Autentifikimi me dy faktorë në Windows dhe kriptimi i të dhënave pa autoritet certifikate ose domen. Instalimi i shërbimit të ueb-it të aplikacionit celular

02.05.2019 Windows 7, XP

Realitetet e vendeve ku jetojnë shumica e banorëve të Khabrovsk janë të tilla që mbajtja e serverëve informacion i rendesishem Të bërit biznes jashtë vendit është bërë një praktikë e mirë, duke ju lejuar të kurseni nervat dhe të dhënat tuaja.

Pyetja e parë që lind kur kaloni në cloud pas kriptimit të të dhënave, ose ndoshta edhe para tij, është sigurimi që qasja në të dhënat me një llogari përdoruesi të kryhet nga përdoruesi dhe jo nga dikush tjetër. Dhe nëse një mënyrë e mirë për të kriptuar të dhënat e vendosura në një re private diskutohet në artikullin e kolegut tim, atëherë me vërtetimin gjithçka është më e ndërlikuar.

Rreth përdoruesve dhe metodave të mbrojtjes

Natyra e një përdoruesi tipik është e tillë që qëndrimi ndaj sigurisë së fjalëkalimeve të llogarisë është mjaft joserioz dhe është e pamundur të korrigjohet kjo. Përvoja jonë tregon se edhe nëse një kompani ka politika strikte, trajnime të përdoruesve, etj., përsëri do të ketë një pajisje të pakriptuar që largohet nga muret e zyrës, dhe kur shikoni listën e produkteve nga një kompani e njohur, kuptoni se ajo është vetëm çështje kohe përpara se të merrni fjalëkalimet nga një pajisje e pakriptuar.

Disa kompani, për të kontrolluar aksesin në të dhëna në cloud, instalojnë tunele midis cloud dhe zyrës dhe ndalojnë hyrjen në distancë https://habrahabr.ru/company/pc-administrator/blog/320016/. Sipas mendimit tonë, kjo nuk është një zgjidhje plotësisht optimale; së pari, disa nga avantazhet humbasin zgjidhje cloud, dhe së dyti ka probleme të performancës të vërejtura në artikull.

Zgjidhja duke përdorur një server terminal dhe Porta e desktopit në distancë (RDG) më fleksibël, mund të personalizohet nivel të lartë siguria, siç përshkruhet nga kolegu im https://habrahabr.ru/post/134860/ (artik nga viti 2011, por vetë parimi është ende i rëndësishëm). Kjo metodë ju lejon të parandaloni transferimin e të dhënave nga cloud, por vendos kufizime në punën e përdoruesit dhe nuk e zgjidh plotësisht problemin e vërtetimit; përkundrazi, është një zgjidhje DLP.

Ndoshta mënyra më e mirë për të siguruar që nuk ka asnjë sulmues që funksionon nën llogarinë e një përdoruesi është vërtetimi me dy faktorë. Artikujt e kolegut tim https://habrahabr.ru/post/271259/ https://habrahabr.ru/post/271113/ përshkruajnë ngritjen e MPJ-së nga Microsoft dhe Google për klient VPN. Metoda është e mirë, por, së pari, kërkon një ASA CISCO, e cila nuk është gjithmonë e lehtë për t'u zbatuar, veçanërisht në retë e buxhetit, dhe së dyti, puna përmes një VPN është e papërshtatshme. Puna me një seancë terminali nëpërmjet RDG është shumë më komode dhe protokolli i enkriptimit SSL duket më universal dhe më i besueshëm se VPN nga CISCO.

Zgjidhje me vërtetim me dy faktorë server terminal shumë, këtu është një shembull i vendosjes së një zgjidhjeje falas - http://servilon.ru/dvuhfaktornaya-autentifikaciya-otp/. Kjo zgjidhje për fat të keq nuk funksionon përmes RDG.

Serveri RDG kërkon konfirmimin e autorizimit nga serveri i MPJ. MPJ, në varësi të metodës së përzgjedhur të vërtetimit, telefonon, dërgon SMS ose dërgon një kërkesë në një aplikacion celular. Përdoruesi konfirmon ose refuzon kërkesën për qasje. MFA kthen rezultatin e faktorit të dytë të vërtetimit në serverin RDG.

Instaloni dhe konfiguroni serverin e vërtetimit me shumë faktorë Azure

Krijoni një ofrues vërtetimi në portalin Microsoft Azure

Shkojmë te Microsoft Azure (llogaria duhet të ketë të instaluar një abonim ose një version provë) dhe gjejmë Autentifikimin me shumë faktorë (MFA).

Aktiv ky moment Menaxhimi i MPJ-së nuk i shtohet versionit të ri të portalit Azure, kështu që do të hapet versioni i vjetër i portalit.

Për të krijuar një ofrues të ri vërtetimi me shumë faktorë, duhet të klikoni "KRIJO → Shërbimet e aplikacionit → Drejtoria aktive → Ofruesi i vërtetimit me shumë faktorë → Krijimi i shpejtë" në fund majtas. Specifikoni emrin dhe modelin e përdorimit.

Mënyra se si do të llogaritet pagesa varet nga modeli i përdorimit, qoftë nga numri i përdoruesve ose nga numri i vërtetimeve.

Pasi të krijohet, MPJ do të shfaqet në listë. Më pas, vazhdoni me kontrollin duke shtypur butonin e duhur.

Shkoni te shkarkimet dhe shkarkoni serverin MFA

Vendosja e një serveri MFA

Serveri MFA duhet të instalohet në Makine virtuale ndryshe nga serveri RDG. Mbështeten OS më të vjetër se Windows Server 2008 ose Windows 7. Microsoft kërkohet të funksionojë. NET Framework 4.0.

Adresat në portin 443 duhet të jenë të disponueshme:

Ne instalojmë serverin MFA, gjatë instalimit ne refuzojmë magjistarin e cilësimeve.

Kur filloni për herë të parë, duhet të futni të dhënat e llogarisë, të cilat duhet të gjenerohen në faqen e ngarkimit të serverit.

Më pas shtojmë përdorues. Për ta bërë këtë, shkoni te seksioni Përdoruesit dhe klikoni në Import from Active Directory, zgjidhni përdoruesit për të importuar.

Nëse është e nevojshme, mund të konfiguroni shtim automatik përdorues të rinj nga AD:

“Integrimi i drejtorisë → Sinkronizimi → Shto”, etj. shtoni një direktori që do të sinkronizohet automatikisht në intervalin kohor të caktuar.

Le të testojmë funksionalitetin e serverit MFA. Shkoni te seksioni Përdoruesit. Për llogarinë tuaj, tregoni numrin e telefonit (nëse nuk është specifikuar tashmë) dhe zgjidhni metodën e vërtetimit "Thirrje telefonike". Klikoni butonin Test dhe shkruani hyrjen dhe fjalëkalimin tuaj. Telefoni duhet të marrë një telefonatë. Ne i përgjigjemi dhe shtypim #.

Konfigurimi i një serveri MFA për të punuar me kërkesat e Radius

Shkoni te seksioni "Vërtetimi me rreze" dhe kontrolloni kutinë e kontrollit "Aktivizo vërtetimin RADIUS".

Shtoni një klient të ri duke specifikuar adresën IP të serverit NPS dhe çelësin sekret të përbashkët. Nëse vërtetimi duhet të kryhet për të gjithë përdoruesit, kontrolloni kutinë e duhur (në këtë rast, të gjithë përdoruesit duhet të shtohen në serverin MFA).

Ju gjithashtu duhet të siguroheni që portat e specifikuara për lidhjen përputhen me portet e specifikuara në serverin NPS dhe nuk janë të bllokuara nga muri i zjarrit.

Shkojmë Skeda e synuar dhe shtoni një server Radius.

Shënim: Nëse nuk ka server qendror NPS në rrjet, adresat IP të klientit dhe serverit Radius do të jenë të njëjta.

Konfigurimi i serverëve RDG dhe NPS për të punuar së bashku me MPJ

Porta e Desktopit në distancë duhet të konfigurohet për të dërguar kërkesat e Radius te serveri MFA. Për ta bërë këtë, hapni vetitë e portës dhe shkoni te skeda "RDG CAP Store", zgjidhni "NPS ekzekutohet në një server qendror" dhe tregoni adresën e serverit MFA dhe çelësin e përbashkët sekret.

