Fjalëkalimet mund të krijojnë një dhimbje koke të madhe sigurie dhe menaxhueshmëri për administratorët e TI-së të ndërmarrjeve dhe organizatave. Përdoruesit shpesh krijojnë fjalëkalime të thjeshta ose shkruajnë fjalëkalime që të mos i harrojnë. Përveç kësaj, disa nga procedurat e rivendosjes së fjalëkalimit janë efektive dhe të sigurta. Duke pasur parasysh këto kufizime, si mund të zbuten këto lloj çështjesh sigurie kur rrjeti aksesohet nga përdorues të largët? Si mund ta bëni zgjidhjen e fjalëkalimeve të kompanisë suaj më të sigurt duke ditur që shumë përdorues i shkruajnë fjalëkalimet e tyre?
Ekziston një zgjidhje - kjo është prezantimi në organizimin e një sistemi shtesë të mbrojtjes së aksesit bazuar në futjen e fjalëkalimeve një herë (OTP - One Time Password), të cilat krijohen në pajisjen celulare të punonjësit tuaj. Kalimi në vërtetimin e bazuar në fjalëkalime një herë ndodh zakonisht kur bëhet e qartë se fjalëkalimet standarde afatgjata nuk janë të mjaftueshme për sa i përket sigurisë dhe, në të njëjtën kohë, mundësitë e përdorimit të kartave inteligjente janë të kufizuara, për shembull, në një situata e përdorimit masiv të klientëve celularë.
Kompania jonë ka zhvilluar një zgjidhje teknologjike, e cila do t'ju lejojë të merrni linjë shtesë mbrojtjeje për një server terminal ose server 1C bazuar në fjalëkalime një herë , me të cilin punonjësit lidhen nga distanca.
Fusha e punës për vendosjen dhe konfigurimin e një sistemi OTP
Në serverin tuaj, është instaluar dhe konfiguruar softuer i specializuar për funksionimin e një sistemi të vërtetimit të aksesit të bazuar në fjalëkalime një herë (OTP) Të gjithë punonjësit e organizatës që kanë nevojë për qasje në server hyjnë në sistemin OTP Për çdo punonjës, konfigurimi fillestar i një telefoni celular kryhet me instalimin e një programi për gjenerimin e një fjalëkalimi një herë.
Fillon kostoja e futjes së një sistemi të vërtetimit të aksesit në një server terminal ose server 1C bazuar në fjalëkalime një herë (OTP) në një organizatë nga 6 400 rubla.
Në rastet kur sistemi OTP do të vendoset në lidhje me marrjen me qira të infrastrukturës në "cloud"-in tonë të sigurt, zbritja për zbatimin e një sistemi mbrojtjeje duke përdorur fjalëkalime një herë (OTP) mund të arrijë 50%.
Fjalëkalimet një herë - një shtresë shtesë e sigurisë së të dhënave
Një fjalëkalim tradicional, statik zakonisht ndryshohet vetëm kur është e nevojshme, ose kur skadon ose kur përdoruesi e ka harruar atë dhe dëshiron ta rivendosë atë. Meqenëse fjalëkalimet ruhen në memorien e fshehtë në hard disqet e kompjuterit dhe ruhen në server, ato janë të pambrojtura ndaj hakerimit. Ky problem është veçanërisht i mprehtë për kompjuterët portativë, sepse ato janë të lehta për t'u vjedhur. Shumë kompani u japin punonjësve laptopë dhe hapin rrjetet e tyre për akses në distancë. Ata gjithashtu punësojnë punonjës dhe furnitorë të përkohshëm. Në një mjedis të tillë, një zgjidhje e thjeshtë e fjalëkalimit statik bëhet një disavantazh.
Ndryshe nga një fjalëkalim statik, një fjalëkalim një herë ndryshon sa herë që një përdorues hyn në sistem dhe është i vlefshëm vetëm për një periudhë të shkurtër kohe (30 sekonda). Vetë fjalëkalimet krijohen dhe kodohen sipas një algoritmi kompleks që varet nga shumë variabla: koha, numri i hyrjeve të suksesshme / të pasuksesshme, numrat e krijuar rastësisht, etj. Kjo qasje në dukje komplekse kërkon veprime të thjeshta nga përdoruesi - Instaloni një aplikacion të veçantë në telefonin tuaj që sinkronizohet një herë me serverin dhe më pas gjeneron një fjalëkalim një herë. Me çdo hyrje të re të suksesshme, klienti dhe serveri risinkronizohen automatikisht në mënyrë të pavarur nga njëri-tjetri sipas një algoritmi të veçantë. Vlera e numëruesit rritet sa herë që kërkohet një vlerë OTP nga pajisja dhe kur përdoruesi dëshiron të identifikohet, ai fut OTP-në e shfaqur aktualisht në pajisjen e tij celulare.
Realitetet e vendeve ku jetojnë shumica e Khabrovitëve janë të tilla që mbajtja e serverëve me informacione të rëndësishme jashtë vendit të të bërit biznes është bërë një formë e mirë, duke ju lejuar të kurseni nervat dhe të dhënat tuaja.
Pyetja e parë që lind kur kaloni në cloud pas kriptimit të të dhënave, dhe ndoshta para tij, është të siguroheni që të dhënat me një llogari përdoruesi të aksesohen nga përdoruesi dhe jo nga dikush tjetër. Dhe nëse një mënyrë e mirë për të kriptuar të dhënat e pritura në një re private diskutohet në artikullin e kolegut tim, atëherë vërtetimi është më i vështirë.
Rreth përdoruesve dhe metodave të mbrojtjes
Natyra e një përdoruesi tipik është e tillë që qëndrimi ndaj sigurisë së fjalëkalimeve nga llogaritë është mjaft joserioz dhe është e pamundur të rregullohet kjo. Përvoja jonë tregon se edhe nëse një kompani ka politika të rrepta, trajnime të përdoruesve etj., sërish do të ketë një pajisje të pakriptuar që ka dalë nga muret e zyrës dhe duke parë listën e produkteve të një kompanie të njohur, kupton se nxjerrja fjalëkalimet nga një pajisje e pakriptuar është vetëm çështje kohe.
