Двухфакторная аутентификация клиентов Remote Desktop Gateway при помощи Azure Multi-Factor Authentication | SERVILON

Почему биометрия так дорога? чипы — дешёвые, алгоритмам — 100500 лет. в чём дело?

Владимир Иванов:

Хорошая качественная биометрия действительно стоит дорого. Дешёвые датчики (чипы) не обеспечивают современного уровня по безопасности. Алгоритмы хоть и существуют давно, но постоянно совершенствуются. Это ли не опровергает тезисы о дешевизне и надёжности?

Михаил Рожнов:

Потому что биометрический датчик должен минимизировать ложные срабатывания. Никто не говорит, что не может быть смарт-карты с биометрическим датчиком вместо PIN-кода. Такие бандлы уже существуют — смарт-карта и Windows Hello (биометрический датчик).

Почему именно ms azure?

  1. Лучшая интеграция с AD, что очень удобно, когда для VPN используется та же учетная запись, что и для остальных ресурсов.
  2. Разные типы аутентификации, звонок, SMS приложение и офлайн OTP код.
  3. Простота настройки.
  4. Высокая надежность и доверие.

Из минусов, наверное, стоит отметить только то, что это платное решение, но безопасность никогда и не бывает дешевой.

Что такое многофакторная аутентификация (mfa)?

Наша жизнь давно насыщена различными гаджетами, через которые мы общаемся с внешним миром, передаем информацию и получаем ее. Мы просыпаемся и засыпаем с смартфоном в руках, мы завтракаем с ноутбуком и с ним же ложимся спать после просмотра очередного фильма. Жизнь сместилась в цифровой мир.

Вы проверяете электронную почту, входите в аккаунты социальных сетей и вводите номер своей кредитной карты для оплаты новых покупок в Интернете. Каждый раз, когда мы обмениваемся конфиденциальными данными, такими как пароли, банковская информация или адрес проживания в Интернете, все чаще становится важным находить способы защиты в области кибербезопасности в Интернете и знать как обеспечить свою информационную безопасность .

Каждая из наших цифровых учетных записей подвержена риску взлома, поэтому важно добавить дополнительный уровень защиты с многофакторной аутентификацией (MFA).

Многофакторная аутентификация — это метод аутентификации (идентификации), который требует от пользователя представления двух или более доказательств личности, чтобы получить доступ и войти в свою учетную запись. И только после ввода всей этой необходимой информации, Вы получаете доступ в свой аккаунт. Это может быть номер телефона, адрес электронной почты или ответ на какой-то (известный только Вам) секретный вопрос.

Хотя MFA объединяет любое количество факторов аутентификации, наиболее распространенным из них является двухфакторная аутентификация (2FA). Необходимость в MFA также может быть вызвано неудачной идентификацией в 2FA или подозрительными действиями предполагаемой личности.

Это характерно для систем 2FA, способных переходить в MFA. Это может также потребоваться для обеспечения дополнительной безопасности при доступе к более важным файлам или конфиденциальным данным, таким как медицинские или финансовые записи. То есть обычная 2FA может давать доступ ко всем социальным сетям, например, а MFA к медицинским или финансовым Вашим данным.

Дополнительные уровни безопасности в процессе входа в систему могут обеспечить уверенность в том, что ваша личная информация останется защищенной и не попадет в чужие руки.

Адаптивная аутентификация

Более современные факторы аутентификации учитывают контекст поведения входа в систему.

Например, система может распознать, что хакер выполняет вход из странного места за тысячи миль, или заметить, что новое устройство пытается получить доступ к вашей учетной записи. Система также учитывает время попытки входа в систему и тип сети, к которой вы обращаетесь.

Адаптивная аутентификация использует искусственный интеллект и машинное обучение, чтобы заметить любые странные действия (поведение) в вашей учетной записи. Любое необычное, не стандартное поведение (вход в систему с нового места или в уникальное время суток) заставит систему активизировать дополнительные проверки, такие как идентификационный код человека или коды с электронной почты.

Со временем адаптивная аутентификация изучит все возможные шаблоны поведения пользователя и в конечном итоге перестанет требовать проверку своей личности, если они начнут часто посещать новое местоположение или все больше и больше использовать новое устройство. То есть система самообучаемая.

Безопасность mfa

Насколько безопасна многофакторная аутентификация? Безопасность в конечном итоге зависит от вашей настойчивости. Если вы готовы потратить время на ввод нескольких факторов аутентификации для доступа к своей учетной записи, вы можете потерять несколько минут своего дня, но в долгосрочной перспективе вы будете намного лучше защищены.