Tjetra, ne konfigurojmë serverin NPS. Zgjeroni seksionin "Klientët dhe serverët e rrezeve → Grupet e serverëve me rreze të largët". Hapni vetitë e grupit “TS gateway server group” (grupi krijohet kur konfiguroni RDG) dhe shtoni serverin tonë MFA.

Kur shtojmë, në skedën "Load Balancing" ne rrisim kufijtë e skadimit të serverit. Ne vendosëm "Numrin e sekondave pa përgjigje, pas së cilës kërkesa konsiderohet e hedhur poshtë" dhe "Numri i sekondave midis kërkesave, pas së cilës serveri konsiderohet i padisponueshëm" në intervalin 30-60 sekonda.

Në skedën "Autentifikimi / Kontabiliteti", ne kontrollojmë korrektësinë e porteve të specifikuara dhe vendosim çelësin e përbashkët sekret.

Tani le të shkojmë në seksionin "Radius Clients and Servers → Radius Clients" dhe të shtojmë një server MFA, duke specifikuar "Emri miqësor", adresa dhe sekreti i përbashkët.

Shkoni te seksioni "Politikat → Politikat e kërkesës për lidhje". Ky seksion duhet të përmbajë politikën e krijuar gjatë konfigurimit të RDG. Kjo politikë drejton kërkesat e Radius te serveri MFA.

Dublikojeni politikën dhe shkoni te vetitë e saj. Shto një kusht që përputhet "Emri miqësor ndaj klientit" me "Emri miqësor" të specifikuar në hapin e mëparshëm.

Në skedën "Cilësimet", ndryshoni ofruesin e shërbimit të vërtetimit në një server lokal.

Kjo politikë do të sigurojë që kur të merret një kërkesë Radius nga serveri i MFA, kërkesa do të përpunohet në nivel lokal, gjë që do të eliminojë lidhjen e kërkesës.

Ne kontrollojmë që kjo politikë të vendoset mbi atë origjinale.

Në këtë fazë, kombinimi RDG dhe MPJ është në gjendje pune. Hapat e mëposhtëm janë të nevojshëm për ata që duhet të jenë në gjendje të përdorin vërtetimin duke përdorur aplikacioni celular ose t'u jepni përdoruesve akses në disa cilësime të MPJ-së përmes portalit të përdoruesit.

Instalimi i SDK-së, Shërbimit në ueb të aplikacionit celular dhe portalit të përdoruesit

Lidhja me këta komponentë bëhet nëpërmjet protokollit HTTPS. Prandaj, duhet të instaloni një certifikatë SSL në serverin ku do të vendosen.

Portali i përdoruesit dhe shërbimi në internet i aplikacionit celular përdorin SDK-në për të komunikuar me serverin e MPJ.

Instalimi i SDK-së

SDK-ja është instaluar në serverin MFA dhe kërkon IIS, ASP.NET, Authentication Basic, të cilat duhet të instalohen paraprakisht duke përdorur Server Manager.

Për të instaluar SDK-në, shkoni te seksioni SDK i Shërbimit Ueb në Serverin e vërtetimit me shumë faktorë dhe klikoni butonin e instalimit dhe ndiqni udhëzuesin e instalimit.

Instalimi i shërbimit të ueb-it të aplikacionit celular

Ky shërbim kërkohet që aplikacioni celular të ndërveprojë me serverin e MPJ-së. Që shërbimi të funksionojë siç duhet, kompjuteri në të cilin do të instalohet duhet të ketë akses në internet dhe porta 443 duhet të jetë e hapur për t'u lidhur nga interneti.

Skedari i instalimit të shërbimit ndodhet në dosje C:\Program Files\Azure Authentication Multi-Factor në një kompjuter me MPJ të instaluar. Hapni instaluesin dhe ndiqni magjistarin e instalimit. Për lehtësinë e përdoruesve, mund të zëvendësoni emrin e drejtorisë virtuale "MultiFactorAuthMobileAppWebService" me një më të shkurtër.

Pas instalimit, shkoni te dosja C:\inetpub\wwwroot\MultiFactorAuthMobileAppWebService dhe ndryshoni skedarin web.config. NË këtë skedar duhet të vendosni çelësat përgjegjës për llogarinë që është pjesë e grupit të sigurisë PhoneFactor Admins. Kjo llogari do të përdoret për t'u lidhur me SDK.

Në të njëjtin skedar duhet të specifikoni Adresa URL për të cilat SDK është në dispozicion.

Shënim: Lidhja me SDK bëhet përmes protokollit SSL, kështu që duhet t'i referoheni SDK-së me emrin e serverit (të specifikuar në certifikatën SSL), dhe jo me adresën IP. Nëse thirrja është bërë duke përdorur një emër lokal, duhet të shtoni një hyrje përkatëse në skedarin e hosteve në mënyrë që të përdorni certifikatën SSL.

Ne shtojmë URL-në ku ofrohet shërbimi në internet i aplikacionit celular në aplikacionin Serveri i vërtetimit me shumë faktorë në seksionin e aplikacionit celular. Kjo është e nevojshme për gjenerimin e saktë të kodit QR në portalin e përdoruesit për lidhjen e aplikacioneve celulare.

Gjithashtu në këtë seksion, mund të kontrolloni kutinë e zgjedhjes "Aktivizo argumentet OATH", e cila ju lejon të përdorni aplikacionin celular si një kod Softueri për të gjeneruar fjalëkalime një herë në bazë të kohës.

Instalimi i një portali përdoruesi

Instalimi kërkon IIS, ASP.NET dhe rolin e përputhshmërisë së metabazës IIS 6 (për IIS 7 ose më vonë).

Nëse portali është i instaluar në një server MFA, thjesht shkoni te seksioni i Portalit të Përdoruesit në Serverin e Autentifikimit Multi-Factor, klikoni butonin e instalimit dhe ndiqni udhëzuesin e instalimit. Nëse kompjuteri është i bashkuar me një domen, atëherë gjatë instalimit do të krijohet një përdorues që është anëtar i grupit të sigurisë PhoneFactor Admins. Ky përdorues kërkohet për një lidhje të sigurt me SDK.

Kur instaloni në një server të veçantë, duhet të kopjoni skedarin e instalimit nga serveri MFA (skedari i instalimit ndodhet në dosje C:\Program Files\Serveri i vërtetimit me shumë faktorë). Instaloni dhe modifikoni skedarin web.config te vendndodhja C:\inetpub\wwwroot\MultiFactorAuth. Duhet të ndryshoni çelësin në këtë skedar USE_WEB_SERVICE_SDK nga e rreme ne e vertete. Specifikoni detajet e një llogarie që i përket grupit PhoneFactor Admins në çelësat WEB_SERVICE_SDK_AUTHENTICATION_USERNAME dhe WEB_SERVICE_SDK_AUTHENTICATION_PASSWORD. Dhe specifikoni adresën URL të shërbimit SDK, duke mos harruar të redaktoni skedarin e hosteve nëse është e nevojshme në mënyrë që protokolli SSL të funksionojë.

Ne shtojmë URL-në ku disponohet portali i përdoruesit në aplikacionin Serveri i vërtetimit me shumë faktorë në seksionin Portali i përdoruesit.

Demonstrimi se si funksionon Azure MFA për të vërtetuar lidhjet RDG

Ne do të shqyrtojmë punën e MPJ-së nga ana e përdoruesit. Në rastin tonë, faktori i dytë i vërtetimit do të jetë aplikacioni celular, pasi rrjeti celular ka një sërë dobësish që lejojnë, me përgatitjen e duhur, të përgjohen telefonatat dhe SMS.

Para së gjithash, përdoruesi do të duhet të shkojë në portalin e përdoruesit dhe të tregojë numrin e tij të telefonit (nëse nuk është i shënuar në AD) dhe të lidhë aplikacionin celular me llogarinë e tij. Ne shkojmë në portalin nën llogarinë tonë dhe futim përgjigjet për të pyetje të sigurisë(Do të na duhen nëse rikthehet qasja në llogari).

Tjetra, zgjidhni metodën e vërtetimit, në rastin tonë, një aplikacion celular dhe klikoni butonin "Krijo kodin e aktivizimit". Do të gjenerohet një kod QR, i cili duhet të skanohet në aplikacionin celular.