Disa kompani krijojnë tunele midis cloud dhe zyrës për të kontrolluar aksesin në të dhëna në cloud, ndalojnë hyrjen në distancë https://habrahabr.ru/company/pc-administrator/blog/320016/. Sipas mendimit tonë, kjo nuk është një zgjidhje plotësisht optimale, së pari, disa nga avantazhet e një zgjidhjeje cloud humbasin, dhe së dyti, ka probleme të performancës të vërejtura në artikull.
Zgjidhja duke përdorur serverin terminal dhe Porta e desktopit në distancë (RDG) më fleksibël, mund të vendosni një nivel të lartë sigurie, siç përshkruhet nga kolegu im https://habrahabr.ru/post/134860/ (një artikull nga viti 2011, por vetë parimi është ende i rëndësishëm). Kjo metodë ju lejon të parandaloni transferimin e të dhënave nga cloud, por vendos kufizime në punën e përdoruesit dhe nuk e zgjidh plotësisht problemin e vërtetimit, përkundrazi është një zgjidhje DLP.
Ndoshta mënyra më e mirë për të siguruar që asnjë sulmues të mos funksionojë nën një llogari përdoruesi është që vërtetimi me dy faktorë. Artikujt e kolegut tim https://habrahabr.ru/post/271259/ https://habrahabr.ru/post/271113/ përshkruajnë vendosjen e MPJ-së nga Microsoft dhe Google për një VPN të klientit. Metoda është e mirë, por, së pari, kërkon një CISCO ASA, e cila nuk është gjithmonë e lehtë për t'u zbatuar, veçanërisht në retë e buxhetit, dhe së dyti, puna përmes një VPN është e papërshtatshme. Puna me një seancë terminali përmes RDG është shumë më komode dhe protokolli i enkriptimit SSL duket më i gjithanshëm dhe më i besueshëm se VPN nga CISCO.
Ka shumë zgjidhje me vërtetim me dy faktorë në vetë serverin e terminalit, këtu është një shembull i konfigurimit të një zgjidhjeje falas - http://servilon.ru/dvuhfaktornaya-autentifikaciya-otp/. Kjo zgjidhje për fat të keq nuk funksionon përmes RDG.
Serveri RDG kërkon konfirmimin e autorizimit nga serveri i MPJ. MPJ, në varësi të metodës së përzgjedhur të vërtetimit, telefonon, dërgon SMS ose dërgon një kërkesë në aplikacionin celular. Përdoruesi miraton ose refuzon kërkesën për akses. MFA kthen rezultatin e faktorit të dytë të vërtetimit në serverin RDG.
Instalimi dhe konfigurimi i serverit të vërtetimit me shumë faktorë Azure
Krijoni një ofrues vërtetimi në portalin Microsoft Azure
Shkojmë te Microsoft Azure (llogaria duhet të ketë një abonim ose është instaluar një version provë) dhe gjejmë Autentifikimin me shumë faktorë (MFA).Për momentin, menaxhimi i MPJ-së nuk është shtuar në versionin e ri të portalit Azure, kështu që do të hapet versioni i vjetër i portalit.
Për të krijuar një ofrues të ri të vërtetimit me shumë faktorë, klikoni në fund të majtë "KRIJO → Shërbimet e aplikacioneve → Drejtoria aktive → Ofruesi i vërtetimit me shumë faktorë → Krijimi i shpejtë". Specifikoni emrin dhe modelin e përdorimit.
Modeli i përdorimit përcakton se si do të tarifohet pagesa, qoftë nga numri i përdoruesve ose nga numri i vërtetimeve.
Pasi të krijohet, MPJ do të shfaqet në listë. Tjetra, shkoni te kontrolli duke shtypur butonin e duhur.
Shkoni te shkarkimet dhe shkarkoni serverin MFA
Vendosja e një serveri MFA
Serveri MFA duhet të instalohet në një makinë virtuale të ndryshme nga serveri RDG. Sistemi operativ i mbështetur më i vjetër se Windows Server 2008 ose Windows 7. Kërkon që Microsoft .NET Framework 4.0 të funksionojë.Adresat në portin 443 duhet të jenë të disponueshme:
Ne instalojmë serverin MFA, gjatë instalimit refuzojmë magjistarin e konfigurimit.
Në fillimin e parë, duhet të futni të dhënat nga llogaria, të cilat duhet të gjenerohen në faqen e shkarkimit të serverit.
Më pas, shtoni përdoruesit. Për ta bërë këtë, shkoni te seksioni "Përdoruesit" dhe klikoni "Import nga Active Directory", zgjidhni përdoruesit për import.
Nëse është e nevojshme, mund të konfiguroni shtimin automatik të përdoruesve të rinj nga AD:
"Integrimi i drejtorisë → Sinkronizimi → Shto", e kështu me radhë. shtoni një drejtori që do të sinkronizohet automatikisht në intervalin kohor të caktuar.
Le të testojmë performancën e serverit të MPJ. Shkoni te seksioni i Përdoruesve. Për llogarinë tuaj, specifikoni numrin e telefonit (nëse nuk është vendosur tashmë) dhe zgjidhni metodën e vërtetimit "Telefonata". Klikoni butonin Test dhe shkruani emrin e përdoruesit dhe fjalëkalimin. Telefoni duhet të marrë një telefonatë. Përgjigjuni dhe shtypni #.
Vendosja e një serveri MFA për të punuar me kërkesat e Radius
Shkoni te seksioni "Vërtetimi me rreze" dhe kontrolloni kutinë e kontrollit "Aktivizo vërtetimin e RADIUS".Ne shtojmë një klient të ri duke specifikuar adresën IP të serverit NPS dhe sekretin e përbashkët. Nëse vërtetimi duhet të kryhet për të gjithë përdoruesit, kontrolloni kutinë përkatëse (në këtë rast, të gjithë përdoruesit duhet të shtohen në serverin MFA).
Ju gjithashtu duhet të siguroheni që portat e specifikuara për lidhjen korrespondojnë me portet e specifikuara në serverin NPS dhe që muri i zjarrit të mos i bllokojë ato.
Shkoni te skeda Target dhe shtoni një server Radius.