Кроме того, хитрые пароли (особенно разнообразные хитрые пароли) — ваш лучший выбор, когда речь заходит о безопасности аккаунта. Если вы хотите улучшить свой процесс MFA, вы можете выполнить одно из следующих действий:

  • — Попросите свой банк внедрить многофакторную аутентификацию.
  • — Старайтесь избегать аутентификации вашей личности с помощью социальной проверки, так как они подвергаются наибольшему риску взлома. Не идентифицируйтесь по возможности на сайтах через социальные сети.
  • — Изучите какие методы MFA для Вас будут более комфортны.

Достижение 100% гарантии безопасности никогда не произойдет, но если вы будете настойчивы в своей онлайн-безопасности, даже самые умные хакеры не смогут украсть вашу личную информацию.

Биометрическая проверка

Биометрическая проверка может быть разной, от идентификации отпечатков пальцев до распознавания лица. Пользователи со смарт-устройствами или компьютерами могут воспользоваться этой технологией для дальнейшего усиления своей онлайн-защиты. Использование биометрической проверки обычно менее хлопотно, чем одноразовый пароль, и может сделать МФА быстрее и проще.

Будет ли работать криптозащита при появлении квантовых компьютеров?

Михаил Рожнов:

Можно точно сказать, что будут найдены адекватные меры: удлинение ключей, применение стойких к квантовому взлому криптоалгоритмов, но сама криптография никуда не исчезнет, будьте уверены!

Сергей Груздев:

Да, квантовый компьютер способен «взламывать» некоторые асимметричные криптоалгоритмы на несколько порядков эффективнее классических компьютеров. Однако на практике ситуация несколько сложнее. Ведущие российские учёные в области квантовой физики, а также представители промышленности на очередной ежегодной конференции Third International School of Quantum Technology (QTS’20) констатировали, что эффективный квантовый компьютер может появиться на горизонте примерно 10—15 лет, при этом необходимо будет ещё решить ряд сложнейших инженерных задач.

Эффективным с точки зрения криптоанализа существующих криптоалгоритмов считается квантовый компьютер, содержащий не менее 1000 кубит. В настоящее время реальные квантовые компьютеры не перешагнули рубеж даже в 100 кубит. Кроме того, пока нет алгоритмов для квантового компьютера, позволяющих эффективно «взламывать» симметричные криптоалгоритмы.

Также в заключение стоит сказать, что мировая и российская наука уже озадачена разработкой так называемых постквантовых криптографических механизмов, то есть таких алгоритмов, которые невозможно будет эффективно анализировать с использованием квантовых компьютеров.

В части соответствия регуляторным требованиям, например гост 57580 «безопасность финансовых (банковских) операций», достаточно ли использовать в качестве второго фактора ip-адрес или имя пк сотрудника?

Михаил Рожнов:

Нет, многофакторная аутентификация — это фактор знания, владения. Ничто не мешает узнать ваш IP-адрес или имя хоста и сделать его таким же. Параметры IP и имя хоста могут использоваться в части поведенческого анализа. Например, если система понимает, что вы входите с одного и того же хоста и одного и того же IP, то вы можете использовать OTP (например, PUSH OTP для удобства), но если при постоянстве окружения вы входите с другого IP или хоста, то система запросит использовать PKI-токен.

Ваши учетные данные делятся на три категории:

  • Знание: что-то, что знает только пользователь, например, его пароль или уникальный пин-код.
  • Владение: что-то, что есть только у пользователя, например, смартфон или аппаратный токен., флэшка.
  • Принадлежность: нечто, принадлежащее только этому пользователю, например, отпечаток пальца, голос или сетчатка глаза.

Например, при входе в банковское приложение на смартфоне приложение отправляет пользователю текст для ввода кода, прежде чем он сможет получить доступ к своей учетной записи. Этот метод MFA относится к категории «что-то, что вы знаете», так как это PIN-код, который пользователь должен ввести, прежде чем он сможет полностью подключиться к своему банковскому счету в Интернете.

В этом случае приложение Discover Card делает еще один шаг, запрашивая у Вас при входе в систему отпечаток пальца.

Или ситуация с заправкой топлива на АЗС. Например после того, как Вы вставите банковскую карту для оплаты — система может запросить какую-либо информацию, которую Вы точно знаете — индекс или девичью фамилию мамы. И это Вы точно знаете. Но такой способ уже устарел.