Meqenëse gjatë importimit të përdoruesve në serverin MFA, u vendos vërtetimi duke përdorur një kod PIN, do të na kërkohet ta krijojmë atë. Futni kodin PIN të dëshiruar dhe klikoni "Verifiko origjinalitetin tim". Në aplikacionin celular, duhet të konfirmoni kërkesën që shfaqet. Pas këtyre hapave, ne kemi një aplikacion të lidhur me llogarinë dhe akses të plotë në portal për të ndryshuar cilësimet personale.

Tutorial

Disa prej jush me siguri kanë dëgjuar për ngjarjen e bërë publike kohët e fundit. Prodhuesi amerikan i gjysmëpërçuesve Allegro MicroSystem LLC paditi ish specialistin e tij të IT për sabotim. Nimesh Patel, i cili punoi për kompaninë për 14 vjet, shkatërroi të dhëna të rëndësishme financiare në javën e parë të vitit të ri fiskal.

Si ndodhi kjo?

Dy javë pas shkarkimit të tij, Patel hyri në selinë e kompanisë në Worcester, Massachusetts, SHBA, për të kapur një korporatë. Rrjeti Wi-Fi. Duke përdorur kredencialet e një ish-kolegu dhe një laptopi pune, Patel hyri në rrjetin e korporatës. Më pas ai e zbatoi kodin në modulin Oracle dhe e programoi që të funksiononte më 1 prill 2016, javën e parë të vitit të ri fiskal. Kodi kishte për qëllim të kopjonte disa tituj ose tregues në një tabelë të veçantë të bazës së të dhënave dhe fshirjen e radhës ato nga moduli. Pikërisht më 1 prill të dhënat janë fshirë nga sistemi. Dhe meqenëse sulmuesi hyri legalisht në rrjetin Allegro, veprimet e tij nuk u vunë re menjëherë.

Publiku i gjerë nuk i di detajet, por ka shumë të ngjarë që incidenti është bërë i mundur kryesisht për faktin se kompania përdori vërtetimin e fjalëkalimit për të hyrë në rrjet. Sigurisht që ka pasur probleme të tjera sigurie, por fjalëkalimi mund të vidhet pa u vënë re nga përdoruesi dhe fakti i vjedhjes së fjalëkalimit nuk do të zbulohet, në skenari më i mirë deri në pikën e përdorimit të kredencialeve të vjedhura.

Përdorimi i vërtetimit të rreptë me dy faktorë dhe ndalimi i përdorimit të fjalëkalimeve, i kombinuar me një politikë kompetente sigurie, mund të ndihmojë, nëse jo të shmangë zhvillimin e përshkruar të ngjarjeve, atëherë ta komplikojë shumë zbatimin e një plani të tillë.

Ne do të flasim se si mund të rrisni ndjeshëm nivelin e sigurisë së kompanisë suaj dhe të mbroheni nga incidente të tilla. Do të mësoni se si të vendosni vërtetimin dhe nënshkrimin e të dhënave të ndjeshme duke përdorur argumente dhe kriptografi (të huaja dhe vendase).

Në artikullin e parë, ne do të shpjegojmë se si të vendosni një vërtetim të fortë me dy faktorë duke përdorur PKI kur hyni në një llogari domeni në Windows.

Në artikujt e mëposhtëm do t'ju tregojmë se si të konfiguroni Bitlocker, të mbroni emailin dhe menaxhimin e thjeshtë të dokumenteve. Ne gjithashtu do të vendosim së bashku me ju akses të sigurt për të burimet e korporatës dhe akses të sigurt në distancë nëpërmjet VPN.

Autentifikimi me dy faktorë

Me eksperiencë administratorët e sistemit dhe ekipet e sigurisë janë të vetëdijshëm se përdoruesit janë jashtëzakonisht të dobët në ndjekjen e politikave të sigurisë; ata mund të shkruajnë kredencialet e tyre në një shënim ngjitës dhe ta ngjitin atë pranë kompjuterit të tyre, të ndajnë fjalëkalimet me kolegët e tyre dhe të ngjashme. Kjo ndodh veçanërisht shpesh kur fjalëkalimi është kompleks (që përmban më shumë se 6 karaktere dhe përbëhet nga shkronja të rasteve, numrave dhe karaktereve të veçanta) dhe është e vështirë të mbahet mend. Por politika të tilla vendosen nga administratorët për një arsye. Kjo është e nevojshme për të mbrojtur llogarinë e përdoruesit nga hamendja e thjeshtë e fjalëkalimit duke përdorur një fjalor. Gjithashtu, administratorët rekomandojnë ndryshimin e fjalëkalimeve të paktën një herë në 6 muaj, thjesht duke pasur parasysh se gjatë kësaj kohe teorikisht është e mundur të zbatohet edhe forca brutale. fjalëkalim kompleks.

Le të kujtojmë se çfarë është vërtetimi. Në rastin tonë, ky është procesi i konfirmimit të autenticitetit të një subjekti ose objekti. Autentifikimi i përdoruesit është procesi i konfirmimit të identitetit të një përdoruesi.

Dhe vërtetimi me dy faktorë është një vërtetim në të cilin është e nevojshme të përdoren të paktën dy në mënyra të ndryshme për të konfirmuar identitetin tuaj.

Shembulli më i thjeshtë i vërtetimit me dy faktorë në jeta realeështë një kasafortë me bravë dhe kombinim. Për të hapur një kasafortë të tillë duhet të dini kodin dhe të keni çelësin.

Token dhe kartë inteligjente

Ndoshta metoda më e besueshme dhe më e lehtë për t'u zbatuar e vërtetimit me dy faktorë është përdorimi i një token kriptografik ose një karte inteligjente. Një shenjë është një pajisje USB që është njëkohësisht lexues dhe kartë inteligjente. Faktori i parë në këtë rast është fakti i zotërimit të pajisjes, dhe i dyti është njohja e kodit PIN të saj.

Përdorni një token ose një kartë inteligjente, cilado që është më e përshtatshme për ju. Por historikisht, njerëzit në Rusi janë më të mësuar të përdorin argumente, pasi nuk kërkojnë përdorimin e lexuesve të kartave inteligjente të integruara ose të jashtme. Shenjat gjithashtu kanë disavantazhet e tyre. Për shembull, nuk mund të printoni një fotografi në të.

Fotografia tregon një kartë tipike smart dhe lexues.

Megjithatë, le të kthehemi te siguria e korporatës.

Dhe ne do të fillojmë me domenin Windows, sepse në shumicën e kompanive në Rusi rrjeti i korporatës ndërtuar pikërisht rreth tij.

Siç e dini, politikat e domenit të Windows, cilësimet e përdoruesit, cilësimet e grupit në Active Directory ofrojnë dhe kufizojnë aksesin në një numër i madh aplikacionet dhe shërbimet e rrjetit.

Duke mbrojtur një llogari domeni, ne mund të mbrojmë shumicën dhe në disa raste të gjitha burimet e brendshme të informacionit.

Pse vërtetimi me dy faktorë në një domen duke përdorur një token me një kod PIN është më i sigurt se një skemë e zakonshme fjalëkalimi?

Kodi PIN është i lidhur me pajisje specifike, në rastin tonë në një shenjë. Njohja e kodit PIN në vetvete nuk jep asgjë.

Për shembull, kodi PIN për një shenjë mund t'u diktohet të tjerëve përmes telefonit dhe kjo nuk do t'i japë asgjë sulmuesit nëse e trajtoni me kujdes tokenin dhe nuk e lini pa mbikëqyrje.

Me një fjalëkalim, situata është krejtësisht e ndryshme; nëse një sulmues ka hamendësuar, spiunuar ose në ndonjë mënyrë tjetër ka marrë në zotërim fjalëkalimin për një llogari në një domen, atëherë ai do të jetë në gjendje të hyjë lirshëm si në vetë domenin ashtu edhe në të tjerët. shërbimet e kompanisë që përdorin të njëjtën llogari.

Një shenjë është një objekt fizik unik, i pakopjueshëm. Ai është në pronësi të një përdoruesi legjitim. Autentifikimi me dy faktorë duke përdorur një token mund të anashkalohet vetëm kur administratori me dashje ose pa dashje ka lënë "boshllëqe" në sistem për këtë qëllim.

