obțineți linie suplimentară de apărare pentru un server terminal sau un server 1C bazat pe parole unice , la care angajații se conectează de la distanță.
Domeniul de activitate pentru implementarea și configurarea unui sistem OTP
Pe serverul dvs., software specializat este instalat și configurat pentru funcționarea unui sistem de autentificare a accesului bazat pe parole unice (OTP) Toți angajații organizației care au nevoie de acces la server intră în sistemul OTP Pentru fiecare angajat, configurarea inițială a unui telefon mobil se realizează cu instalarea unui program pentru generarea unei parole unice.
Costul introducerii unui sistem de autentificare a accesului la un server terminal sau un server 1C bazat pe parole unice (OTP) într-o organizație începe de la 6400 de ruble.
În cazurile în care sistemul OTP va fi implementat împreună cu închirierea infrastructurii în „clodul” nostru securizat, Reducerea pentru implementarea unui sistem de protecție folosind parole unice (OTP) poate ajunge la 50%.
Parole unice - un nivel suplimentar de securitate a datelor
O parolă tradițională, statică, este de obicei schimbată numai atunci când este necesar, fie când expiră, fie când utilizatorul a uitat-o și dorește să o resetați. Deoarece parolele sunt stocate în cache pe hard disk-urile computerului și stocate pe server, acestea sunt vulnerabile la hacking. Această problemă este deosebit de acută pentru computerele portabile, deoarece sunt ușor de furat. Multe companii oferă angajaților laptopuri și își deschid rețelele pentru acces la distanță. De asemenea, angajează angajați temporari și furnizori. Într-un astfel de mediu, o soluție simplă de parolă statică devine un dezavantaj.
Spre deosebire de o parolă statică, o parolă unică se schimbă de fiecare dată când un utilizator se conectează la sistem și este valabilă doar pentru o perioadă scurtă de timp (30 de secunde). Parolele în sine sunt create și criptate conform unui algoritm complex care depinde de multe variabile: timp, numărul de autentificări reușite/nereușite, numere generate aleatoriu etc. Această abordare aparent complexă necesită acțiuni simple din partea utilizatorului - Instalați o aplicație specială pe telefonul dvs. care se sincronizează o dată cu serverul și, ulterior, generează o parolă unică. Cu fiecare conectare reușită nouă, clientul și serverul sunt resincronizate automat, independent unul de celălalt, conform unui algoritm special. Valoarea contorului crește de fiecare dată când se solicită o valoare OTP de la dispozitiv și când utilizatorul dorește să se autentifice, acesta introduce OTP-ul afișat în prezent pe dispozitivul său mobil.
Realitățile țărilor în care locuiesc majoritatea Khabroviților sunt de așa natură încât păstrarea serverelor cu informații importante în afara țării de desfășurare a afacerilor a devenit o formă bună, permițându-vă să vă salvați nervii și datele.
Prima întrebare care apare atunci când treceți în cloud după criptarea datelor, și poate înainte de aceasta, este să vă asigurați că datele cu un cont de utilizator sunt accesate de utilizator și nu de altcineva. Și dacă o modalitate bună de a cripta datele găzduite într-un cloud privat este discutată în articolul colegului meu, atunci autentificarea este mai dificilă.
Despre utilizatori și metode de protecție
Natura unui utilizator obișnuit este de așa natură încât atitudinea față de siguranța parolelor din conturi este destul de frivolă și este imposibil să remediați acest lucru. Experiența noastră arată că, chiar dacă o companie are politici stricte, instruire pentru utilizatori etc., va exista totuși un dispozitiv necriptat care a părăsit pereții biroului și, căutând prin lista de produse a unei companii binecunoscute, înțelegeți că extragerea parolele de pe un dispozitiv necriptat este doar o chestiune de timp.
Unele companii stabilesc tuneluri între cloud și birou pentru a controla accesul la date din cloud, interzic accesul de la distanță https://habrahabr.ru/company/pc-administrator/blog/320016/. În opinia noastră, aceasta nu este o soluție complet optimă, în primul rând, unele dintre avantajele unei soluții cloud se pierd și, în al doilea rând, există probleme de performanță notate în articol.
Soluție folosind server terminal și Gateway Desktop la distanță (RDG) mai flexibil, puteți configura un nivel ridicat de securitate, așa cum este descris de colegul meu https://habrahabr.ru/post/134860/ (un articol din 2011, dar principiul în sine este încă relevant). Această metodă vă permite să preveniți transferul de date din cloud, dar impune restricții asupra muncii utilizatorului și nu rezolvă complet problema de autentificare, mai degrabă este o soluție DLP.
Poate cel mai bun mod de a vă asigura că niciun atacator nu rulează sub un cont de utilizator este să autentificare cu doi factori. Articolele colegului meu https://habrahabr.ru/post/271259/ https://habrahabr.ru/post/271113/ descriu configurarea MFA de la Microsoft și Google pentru un VPN client. Metoda este bună, dar, în primul rând, necesită un CISCO ASA, care nu este întotdeauna ușor de implementat, mai ales în cloud-urile bugetare, iar în al doilea rând, lucrul printr-un VPN este incomod. Lucrul cu o sesiune de terminal prin RDG este mult mai confortabil, iar protocolul de criptare SSL pare mai versatil și mai fiabil decât VPN de la CISCO.
