Зачем и как внедрять аутентификацию SecurID

Один из способов помешать социальным инженерам и снизить другие риски, связанные с паролями, — это реализовать некоторую форму двухфакторной аутентификации. Если от пользователей требуется не только ввести пароль или PIN-код, но и предоставить что-то дополнительное — будь то карта, жетон, отпечаток пальца, сканирование радужной оболочки глаза или что-то еще — простого получения пароля будет недостаточно, чтобы взломщик или социальный инженер сеть.

Есть две основные категории «вторых факторов», которые вы можете реализовать: устройства, которые пользователи носят с собой, или биометрические характеристики. В этой статье мы рассмотрим, как реализовать конкретную форму первой категории, карты SecurID и токены от RSA.

Преимущества устройств аутентификации

Устройства аутентификации или аутентификаторы бывают нескольких видов:

• Смарт-карты размером с кредитную карту, на которых хранятся цифровые учетные данные пользователя.
  
• Аппаратные токены, напоминающие «флэшки», которые можно носить на цепочке для ключей и подключать к компьютеру через USB-порт.
  
• Программные токены (цифровые учетные данные), которые можно хранить на портативном устройстве, таком как смартфон, Blackberry или карманный компьютер/КПК.

У каждого есть преимущества и недостатки. Смарт-карты можно носить с собой в кошельке, но с таким количеством удостоверений личности, кредитных карт, страховых карт, карт банкоматов и членских карт, которые некоторым из нас необходимо носить в наши дни, наши кошельки могут быть заполнены до отказа. Жетоны легко носить с собой в кармане или на цепочке для ключей, но их также легче потерять, и у многих из нас кольца для ключей так же полны, как и наши кошельки. Для тех, у кого уже есть смартфоны или КПК, наиболее удобным решением может быть хранение учетных данных для аутентификации на устройстве, но выход из строя портативного устройства (или даже разряженный аккумулятор) может привести к тому, что эти пользователи не смогут войти в сеть.

Факторы стоимости также могут различаться. Чтобы использовать проверку подлинности с помощью смарт-карт, вам необходимо установить устройства чтения смарт-карт в системах, в которых пользователи входят в систему, а также приобрести сами карты. Токены могут быть более экономичными, поскольку они подключаются непосредственно к USB-порту; однако старые системы могут не иметь USB-портов, или вы можете отключить USB из соображений безопасности, чтобы пользователи не могли подключать другие USB-устройства. Смартфоны и КПК, конечно, намного дороже, чем карты и ридеры или жетоны, но если пользователи все равно уже носят их с собой, это может быть наиболее рентабельным (и наиболее удобным) способом развертывания двухфакторной аутентификация.

RSA SecurID: как это работает

Известная компания по обеспечению безопасности RSA (названная в честь популярного алгоритма шифрования с открытым ключом Rivest Shamir Adleman, на который она имеет патенты) предоставляет аутентификаторы SecurID во всех трех форм-факторах. Вот как это работает:

1. Аутентификатор SecurID имеет уникальный ключ (симметричный или «секретный» ключ).
   
2. Ключ сочетается с алгоритмом, который генерирует код. Новый код генерируется каждые 60 секунд.
   
3. Пользователь объединяет код со своим личным идентификационным номером (PIN), который известен только ему, для входа в систему.

Компоненты системы SecurID включают в себя:

• Аутентификаторы
  
• Программное обеспечение Authentication Manager, которое устанавливается на сервер или устройство и включает в себя базу данных, средства администрирования и создания отчетов.
  
• Программное обеспечение агента аутентификации, встроенное в серверы удаленного доступа, брандмауэры, виртуальные частные сети, веб-серверы и другие ресурсы, которые вы хотите защитить, для перехвата запросов на доступ и перенаправления их диспетчеру аутентификации.
  
• Программное обеспечение RSA Card Manager можно использовать для предоставления смарт-карт по отдельности или в пакетах и больших объемах, а также поддерживает запросы самообслуживания, чтобы пользователи могли разблокировать карты, обновить сертификаты и запросить временные учетные данные в случае утери карт.

По данным RSA, существует более двухсот продуктов, таких как брандмауэры, VPN-шлюзы, точки беспроводного доступа, серверы удаленного доступа и веб-серверы, которые поддерживают SecurID «из коробки». Компании малого и среднего размера могут приобрести устройство SecurID с предустановленным программным обеспечением Authentication Manager, которое поддерживает от 10 до 250 пользователей. Агенты аутентификации доступны для:

• Майкрософт Виндоус
  
• Информационные службы Интернета (IIS)
  
• ЮНИКС/Линукс
  
• Веб-сервер Apache
  
• Солнце Ява
  
• Матрица
  
• Служба модульной аутентификации Novell (NMAS)

SecurID на предприятии

На уровне предприятия единый вход представляет собой большую проблему, поскольку пользователи часто управляют несколькими паролями и запоминают их. Это вызывает разочарование и может стать проблемой безопасности, поскольку пользователи прибегают к записи паролей, чтобы запомнить их все.