Avantazhet e hyrjes në një domen duke përdorur një shenjë

Kodi PIN nga token është më i lehtë për t'u mbajtur mend, pasi mund të jetë shumë më e thjeshtë se një fjalëkalim. Të gjithë ndoshta kanë parë të paktën një herë në jetën e tyre se si një përdorues "me përvojë" dështon me dhimbje të vërtetojë në sistem pas disa përpjekjeve, duke kujtuar dhe futur fjalëkalimin e tij "të sigurt".

Kodi PIN nuk duhet të ndryshohet vazhdimisht, pasi shenjat janë më rezistente ndaj forcës brutale të kodit PIN. Pas një numri të caktuar përpjekjet e pasuksesshme hyrje, shenja është e bllokuar.

Kur përdorni një shenjë, identifikimi i përdoruesit duket kështu: pasi të nisë kompjuterin, ai thjesht e fut tokenin në portën USB të kompjuterit, fut 4-6 shifra dhe shtyp butonin Enter. Shpejtësia e futjes së numrave për njerëzit e zakonshëm është më e lartë se shpejtësia e futjes së shkronjave. Prandaj, kodi PIN futet më shpejt.

Shenjat ndihmojnë në zgjidhjen e problemit të "braktisjes së tavolinës" - kur një përdorues largohet nga vendi i tij i punës dhe harron të dalë nga llogaria e tij.

Një politikë domeni mund të konfigurohet për të kyçur automatikisht një kompjuter kur të merret një shenjë. Gjithashtu, shenja mund të pajiset me një etiketë RFID për kalimin midis ambienteve të kompanisë, kështu që pa marrë shenjën nga vendi i tij i punës, punonjësi thjesht nuk do të jetë në gjendje të lëvizë nëpër territor.

Disavantazhet, ku do të ishim pa to?

Shenjat ose kartat inteligjente nuk janë falas (të vendosura sipas buxhetit).

Ato duhet të merren parasysh, administrohen dhe mirëmbahen (të zgjidhen nga sistemet e menaxhimit të tokenit dhe kartave inteligjente).

Disa Sistemet e Informacionit mund të mos mbështesë vërtetimin e tokenit jashtë kutisë (zgjidhet nga sistemet e tipit Single Sign-On - projektuar për të organizuar aftësinë për të përdorur një llogari të vetme për të hyrë në çdo burim të zonës).

Vendosja e vërtetimit me dy faktorë në një domen Windows

Pjesa teorike:

Active Directory ka mbështetur vërtetimin e kartave inteligjente dhe tokenit që nga Windows 2000 përmes zgjerimit PKINIT (inicializim i çelësit publik) për protokollin Kerberos RFC 4556.

Protokolli Kerberos u krijua posaçërisht për të siguruar vërtetim të fortë të përdoruesit. Mund të përdorë ruajtjen e centralizuar të të dhënave të vërtetimit dhe është baza për ndërtimin e mekanizmave Single Sing-On. Protokolli bazohet në entitetin kryesor Ticket.

Një Biletë është një paketë e koduar e të dhënave që lëshohet nga një autoritet i besuar vërtetimi, në kuptim të protokollit Kerberos - Qendra e Shpërndarjes së Çelësave (KDC).

Kur një përdorues kryen vërtetimin parësor pasi ka verifikuar me sukses identitetin e tij ose të saj, KDC lëshon kredencialet kryesore të përdoruesit për aksesin në burimet e rrjetit - një Biletë Dhënieje Bilete (TGT).

Në të ardhmen, kur hyn në burime individuale të rrjetit, përdoruesi paraqet TGT dhe merr nga KDC një identitet për qasje në një specifikë burimi i rrjetit- Shërbimi i dhënies së biletave (TGS).

Një nga përfitimet e sigurisë së lartë të protokollit Kerberos është se asnjë fjalëkalim i tekstit të pastër ose hash fjalëkalimi nuk transmetohet gjatë çdo komunikimi.

Zgjatja PKINIT ju lejon të përdorni vërtetimin me dy faktorë duke përdorur shenja ose karta inteligjente gjatë fazës së vërtetimit paraprak të Kerberos.

Identifikimi mund të sigurohet duke përdorur shërbimin e drejtorisë së domenit dhe shërbimi lokal katalogu. TGT është krijuar në bazë të nënshkrim elektronik, e cila llogaritet në kartën inteligjente ose token.

Të gjithë kontrolluesit e domenit duhet të kenë certifikatën e instaluar Autentifikimi i Domain Controller, ose Kerberos Authentication, pasi është implementuar procesi i vërtetimit të ndërsjellë të klientit dhe serverit.

Praktikoni:

Le të fillojmë të konfigurojmë.

Ne do ta bëjmë atë në mënyrë që ju të mund të hyni në domenin nën llogarinë tuaj vetëm duke paraqitur një shenjë dhe duke ditur kodin PIN.

Për demonstrim do të përdorim Rutoken EDS PKI të prodhuar nga kompania Aktiv.

Faza 1 - Vendosja e domenit Para së gjithash, le të instalojmë shërbimet e certifikatës.

Mohim përgjegjësie.

Ky artikull nuk është një udhëzues për zbatimin e PKI të ndërmarrjes. Çështjet e projektimit, vendosjes dhe përdorimit të duhur të PKI nuk diskutohen këtu për shkak të gjerësisë së kësaj teme.

Të gjithë kontrolluesit e domenit dhe gjithçka kompjuterët e klientit brenda pyllit ku po zbatohet një zgjidhje e tillë, duhet t'i besohet Autoriteti i Certifikimit rrënjë (Autoriteti i Certifikimit).

Detyra e autoritetit të certifikimit është të konfirmojë vërtetësinë e çelësave të kriptimit duke përdorur certifikatat e nënshkrimit elektronik.

Teknikisht, CA zbatohet si një komponent i shërbimit global të drejtorive, përgjegjës për menaxhimin e çelësave kriptografikë të përdoruesve. Çelësat publikë dhe informacione të tjera rreth përdoruesve ruhen nga autoritetet e certifikimit në formën e certifikatave dixhitale.

AK-ja që lëshon certifikata për përdorimin e kartave inteligjente ose tokeneve duhet të vendoset në depon e Autoritetit NT.

Shkoni te Menaxheri i Serverit dhe zgjidhni Shto role dhe veçori.

Kur shtoni role serveri, zgjidhni "Shërbimet e certifikatës së drejtorisë aktive" (Microsoft rekomandon fuqimisht të mos e bëni këtë në një kontrollues domeni për të shmangur problemet e performancës). Në dritaren që hapet, zgjidhni "Shto komponentë" dhe zgjidhni "Autoriteti i Certifikimit".

Në faqen për të konfirmuar instalimin e komponentëve, klikoni "Instalo".

Faza 2 - Vendosja e një hyrje në domen duke përdorur një shenjë

Për t'u identifikuar, na duhet një certifikatë që përmban identifikuesit e hyrjes në kartën inteligjente dhe të vërtetimit të klientit.

Certifikata për kartat inteligjente ose tokenat duhet të përmbajë gjithashtu UPN-në e përdoruesit (prapashtesa e emrit kryesor të përdoruesit). Si parazgjedhje, prapashtesa UPN për një llogari është emri DNS i domenit që përmban llogarinë e përdoruesit.

Certifikata dhe çelësi privat duhet të vendosen në seksionet përkatëse të kartës inteligjente ose tokenit dhe çelësi privat duhet të vendoset në një zonë të sigurt të memories së pajisjes.

Certifikata duhet të tregojë rrugën drejt pikës së shpërndarjes së listës së revokimit të certifikatës (pika e shpërndarjes CRL). Ky skedar përmban një listë të certifikatave që tregojnë numër serik certifikatën, datën e revokimit dhe arsyen e revokimit. Përdoret për të komunikuar informacione rreth certifikatave të revokuara te përdoruesit, kompjuterët dhe aplikacionet që përpiqen të verifikojnë vërtetësinë e certifikatës.

Le të konfigurojmë shërbimet e instaluara të certifikimit. Në këndin e sipërm djathtas, klikoni në trekëndëshin e verdhë me një pikëçuditëse dhe klikoni "Konfiguro Shërbimet e Certifikatës...".