Shënim: Nëse nuk ka server qendror NPS në rrjet, adresat IP të klientit dhe serverit Radius do të jenë të njëjta.
Konfigurimi i serverit RDG dhe NPS për të punuar së bashku me MPJ
Porta RD duhet të konfigurohet për të dërguar kërkesat e Radius te serveri i MPJ. Për ta bërë këtë, hapni vetitë e portës dhe shkoni te skeda "RDG CAP Store", zgjidhni "NPS ekzekutohet në një server qendror" dhe specifikoni adresën e serverit MFA dhe çelësin e përbashkët sekret.
Tjetra, ne konfigurojmë serverin NPS. Zgjeroni seksionin Radius Clients and Servers → Remote Radius Server Groups. Hapni vetitë e grupit "TS gateway server group" (grupi krijohet kur konfiguroni RDG) dhe shtoni serverin tonë MFA.
Kur shtojmë, në skedën "Load Balancing", ne rrisim kufijtë e skadimit të serverit. Ne vendosëm "Numrin e sekondave pa përgjigje, pas së cilës kërkesa konsiderohet e hedhur poshtë" dhe "Numri i sekondave midis kërkesave, pas së cilës serveri konsiderohet i padisponueshëm" në intervalin 30-60 sekonda.
Në skedën "Autentifikimi / Kontabiliteti", ne kontrollojmë korrektësinë e porteve të specifikuara dhe vendosim çelësin e përbashkët sekret.
Tani le të shkojmë te seksioni "Klientët dhe Serverët Radius → Klientët Radius" dhe të shtojmë një server MFA, duke specifikuar "Emrin miqësor", adresën dhe sekretin e përbashkët.
Shkoni te seksioni "Politikat → Politikat e kërkesës për lidhje". Ky seksion duhet të përmbajë politikën e krijuar gjatë konfigurimit të RDG. Kjo politikë i drejton kërkesat e Radius te serveri i MPJ.
Dublikojeni politikën dhe shkoni te vetitë e saj. Shto një kusht që përputhet me "Emri miqësor ndaj klientit" me "Emri miqësor" të vendosur në hapin e mëparshëm.
Në skedën "Cilësimet", ne ndryshojmë ofruesin e shërbimit të vërtetimit në serverin lokal.
Kjo politikë do të sigurojë që kur të merret një kërkesë Radius nga serveri MFA, kërkesa do të përpunohet në nivel lokal, gjë që do të eliminojë unazat e kërkesave.
Ne kontrollojmë që kjo politikë të vendoset mbi atë origjinale.
Në këtë fazë, një grup RDG dhe MPJ janë në gjendje pune. Hapat e mëposhtëm kërkohen për ata që duhet të jenë në gjendje të përdorin vërtetimin e aplikacionit celular ose t'u japin përdoruesve akses në disa nga cilësimet e vërtetimit me shumë faktorë përmes portalit të përdoruesit.
Instalimi i SDK-së, shërbimi në ueb i aplikacionit celular dhe portalit të përdoruesit
Lidhja me këta komponentë bëhet nëpërmjet protokollit HTTPS. Prandaj, në serverin ku do të vendosen, duhet të instaloni një certifikatë SSL.Portali i përdoruesit dhe shërbimi në internet i aplikacionit celular përdorin SDK-në për të komunikuar me serverin e MPJ-së.
Instalimi i SDK-së
SDK-ja është e instaluar në serverin MFA dhe kërkon IIS, ASP.NET, Authentication Basic, të cilat fillimisht duhet të instalohen duke përdorur Server Manager.Për të instaluar SDK-në, shkoni te seksioni SDK i Shërbimit Ueb në Serverin e vërtetimit me shumë faktorë dhe klikoni butonin e instalimit, ndiqni udhëzuesin e instalimit.
Instalimi i shërbimit në internet të aplikacionit celular
Ky shërbim kërkohet për ndërveprimin e aplikacionit celular me serverin e MPJ. Që shërbimi të funksionojë siç duhet, kompjuteri në të cilin do të instalohet duhet të ketë akses në internet dhe porta 443 duhet të jetë e hapur për t'u lidhur nga interneti.Skedari i instalimit të shërbimit ndodhet në dosje C:\Program Files\Azure Authentication Multi-Factor në një kompjuter me MPJ të instaluar. Drejtoni instaluesin dhe ndiqni magjistarin e instalimit. Për lehtësinë e përdoruesve, mund të zëvendësoni emrin e drejtorisë virtuale "MultiFactorAuthMobileAppWebService" me një më të shkurtër.
Pas instalimit, shkoni te dosja C:\inetpub\wwwroot\MultiFactorAuthMobileAppWebService dhe modifikoni skedarin web.config. Në këtë skedar, duhet të vendosni çelësat përgjegjës për llogarinë që është pjesë e grupit të sigurisë PhoneFactor Admins. Kjo llogari do të përdoret për t'u lidhur me SDK.
Në të njëjtin skedar, duhet të specifikoni adresën URL ku SDK është i disponueshëm.
Shënim: Lidhja me SDK-në bëhet përmes protokollit SSL, kështu që duhet t'i referoheni SDK-së me emrin e serverit (të specifikuar në certifikatën SSL) dhe jo nga adresa IP. Nëse kërkesa është bërë nga emri lokal, duhet të shtoni hyrjen e duhur në skedarin e hosteve në mënyrë që të përdorni certifikatën SSL.
Shtoni URL-në ku ofrohet shërbimi i uebit i aplikacionit celular në aplikacionin Serveri i vërtetimit me shumë faktorë në seksionin e aplikacionit celular. Kjo është e nevojshme për gjenerimin e saktë të kodit QR në portalin e përdoruesit për lidhjen e aplikacioneve celulare.
Gjithashtu në këtë seksion, mund të kontrolloni kutinë e zgjedhjes "Aktivizo argumentet OATH", e cila ju lejon të përdorni aplikacionin celular si një kod Softueri për të gjeneruar fjalëkalime një herë në bazë të kohës.
