Зачем и как внедрять аутентификацию SecurID
Один из способов помешать социальным инженерам и снизить другие риски, связанные с паролями, — это реализовать некоторую форму двухфакторной аутентификации. Если от пользователей требуется не только ввести пароль или PIN-код, но и предоставить что-то дополнительное — будь то карта, жетон, отпечаток пальца, сканирование радужной оболочки глаза или что-то еще — простого получения пароля будет недостаточно, чтобы взломщик или социальный инженер сеть.
Есть две основные категории «вторых факторов», которые вы можете реализовать: устройства, которые пользователи носят с собой, или биометрические характеристики. В этой статье мы рассмотрим, как реализовать конкретную форму первой категории, карты SecurID и токены от RSA.
Преимущества устройств аутентификации
Устройства аутентификации или аутентификаторы бывают нескольких видов:
- Смарт-карты размером с кредитную карту, на которых хранятся цифровые учетные данные пользователя.
- Аппаратные токены, напоминающие «флэшки», которые можно носить на цепочке для ключей и подключать к компьютеру через USB-порт.
- Программные токены (цифровые учетные данные), которые можно хранить на портативном устройстве, таком как смартфон, Blackberry или карманный компьютер/КПК.
У каждого есть преимущества и недостатки. Смарт-карты можно носить с собой в кошельке, но с таким количеством удостоверений личности, кредитных карт, страховых карт, карт банкоматов и членских карт, которые некоторым из нас необходимо носить в наши дни, наши кошельки могут быть заполнены до отказа. Жетоны легко носить с собой в кармане или на цепочке для ключей, но их также легче потерять, и у многих из нас кольца для ключей так же полны, как и наши кошельки. Для тех, у кого уже есть смартфоны или КПК, наиболее удобным решением может быть хранение учетных данных для аутентификации на устройстве, но выход из строя портативного устройства (или даже разряженный аккумулятор) может привести к тому, что эти пользователи не смогут войти в сеть.
Факторы стоимости также могут различаться. Чтобы использовать проверку подлинности с помощью смарт-карт, вам необходимо установить устройства чтения смарт-карт в системах, в которых пользователи входят в систему, а также приобрести сами карты. Токены могут быть более экономичными, поскольку они подключаются непосредственно к USB-порту; однако старые системы могут не иметь USB-портов, или вы можете отключить USB из соображений безопасности, чтобы пользователи не могли подключать другие USB-устройства. Смартфоны и КПК, конечно, намного дороже, чем карты и ридеры или жетоны, но если пользователи все равно уже носят их с собой, это может быть наиболее рентабельным (и наиболее удобным) способом развертывания двухфакторной аутентификация.
RSA SecurID: как это работает
Известная компания по обеспечению безопасности RSA (названная в честь популярного алгоритма шифрования с открытым ключом Rivest Shamir Adleman, на который она имеет патенты) предоставляет аутентификаторы SecurID во всех трех форм-факторах. Вот как это работает:
- Аутентификатор SecurID имеет уникальный ключ (симметричный или «секретный» ключ).
- Ключ сочетается с алгоритмом, который генерирует код. Новый код генерируется каждые 60 секунд.
- Пользователь объединяет код со своим личным идентификационным номером (PIN), который известен только ему, для входа в систему.
Компоненты системы SecurID включают в себя:
- Аутентификаторы
- Программное обеспечение Authentication Manager, которое устанавливается на сервер или устройство и включает в себя базу данных, средства администрирования и создания отчетов.
- Программное обеспечение агента аутентификации, встроенное в серверы удаленного доступа, брандмауэры, виртуальные частные сети, веб-серверы и другие ресурсы, которые вы хотите защитить, для перехвата запросов на доступ и перенаправления их диспетчеру аутентификации.
- Программное обеспечение RSA Card Manager можно использовать для предоставления смарт-карт по отдельности или в пакетах и больших объемах, а также поддерживает запросы самообслуживания, чтобы пользователи могли разблокировать карты, обновить сертификаты и запросить временные учетные данные в случае утери карт.
По данным RSA, существует более двухсот продуктов, таких как брандмауэры, VPN-шлюзы, точки беспроводного доступа, серверы удаленного доступа и веб-серверы, которые поддерживают SecurID «из коробки». Компании малого и среднего размера могут приобрести устройство SecurID с предустановленным программным обеспечением Authentication Manager, которое поддерживает от 10 до 250 пользователей. Агенты аутентификации доступны для:
- Майкрософт Виндоус
- Информационные службы Интернета (IIS)
- ЮНИКС/Линукс
- Веб-сервер Apache
- Солнце Ява
- Матрица
- Служба модульной аутентификации Novell (NMAS)
SecurID на предприятии
На уровне предприятия единый вход представляет собой большую проблему, поскольку пользователи часто управляют несколькими паролями и запоминают их. Это вызывает разочарование и может стать проблемой безопасности, поскольку пользователи прибегают к записи паролей, чтобы запомнить их все.