Există multe soluții cu autentificare cu doi factori pe serverul terminal în sine, iată un exemplu de configurare a unei soluții gratuite - http://servilon.ru/dvuhfaktornaya-autentifikaciya-otp/. Această soluție, din păcate, nu funcționează prin RDG.
Serverul RDG solicită confirmarea autorizației de la serverul MFA. MFA, în funcție de metoda de autentificare selectată, sună, trimite SMS-uri sau trimite o cerere către aplicația mobilă. Utilizatorul aprobă sau respinge cererea de acces. MFA returnează rezultatul celui de-al doilea factor de autentificare la serverul RDG.
Instalarea și configurarea Azure Multi-Factor Authentication Server
Creați un furnizor de autentificare în portalul Microsoft Azure
Mergem la Microsoft Azure (contul trebuie să aibă un abonament sau este instalată o versiune de probă) și găsim Multi-Factor Authentication (MFA).Momentan, managementul MFA nu a fost adăugat la noua versiune a portalului Azure, așa că se va deschide versiunea veche a portalului.
Pentru a crea un nou furnizor de autentificare multifactor, faceți clic pe CREATE → Servicii aplicații → Director activ → Furnizor de autentificare multifactor → Creare rapidă în partea stângă jos. Specificați numele și modelul de utilizare.
Modelul de utilizare determină modul în care va fi taxată plata, fie după numărul de utilizatori, fie după numărul de autentificări.
Odată creat, MFA va apărea în listă. Apoi, accesați controlul apăsând butonul corespunzător.
Accesați Descărcări și descărcați serverul MFA
Implementarea unui server MFA
Serverul MFA trebuie instalat pe o mașină virtuală, alta decât serverul RDG. Sistem de operare acceptat mai vechi decât Windows Server 2008 sau Windows 7. Necesită Microsoft .NET Framework 4.0 pentru a funcționa.Adresele de pe portul 443 ar trebui să fie disponibile:
Instalăm serverul MFA, în timpul instalării refuzăm vrăjitorul de configurare.
La prima pornire, trebuie să introduceți datele din cont, care trebuie generate pe pagina de descărcare a serverului.
Apoi, adăugați utilizatori. Pentru a face acest lucru, accesați secțiunea Utilizatori și faceți clic pe Import din Active Directory, selectați utilizatorii de importat.
Dacă este necesar, puteți configura adăugarea automată de noi utilizatori din AD:
„Integrare director → Sincronizare → Adăugare”, și așa mai departe. adăugați un director care va fi sincronizat automat la intervalul de timp specificat.
Să testăm performanța serverului MFA. Accesați secțiunea Utilizatori. Pentru contul dvs., specificați numărul de telefon (dacă nu este deja setat) și selectați metoda de autentificare „Apel telefonic”. Faceți clic pe butonul Test și introduceți numele de utilizator și parola. Telefonul ar trebui să primească un apel. Răspundeți și apăsați #.
Configurarea unui server MFA pentru a funcționa cu solicitările Radius
Accesați secțiunea Radius Authentication și bifați caseta de selectare „Enable RADIUS Authentication”.Adăugăm un nou client specificând adresa IP a serverului NPS și secretul partajat. Dacă autentificarea trebuie efectuată pentru toți utilizatorii, bifați caseta corespunzătoare (în acest caz, toți utilizatorii trebuie adăugați la serverul MFA).
De asemenea, trebuie să vă asigurați că porturile specificate pentru conexiune corespund cu porturile specificate pe serverul NPS și că firewall-ul nu le blochează.
Accesați fila Țintă și adăugați un server Radius.
Notă: Dacă nu există un server NPS central în rețea, adresele IP ale clientului și serverului Radius vor fi aceleași.
Configurarea RDG și a serverului NPS pentru a funcționa împreună cu MFA
Gateway-ul RD trebuie configurat pentru a trimite cereri Radius către serverul MFA. Pentru a face acest lucru, deschideți proprietățile gateway-ului și accesați fila „RDG CAP Store”, selectați „NPS rulează pe un server central” și specificați adresa serverului MFA și cheia secretă partajată.
Apoi, configuram serverul NPS. Extindeți secțiunea Clienți și servere Radius → Grupuri de servere Radius la distanță. Deschideți proprietățile grupului „TS gateway server group” (grupul este creat la configurarea RDG) și adăugați serverul nostru MFA.
Când adăugăm, în fila „Echilibrare încărcare”, creștem limitele de expirare a serverului. Setăm „Numărul de secunde fără răspuns, după care cererea este considerată respinsă” și „Numărul de secunde dintre solicitări, după care serverul este considerat indisponibil” în intervalul 30-60 de secunde.
În fila „Autentificare / Contabilitate”, verificăm corectitudinea porturilor specificate și setăm cheia secretă partajată.