Вопросы безопасности (секретные вопросы)

Я думаю каждый из нас не раз сталкивался с секретными вопросами безопасности. Чаще всего это происходит в банках и финансовых структурах, как одна из проверок Вас как личности. В этом случае Вам надо придумать (или принять один из предложенных вариантов) некоторый вопрос, ответ на который будет записан в Ваше личное дело.

Похожее:  Мособлгаз личный кабинет: вход для клиентов Московской области, официальный сайт

Два лучше, чем один ( а три еще лучще)

В следующий раз, когда вы зарегистрируете учетную запись, убедитесь, что у вас есть дополнительные несколько минут, чтобы настроить MFA и защитить все ваши конфиденциальные данные.

Двухфакторная, трёхфакторная, четырёх… есть ли предел?

Владимир Иванов:

С каждым дополнительным шагом в MFA увеличивается число факторов аутентификации, которые необходимо поддерживать. Чем больший «ассортимент» факторов должен содержать каждый пользователь, тем больше затрат будет уходить на их обслуживание.

C каждым дополнительным фактором (четырёх…) растёт сложность и снижается удобство аутентификации для пользователей.

Сама по себе «природа» факторов заключается в том, что они относятся к одному из «семейств»: либо факторы знания, либо факторы владения, либо факторы свойства. Придумать цепочку из четырёх или более факторов, не содержащую повторения факторов из одного «семейства», затруднительно.

Эти три аспекта — условная «стоимость поддержки» совокупности факторов в MFA, удобство выполнения аутентификации для пользователя, целесообразность использования повторения схожих факторов — выступают в роли естественного ограничителя для количества шагов в MFA.

Михаил Рожнов:

Нет, главное — все факторы должны быть разной природы. Например, «пароль и ещё один пароль» не будет являться двухфакторной аутентификацией. Также необходимо отличать двухфакторную аутентификацию от двухэтапной.

Демонстрация работы azure mfa для аутентификации rdg подключений

Рассматривать работу MFA будем со стороны пользователя. В нашем случае вторым фактором аутентификации будет мобильное приложение, так как сотовая сеть имеет ряд уязвимостей, позволяющих при должной подготовке перехватывать звонки и SMS.

Первым делом, пользователю понадобиться зайти на пользовательский портал и указать свой номер телефона (если не указан в AD) и привязать к аккаунту мобильное приложение. Заходим на портал под своей учетной записью и вводим ответы на секретные вопросы (они нам понадобятся в случае восстановления доступа к аккаунту).

Далее выбираем метод аутентификации, в нашем случае мобильное приложение и нажимаем кнопку «Создать код активации». Будет сгенерирован QR код, который надо отсканировать в мобильном приложении.

Так как при импортировании пользователей на MFA сервер была выставлена аутентификация с помощью PIN кода, нам будет предложено создать его. Вводим желаемый PIN код и нажимаем «Проверить мою подлинность». В мобильном приложении необходимо подтвердить появившийся запрос.

Примечание: Список настроек, которые может менять пользователь через портал, задаётся администратором в приложении Multi-Factor Authentication Server.

Далее рассмотрим подключение через RDG.

Создаем RDP подключение, указываем наш шлюз и подключаемся.

Вводим данные учетной записи для авторизации на RDG сервере.

Подтверждаем запрос в мобильном приложении

Вводим данные учетной записи для авторизации на подключаемой машине и ожидаем подключения.

Примечание: Если телефон оснащен датчиком отпечатка пальца, приложение Authenticator предложит связать PIN код с отпечатком пальца, чтобы в последующем подтверждать аутентификацию простым прикосновением к телефону.

Способы аутентификации, которые предлагает Azure MFA:

Способы SMS One-Way и OATH token не являются универсальными, так как требуют дополнительного поля для ввода кода при авторизации.

В заключении расскажем о функции MFA, позволяющей отслеживать и защищаться от злоумышленников, пытающихся получить доступ, не имея второго фактора аутентификации.

На портале Azure в панели управления MFA можно включить возможность, позволяющую пользователям отмечать пришедший запрос на аутентификацию как мошеннический. Также возможна автоматическая блокировка пользователя при получении данного сообщения и отправка email уведомления службе поддержки.

После включения данной функции, пользователям, запретившим запрос на аутентификацию, будет показано сообщение с предложением оповестить службу поддержки о нелегитимной попытке входа.