Në dritaren Kredencialet, zgjidhni kredencialet e kërkuara të përdoruesit për të konfiguruar rolin. Zgjidhni "Autoriteti i Certifikimit".

Zgjidhni Enterprise CA.

AK-të e ndërmarrjeve janë të integruara me AD. Ata publikojnë certifikatat dhe listat e revokimit të certifikatave në AD.

Specifikoni llojin si "Root CA".

Në hapin tjetër, zgjidhni "Krijo një çelës të ri privat".

Zgjidhni periudhën e vlefshmërisë së certifikatës.

Faza 3 - Shtimi i modeleve të certifikatave

Për të shtuar shabllone certifikatash, hapni Panelin e Kontrollit, zgjidhni Veglat Administrative dhe hapni Autoritetin e Certifikimit.

Klikoni në emrin e dosjes "Modelet e certifikatës", zgjidhni "Menaxho".

Klikoni në emrin e shabllonit "Përdoruesi i kartës inteligjente" dhe zgjidhni "Kopjo shabllonin". Pamjet e mëposhtme të ekranit tregojnë se cilat cilësime duhet të ndryshoni në dritaren "Karakteristikat e modelit të ri".

Nëse "Aktiv ruToken CSP v1.0" nuk është në listën e furnizuesve, atëherë duhet të instaloni kompletin "Rutoken Drivers për Windows".

Duke filluar me Windows Server 2008 R2, ju mund të përdorni "Microsoft Base Smart Card Crypto Provider" në vend të një ofruesi të veçantë nga prodhuesi.

Për pajisjet Rutoken, biblioteka “minidriver” që mbështet “Microsoft Base Smart Card Crypto Provider” shpërndahet përmes Windows Update.

Ju mund të kontrolloni nëse "minidriver" është i instaluar në serverin tuaj duke lidhur Rutoken me të dhe duke kërkuar në menaxherin e pajisjes.

Nëse për ndonjë arsye nuk ka "minidriver", mund ta instaloni me forcë duke instaluar kompletin "Rutoken Drivers for Windows" dhe më pas përdorni "Microsoft Base Smart Card Crypto Provider".

Seti "Rutoken Drivers for Windows" shpërndahet pa pagesë nga faqja e internetit Rutoken.

Shtoni dy shabllone të rinj "Agjenti i certifikimit" dhe "Përdoruesi me Rutoken".

Në dritaren Snap-in e Menaxherit të Certifikatës, zgjidhni Llogaria ime e Përdoruesit. Në dritaren Shto ose Hiq Snap-In, konfirmoni shtimin e certifikatave.

Zgjidhni dosjen Certifikata.

Kërkesë certifikatë e re. Do të hapet një faqe për regjistrimin e një certifikate. Në fazën e kërkesës për certifikatë, zgjidhni politikën e regjistrimit "Administrator" dhe klikoni "Kërkesë".

Kërkoni një certifikatë për Agjentin e Regjistrimit në të njëjtën mënyrë.

Për të kërkuar një certifikatë për një përdorues të caktuar, klikoni "Certifikatat", zgjidhni "Regjistrohu në emër të...".

Në dritaren e kërkesës për certifikatë, kontrolloni kutinë e kontrollit "Përdoruesi me Rutoken".

Tani ju duhet të zgjidhni një përdorues.

Në fushën "Futni emrat e objekteve të zgjedhura", vendosni emrin e domenit të përdoruesit dhe klikoni "Kontrollo emrin".

Në dritaren për zgjedhjen e një përdoruesi, klikoni "Aplikacioni".

Nga lista rënëse, zgjidhni emrin e tokenit dhe futni PIN-in.

Zgjidhni certifikatat për përdoruesit e tjerë në domen në të njëjtën mënyrë.

Faza 4 - Vendosja e llogarive të përdoruesve

Për të konfiguruar llogaritë, hapni listën e përdoruesve dhe kompjuterëve të AD.

Zgjidhni dosjen Users dhe artikullin "Properties".

Shkoni te skeda "Llogaritë", kontrolloni kutinë e kontrollit "Karta inteligjente kërkohet për hyrje në internet".

Vendosni politikat e sigurisë. Për ta bërë këtë, hapni panelin e kontrollit dhe zgjidhni "Administrimi". Hapni menynë për të menaxhuar Politikën e Grupit.

Në anën e majtë të dritares së Menaxhimit të Politikave të Grupit, klikoni Politikën e paracaktuar të domenit dhe zgjidhni Edit.

Në anën e majtë të dritares së Redaktuesit të Menaxhimit të Politikave të Grupit, zgjidhni Opsionet e Sigurisë.

Hapni hyrjen interaktive: Kërkoni politikën e kartës inteligjente.

Në skedën Cilësimet e politikës së sigurisë, zgjidhni kutitë e kontrollit Përcaktoni cilësimet e mëposhtme të politikës dhe Aktivizuar.

Hapni politikën e "Identifikimit interaktiv: Sjellja e heqjes së kartës inteligjente".

Në skedën "Cilësimet e politikës së sigurisë", kontrolloni kutinë "Përcaktoni cilësimet e mëposhtme të politikës" dhe zgjidhni "Bllokimi i stacionit të punës" nga lista rënëse.

Rinisni kompjuterin tuaj. Dhe kur provën e radhës Autentifikimi në domen do të jetë tashmë i mundur për të përdorur një token dhe kodin e tij PIN.

Autentifikimi me dy faktorë për të hyrë në domen është konfiguruar, që do të thotë se niveli i sigurisë për hyrjen në një domen të Windows është rritur ndjeshëm pa shpenzuar një shumë të çmendur në fonde shtesë mbrojtjes. Tani, pa një shenjë, hyrja në sistem është e pamundur dhe përdoruesit mund të marrin frymë lehtë dhe nuk duhet të shqetësohen për fjalëkalimet komplekse.

Hapi tjetër është posta e sigurt; lexoni për këtë dhe konfigurimin e vërtetimit të sigurt në sisteme të tjera në artikujt tanë të ardhshëm.

Etiketa:

serveri i Windows
PKI
Rutoken
vërtetimi

Shto etiketa

Nëse e vetmja pengesë për të hyrë në të dhënat tuaja është një fjalëkalim, ju jeni në rrezik të madh. Leja mund të hakohet, përgjohet, vidhet nga një trojan ose të peshkohet duke përdorur inxhinierinë sociale. Mospërdorimi i vërtetimit me dy faktorë në këtë situatë është pothuajse një krim.

Ne kemi folur tashmë për çelësat një herë më shumë se një herë. Kuptimi është shumë i thjeshtë. Nëse një sulmues arrin disi të marrë fjalëkalimin tuaj të hyrjes, ai mund të hyjë lehtësisht në emailin tuaj ose të lidhet me të server në distancë. Por nëse ka një faktor shtesë në rrugën e tij, për shembull një çelës një herë (i quajtur edhe një çelës OTP), atëherë asgjë nuk do të funksionojë. Edhe nëse një çelës i tillë bie në duart e një sulmuesi, nuk do të jetë më i mundur përdorimi i tij, pasi ai është i vlefshëm vetëm një herë. Një faktor i tillë i dytë mund të jetë thirrje shtesë, një kod i marrë me SMS, një çelës i krijuar në telefon duke përdorur algoritme të caktuara bazuar në kohën aktuale (koha është një mënyrë për të sinkronizuar algoritmin në klient dhe server). E njëjta Google tashmë prej kohësh u ka rekomanduar përdoruesve të tij që të mundësojnë vërtetimin me dy faktorë (disa klikime në cilësimet e llogarisë). Tani është koha për të shtuar një shtresë të tillë mbrojtjeje për shërbimet tuaja!

Çfarë ofron Duo Security?