Acum să mergem la secțiunea „Clienți și servere Radius → Clienți Radius” și să adăugăm un server MFA, specificând „Numele prietenos”, adresa și secretul partajat.
Accesați secțiunea „Politici → Politici de solicitare a conexiunii”. Această secțiune ar trebui să conțină politica creată la configurarea RDG. Această politică direcționează solicitările Radius către serverul MFA.
Duplicați politica și accesați proprietățile acesteia. Adăugați o condiție care să corespundă „Nume prietenos pentru clienți” cu „Nume prietenos” setat la pasul anterior.
În fila „Setări”, schimbăm furnizorul de servicii de autentificare pe serverul local.
Această politică va asigura că atunci când o solicitare Radius este primită de la serverul MFA, cererea va fi procesată local, ceea ce va elimina buclele de solicitare.
Verificăm ca această politică să fie plasată deasupra celei inițiale.
În această etapă, o grămadă de RDG și MFA sunt în stare de funcționare. Următorii pași sunt necesari pentru cei care trebuie să poată utiliza autentificarea aplicației mobile sau să le ofere utilizatorilor acces la unele dintre setările de autentificare cu mai mulți factori prin portalul utilizatorului.
Instalarea SDK-ului, a serviciului web pentru aplicații mobile și a portalului pentru utilizatori
Conexiunea la aceste componente se face prin protocolul HTTPS. Prin urmare, pe serverul unde vor fi implementate, trebuie să instalați un certificat SSL.Portalul utilizatorului și serviciul web al aplicației mobile utilizează SDK-ul pentru a comunica cu serverul MFA.
Instalarea SDK-ului
SDK-ul este instalat pe serverul MFA și necesită IIS, ASP.NET, autentificare de bază, care trebuie mai întâi instalat folosind Server Manager.Pentru a instala SDK-ul, accesați secțiunea Web Service SDK din Multi-Factor Authentication Server și faceți clic pe butonul de instalare, urmați expertul de instalare.
Instalarea serviciului web al aplicației mobile
Acest serviciu este necesar pentru interacțiunea aplicației mobile cu serverul MFA. Pentru ca serviciul să funcționeze corect, computerul pe care va fi instalat trebuie să aibă acces la Internet și portul 443 trebuie să fie deschis pentru conectarea de la Internet.Fișierul de instalare a serviciului se află în folder C:\Program Files\Azure Multi-Factor Authentication pe un computer cu MFA instalat. Rulați programul de instalare și urmați expertul de instalare. Pentru confortul utilizatorilor, puteți înlocui numele directorului virtual „MultiFactorAuthMobileAppWebService” cu unul mai scurt.
După instalare, accesați folderul C:\inetpub\wwwroot\MultiFactorAuthMobileAppWebService și modificați fișierul web.config. În acest fișier, trebuie să setați cheile responsabile pentru contul care face parte din grupul de securitate PhoneFactor Admins. Acest cont va fi folosit pentru a vă conecta la SDK.
În același fișier, trebuie să specificați adresa URL la care este disponibil SDK-ul.
Notă: Conexiunea la SDK se face prin protocolul SSL, așa că trebuie să vă referiți la SDK după numele serverului (specificat în certificatul SSL) și nu după adresa IP. Dacă cererea este făcută de numele local, trebuie să adăugați intrarea corespunzătoare în fișierul hosts pentru a utiliza certificatul SSL.
Adăugați adresa URL unde serviciul web al aplicației mobile este disponibil în aplicația Multi-Factor Authentication Server în secțiunea Aplicație mobilă. Acest lucru este necesar pentru generarea corectă a codului QR în portalul utilizatorului pentru conectarea aplicațiilor mobile.
De asemenea, în această secțiune, puteți bifa caseta de selectare „Activați jetoane OATH”, care vă permite să utilizați aplicația mobilă ca simbol software pentru a genera parole unice în funcție de timp.
Instalarea portalului utilizatorului
Instalarea necesită IIS, ASP.NET și IIS Metabase Compatibility Role 6 (pentru IIS 7 sau o versiune ulterioară).Dacă portalul este instalat pe serverul MFA, este suficient să mergeți la secțiunea User Portal din Multi-Factor Authentication Server, să faceți clic pe butonul de instalare și să urmați vrăjitorul de instalare. Dacă computerul este conectat la un domeniu, instalarea va crea un utilizator care este membru al grupului de securitate PhoneFactor Admins. Acest utilizator este necesar pentru o conexiune sigură la SDK.
Când instalați pe un server separat, trebuie să copiați fișierul de instalare de pe serverul MFA (fișierul de instalare se află în folderul C:\Program Files\Multi-Factor Authentication Server). Instalați și editați fișierul web.config la locație C:\inetpub\wwwroot\MultiFactorAuth. În acest fișier, trebuie să schimbați cheia USE_WEB_SERVICE_SDK de la fals la adevărat. Specificați detaliile unui cont care este membru al grupului PhoneFactor Admins în taste WEB_SERVICE_SDK_AUTHENTICATION_USERNAME și WEB_SERVICE_SDK_AUTHENTICATION_PASSWORD. Și specificați adresa URL a serviciului SDK, fără a uita, dacă este necesar, să corectați fișierul hosts, astfel încât protocolul SSL să funcționeze.