Instalimi i Portalit të Përdoruesit
Instalimi kërkon IIS, ASP.NET dhe IIS Metabase Compatibility Role 6 (për IIS 7 ose më vonë).Nëse portali është i instaluar në serverin MFA, mjafton të shkoni te seksioni Portali i Përdoruesit në Serverin e Autentifikimit Multi-Factor, të klikoni butonin e instalimit dhe të ndiqni udhëzuesin e instalimit. Nëse kompjuteri është i bashkuar me një domen, instalimi do të krijojë një përdorues që është anëtar i grupit të sigurisë PhoneFactor Admins. Ky përdorues kërkohet për një lidhje të sigurt me SDK.
Kur instaloni në një server të veçantë, duhet të kopjoni skedarin e instalimit nga serveri MFA (skedari i instalimit ndodhet në dosje C:\Skedarët e programit\Serveri i vërtetimit me shumë faktorë). Instaloni dhe modifikoni skedarin web.config në vendndodhje C:\inetpub\wwwroot\MultiFactorAuth. Në këtë skedar, ju duhet të ndryshoni çelësin USE_WEB_SERVICE_SDK nga e rreme ne e vertete. Specifikoni detajet e një llogarie që është anëtare e grupit PhoneFactor Admins në çelësat WEB_SERVICE_SDK_AUTHENTICATION_USERNAME dhe WEB_SERVICE_SDK_AUTHENTICATION_PASSWORD. Dhe specifikoni adresën URL të shërbimit SDK, duke mos harruar, nëse është e nevojshme, të korrigjoni skedarin e hosteve në mënyrë që protokolli SSL të funksionojë.
Shtoni URL-në në të cilën portali i përdoruesit është i disponueshëm në aplikacionin "Serveri i vërtetimit me shumë faktorë" në seksionin "Portali i përdoruesit".
Demonstrimi se si funksionon Azure MFA për të vërtetuar lidhjet RDG
Ne do ta konsiderojmë punën e MPJ-së nga këndvështrimi i përdoruesit. Në rastin tonë, faktori i dytë i vërtetimit do të jetë një aplikacion celular, pasi rrjeti celular ka një sërë dobësish që lejojnë, me përgatitjen e duhur, përgjimin e thirrjeve dhe SMS-ve.Para së gjithash, përdoruesi do të duhet të shkojë në portalin e përdoruesit dhe të tregojë numrin e tij të telefonit (nëse nuk është i shënuar në AD) dhe të lidhë aplikacionin celular me llogarinë. Ne shkojmë në portalin nën llogarinë tonë dhe futim përgjigjet e pyetjeve sekrete (do të na duhen në rast të rifitimit të aksesit në llogari).
Tjetra, zgjidhni metodën e vërtetimit, në rastin tonë, aplikacionin celular dhe klikoni butonin "Gjeneroni kodin e aktivizimit". Do të gjenerohet një kod QR, i cili duhet të skanohet në aplikacionin celular.
Meqenëse gjatë importimit të përdoruesve në serverin MFA, vërtetimi u vendos duke përdorur një kod PIN, do të na kërkohet ta krijojmë atë. Futni kodin PIN të dëshiruar dhe klikoni "Verifiko identitetin tim". Në aplikacionin celular, duhet të konfirmoni kërkesën që shfaqet. Pas këtyre hapave, ne kemi një aplikacion të lidhur me llogarinë dhe akses të plotë në portal për të ndryshuar cilësimet personale.
Mori komente dhe sqarime tepër të mira nga një shok që donte të mbetej anonim:
1) Në fillim të konfigurimit të serverit, futni komandën:
multiotp.exe -debug -config default-request-prefix-pin=0 display-log=1 pas tij, nuk keni nevojë të vendosni një kod pin kur vendosni një përdorues dhe të shfaqni regjistrin e secilit operacion në tastierë.
2) Duke përdorur këtë komandë, mund të rregulloni kohën e banimit për përdoruesit që kanë bërë një gabim me fjalëkalimin (30 sekonda si parazgjedhje):
multiotp.exe -debug -config dështim-delayed-time=60
3) Ajo që do të shkruhet në aplikacionin google Authenticator mbi 6 shifra quhet lëshues, mund të ndryshoni nga MultiOTP e paracaktuar në diçka tjetër:
multiotp.exe -debug -config emetuesi=tjetër
4) Pas operacioneve të kryera, komanda për të krijuar një përdorues bëhet pak më e lehtë:
multiotp.exe -debug -krijoni përdoruesin TOTP 12312312312312312321 6 (Unë nuk e vendos kohën e përditësimit të shifrave në 30 sekonda, duket si parazgjedhje në 30).
5) Çdo përdorues mund të ndryshojë përshkrimin (tekstin nën numrat në aplikacionin Google Auth):
multiotp.exe -vendos përshkrimin e emrit të përdoruesit=2
6) Kodet QR mund të krijohen direkt në aplikacion:
multiotp.exe -qrcode emri i përdoruesit c:\multiotp\qrcode\user.png:\multiotp\qrcode\user.png
7) Mund të përdorni jo vetëm TOTP, por edhe HOTP (hyrja e funksionit hash nuk është koha aktuale, por vlera e numëruesit rritës):
multiotp.exe -debug -krijoni emrin e përdoruesit HOTP 12312312312312312321 6
Sot do t'ju tregojmë se si mund të vendosni shpejt dhe me lehtësi vërtetimin me dy faktorë dhe të kriptoni të dhëna të rëndësishme, edhe me mundësinë e përdorimit të biometrisë. Zgjidhja do të jetë e rëndësishme për kompanitë e vogla ose thjesht për një kompjuter personal ose laptop. Është e rëndësishme që për këtë të mos kemi nevojë për një infrastrukturë të çelësit publik (PKI), një server me rolin e një autoriteti certifikues (Certificate Services) dhe nuk kemi nevojë as për një domen (Active Directory). Të gjitha kërkesat e sistemit do të zbresin në sistemin operativ Windows dhe posedimin e një çelësi elektronik nga përdoruesi, dhe në rastin e vërtetimit biometrik, gjithashtu një lexues të gjurmëve të gishtërinjve, i cili, për shembull, mund të jetë tashmë i integruar në laptopin tuaj.