Sign-On Manager от RSA — это программное обеспечение для управления идентификацией, которое обеспечивает единый вход, чтобы корпоративные пользователи могли получать доступ к нескольким приложениям без необходимости повторного входа в систему, и интегрируется со смарт-картами и токенами SecurID. Он также включает технологию, которая позволяет пользователям сбрасывать свои пароли для входа в Windows. Sign-On Manager может работать на клиентах Windows 2000 и XP, а серверный компонент работает на Windows Server 2003 с пакетом обновления 1 (SP1). Для сервера требуется подключение к Active Directory/ADAM, Novell eDirectory или Sun Java System Directory Server.
Реализация SecurID с ISA Server 2004
ISA Server 2004 поддерживает встроенные интерфейсы прикладного программирования SecurID, и вы можете установить программное обеспечение агента аутентификации RSA, чтобы добавить поддержку аутентификации RSA EAP. Вам необходимо установить ISA Service Pack 1.
Шаги по внедрению SecurID для защиты веб-сайта, опубликованного через ISA Server, включают следующее:
- Вам необходимо добавить запись хоста агента в Диспетчер аутентификации RSA, чтобы идентифицировать ISA Server в базе данных Диспетчера аутентификации. Это позволяет ISA-серверу взаимодействовать с программным обеспечением Authentication Manager. Настройте сервер ISA в качестве агента Net OS и включите в запись хоста агента следующую информацию: имя хоста, IP-адреса для всех сетевых карт, секрет RADIUS, если вы используете аутентификацию RADIUS.
- Настройте веб-прослушиватели ISA Server 2004. Он состоит из следующих подэтапов:
– Сначала убедитесь, что ISA Server и сервер или устройство Authentication Manager могут обмениваться данными, используя RSA Test Authentication Utility в папке Tools на установочном компакт-диске ISA Server. Скопируйте утилиту в папку программы ISA Server.
– Скопируйте файл sdconf.rec с сервера Authentication Manager в папку System32 на ISA Server.
– Запустите инструмент sdtest.exe, введя в командной строке следующее: %Путь к каталогу установки ISA%sdtest.exe - В MMC ISA Server включите веб-фильтр SecurID, выполнив следующие действия:
– Под узлом для вашего ISA-сервера щелкните правой кнопкой мыши «Политика брандмауэра» и выберите «Редактировать системную политику».
– На левой панели «Группы конфигурации» редактора системной политики в папке «Службы аутентификации» щелкните RSA SecurID и установите флажок «Включить» на вкладке «Общие». Нажмите OK, чтобы сохранить изменение.
– Не забудьте нажать кнопку «Применить» на панели инструментов ISA, чтобы применить изменения к конфигурации брандмауэра. Вам также потребуется перезагрузить компьютер с ISA Server. - Настройте правило веб-публикации для аутентификации RSA SecurID, выполнив следующие подэтапы:
– В ISA MMC нажмите «Политика брандмауэра» и на панели «Список задач» нажмите «Создать новое правило публикации сервера».
– Введите имя правила.
– На странице «Выбор действия правила» нажмите кнопку выбора «Разрешить».
– На странице «Выбор веб-сайта для публикации» введите имя или IP-адрес компьютера и папку, которую хотите опубликовать.
– На странице Выбор имени общедоступного домена введите имя общедоступного домена или IP-адрес публикуемого веб-сайта. - Выберите веб-прослушиватель для размещения веб-трафика, выполнив следующие подэтапы:
– На странице Select Web Listener нажмите кнопку Edit.
– Перейдите на вкладку «Сети» и установите флажки для сетей, к которым вы хотите привязать веб-прослушиватель.
– Перейдите на вкладку «Настройки» и нажмите кнопку «Аутентификация».
– На странице Аутентификация установите флажок SecurID в списке методов аутентификации. Установите флажок «Запрашивать идентификацию у неаутентифицированных пользователей». Нажмите OK, чтобы применить изменения. - В мастере правил веб-публикации SecurID теперь должен отображаться в списке свойств прослушивателя.
- Добавьте «Все пользователи» в наборы пользователей правила, чтобы брандмауэр применял правило ко всем пользователям, пытающимся получить доступ к этому веб-ресурсу.
- Нажмите «Готово», чтобы сохранить новое правило, и еще раз не забудьте нажать кнопку «Применить» на панели инструментов, чтобы сохранить новое правило в конфигурации брандмауэра.
Резюме
Вы можете использовать технологию SecurID от RSA, чтобы снизить риск нарушений сетевой безопасности, возникающих в результате взлома паролей и социальной инженерии, требуя двухфакторной аутентификации для входа в Windows, доступа к веб-ресурсам через брандмауэр, входа в VPN и т. д. Благодаря хорошо зарекомендовавшей себя репутации и широкое взаимодействие, проверка подлинности с помощью смарт-карты или токена RSA предлагает один из лучших вариантов реализации многофакторной проверки подлинности в вашей сети.