Adăugați adresa URL la care portalul utilizatorului este disponibil pentru aplicația Multi-Factor Authentication Server la secțiunea User Portal.
Demonstrarea modului în care funcționează Azure MFA pentru autentificarea conexiunilor RDG
Vom lua în considerare munca MFA din punctul de vedere al utilizatorului. În cazul nostru, al doilea factor de autentificare va fi o aplicație mobilă, deoarece rețeaua celulară are o serie de vulnerabilități care permit, cu o pregătire corespunzătoare, interceptarea apelurilor și SMS-urilor.În primul rând, utilizatorul va trebui să meargă pe portalul utilizatorului și să-și indice numărul de telefon (dacă nu este listat în AD) și să conecteze aplicația mobilă la cont. Mergem pe portalul de sub contul nostru și introducem răspunsurile la întrebări secrete (vom avea nevoie de ele în cazul recâștigării accesului la cont).
Apoi, selectați metoda de autentificare, în cazul nostru, aplicația mobilă și faceți clic pe butonul „Generează cod de activare”. Va fi generat un cod QR, care trebuie scanat în aplicația mobilă.
Deoarece la importarea utilizatorilor pe serverul MFA, autentificarea a fost setată folosind un cod PIN, ni se va solicita să îl creăm. Introduceți codul PIN dorit și faceți clic pe „Verifică-mi identitatea”. În aplicația mobilă, trebuie să confirmați solicitarea care apare. După acești pași, avem o aplicație legată de cont și acces complet la portal pentru a modifica setările personale.
Am primit comentarii și lămuriri incredibil de bune de la un tovarăș care dorea să rămână anonim:
1) La începutul configurării serverului, introduceți comanda:
multiotp.exe -debug -config default-request-prefix-pin=0 display-log=1 după acesta, nu este nevoie să introduceți un cod PIN atunci când configurați un utilizator și să afișați jurnalul fiecărei operațiuni în consolă.
2) Folosind această comandă, puteți ajusta intervalul de timp pentru utilizatorii care au greșit cu parola (30 de secunde în mod implicit):
multiotp.exe -debug -config failure-delayed-time=60
3) Ceea ce va fi scris în aplicația Google Authenticator peste 6 cifre se numește emitent, puteți schimba de la MultiOTP implicit la altceva:
multiotp.exe -debug -config emiter=altul
4) După operațiunile efectuate, comanda de creare a unui utilizator devine puțin mai ușoară:
multiotp.exe -debug -create user TOTP 12312312312312312321 6 (nu setez timpul de actualizare a cifrelor la 30 de secunde, se pare ca implicit la 30).
5) Fiecare utilizator poate schimba descrierea (text sub numerele din aplicația Google Auth):
multiotp.exe -set username description=2
6) Codurile QR pot fi create direct în aplicație:
multiotp.exe -qrcode nume de utilizator c:\multiotp\qrcode\user.png:\multiotp\qrcode\user.png
7) Puteți utiliza nu numai TOTP, ci și HOTP (intrarea funcției hash nu este ora curentă, ci valoarea contorului incremental):
multiotp.exe -debug -creează nume de utilizator HOTP 12312312312312312321 6
Astăzi vă vom spune cum puteți configura rapid și ușor autentificarea cu doi factori și cripta datele importante, chiar și cu posibilitatea de a utiliza datele biometrice. Soluția va fi relevantă pentru companiile mici sau doar pentru un computer personal sau laptop. Este important ca pentru aceasta să nu avem nevoie de o infrastructură cu cheie publică (PKI), de un server cu rol de autoritate de certificare (Certificate Services) și nici măcar de un domeniu (Active Directory). Toate cerințele de sistem se vor reduce la sistemul de operare Windows și deținerea de către utilizator a unei chei electronice, iar în cazul autentificării biometrice, și la un cititor de amprente, care, de exemplu, poate fi deja încorporat în laptopul tău.
Pentru autentificare, vom folosi software-ul nostru dezvoltat - JaCarta SecurLogon și cheia electronică JaCarta PKI ca autentificator. Instrumentul de criptare va fi standard Windows EFS, accesul la fișierele criptate se va face și prin cheia JaCarta PKI (aceeași folosită pentru autentificare).
Reamintim că JaCarta SecurLogon este o soluție software și hardware certificată de FSTEC din Rusia de către Aladdin RD, care permite o tranziție simplă și rapidă de la autentificarea cu un singur factor bazată pe o pereche de autentificare-parolă la autentificarea cu doi factori în sistemul de operare folosind USB jetoane sau carduri inteligente. Esența soluției este destul de simplă - JSL generează o parolă complexă (~63 de caractere) și o scrie în memoria securizată a cheii electronice. În acest caz, parola poate să nu fie cunoscută de utilizator însuși, utilizatorul cunoaște doar codul PIN. Prin introducerea PIN-ului în timpul autentificării, dispozitivul este deblocat și parola este trimisă la sistem pentru autentificare. Opțional, puteți înlocui introducerea PIN-ului cu scanarea amprentei utilizatorului și puteți utiliza, de asemenea, o combinație de PIN + amprentă.