Për vërtetim, ne do të përdorim softuerin tonë të zhvilluar - JaCarta SecurLogon dhe çelësin elektronik JaCarta PKI si vërtetues. Mjeti i kriptimit do të jetë standardi EFS i Windows, qasja në skedarët e koduar do të bëhet gjithashtu përmes çelësit PKI JaCarta (i njëjti që përdoret për vërtetim).
Kujtojmë që JaCarta SecurLogon është një zgjidhje softuerike dhe harduerike e çertifikuar nga FSTEC e Rusisë nga Aladdin RD, e cila lejon një kalim të thjeshtë dhe të shpejtë nga vërtetimi me një faktor bazuar në një çift hyrje-fjalëkalim në vërtetimin me dy faktorë në OS duke përdorur USB tokenat ose kartat inteligjente. Thelbi i zgjidhjes është mjaft i thjeshtë - JSL gjeneron një fjalëkalim kompleks (~ 63 karaktere) dhe e shkruan atë në kujtesën e sigurt të çelësit elektronik. Në këtë rast, fjalëkalimi mund të mos jetë i njohur për vetë përdoruesin, përdoruesi e di vetëm kodin PIN. Duke futur një kod PIN gjatë vërtetimit, pajisja zhbllokohet dhe fjalëkalimi i transmetohet sistemit për vërtetim. Opsionale, mund ta zëvendësoni hyrjen PIN me skanimin e gjurmës së gishtit të përdoruesit dhe gjithashtu mund të përdorni një kombinim të PIN + gjurmë gishtash.
EFS, si JSL, mund të funksionojë në modalitetin e pavarur, duke kërkuar asgjë përveç vetë OS. Të gjitha sistemet operative të Microsoft të familjes NT, duke filluar me Windows 2000 e më vonë (përveç versioneve shtëpiake), kanë teknologji të integruar të enkriptimit të të dhënave EFS (Encrypting File System). Kriptimi EFS bazohet në aftësitë e sistemit të skedarëve NTFS dhe arkitekturës CryptoAPI dhe është krijuar për të enkriptuar shpejt skedarët në hard diskun e një kompjuteri. Kriptimi në EFS përdor çelësat privatë dhe publikë të përdoruesit, të cilët krijohen herën e parë që përdoruesi përdor funksionin e kriptimit. Këta çelësa mbeten të pandryshuar për aq kohë sa ekziston llogaria e tij. Kur enkripton një skedar, EFS gjeneron në mënyrë të rastësishme një numër unik, të ashtuquajturin çelësi i enkriptimit të skedarit (FEK), 128 bit i gjatë, me të cilin skedarët janë të koduar. FEK-të janë të koduara me një çelës kryesor, i cili është i koduar me çelësin e përdoruesve të sistemit që kanë akses në skedar. Çelësi privat i përdoruesit mbrohet nga hash-i i fjalëkalimit të përdoruesit. Të dhënat e koduara me EFS mund të deshifrohen vetëm duke përdorur të njëjtën llogari të Windows me të njëjtin fjalëkalim me të cilin është kryer kriptimi. Dhe nëse e ruani certifikatën e kriptimit dhe çelësin privat në një kod USB ose kartë inteligjente, atëherë do t'ju duhet gjithashtu ky kod USB ose kartë inteligjente për të hyrë në skedarët e enkriptuar, gjë që zgjidh problemin e komprometimit të fjalëkalimit, pasi do të kërkohet gjithashtu një pajisje shtesë. në formën e një çelësi elektronik.
Autentifikimi
Siç u përmend tashmë, nuk keni nevojë për AD ose një autoritet certifikimi për të konfiguruar, keni nevojë për ndonjë Windows modern, shpërndarje dhe licencë JSL. Konfigurimi është i thjeshtë për t'u turpëruar.Duhet të instaloni një skedar licence.
Shto profilin e përdoruesit.
Dhe filloni të përdorni vërtetimin me dy faktorë.
Autentifikimi biometrik
Është e mundur të përdoret vërtetimi biometrik i gjurmëve të gishtërinjve. Zgjidhja funksionon në teknologjinë Match On Card. Hash-i i gjurmës së gishtit shkruhet në kartë gjatë inicializimit fillestar dhe më pas kontrollohet me origjinalin. Nuk e lë askund hartën, nuk ruhet në disa baza të dhënash. Për të zhbllokuar një çelës të tillë, përdoret një gjurmë gishti ose një kombinim i PIN + gjurmë gishti, PIN ose gjurmë gishti.Për të filluar përdorimin, thjesht duhet të inicializoni kartën me parametrat e nevojshëm, të shkruani gjurmën e gishtit të përdoruesit.
Në të ardhmen, e njëjta dritare do të shfaqet përpara se të hyni në OS.
Në këtë shembull, karta është inicializuar me mundësinë e vërtetimit me gjurmë gishtash ose kod PIN, i cili tregohet nga dritarja e vërtetimit.
Pas paraqitjes së një gjurmë gishti ose kodi PIN, përdoruesi do të hyjë në sistemin operativ.
Kriptimi i të dhënave
Vendosja e EFS nuk është gjithashtu shumë e komplikuar, bëhet fjalë për vendosjen e një certifikate dhe lëshimin e saj në një çelës elektronik dhe vendosjen e drejtorive të kriptimit. Në mënyrë tipike, nuk keni nevojë të kriptoni të gjithë diskun. Skedarët vërtet të rëndësishëm, të cilët nuk janë të dëshirueshëm për t'u aksesuar nga palët e treta, zakonisht ndodhen në drejtori të veçanta dhe nuk janë të shpërndara në të gjithë diskun.Për të lëshuar një certifikatë enkriptimi dhe një çelës privat, hapni llogarinë e përdoruesit, zgjidhni - Menaxho çertifikatat e enkriptimit të skedarëve. Në magjistarin që hapet, krijoni një certifikatë të vetë-nënshkruar në kartën inteligjente. Meqenëse ne vazhdojmë të përdorim një kartë inteligjente me një aplikacion BIO, duhet të paraqitet një gjurmë gishti ose PIN për të shkruar certifikatën e enkriptimit.
Në hapin tjetër, specifikoni drejtoritë që do të lidhen me certifikatën e re; nëse është e nevojshme, mund të specifikoni të gjitha disqet logjike.
Vetë drejtoria e koduar dhe skedarët në të do të theksohen me një ngjyrë të ndryshme.