В панели управления Azure MFA есть отчет отображающий уведомления о мошенничестве:

Если необходимо узнать IP адрес, с которого была инициализирована RDP сессия, можно посмотреть логи RDG сервера в Event Viewer. Если второй фактор аутентификации не был пройден, событие будет иметь статус Error, а в описании будет указан IP адрес, с которого устанавливалось RDP соединение.

Обсуждение статьи доступно здесь.

Ссылки по статье:

Remote Desktop Gateway and Azure Multi-Factor Authentication Server using RADIUS

Другие примеры многофакторной аутентификации:

  • — Сканирование сетчатки или радужной оболочки
  • — Одноразовые коды приложений для смартфонов
  • — Поведенческий анализ
  • — USB-устройства, значки, другие физические устройства

Чем больше типов многофакторной аутентификации вы внедрили, тем безопаснее становятся ваши конфиденциальные данные. Даже если у хакера есть доступ к двум из трех типов, он все равно не сможет идти дальше, и ваш процесс MFA будет успешным.

Есть ли перспективы у двухфакторной аутентификации по биометрии? один раз утечёт, и всё: фактор не сменить, от пальцев не избавишься.

Владимир Иванов:

Применение биометрии оправданно в качестве дополнительного фактора аутентификации с одной оговоркой.

Биометрическая информация не должна храниться и проверяться централизованно. Криптографические методы аутентификации гораздо более надёжны, а биометрический фактор может применяться для обеспечения доступа к криптографическим функциям непосредственно на самом устройстве, которое используется для аутентификации.

Сергей Груздев:

Перспектив у чисто биометрических 2ФА нет и пока не видно. Использование лица и голоса банками показало, что это не аутентификация, а идентификация, и даже её (идентификацию) проводят сначала с использованием стандартных идентификационных атрибутов (например, по номеру телефона, зарегистрированному за конкретным клиентом), а потом уже используют биометрию как уточняющий фактор с некоторой вероятностью.

Биометрия в аутентификации, согласно международным стандартам, может использоваться только как дополнительный фактор аутентификации, с некоторой вероятностью подтверждающий факт владения предметом (смарт-картой, USB-токеном, смартфоном, etc).

Зачем использовать многофакторную аутентификацию?

Хотя некоторые считают, что этот процесс является незначительным неудобством или его настройка занимает слишком много времени, в долгосрочной перспективе стоит задуматься о более высоком уровне безопасности. В 2022 году во всем мире было взломано около одного миллиарда учетных записей.

Конечная цель MFA — создать линию защиты между вашей информацией и хакерами. Сами сайты, к которым Вы подключаетесь значительно затрудняют доступ посторонних лиц. И даже если они могут знать ваш пароль, они не смогут воссоздать второй фактор аутентификации (ваш отпечаток пальца, текстовый код или ответ на секретный вопрос).

В прошлом в системах MFA применялась только двухфакторная аутентификация, но с ростом числа кибератак пользователи начали активно использовать двух и более факторов для дополнительных уровней защиты. Хотя мы не можем предотвратить все онлайн-преступления, принятие таких простых мер, как использование 2FA или MFA, может значительно снизить вероятность взлома.

Если МФА доступен, вы должны использовать его, особенно когда речь идет о вашей наиболее конфиденциальной информации, такой как ваши финансовые счета, медицинские записи и ваш основной адрес электронной почты.

Илья, как вы считаете риски? и кто несёт ответственность за существенные ошибки в оценке рисков?

Илья Осадчий:

Архитектура и детали работы Silverfort доступны в техническом описании системы. Принцип работы Silverfort состоит в расчёте вероятности неавторизованного подключения по шкале от 0 до 100 основываясь на множестве «сигналов» в трёх категориях: выявление аномалий поведения, выявление известных паттернов злоумышленников, актуальная киберразведка.

Нет идеальных систем защиты: например, ни один поставщик антивируса не даёт гарантии, что тот остановит все вирусы. Однако Silverfort позволяет существенно повысить защищённость по сравнению с традиционными МФА, а также защитить те протоколы и интерфейсы, которые наиболее подвержены атакам, но не защищаются существующими МФА (SMB / PsExec, PowerShell, функции Run As, сервисные аккаунты).

Используют ли производители внутри своих организаций свои же изделия?

Владимир Иванов:

В компании «Актив» все сотрудники используют «Рутокен» в виде USB-токенов или смарт-карт для доступа в помещения, аутентификации в AD и VPN.

Михаил Рожнов:

Да, конечно. У компании Thales вход на рабочие станции осуществляется по смарт-карте. Доступ в облачные сервисы — по OTP. TESSIS, авторизованный дистрибьютор Thales, использует PUSH OTP для защиты VPN-соединения.