EFS, ca și JSL, poate funcționa în modul de sine stătător, nefiind nimic altceva decât sistemul de operare în sine. Toate sistemele de operare Microsoft din familia NT, începând cu Windows 2000 și ulterioare (cu excepția versiunilor de acasă), au încorporată tehnologia de criptare a datelor EFS (Encrypting File System). Criptarea EFS se bazează pe capacitățile sistemului de fișiere NTFS și arhitectura CryptoAPI și este concepută pentru a cripta rapid fișierele de pe hard diskul unui computer. Criptarea în EFS utilizează cheile private și publice ale utilizatorului, care sunt generate prima dată când utilizatorul folosește caracteristica de criptare. Aceste chei rămân neschimbate atâta timp cât există contul său. La criptarea unui fișier, EFS generează aleatoriu un număr unic, așa-numita Cheie de criptare a fișierelor (FEK), lungime de 128 de biți, cu care fișierele sunt criptate. Cheile FEK sunt criptate cu o cheie principală, care este criptată cu cheia utilizatorilor sistemului care au acces la fișier. Cheia privată a utilizatorului este protejată de hash-ul parolei utilizatorului. Datele criptate cu EFS pot fi decriptate numai folosind același cont Windows cu aceeași parolă cu care a fost efectuată criptarea. Și dacă stocați certificatul de criptare și cheia privată pe un token USB sau card inteligent, atunci veți avea nevoie și de acest token USB sau card inteligent pentru a accesa fișierele criptate, ceea ce rezolvă problema compromiterii parolei, deoarece va fi necesar și un dispozitiv suplimentar. sub forma unei chei electronice.
Autentificare
După cum sa menționat deja, nu aveți nevoie de AD sau de o autoritate de certificare pentru configurare, aveți nevoie de orice Windows modern, distribuție JSL și licență. Configurația este ușor de dezamăgit.Trebuie să instalați un fișier de licență.
Adăugați un profil de utilizator.
Și începeți să utilizați autentificarea cu doi factori.
Autentificare biometrică
Este posibil să utilizați autentificarea biometrică cu amprentă digitală. Soluția funcționează pe tehnologia Match On Card. Hash-ul amprentei este scris pe card în timpul inițializării și apoi verificat față de original. Nu lasă harta nicăieri, nu este stocată în unele baze de date. Pentru a debloca o astfel de cheie, se folosește o amprentă sau o combinație de PIN + amprentă, PIN sau amprentă.Pentru a începe să utilizați, trebuie doar să inițializați cardul cu parametrii necesari, să notați amprenta utilizatorului.
În viitor, aceeași fereastră va apărea înainte de a intra în sistemul de operare.
În acest exemplu, cardul este inițializat cu posibilitatea de autentificare prin amprentă sau cod PIN, ceea ce este indicat de fereastra de autentificare.
După prezentarea unei amprente sau a unui cod PIN, utilizatorul va intra în sistemul de operare.
Criptarea datelor
Configurarea EFS nu este, de asemenea, foarte complicată, se rezumă la configurarea unui certificat și emiterea acestuia către o cheie electronică și configurarea directoarelor de criptare. De obicei, nu trebuie să criptați întreaga unitate. Fișierele cu adevărat importante, care nu sunt de dorit să fie accesate de terți, sunt de obicei localizate în directoare separate și nu sunt împrăștiate pe tot discul.Pentru a emite un certificat de criptare și o cheie privată, deschideți contul de utilizator, selectați - Gestionare certificate de criptare fișiere. În expertul care se deschide, creați un certificat autosemnat pe cardul inteligent. Deoarece continuăm să folosim un smart card cu un applet BIO, trebuie prezentată o amprentă digitală sau PIN pentru a scrie certificatul de criptare.
În pasul următor, specificați directoarele care vor fi asociate cu noul certificat; dacă este necesar, puteți specifica toate unitățile logice.
Directorul criptat în sine și fișierele din acesta vor fi evidențiate într-o culoare diferită.
Accesul la fișiere se realizează numai cu o cheie electronică, la prezentarea unei amprente sau a unui cod PIN, în funcție de ceea ce este selectat.
Aceasta completează întreaga configurație.
Puteți folosi ambele scenarii (autentificare și criptare), vă puteți opri la un singur lucru.
Dacă o parolă este singura barieră în calea accesării datelor dvs., sunteți expus unui mare risc. Abonamentul poate fi împachetat, interceptat, târât cu un troian, extras cu ajutorul ingineriei sociale. Neutilizarea autentificării cu doi factori în acest scenariu este aproape o crimă.