Qasja në skedarë kryhet vetëm me një çelës elektronik, me paraqitjen e një gjurmë gishti ose kodi PIN, në varësi të asaj që zgjidhet.
Kjo përfundon të gjithë konfigurimin.
Ju mund të përdorni të dy skenarët (autentifikimin dhe enkriptimin), mund të ndaleni në një gjë.
Nëse një fjalëkalim është e vetmja pengesë për të hyrë në të dhënat tuaja, ju jeni në rrezik të madh. Leja mund të grumbullohet, të kapet, të tërhiqet zvarrë me një trojan, të peshkohet me ndihmën e inxhinierisë sociale. Mospërdorimi i vërtetimit me dy faktorë në këtë skenar është pothuajse një krim.
Ne kemi folur tashmë për çelësat një herë më shumë se një herë. Kuptimi është shumë i thjeshtë. Nëse një sulmues arrin disi të marrë fjalëkalimin tuaj të hyrjes, atëherë ai mund të hyjë lehtësisht në postën tuaj ose të lidhet me një server të largët. Por nëse ka një faktor shtesë në rrugën e tij, për shembull, një çelës një herë (ai quhet edhe një çelës OTP), atëherë asgjë nuk do të vijë prej tij. Edhe nëse një çelës i tillë arrin te një sulmues, nuk do të jetë më i mundur përdorimi i tij, pasi ai është i vlefshëm vetëm një herë. Një faktor i tillë i dytë mund të jetë një telefonatë shtesë, një kod i marrë me SMS, një çelës i gjeneruar në telefon sipas algoritmeve të caktuara bazuar në kohën aktuale (koha është një mënyrë për të sinkronizuar algoritmin në klient dhe server). I njëjti Google ka rekomanduar prej kohësh përdoruesit e tij që të mundësojnë vërtetimin me dy faktorë (disa klikime në cilësimet e llogarisë). Tani është radha për të shtuar një shtresë të tillë mbrojtjeje për shërbimet tuaja!
Çfarë ofron Duo Security?
Shembull banal. Kompjuteri im "jashtë" ka një port RDP të hapur për lidhje me desktopin në distancë. Nëse rrjedh fjalëkalimi i hyrjes, sulmuesi do të ketë menjëherë akses të plotë në makinë. Prandaj, nuk bëhej fjalë për forcimin e mbrojtjes së fjalëkalimit OTP - thjesht duhej bërë. Ishte marrëzi të rishpikësh timonin dhe të përpiqesha të zbatoja gjithçka vetë, kështu që thjesht shikova zgjidhjet që janë në treg. Shumica e tyre doli të ishin komerciale (më shumë në shiritin anësor), por për një numër të vogël përdoruesish ato mund të përdoren falas. Vetëm ajo që ju nevojitet për shtëpinë. Një nga shërbimet më të suksesshme që ju lejon të organizoni autorizimin me dy faktorë për fjalë për fjalë çdo gjë (përfshirë VPN, SSH dhe RDP) doli të ishte Duo Security (www.duosecurity.com). Ajo që shtoi atraktivitetin e tij ishte fakti se zhvilluesi dhe themeluesi i projektit është John Oberheid, një specialist i njohur i sigurisë së informacionit. Ai, për shembull, zbuloi protokollin e komunikimit të Google me telefonat inteligjentë Android, me të cilin mund të instaloni ose hiqni aplikacione arbitrare. Një bazë e tillë e bën veten të ndihet: për të treguar rëndësinë e autorizimit me dy faktorë, djemtë filluan shërbimin VPN Hunter (www.vpnhunter.com), i cili mund të gjejë shpejt serverët VPN të pafshehur të kompanisë (dhe në të njëjtën kohë të përcaktojë llojin e pajisjeve në të cilat ata punojnë), shërbimet e aksesit në distancë (OpenVPN, RDP, SSH) dhe elementë të tjerë të infrastrukturës që lejojnë një sulmues të hyjë në rrjetin e brendshëm thjesht duke ditur hyrjen dhe fjalëkalimin. Është qesharake që në Twitter-in zyrtar të shërbimit, pronarët filluan të publikojnë raporte ditore për skanimin e kompanive të njohura, pas së cilës llogaria u ndalua :). Shërbimi Duo Security, natyrisht, synon kryesisht futjen e vërtetimit me dy faktorë në kompanitë me një numër të madh përdoruesish. Për fat të mirë për ne, është e mundur të krijoni një llogari personale falas që ju lejon të konfiguroni pa pagesë vërtetimin me dy faktorë për deri në dhjetë përdorues.
Cili mund të jetë faktori i dytë?
Më tej, ne do të shikojmë se si të forcojmë sigurinë e një lidhjeje me desktop në distancë, si dhe SSH në një server, në vetëm dhjetë minuta. Por së pari, dua të flas për hapin shtesë që Duo Security prezanton si një faktor të dytë autorizimi. Ka disa opsione: thirrje telefonike, SMS me kodkalime, kodkalime Duo Mobile, Duo Push, çelës elektronik. Pak më shumë për secilën.
Sa kohë mund ta përdorni falas?
Siç është përmendur tashmë, Duo Security ofron një plan tarifor special "Personal". Është absolutisht falas, por numri i përdoruesve duhet të jetë jo më shumë se dhjetë. Mbështet shtimin e një numri të pakufizuar integrimesh, të gjitha metodat e disponueshme të vërtetimit. Ofron një mijë kredi falas për shërbimet e telefonisë. Kreditë janë, si të thuash, një monedhë e brendshme që debitohet nga llogaria juaj sa herë që ndodh një vërtetim duke përdorur një telefonatë ose SMS. Në cilësimet e llogarisë, mund ta vendosni në mënyrë që kur të arrini numrin e specifikuar të krediteve, të merrni një njoftim për sapunin dhe të keni kohë për të rimbushur bilancin. Një mijë kredite kushtojnë vetëm 30 dollarë. Çmimi i thirrjeve dhe SMS për vende të ndryshme është i ndryshëm. Për Rusinë, një telefonatë do të kushtojë nga 5 në 20 kredite, SMS - 5 kredite. Megjithatë, telefonata që ndodh kur vërtetohet në sajtin e Duo Security nuk tarifohet. Ju mund t'i harroni plotësisht kreditet nëse përdorni aplikacionin Duo Mobile për vërtetim - asgjë nuk tarifohet për të.