Sign-On Manager от RSA — это программное обеспечение для управления идентификацией, которое обеспечивает единый вход, чтобы корпоративные пользователи могли получать доступ к нескольким приложениям без необходимости повторного входа в систему, и интегрируется со смарт-картами и токенами SecurID. Он также включает технологию, которая позволяет пользователям сбрасывать свои пароли для входа в Windows. Sign-On Manager может работать на клиентах Windows 2000 и XP, а серверный компонент работает на Windows Server 2003 с пакетом обновления 1 (SP1). Для сервера требуется подключение к Active Directory/ADAM, Novell eDirectory или Sun Java System Directory Server.

Реализация SecurID с ISA Server 2004

ISA Server 2004 поддерживает встроенные интерфейсы прикладного программирования SecurID, и вы можете установить программное обеспечение агента аутентификации RSA, чтобы добавить поддержку аутентификации RSA EAP. Вам необходимо установить ISA Service Pack 1.

Шаги по внедрению SecurID для защиты веб-сайта, опубликованного через ISA Server, включают следующее:

1. Вам необходимо добавить запись хоста агента в Диспетчер аутентификации RSA, чтобы идентифицировать ISA Server в базе данных Диспетчера аутентификации. Это позволяет ISA-серверу взаимодействовать с программным обеспечением Authentication Manager. Настройте сервер ISA в качестве агента Net OS и включите в запись хоста агента следующую информацию: имя хоста, IP-адреса для всех сетевых карт, секрет RADIUS, если вы используете аутентификацию RADIUS.
   
2. Настройте веб-прослушиватели ISA Server 2004. Он состоит из следующих подэтапов:
   – Сначала убедитесь, что ISA Server и сервер или устройство Authentication Manager могут обмениваться данными, используя RSA Test Authentication Utility в папке Tools на установочном компакт-диске ISA Server. Скопируйте утилиту в папку программы ISA Server.
   – Скопируйте файл sdconf.rec с сервера Authentication Manager в папку System32 на ISA Server.
   – Запустите инструмент sdtest.exe, введя в командной строке следующее: %Путь к каталогу установки ISA%sdtest.exe
   
3. В MMC ISA Server включите веб-фильтр SecurID, выполнив следующие действия:
   – Под узлом для вашего ISA-сервера щелкните правой кнопкой мыши «Политика брандмауэра» и выберите «Редактировать системную политику».
   – На левой панели «Группы конфигурации» редактора системной политики в папке «Службы аутентификации» щелкните RSA SecurID и установите флажок «Включить» на вкладке «Общие». Нажмите OK, чтобы сохранить изменение.
   – Не забудьте нажать кнопку «Применить» на панели инструментов ISA, чтобы применить изменения к конфигурации брандмауэра. Вам также потребуется перезагрузить компьютер с ISA Server.
   
4. Настройте правило веб-публикации для аутентификации RSA SecurID, выполнив следующие подэтапы:
   – В ISA MMC нажмите «Политика брандмауэра» и на панели «Список задач» нажмите «Создать новое правило публикации сервера».
   – Введите имя правила.
   – На странице «Выбор действия правила» нажмите кнопку выбора «Разрешить».
   – На странице «Выбор веб-сайта для публикации» введите имя или IP-адрес компьютера и папку, которую хотите опубликовать.
   – На странице Выбор имени общедоступного домена введите имя общедоступного домена или IP-адрес публикуемого веб-сайта.
   
5. Выберите веб-прослушиватель для размещения веб-трафика, выполнив следующие подэтапы:
   – На странице Select Web Listener нажмите кнопку Edit.
   – Перейдите на вкладку «Сети» и установите флажки для сетей, к которым вы хотите привязать веб-прослушиватель.
   – Перейдите на вкладку «Настройки» и нажмите кнопку «Аутентификация».
   – На странице Аутентификация установите флажок SecurID в списке методов аутентификации. Установите флажок «Запрашивать идентификацию у неаутентифицированных пользователей». Нажмите OK, чтобы применить изменения.
   
6. В мастере правил веб-публикации SecurID теперь должен отображаться в списке свойств прослушивателя.
   
7. Добавьте «Все пользователи» в наборы пользователей правила, чтобы брандмауэр применял правило ко всем пользователям, пытающимся получить доступ к этому веб-ресурсу.
   
8. Нажмите «Готово», чтобы сохранить новое правило, и еще раз не забудьте нажать кнопку «Применить» на панели инструментов, чтобы сохранить новое правило в конфигурации брандмауэра.

Резюме

Вы можете использовать технологию SecurID от RSA, чтобы снизить риск нарушений сетевой безопасности, возникающих в результате взлома паролей и социальной инженерии, требуя двухфакторной аутентификации для входа в Windows, доступа к веб-ресурсам через брандмауэр, входа в VPN и т. д. Благодаря хорошо зарекомендовавшей себя репутации и широкое взаимодействие, проверка подлинности с помощью смарт-карты или токена RSA предлагает один из лучших вариантов реализации многофакторной проверки подлинности в вашей сети.