Am vorbit deja de mai multe ori despre cheile unice. Sensul este foarte simplu. Dacă un atacator reușește cumva să obțină parola dvs. de conectare, atunci el vă poate accesa cu ușurință e-mailul sau se poate conecta la un server de la distanță. Dar dacă există un factor suplimentar pe drum, de exemplu, o cheie unică (se mai numește și cheie OTP), atunci nu va rezulta nimic. Chiar dacă o astfel de cheie ajunge la un atacator, nu va mai fi posibilă folosirea ei, deoarece este valabilă o singură dată. Un astfel de al doilea factor poate fi un apel suplimentar, un cod primit prin SMS, o cheie generată pe telefon după anumiți algoritmi bazați pe ora curentă (ora este o modalitate de sincronizare a algoritmului pe client și server). Același Google a recomandat de multă vreme utilizatorilor săi să activeze autentificarea cu doi factori (câteva clicuri în setările contului). Acum este rândul să adaugi un astfel de strat de protecție pentru serviciile tale!
Ce oferă Duo Security?
Exemplu banal. Computerul meu „din exterior” are un port RDP deschis pentru conexiunea la desktop la distanță. Dacă parola de conectare se scurge, atacatorul va obține imediat acces complet la mașină. Prin urmare, nu se punea problema întăririi protecției prin parolă OTP - trebuia doar făcut. A fost stupid să reinventez roata și să încerc să implementez totul pe cont propriu, așa că m-am uitat doar la soluțiile care sunt pe piață. Majoritatea s-au dovedit a fi comerciale (mai multe în bara laterală), dar pentru un număr mic de utilizatori pot fi folosite gratuit. Exact ceea ce ai nevoie pentru casă. Unul dintre cele mai de succes servicii care vă permite să organizați autorizarea în doi factori pentru orice (inclusiv VPN, SSH și RDP) sa dovedit a fi Duo Security (www.duosecurity.com). Ceea ce ia adăugat atractivității a fost faptul că dezvoltatorul și fondatorul proiectului este John Oberheid, un cunoscut specialist în securitatea informațiilor. El, de exemplu, a dezgropat protocolul de comunicare al Google cu smartphone-urile Android, cu ajutorul căruia puteți instala sau elimina aplicații arbitrare. O astfel de bază se face simțită: pentru a arăta importanța autorizării în doi factori, băieții au lansat serviciul VPN Hunter (www.vpnhunter.com), care poate găsi rapid serverele VPN neascunse ale companiei (și, în același timp, poate determina tipul de echipamente pe care lucrează), servicii de acces la distanță (OpenVPN, RDP, SSH) și alte elemente de infrastructură care permit unui atacator să intre în rețeaua internă prin simpla cunoaștere a login-ului și a parolei. E amuzant că pe Twitter oficial al serviciului, proprietarii au început să publice rapoarte zilnice despre scanarea companiilor cunoscute, după care contul a fost interzis :). Serviciul Duo Security, desigur, vizează în primul rând introducerea autentificării cu doi factori în companiile cu un număr mare de utilizatori. Din fericire pentru noi, este posibil să creați un cont personal gratuit care vă permite să configurați gratuit autentificarea cu doi factori pentru până la zece utilizatori.
Care ar putea fi al doilea factor?
În continuare, vom analiza cum să întărim securitatea unei conexiuni desktop la distanță, precum și a SSH pe un server, în doar zece minute. Dar mai întâi vreau să vorbesc despre pasul suplimentar pe care Duo Security îl introduce ca al doilea factor de autorizare. Există mai multe opțiuni: apel telefonic, SMS cu coduri de acces, coduri de acces Duo Mobile, Duo Push, cheie electronică. Mai multe despre fiecare.
Cât timp îl poți folosi gratuit?
După cum am menționat deja, Duo Security oferă un plan tarifar special „Personal”. Este absolut gratuit, dar numărul de utilizatori nu trebuie să fie mai mare de zece. Acceptă adăugarea unui număr nelimitat de integrări, toate metodele de autentificare disponibile. Oferă o mie de credite gratuite pentru serviciile de telefonie. Creditele sunt, parcă, o monedă internă care este debitată din contul dvs. de fiecare dată când are loc o autentificare folosind un apel sau un SMS. In setarile contului il poti seta astfel incat atunci cand ajungi la numarul de credite specificat sa primesti o notificare pe sapun si sa ai timp sa refaci soldul. O mie de credite costă doar 30 de dolari. Prețul apelurilor și SMS-urilor pentru diferite țări este diferit. Pentru Rusia, un apel va costa de la 5 la 20 de credite, SMS - 5 credite. Cu toate acestea, apelul care are loc la autentificarea pe site-ul Duo Security nu este taxat. Puteți uita complet de credite dacă utilizați aplicația Duo Mobile pentru autentificare - nu se taxează nimic pentru aceasta.