Një shembull i parëndësishëm. Kompjuteri im ka një portë RDP të hapur "jashtë" për lidhje në distancë me desktopin. Nëse fjalëkalimi i hyrjes zbulohet, sulmuesi do të fitojë menjëherë akses të plotë në makinë. Prandaj, nuk kishte asnjë dyshim për forcimin e mbrojtjes së fjalëkalimit OTP - thjesht duhej bërë. Ishte marrëzi të rishpikësh timonin dhe të përpiqesha të zbatoja gjithçka vetë, kështu që thjesht shikova zgjidhjet që janë në treg. Shumica e tyre doli të ishin komerciale (më shumë detaje në shiritin anësor), por për një numër të vogël përdoruesish ato mund të përdoren falas. Vetëm ajo që ju nevojitet për shtëpinë tuaj. Një nga shërbimet më të suksesshme që ju lejon të organizoni vërtetimin me dy faktorë për fjalë për fjalë çdo gjë (përfshirë VPN, SSH dhe RDP) doli të ishte Duo Security (www.duosecurity.com). Ajo që e shtoi atraktivitetin e tij ishte fakti se zhvilluesi dhe themeluesi i projektit është John Oberheid, një specialist i njohur në siguria e informacionit. Për shembull, ai zgjodhi protokollin e komunikimit të Google me Telefonat inteligjentë Android, me të cilin mund të instaloni ose hiqni aplikacione arbitrare. Kjo bazë e bën veten të ndjehet: për të treguar rëndësinë e vërtetimit me dy faktorë, nisën djemtë Shërbimi VPN Hunter (www.vpnhunter.com), i cili mund të gjejë shpejt serverët VPN të pafshehur të një kompanie (dhe në të njëjtën kohë të përcaktojë llojin e pajisjeve me të cilat po funksionojnë), shërbimet për akses në distancë(OpenVPN, RDP, SSH) dhe elementë të tjerë të infrastrukturës që lejojnë një sulmues të hyjë në rrjetin e brendshëm thjesht duke ditur hyrjen dhe fjalëkalimin. Është qesharake që në Twitter-in zyrtar të shërbimit, pronarët filluan të publikojnë raporte ditore për skanimin e kompanive të njohura, pas së cilës llogaria u ndalua :). Shërbimi Duo Security, natyrisht, synon kryesisht të prezantojë vërtetimin me dy faktorë në kompanitë me një numër i madh përdoruesit. Për fat të mirë për ne, është e mundur të krijoni një llogari personale falas, e cila ju lejon të organizoni vërtetimin me dy faktorë për dhjetë përdorues falas.

Cili mund të jetë faktori i dytë?

Më pas, ne do të shikojmë se si të forcojmë sigurinë e lidhjes tuaj të desktopit në distancë dhe SSH në serverin tuaj në fjalë për fjalë dhjetë minuta. Por fillimisht dua të flas për hapin shtesë që prezanton Duo Security si një faktor të dytë autorizimi. Ka disa opsione: thirrje telefonike, SMS me kodkalime, kodkalime Duo Mobile, Duo Push, çelës elektronik. Pak më shumë për secilën.

Sa kohë mund ta përdor falas?

Siç është përmendur tashmë, Duo Security ofron një speciale plani tarifor"Personale". Është absolutisht falas, por numri i përdoruesve nuk duhet të jetë më shumë se dhjetë. Mbështet shtimin e një numri të pakufizuar integrimesh, të gjitha metodat e disponueshme vërtetimi. Ofron mijëra kredite falas për shërbimet e telefonisë. Kreditë janë si një monedhë e brendshme që debitohet nga llogaria juaj sa herë që ndodh vërtetimi duke përdorur një telefonatë ose SMS. Në cilësimet e llogarisë suaj, mund ta vendosni në mënyrë që kur të arrini një numër të caktuar kreditesh, do të merrni një njoftim dhe do të keni kohë për të plotësuar bilancin tuaj. Një mijë kredite kushtojnë vetëm 30 dollarë. Çmimi i thirrjeve dhe SMS-ve ndryshon për vende të ndryshme. Për Rusinë, një telefonatë do të kushtojë nga 5 në 20 kredite, një SMS - 5 kredite. Megjithatë, asgjë nuk tarifohet për një telefonatë që ndodh gjatë vërtetimit në faqen e internetit të Duo Security. Ju mund t'i harroni plotësisht kreditet nëse përdorni aplikacionin Duo Mobile për vërtetim - asgjë nuk tarifohet për të.

Regjistrim i lehtë

Për të mbrojtur serverin tuaj duke përdorur Duo Security, duhet të shkarkoni dhe instaloni një klient të veçantë që do të ndërveprojë me serverin e vërtetimit të Duo Security dhe do të sigurojë një shtresë të dytë mbrojtjeje. Prandaj, ky klient do të jetë i ndryshëm në secilën situatë: në varësi të vendit ku saktësisht është e nevojshme të zbatohet vërtetimi me dy faktorë. Ne do të flasim për këtë më poshtë. Gjëja e parë që duhet të bëni është të regjistroheni në sistem dhe të merrni një llogari. Prandaj hapemi faqen kryesore faqen e internetit, klikoni "Provë falas", në faqen që hapet, klikoni butonin "Këndoni" nën llojin e llogarisë personale. Pas së cilës na kërkohet të fusim emrin, mbiemrin, adresën e emailit dhe emrin e kompanisë. Ju duhet të merrni një email që përmban një lidhje për të konfirmuar regjistrimin tuaj. Në këtë rast, sistemi patjetër do të bëjë një telefonatë automatike numrin e telefonit të specifikuar: Për të aktivizuar llogarinë tuaj, duhet t'i përgjigjeni thirrjes dhe të shtypni butonin # në telefonin tuaj. Pas kësaj, llogaria do të jetë aktive dhe mund të filloni testimin luftarak.

Mbrojtja e RDP

E thashë më lart se e kam nisur me një dëshirë të madhe për të siguruar lidhjet në distancë në desktopin tuaj. Prandaj, si shembull i parë, unë do të përshkruaj se si të forcohet siguria e RDP.

Çdo zbatim i vërtetimit me dy faktorë fillon me veprim i thjeshtë: krijimi i një të ashtuquajturi integrim në profilin Duo Security. Shkoni te seksioni "Integrimet  Integrimi i ri", specifikoni emrin e integrimit (për shembull, "Home RDP"), zgjidhni llojin e tij "Microsoft RDP" dhe klikoni "Add Integration".
Dritarja që shfaqet shfaq parametrat e integrimit: çelësi i integrimit, çelësi sekret, emri i hostit API. Do të na duhen më vonë kur t'i vendosim pjesa e klientit. Është e rëndësishme të kuptohet: askush nuk duhet t'i njohë ato.
Më pas, duhet të instaloni një klient të veçantë në makinën e mbrojtur, i cili do të instalojë gjithçka që është e nevojshme në sistemin Windows. Mund të shkarkohet nga faqja zyrtare e internetit ose të merret nga disku ynë. I gjithë konfigurimi i tij varet nga fakti se gjatë procesit të instalimit do t'ju duhet të futni çelësin e mësipërm të Integrimit, çelësin sekret, emrin e hostit API.
Kjo është e gjitha, në fakt. Tani, herën tjetër që të hyni në server përmes RDP, ekrani do të ketë tre fusha: emrin e përdoruesit, fjalëkalimin dhe çelësin e njëhershëm Duo. Prandaj, nuk është më e mundur të hyni në sistem vetëm me një hyrje dhe fjalëkalim.

Herën e parë që një përdorues i ri përpiqet të identifikohet, do t'i kërkohet të kalojë një herë procesin e verifikimit të Duo Security. Shërbimi do t'i japë atij një lidhje të veçantë, pas së cilës ai duhet të fusë numrin e tij të telefonit dhe të presë për një telefonatë verifikimi. Për të marrë çelësa shtesë (ose për t'i marrë ato për herë të parë), mund të futni fjalën kyçe "sms". Nëse dëshironi të vërtetoni duke përdorur një telefonatë, futni "phone", nëse përdorni Duo Push, shkruani "push". Historia e të gjitha përpjekjeve për lidhje (si të suksesshme ashtu edhe të pasuksesshme) me serverin mund të shihet në llogarinë tuaj në faqen e internetit të Duo Security duke zgjedhur fillimisht integrimin e dëshiruar dhe duke shkuar te "Regjistri i vërtetimit".

Lidhe Duo Security kudo!