Сергей Груздев:

Практика «Аладдина» — все сотрудники компании используют свои продукты в работе. PKI-токены — не исключение.

Как работает многофакторная аутентификация?

Важно отметить, что существует два основных типа многофакторной аутентификации .

  • Приложение MFA: процесс аутентификации, который активируется, когда пользователь пытается получить доступ к одному или нескольким приложениям.
  • Устройство MFA: процесс аутентификации, который немедленно активирует MFA в точке входа в систему.
Похожее:  Войти в приложение и личный кабинет или сменить пароль от них — Тинькофф Помощь

Хотя они являются отдельными процессами, MFA в основном одинаковый для обоих типов. Когда пользователь пытается получить доступ к чему-либо (телефону, ноутбуку, серверу), он сталкивается с многофакторной аутентификацией и вынужден вводить два или более факторов аутентификации. Если основные поставщики удостоверений (IdP) подтвердит эти факторы, им будет предоставлен доступ.

Одним из наиболее часто задаваемых факторов аутентификации — ваш номер телефона. Обычно с помощью MFA вы вводите свое имя пользователя и пароль при входе в систему, а затем уникальный код, который отправляется посредством текстового сообщения на Ваш мобильный телефон.

Это доказывает, что вы помните как имя пользователя и пароль, так и то, что у вас есть смартфон, который «зарегистрирован» как устройство для получения кодов этих типов.

Какие есть технические решения для реализации многофакторной аутентификации, в том числе сертифицированные регуляторами и поддерживающие политику импортозамещения, в режиме «из коробки»?

Александр Санин:

Решения Avanpost FAM и Avanpost Web SSO позволяют строить многофакторную аутентификацию с использованием многошаговых настраиваемых сценариев. Оба продукта входят в Единый реестр программ для электронных вычислительных машин и баз данных Минкомсвязи и рекомендованы к использованию в российских организациях.

Владимир Иванов:

В процессе аутентификации есть две стороны — доказывающая и проверяющая. С доказывающей стороны могут применяться сертифицированные токены и смарт-карты, с проверяющей — сертифицированные системы защиты от НСД, VPN, операционные системы и так далее. На рынке есть достаточно много такого рода продуктов.

Каковы перспективы развития у виртуальных токенов?

Владимир Иванов:

Виртуальные токены (криптографические PKI-токены) определённо имеют право на жизнь в качестве временной замены аппаратного токена в случае его утери или выхода из строя и невозможности оперативной замены.

Сергей Груздев:

Есть ряд ситуаций и сценариев, когда уместно применение виртуальных (программных) токенов. Например, использование виртуального токена в качестве запасного — 1) сотрудник уехал в командировку, а свой аппаратный токен потерял, забыл; 2) понадобился удалённый доступ, но доступен лишь мобильный телефон, к которому PKI-токен не подключишь (при этом права доступа с использованием виртуального токена нужно ограничить).

Необходимо всегда помнить про то, что надёжность виртуальных токенов существенно ниже аппаратных и в этом случае вы не сможете контролировать безопасность закрытого ключа и гарантировать отсутствие несанкционированных копий, а как следствие — и возможного скрытого подключения злоумышленников под видом легального пользователя.

Каковы перспективы у системы аутентификации по поведенческому анализу пользователя, которую уже применяют некоторые банки при совершении операций в онлайн-банках клиентов? есть ли статистика инцидентов и практика, подтверждающая надёжность данной системы аутентификации?

Илья Осадчий:

Системы аутентификации, которые учитывают поведение, паттерны подключений и другие аспекты окружающей среды пользователя, уже давно используются в онлайн-банкинге, но теперь аналогичный подход набирает популярность и в корпоративных сетях. Помимо повышения удобства (при низком уровне риска второй фактор можно не запрашивать) такие системы, как Silverfort, позволяют защищать не только традиционные интерфейсы и протоколы входа в систему, которые в реальности редко используются злоумышленниками, но также и те, которые злоумышленники используют в реальной жизни, например SMB / PsExec, PowerShell, а также функции Run As и сервисные аккаунты.

Михаил Рожнов:

Многие системы аутентификации (в том числе у Thales) уже обладают механизмом поведенческого анализа (его ещё называют контекстно-зависимой или адаптивной аутентификацией). Он позволяет задействовать тот или иной способ аутентификации в зависимости от определённых условий:

Каковы факторы аутентификации?