Înregistrare ușoară
Pentru a vă proteja serverul cu Duo Security, trebuie să descărcați și să instalați un client special care va interacționa cu serverul de autentificare Duo Security și va oferi un al doilea nivel de protecție. În consecință, acest client va fi diferit în fiecare situație: în funcție de unde exact este necesar să se implementeze autorizarea cu doi factori. Despre asta vom vorbi mai jos. Primul lucru de făcut este să vă înregistrați în sistem și să obțineți un cont. Prin urmare, deschidem pagina principală a site-ului, facem clic pe „Free Trial”, în pagina care se deschide, facem clic pe butonul „Sing up” sub tipul de cont personal. După aceea, ni se cere să introducem numele, prenumele, adresa de e-mail și numele companiei. Ar trebui să primiți un e-mail care să conțină un link pentru a vă confirma înregistrarea. În acest caz, sistemul va forma automat telefonul specificat: pentru a vă activa contul, trebuie să răspundeți la apel și să apăsați butonul # de pe telefon. După aceea, contul va fi activ și puteți începe încercările de luptă.
Protejarea RDP
Am spus mai sus că am început cu o dorință puternică de a securiza conexiunile de la distanță la desktopul meu. Prin urmare, ca prim exemplu, voi descrie cum se poate consolida securitatea RDP.
- Orice implementare a autentificării cu doi factori începe cu un pas simplu: crearea unei așa-numite integrări în profilul Duo Security. Accesați secțiunea „Integrații New Integration”, specificați numele integrării (de exemplu, „Home RDP”), selectați tipul acesteia „Microsoft RDP” și faceți clic pe „Add Integration”.
- Fereastra care apare afișează parametrii de integrare: cheie de integrare, cheie secretă, nume de gazdă API. Vom avea nevoie de ele mai târziu când vom configura partea client. Este important să înțelegeți: nimeni nu ar trebui să le cunoască.
- Apoi, trebuie să instalați un client special pe mașina protejată, care va instala tot ce aveți nevoie în sistemul Windows. Poate fi descărcat de pe site-ul oficial sau preluat de pe discul nostru. Întreaga sa configurație se rezumă la faptul că în timpul procesului de instalare va fi necesar să introduceți cheia de integrare, cheia secretă, numele de gazdă API menționat mai sus.
- Asta, de fapt, este tot. Acum, data viitoare când vă conectați la server prin RDP, vor apărea trei câmpuri pe ecran: nume de utilizator, parolă și cheia unică Duo. În consecință, cu o singură parolă de conectare, nu mai este posibilă conectarea în sistem.
Prima dată când un utilizator nou încearcă să se conecteze, va trebui să treacă o dată prin procesul de verificare Duo Security. Serviciul îi va oferi un link special, făcând clic pe care trebuie să introduceți numărul de telefon și să așteptați un apel de verificare. Pentru a obține chei suplimentare (sau pentru a le obține pentru prima dată), puteți introduce cuvântul cheie „sms”. Dacă doriți să vă autentificați cu un apel telefonic - introduceți „telefon”, dacă cu Duo Push – „push”. Istoricul tuturor încercărilor de conectare (atât reușite, cât și nereușite) la server poate fi vizualizat în contul dvs. de pe site-ul web Duo Security, selectând mai întâi integrarea dorită și accesând „Jurnalul de autentificare”.
Conectăm Duo Security oriunde!
Folosind autentificarea cu doi factori, puteți proteja nu numai RDP sau SSH, ci și VPN-urile, serverele RADIUS și orice serviciu web. De exemplu, există clienți ieșiți din cutie care adaugă un strat suplimentar de autentificare la motoarele populare Drupal și WordPress. Dacă nu există un client gata făcut, nu ar trebui să vă supărați: puteți adăuga oricând autentificarea cu doi factori pentru aplicația sau site-ul dvs., folosind API-ul furnizat de sistem. Logica de lucru cu API-ul este simplă - faci o cerere către adresa URL a unei anumite metode și analizezi răspunsul returnat, care poate veni în format JSON (sau BSON, XML). Documentația completă despre API-ul Duo REST este disponibilă pe site-ul oficial. Voi spune doar că există metode ping, check, preauth, auth, status, după denumirea cărora este ușor de ghicit pentru ce sunt destinate.
Securizarea SSH
Luați în considerare un alt tip de integrare - „Integrarea UNIX” pentru a implementa autentificarea sigură. Adăugăm încă o integrare în profilul nostru Duo Security și procedăm la instalarea clientului în sistem.
Puteți descărca sursele acestuia din urmă de la bit.ly/IcGgk0 sau le puteți lua de pe discul nostru. Am folosit cea mai recentă versiune - 1.8. Apropo, clientul rulează pe majoritatea platformelor nix, așa că îl puteți instala cu ușurință pe FreeBSD, NetBSD, OpenBSD, Mac OS X, Solaris/Illumos, HP-UX și AIX. Procesul de construire este standard - configurați && make && sudo make install. Singurul lucru pe care l-aș recomanda este să utilizați configure cu opțiunea --prefix=/usr, altfel clientul ar putea să nu găsească bibliotecile necesare la pornire. După instalarea cu succes, trecem la editarea fișierului de configurare /etc/duo/login_duo.conf. Acest lucru trebuie făcut de la rădăcină. Toate modificările care trebuie făcute pentru o funcționare cu succes sunt pentru a seta cheia de integrare, cheia secretă, valorile numelui de gazdă API, care pot fi găsite pe pagina de integrare.