Duke përdorur vërtetimin me dy faktorë, ju mund të mbroni jo vetëm RDP ose SSH, por edhe VPN, serverë RADIUS dhe çdo shërbim në internet. Për shembull, ka klientë të gatshëm që shtojnë një shtresë shtesë të vërtetimit në motorët e njohur Drupal dhe WordPress. Nëse nuk ka klient të gatshëm, mos u mërzitni: gjithmonë mund të shtoni vërtetimin me dy faktorë për aplikacionin ose faqen tuaj të internetit kur Ndihmë API ofruar nga sistemi. Logjika e punës me API është e thjeshtë - ju bëni një kërkesë në URL-në e një metode specifike dhe analizoni përgjigjen e kthyer, e cila mund të vijë në formatin JSON (ose BSON, XML). Dokumentacioni i plotë për Duo REST API është i disponueshëm në faqen zyrtare të internetit. Thjesht do të them se ekzistojnë metoda ping, kontroll, preauth, auth, status, nga emri i të cilave është e lehtë të merret me mend se për çfarë synohen.

Mbrojtja e SSH

Le të shqyrtojmë një lloj tjetër integrimi - "UNIX Integration" për të zbatuar vërtetimin e sigurt. Ne shtojmë një integrim tjetër në profilin tonë të Duo Security dhe vazhdojmë të instalojmë klientin në sistem.

Mund ta shkarkoni kodin burimor të këtij të fundit në bit.ly/IcGgk0 ose ta merrni nga disku ynë. Kam përdorur versionin e fundit - 1.8. Nga rruga, klienti punon në shumicën e platformave nix, kështu që mund të instalohet lehtësisht në FreeBSD, NetBSD, OpenBSD, Mac OS X, Solaris/Illumos, HP-UX dhe AIX. Procesi i ndërtimit është standard - konfiguroni && bëni && sudo make install. E vetmja gjë që unë do të rekomandoja është të përdorni konfigurimin me opsionin --prefix=/usr, përndryshe klienti mund të mos gjejë bibliotekat e nevojshme. Pas instalimit të suksesshëm, shkoni te redaktoni skedarin e konfigurimit /etc/duo/login_duo.conf. Kjo duhet të bëhet nga rrënja. Të gjitha ndryshimet që duhen bërë për funksionimin e suksesshëm janë vendosja e vlerave të çelësit të Integrimit, çelësit sekret, emrit të hostit të API, të cilat mund të gjenden në faqen e integrimit.

; Çelësi i integrimit të Duo = INTEGRATION_KEY; Çelësi sekret i dyfishtë = SECRET_KEY; Duo API hostnamehost = API_HOSTNAME

Për të detyruar të gjithë përdoruesit që hyjnë në serverin tuaj nëpërmjet SSH të përdorin vërtetimin me dy faktorë, thjesht shtoni rreshtin e mëposhtëm në skedarin /etc/ssh/sshd_config:

> ForceCommand /usr/local/sbin/login_duo

Është gjithashtu e mundur të organizohet vërtetimi me dy faktorë vetëm për përdoruesit individualë duke i kombinuar në një grup dhe duke specifikuar këtë grup në skedarin login_duo.conf:

> grup = rrotë

Që ndryshimet të hyjnë në fuqi, gjithçka që duhet të bëni është të rinisni demonin ssh. Tani e tutje, pas futjes me sukses të fjalëkalimit të hyrjes, përdoruesit do t'i kërkohet t'i nënshtrohet vërtetimit shtesë. Një hollësi duhet të theksohet veçmas cilësimet ssh- Rekomandohet fuqimisht ta çaktivizoni skedari i konfigurimit Opsionet PermitTunnel dhe AllowTcpForwarding, meqenëse daemon i zbaton ato përpara se të ekzekutojë fazën e dytë të vërtetimit. Kështu, nëse një sulmues e fut saktë fjalëkalimin, ai mund të ketë akses në rrjeti i brendshëm derisa të përfundojë faza e dytë e vërtetimit falë transferimit të portit. Për të shmangur këtë efekt, shtoni opsionet e mëposhtme në sshd_config:

PermitTunnel noAllowTcpForwarding nr

Tani serveri juaj është pas një muri të dyfishtë dhe është shumë më e vështirë për një sulmues të hyjë në të.

Cilësimet shtesë

Nëse hyni në llogarinë tuaj të Duo Security dhe shkoni te seksioni "Cilësimet", mund të ndryshoni disa nga cilësimet që t'ju përshtaten. Seksioni i parë i rëndësishëm është "Thirrjet telefonike". Kjo specifikon parametrat që do të jenë në fuqi kur një telefonatë përdoret për të konfirmuar vërtetimin. Artikulli "Testat e kthimit të telefonatës zanore" ju lejon të specifikoni se cili tast telefoni do të duhet të shtypet për të konfirmuar vërtetimin. Si parazgjedhje, vlera është "Shtypni çdo çelës për të vërtetuar" - domethënë, mund të shtypni cilindo. Nëse vendosni vlerën "Shtypni çelësa të ndryshëm për të vërtetuar ose raportuar mashtrimin", atëherë do t'ju duhet të vendosni dy çelësa: duke klikuar në të parën konfirmon vërtetimin (Çelësi për vërtetim), duke klikuar mbi të dytin (Çelësi për të raportuar mashtrimin) do të thotë që ne nuk e ka nisur procesin e vërtetimit, domethënë dikush ka marrë fjalëkalimin tonë dhe po përpiqet të hyjë në server duke e përdorur atë. Artikulli "Kodet e kalimit SMS" ju lejon të vendosni numrin e kodeve që do të përmbajë një SMS dhe jetëgjatësinë (vlefshmërinë e tyre). Parametri "Lockout dhe mashtrim" ju lejon të vendosni adresën e emailit në të cilën do të dërgohet një njoftim në rast të një numri të caktuar përpjekjesh të pasuksesshme për t'u identifikuar në server.

Perdore!

Çuditërisht, shumë njerëz ende injorojnë vërtetimin me dy faktorë. Nuk e kuptoj pse. Kjo me të vërtetë rrit shumë sigurinë. Mund të zbatohet për pothuajse çdo gjë, dhe zgjidhjet e mira janë në dispozicion falas. Pra, pse? Nga dembelizmi apo pakujdesia.

Shërbimet analoge

Shënoni(www.signify.net) Shërbimi ofron tre opsione për organizimin e vërtetimit me dy faktorë. E para është përdorimi i çelësave elektronikë. Metoda e dytë është përdorimi i çelësave, të cilët dërgohen në telefonin e përdoruesit me SMS ose dërgohen me email. Opsioni i tretë është një aplikacion celular për Telefonat Android, iPhone, BlackBerry, i cili gjeneron fjalëkalime një herë (në thelb një analog i Duo Mobile). Shërbimi u drejtohet kompanive të mëdha, kështu që paguhet plotësisht.

SecurEnvoy(www.securenvoy.com) Gjithashtu ju lejon të përdorni celular si një shtresë e dytë mbrojtëse. Passkeys i dërgohen përdoruesit me SMS ose email. Çdo mesazh përmban tre çelësa kalimi, domethënë përdoruesi mund të identifikohet tre herë përpara se të kërkojë një pjesë të re. Shërbimi është gjithashtu me pagesë, por ofron një periudhë 30-ditore falas. Një avantazh i rëndësishëm është numër i madh si integrimet vendase ashtu edhe ato të palëve të treta.

PhoneFactor(www.phonefactor.com) Ky shërbim ju lejon të organizoni vërtetim falas me dy faktorë për deri në 25 përdorues, duke ofruar 500 vërtetime falas në muaj. Për të organizuar mbrojtjen, do t'ju duhet të shkarkoni dhe instaloni një klient të veçantë. Nëse keni nevojë të shtoni vërtetim me dy faktorë në faqen tuaj, mund të përdorni SDK-në zyrtare, e cila ofron dokumentacion të detajuar dhe shembuj për gjuhët e mëposhtme të programimit: ASP.NET C#, ASP.NET VB, Java, Perl, Ruby, PHP.

Mora komente dhe sqarime tepër të mira nga një mik i cili donte të mbetej anonim:
1) Në fillim të konfigurimit të serverit, futni komandën:
multiotp.exe -debug -config default-request-prefix-pin=0 display-log=1 pas tij nuk ka nevojë të futni një kod pin kur vendosni një përdorues dhe regjistri i çdo operacioni shfaqet në tastierë.