Regjistrim i lehtë
Për të mbrojtur serverin tuaj me Duo Security, duhet të shkarkoni dhe instaloni një klient të veçantë që do të ndërveprojë me serverin e vërtetimit të Duo Security dhe do të sigurojë një shtresë të dytë mbrojtjeje. Prandaj, ky klient do të jetë i ndryshëm në secilën situatë: në varësi të vendit ku saktësisht është e nevojshme të zbatohet autorizimi me dy faktorë. Për këtë do të flasim më poshtë. Gjëja e parë që duhet të bëni është të regjistroheni në sistem dhe të merrni një llogari. Prandaj, ne hapim faqen kryesore të faqes, klikoni "Provë falas", në faqen që hapet, klikoni butonin "Këndoni" nën llojin e llogarisë personale. Pas kësaj, na kërkohet të fusim emrin, mbiemrin, adresën e emailit dhe emrin e kompanisë. Ju duhet të merrni një email që përmban një lidhje për të konfirmuar regjistrimin tuaj. Në këtë rast, sistemi do të telefonojë automatikisht telefonin e specifikuar: për të aktivizuar llogarinë tuaj, duhet t'i përgjigjeni thirrjes dhe të shtypni butonin # në telefonin tuaj. Pas kësaj, llogaria do të jetë aktive dhe mund të filloni provat luftarake.
Mbrojtja e RDP
E thashë më lart se fillova me një dëshirë të fortë për të siguruar lidhje në distancë me desktopin tim. Prandaj, si shembull i parë, unë do të përshkruaj se si të forcohet siguria e RDP.
- Çdo zbatim i vërtetimit me dy faktorë fillon me një hap të thjeshtë: krijimi i një të ashtuquajturi integrim në profilin Duo Security. Shkoni te seksioni "Integrimet Integrimi i ri", specifikoni emrin e integrimit (për shembull, "Home RDP"), zgjidhni llojin e tij "Microsoft RDP" dhe klikoni "Shto Integrim".
- Dritarja që shfaqet shfaq parametrat e integrimit: çelësi i integrimit, çelësi sekret, emri i hostit API. Do të na duhen më vonë kur të vendosim anën e klientit. Është e rëndësishme të kuptohet: askush nuk duhet t'i njohë ato.
- Më pas, duhet të instaloni një klient të veçantë në makinën e mbrojtur, i cili do të instalojë gjithçka që ju nevojitet në sistemin Windows. Mund të shkarkohet nga faqja zyrtare ose të merret nga disku ynë. I gjithë konfigurimi i tij zbret në faktin se gjatë procesit të instalimit do të jetë e nevojshme të futni çelësin e Integrimit, çelësin sekret, emrin e hostit API të përmendur më sipër.
- Kjo, në fakt, është e gjitha. Tani, herën tjetër që të hyni në server përmes RDP, do të ketë tre fusha në ekran: emri i përdoruesit, fjalëkalimi dhe çelësi i njëhershëm Duo. Prandaj, me vetëm një fjalëkalim hyrje-hyrje, nuk është më e mundur të identifikohesh në sistem.
Herën e parë që një përdorues i ri përpiqet të identifikohet, do të duhet të kalojë një herë procesin e verifikimit të Duo Security. Shërbimi do t'i japë atij një lidhje të veçantë, duke klikuar mbi të cilën duhet të futni numrin tuaj të telefonit dhe të prisni për një telefonatë verifikimi. Për të marrë çelësa shtesë (ose për t'i marrë ato për herë të parë), mund të futni fjalën kyçe "sms". Nëse dëshironi të vërtetoni me një telefonatë - futni "phone", nëse me Duo Push - "shtyni". Historia e të gjitha përpjekjeve të lidhjes (si të suksesshme ashtu edhe të pasuksesshme) me serverin mund të shihet në llogarinë tuaj në faqen e internetit të Duo Security duke zgjedhur fillimisht integrimin e dëshiruar dhe duke shkuar te "Regjistri i vërtetimit".
Ne e lidhim Duo Security kudo!
Duke përdorur vërtetimin me dy faktorë, ju mund të mbroni jo vetëm RDP ose SSH, por edhe VPN, serverë RADIUS dhe çdo shërbim në internet. Për shembull, ka klientë të jashtëm që shtojnë një shtresë shtesë të vërtetimit në motorët e njohur Drupal dhe WordPress. Nëse nuk ka klient të gatshëm, nuk duhet të shqetësoheni: gjithmonë mund të shtoni vërtetimin me dy faktorë për aplikacionin ose faqen tuaj të internetit vetë duke përdorur API-në e ofruar nga sistemi. Logjika e punës me API është e thjeshtë - ju bëni një kërkesë në URL-në e një metode të caktuar dhe analizoni përgjigjen e kthyer, e cila mund të vijë në formatin JSON (ose BSON, XML). Dokumentacioni i plotë mbi Duo REST API është i disponueshëm në faqen zyrtare të internetit. Thjesht do të them se ekzistojnë metoda ping, kontroll, paraauth, auth, status, nga emri i të cilave është e lehtë të merret me mend se për çfarë synohen.
Sigurimi i SSH
Konsideroni një lloj tjetër integrimi - "Integrimi UNIX" për të zbatuar vërtetimin e sigurt. Ne shtojmë një integrim tjetër në profilin tonë të Duo Security dhe vazhdojmë të instalojmë klientin në sistem.
Burimet e kësaj të fundit mund t'i shkarkoni në bit.ly/IcGgk0 ose ta merrni nga disku ynë. Kam përdorur versionin e fundit - 1.8. Nga rruga, klienti funksionon në shumicën e platformave nix, kështu që mund ta instaloni lehtësisht në FreeBSD, NetBSD, OpenBSD, Mac OS X, Solaris/Illumos, HP-UX dhe AIX. Procesi i ndërtimit është standard - konfiguroni && bëni && sudo make install. E vetmja gjë që do të rekomandoja është përdorimi i konfigurimit me opsionin --prefix=/usr, përndryshe klienti mund të mos gjejë bibliotekat e nevojshme në fillim. Pas instalimit të suksesshëm, ne shkojmë në modifikimin e skedarit të konfigurimit /etc/duo/login_duo.conf. Kjo duhet të bëhet nga rrënja. Të gjitha ndryshimet që duhen bërë për funksionimin e suksesshëm janë të vendosni vlerat e çelësit të Integrimit, çelësit sekret, emrit të hostit API, të cilat mund të gjenden në faqen e integrimit.