; Tasta de integrare Duo = INTEGRATION_KEY; Cheie secretă Duo = SECRET_KEY; Duo API hostnamehost = API_HOSTNAME
Pentru a forța toți utilizatorii care se conectează la serverul dvs. prin SSH să utilizeze autentificarea cu doi factori, trebuie doar să adăugați următoarea linie în fișierul /etc/ssh/sshd_config:
> ForceCommand /usr/local/sbin/login_duo
De asemenea, este posibil să se organizeze autentificarea cu doi factori numai pentru utilizatorii individuali, combinându-i într-un grup și specificând acest grup în fișierul login_duo.conf:
>grup=roata
Pentru ca modificările să intre în vigoare, tot ce rămâne este să reporniți demonul ssh. De acum înainte, după introducerea cu succes a parolei de conectare, utilizatorului i se va solicita să treacă prin autentificare suplimentară. O subtilitate a configurației ssh trebuie remarcată separat - se recomandă insistent să dezactivați opțiunile PermitTunnel și AllowTcpForwarding din fișierul de configurare, deoarece demonul le aplică înainte de a începe a doua etapă de autentificare. Astfel, dacă un atacator introduce corect parola, atunci el poate obține acces la rețeaua internă înainte ca a doua etapă de autentificare să fie finalizată datorită redirecționării portului. Pentru a evita acest efect, adăugați următoarele opțiuni la sshd_config:
PermitTunnel noAllowTcpForwarding nr
Acum serverul tău se află în spatele unui perete dublu și este mult mai dificil pentru un atacator să intre în el.
Setari aditionale
Dacă vă conectați la contul dvs. Duo Security și accesați secțiunea „Setări”, puteți modifica unele setări pentru dvs. Prima secțiune importantă este „Apeluri telefonice”. Aceasta specifică setările care vor fi în vigoare atunci când un apel telefonic este utilizat pentru a confirma autentificarea. Elementul „Taste pentru apel invers vocal” vă permite să setați ce tastă de telefon trebuie să apăsați pentru a confirma autentificarea. În mod implicit, valoarea „Apăsați orice tastă pentru autentificare” este acolo - adică puteți apăsa orice tastă. Dacă setați valoarea la „Apăsați taste diferite pentru autentificare sau raportare fraudă”, atunci va trebui să setați două taste: apăsarea primei confirmă autentificarea (Tasta pentru autentificare), apăsarea celei de-a doua (Tasta pentru a raporta frauda) înseamnă că procesul de autentificare nu a fost inițiat de noi, adică cineva a primit parola noastră și încearcă să o folosească pentru a intra pe server. Elementul „Coduri SMS” vă permite să setați numărul de coduri pe care le va conține un SMS și durata lor de viață (validitatea). Parametrul „Blocare și fraudă” vă permite să setați adresa de e-mail care va primi o notificare în cazul unui anumit număr de încercări nereușite de autentificare la server.
Utilizare!
În mod surprinzător, mulți încă ignoră autentificarea cu doi factori. Nu inteleg de ce. Acest lucru chiar aduce multă securitate. Îl puteți implementa pentru aproape orice, iar soluțiile demne sunt disponibile gratuit. Deci de ce? Din lene sau nepăsare.
Servicii similare
- semnifica(www.signify.net) Serviciul oferă trei opțiuni pentru organizarea autentificării cu doi factori. Prima este utilizarea cheilor electronice. A doua modalitate este de a folosi cheile de acces, care sunt trimise la telefonul utilizatorului prin SMS sau vin prin e-mail. A treia opțiune este o aplicație mobilă pentru telefoanele Android, iPhone, BlackBerry care generează parole unice (în esență similare cu Duo Mobile). Serviciul se adresează companiilor mari, deci este complet plătit.
- SecurEnvoy(www.securenvoy.com) De asemenea, vă permite să utilizați telefonul mobil ca al doilea strat de securitate. Cheile de acces sunt trimise utilizatorului prin SMS sau e-mail. Fiecare mesaj conține trei chei de acces, ceea ce înseamnă că utilizatorul se poate autentifica de trei ori înainte de a solicita o nouă porțiune. Serviciul este și cu plată, dar oferă o perioadă gratuită de 30 de zile. Un plus semnificativ este un număr mare de integrări native și terțe.
- PhoneFactor(www.phonefactor.com) Acest serviciu vă permite să organizați gratuit autentificarea cu doi factori pentru până la 25 de utilizatori, oferind 500 de autentificări gratuite pe lună. Pentru a organiza protecția, va trebui să descărcați și să instalați un client special. Dacă trebuie să adăugați autentificare cu doi factori pe site-ul dvs., puteți utiliza SDK-ul oficial, care oferă documentație detaliată și exemple pentru următoarele limbaje de programare: ASP.NET C#, ASP.NET VB, Java, Perl, Ruby, PHP.