2) Duke përdorur këtë komandë, mund të rregulloni kohën e banimit për përdoruesit që kanë bërë një gabim me fjalëkalimin (parazgjedhja 30 sekonda):
multiotp.exe -debug -config dështim-delayed-time=60
3) Çfarë do të shkruhet në aplikacion Google Authenticator mbi 6 shifra, të quajtur emetues, mund të ndryshohen nga MultiOTP e paracaktuar në diçka tjetër:
multiotp.exe -debug -config emetues=tjetër
4) Pasi të kenë përfunduar operacionet, komanda për të krijuar një përdorues bëhet pak më e thjeshtë:
multiotp.exe -debug -krijoni përdoruesin TOTP 12312312312312312321 6 (Unë nuk e vendos kohën e përditësimit të shifrave prej 30 sekondash, duket se është 30 si parazgjedhje).

5) Çdo përdorues mund të ndryshojë përshkrimin (tekstin nën numrat në Aplikacioni Google Auth):
multiotp.exe -vendos përshkrimin e emrit të përdoruesit=2
6) Kodet QR mund të krijohen direkt në aplikacion:
multiotp.exe -qrcode emri i përdoruesit c:\multiotp\qrcode\user.png:\multiotp\qrcode\user.png
7) Mund të përdorni jo vetëm TOTP, por edhe HOTP (hyrja e funksionit hash nuk është koha aktuale, por vlera e numëruesit rritës):
multiotp.exe -debug -krijoni emrin e përdoruesit HOTP 12312312312312312321 6

Sot do t'ju tregojmë se si mund të konfiguroni shpejt dhe me lehtësi vërtetimin me dy faktorë dhe enkriptoni të dhëna të rëndësishme, edhe me aftësinë për të përdorur biometrikë. Zgjidhja do të jetë e rëndësishme për kompanitë e vogla ose vetëm për Kompjuter personal ose laptop. Është e rëndësishme që për këtë të mos kemi nevojë për një infrastrukturë të çelësit publik (PKI), një server me rolin e një autoriteti certifikues (Certificate Services), dhe nuk kemi nevojë as për një domen (Active Directory). Të gjitha Kërkesat e sistemit do të zbresë në sistemin operativ Windows dhe nëse përdoruesi ka çelës elektronik, dhe në rastin e vërtetimit biometrik, gjithashtu një lexues të gjurmëve të gishtërinjve, i cili, për shembull, mund të jetë i integruar tashmë në laptopin tuaj.

Për vërtetim, ne do të përdorim softuerin tonë - JaCarta SecurLogon dhe çelësin elektronik JaCarta PKI si vërtetues. Mjeti i enkriptimit do të jetë Windows të rregullt EFS, qasja në skedarët e koduar do të sigurohet gjithashtu përmes çelësit PKI JaCarta (i njëjti që përdoret për vërtetim).

Ju kujtojmë se JaCarta SecurLogon është e çertifikuar FSTEC i Rusisë zgjidhje softuerike dhe harduerike nga Aladdin R.D., e cila lejon një kalim të thjeshtë dhe të shpejtë nga vërtetimi me një faktor bazuar në një çift hyrje-fjalëkalim në vërtetimin me dy faktorë në sistemin operativ duke përdorur tokenat USB ose kartat inteligjente. Thelbi i zgjidhjes është mjaft i thjeshtë - JSL gjeneron një fjalëkalim kompleks (~ 63 karaktere) dhe e shkruan atë në memorien e sigurt të çelësit elektronik. Në këtë rast, fjalëkalimi mund të jetë i panjohur për vetë përdoruesin; përdoruesi e di vetëm kodin PIN. Duke futur kodin PIN gjatë vërtetimit, pajisja zhbllokohet dhe fjalëkalimi i transmetohet sistemit për vërtetim. Opsionale, mund të zëvendësoni futjen e një kodi PIN duke skanuar gjurmën e gishtit të përdoruesit dhe gjithashtu mund të përdorni një kombinim të PIN + gjurmë gishtash.

EFS, si JSL, mund të funksionojë në modalitetin e pavarur, duke mos kërkuar asgjë përveç vetë OS. Ne te gjithe sistemet operative Familja Microsoft NT, duke filluar me Windows 2000 dhe më vonë (përveç versionet e shtëpisë), ekziston teknologjia e integruar e enkriptimit të të dhënave EFS (Encrypting File System). Kriptimi EFS bazohet në aftësitë e skedarit Sistemet NTFS dhe arkitekturën CryptoAPI dhe është krijuar për të enkriptuar shpejt skedarët në hard diskun e një kompjuteri. Kriptimi EFS përdor çelësat privatë dhe publikë të përdoruesit, të cilët krijohen herën e parë që një përdorues përdor funksionin e kriptimit. Këta çelësa mbeten të pandryshuar për sa kohë ekziston llogaria e tij. Kur enkriptoni një skedar EFS rastësisht gjeneron një numër unik, të ashtuquajturin çelësi i enkriptimit të skedarit (FEK) 128 bit i gjatë, me të cilin skedarët kodohen. Çelësat FEK janë të koduar me një çelës kryesor, i cili është i koduar me çelësin e përdoruesve të sistemit që kanë akses në skedar. Çelësi privat i përdoruesit mbrohet nga një hash i fjalëkalimit të përdoruesit. Të dhënat e enkriptuara me EFS mund të deshifrohen vetëm duke përdorur të njëjtën llogari të Windows me të njëjtin fjalëkalim që është përdorur për ta enkriptuar. Dhe nëse e ruani certifikatën e enkriptimit dhe çelësin privat në një token USB ose kartë inteligjente, atëherë për të hyrë në skedarët e enkriptuar do t'ju duhet gjithashtu ky kod USB ose kartë inteligjente, e cila zgjidh problemin e komprometimit të fjalëkalimit, pasi do të jetë e nevojshme të keni një pajisje shtesë në formën e një çelësi elektronik.

Autentifikimi

Siç u përmend tashmë, nuk keni nevojë për AD ose një autoritet certifikimi për ta konfiguruar atë; keni nevojë për ndonjë Windows modern, një shpërndarje JSL dhe një licencë. Vendosja është jashtëzakonisht e thjeshtë.

Duhet të instaloni një skedar licence.

Shto një profil përdoruesi.

Dhe filloni të përdorni vërtetimin me dy faktorë.

Autentifikimi biometrik

Është e mundur të përdoret vërtetimi biometrik i gjurmëve të gishtërinjve. Zgjidhja funksionon duke përdorur teknologjinë Match On Card. Hash-i i gjurmës së gishtit shkruhet në kartë gjatë inicializimit fillestar dhe më pas kontrollohet kundrejt origjinalit. Nuk e lë kartën askund, nuk ruhet në asnjë bazë të dhënash. Për të zhbllokuar një çelës të tillë, përdoret një gjurmë gishti ose një kombinim i PIN + gjurmë gishti, PIN ose gjurmë gishti.

Për të filluar përdorimin e tij, thjesht duhet të inicializoni kartën me parametrat e nevojshëm dhe të regjistroni gjurmën e gishtit të përdoruesit.

Në të ardhmen, e njëjta dritare do të shfaqet përpara se të hyni në OS.

Në këtë shembull, karta është inicializuar me aftësinë për të vërtetuar duke përdorur një gjurmë gishti ose kod PIN, siç tregohet nga dritarja e vërtetimit.

Pas paraqitjes së një gjurmë gishti ose kodi PIN, përdoruesi do të futet në OS.

Kriptimi i të dhënave

Vendosja e EFS nuk është gjithashtu shumë e komplikuar; bëhet fjalë për vendosjen e një certifikate dhe lëshimin e saj në një çelës elektronik dhe vendosjen e drejtorive të kriptimit. Në mënyrë tipike, nuk keni nevojë të kriptoni të gjithë diskun. Skedarët vërtet të rëndësishëm që nuk janë të dëshirueshëm për akses nga palët e treta zakonisht ndodhen në drejtori të veçanta dhe nuk shpërndahen rastësisht nëpër disk.

Për të lëshuar një certifikatë enkriptimi dhe një çelës privat, hapni llogarinë tuaj të përdoruesit, zgjidhni - Menaxho certifikatat e enkriptimit të skedarëve. Në magjistarin që hapet, krijoni një certifikatë të vetë-nënshkruar në kartën inteligjente. Meqenëse ne vazhdojmë të përdorim një kartë inteligjente me një aplikacion BIO, duhet të jepni një gjurmë gishti ose PIN për të regjistruar certifikatën e enkriptimit.