; Tasti i integrimit Duo = INTEGRATION_KEY; Çelësi sekret Duo = SECRET_KEY; Duo API hostnamehost = API_HOSTNAME
Për të detyruar të gjithë përdoruesit që hyjnë në serverin tuaj nëpërmjet SSH të përdorin vërtetimin me dy faktorë, thjesht shtoni rreshtin e mëposhtëm në skedarin /etc/ssh/sshd_config:
> ForceCommand /usr/local/sbin/login_duo
Është gjithashtu e mundur të organizohet vërtetimi me dy faktorë vetëm për përdoruesit individualë duke i kombinuar në një grup dhe duke specifikuar këtë grup në skedarin login_duo.conf:
>grup=rrota
Që ndryshimet të hyjnë në fuqi, mbetet vetëm rinisja e demonit ssh. Tani e tutje, pas futjes me sukses të fjalëkalimit të hyrjes, përdoruesit do t'i kërkohet t'i nënshtrohet vërtetimit shtesë. Një hollësi e konfigurimit ssh duhet të theksohet veçmas - rekomandohet fuqimisht të çaktivizoni opsionet PermitTunnel dhe AllowTcpForwarding në skedarin e konfigurimit, pasi daemon i zbaton ato përpara se të fillojë fazën e dytë të vërtetimit. Kështu, nëse një sulmues e fut saktë fjalëkalimin, atëherë ai mund të fitojë akses në rrjetin e brendshëm përpara se të përfundojë faza e dytë e vërtetimit falë përcjelljes së portit. Për të shmangur këtë efekt, shtoni opsionet e mëposhtme në sshd_config:
PermitTunnel noAllowTcpForwarding nr
Tani serveri juaj është pas një muri të dyfishtë dhe është shumë më e vështirë për një sulmues të hyjë në të.
Cilësimet shtesë
Nëse hyni në llogarinë tuaj të Duo Security dhe shkoni te seksioni "Cilësimet", mund të ndryshoni disa cilësime për veten tuaj. Seksioni i parë i rëndësishëm është "Telefonata". Kjo specifikon cilësimet që do të jenë në fuqi kur një telefonatë përdoret për të konfirmuar vërtetimin. Artikulli "Testat e kthimit të telefonatës zanore" ju lejon të vendosni se cilin çelës telefoni duhet të shtypni për të konfirmuar vërtetimin. Si parazgjedhje, vlera "Shtypni çdo çelës për të vërtetuar" është atje - domethënë, mund të shtypni çdo çelës. Nëse e vendosni vlerën në "Shtypni çelësa të ndryshëm për të vërtetuar ose raportuar mashtrimin", atëherë do t'ju duhet të vendosni dy çelësa: shtypja e të parit konfirmon vërtetimin (Testi për vërtetim), shtypja e të dytit (Testi për të raportuar mashtrimin) do të thotë që procesi i vërtetimit nuk është nisur nga ne, domethënë dikush ka marrë fjalëkalimin tonë dhe po përpiqet ta përdorë atë për të hyrë në server. Artikulli "Kodet e kalimit SMS" ju lejon të vendosni numrin e kodeve që do të përmbajë një SMS dhe jetëgjatësinë (vlefshmërinë e tyre). Parametri "Lockout and fraud" ju lejon të vendosni adresën e emailit që do të marrë një njoftim në rast të një numri të caktuar përpjekjesh të pasuksesshme për t'u identifikuar në server.
Përdorni!
Çuditërisht, shumë ende injorojnë vërtetimin me dy faktorë. Nuk e kuptoj pse. Kjo me të vërtetë shton shumë siguri. Ju mund ta zbatoni atë për pothuajse çdo gjë, dhe zgjidhjet e denja janë në dispozicion falas. Pra, pse? Nga dembelizmi apo pakujdesia.
Shërbime të ngjashme
- nënkuptojnë(www.signify.net) Shërbimi ofron tre opsione për organizimin e vërtetimit me dy faktorë. E para është përdorimi i çelësave elektronikë. Mënyra e dytë është përdorimi i çelësave, të cilët dërgohen në telefonin e përdoruesit me SMS ose vijnë me e-mail. Opsioni i tretë është një aplikacion celular për telefonat Android, iPhone, BlackBerry që gjeneron fjalëkalime një herë (në thelb të ngjashëm me Duo Mobile). Shërbimi u drejtohet kompanive të mëdha, kështu që paguhet plotësisht.
- SecurEnvoy(www.securenvoy.com) Gjithashtu ju lejon të përdorni telefonin tuaj celular si një shtresë të dytë sigurie. Passkeys i dërgohen përdoruesit me SMS ose e-mail. Çdo mesazh përmban tre çelësa kalimi, që do të thotë se përdoruesi mund të identifikohet tre herë përpara se të kërkojë një pjesë të re. Shërbimi është gjithashtu me pagesë, por ofron një periudhë 30-ditore falas. Një plus i rëndësishëm është një numër i madh i integrimeve vendase dhe të palëve të treta.
- PhoneFactor(www.phonefactor.com) Ky shërbim ju lejon të organizoni vërtetimin me dy faktorë falas për deri në 25 përdorues, duke ofruar 500 vërtetime falas në muaj. Për të organizuar mbrojtjen, do t'ju duhet të shkarkoni dhe instaloni një klient të veçantë. Nëse keni nevojë të shtoni vërtetim me dy faktorë në faqen tuaj, mund të përdorni SDK-në zyrtare, e cila ofron dokumentacion të detajuar dhe shembuj për gjuhët e mëposhtme të programimit: ASP.NET C#, ASP.NET VB, Java, Perl, Ruby, PHP.