Фактор аутентификации — это категория учетных данных для идентификации во время проверки. Когда эти факторы используются в MFA, каждый дополнительный фактор увеличивает уверенность в том, что лицо, пытающееся получить доступ к учетной записи, является тем, кем оно о себе заявляет.

Коды с электронной почты

Эти коды будут отправлены пользователю, запрашивающему доступ по электронной почте. Получение кода по электронной почте является одним из наиболее распространенных типов MFA и может быть хорошим вариантом, если ваш телефон потерян, украден или просто находится в другом недоступном месте.

Настройка cisco asa

Так как используется доменная аутентификация, ASA должна иметь доверительные отношения с доменом. А также рекомендуется использовать «белый» сертификат для VPN gateway. В нашем случае – vpn.servilon.co

На ASA рекомендуем настроить AnyConnect VPN gateway с локальной аутентификацией. Убедиться, что подключение работает, после чего приступить к настройке аутентификации через Radius.

Настройка mfa сервера на работу с radius запросами

Переходим в раздел Radius Authentication и ставим галочку «Enable RADIUS Authentication».

Добавляем нового клиента, указывая IP адрес NPS сервера и общий секретный ключ. Если аутентификация должна проводиться для всех пользователей, ставим соответствующую галочку (в данном случае все пользователи должны быть добавлены на MFA сервер).

Так же необходимо убедиться, что указанные для соединения порты соответствуют портам, указанным на NPS сервере и их не блокирует брандмауэр.

Переходим на вкладку Target и добавляем Radius сервер.

Примечание: Если в сети нет центрального NPS сервера, IP адреса Radius клиента и сервера будут одинаковыми.

Настройка microsoft azure


Приведенные ниже шаги предполагают, что у Вас имеется подписка или же установлена триальная версия

Перейдем непосредственно к настройке:

Настройка radius

Для аутентификации пользователей AnyConnect Cisco ASA может использовать сторонний Radius сервер. Для этого на ASA необходимо настроить AAA Server, а на MFAS настроить Radius клиент:

Двухфакторная аутентификация клиентов Remote Desktop Gateway при помощи Azure Multi-Factor Authentication | SERVILON

Настройка rdg и nps сервера на работу совместно с mfa

Шлюз удаленных рабочих столов необходимо настроить на отправку Radius запросов на сервер MFA. Для этого открываем свойства шлюза и переходим на вкладку «RDG CAP Store», выбираем «NPS работает на центральном сервере» и указываем адрес MFA сервера и общий секретный ключ.

Далее производим настройку NPS сервера. Разворачиваем раздел «Клиенты и серверы Radius -> Удаленные группы серверов Radius». Открываем свойства группы «TS gateway server group» (группа создаётся при настройке RDG) и добавляем наш MFA сервер.

При добавлении, на вкладке «Load Balancing» увеличиваем лимиты времени ожидания сервера. Выставляем «Число секунд без ответа, после которого запрос считается отброшенным» и «Число секунд между запросами, после которого сервер считается недоступным» в диапазоне 30—60 секунд.

На вкладке «Authentication/Accounting» проверяем правильность указанных портов и задаем общий секретный ключ.

Теперь перейдем в раздел «Клиенты и серверы Radius -> Клиенты Radius» и добавим MFA сервер, указав «Friendly name», адрес и общий секрет.

Переходим в раздел «Политики -> Политики запросов на подключение». В данном разделе должна быть политика, созданная при настройке RDG. Эта политика направляет запросы Radius на MFA сервер.

Дублируем политику и заходим в ее свойства. Добавляем условие сопоставляющее «Client Friendly Name» c «Friendly name», заданным в предыдущем шаге.

На вкладке «Settings» меняем поставщика услуг аутентификации на локальный сервер.

Данная политика будет гарантировать то, что при получении Radius запроса от MFA сервера, запрос будет обработан локально, что избавит от зацикливания запросов.

Проверяем что данная политика размещена над исходной.

На данном этапе связка RDG и MFA находится в рабочем состоянии. Следующие шаги необходимы тем, кому требуется иметь возможность использовать аутентификацию с помощью мобильного приложения или предоставить пользователям доступ к некоторым настройкам многофакторной авторизации через пользовательский портал.

Преимущества многофакторной аутентификации

В настоящее время люди ожидают, что многофакторная аутентификация будет частью любой настройки учетной записи. Сейчас она внедряется как базовый элемент безопасности.

  • MFA обеспечивает более высокий уровень защиты, чем просто имя пользователя и пароль.
  • — Пользователи и клиенты могут чувствовать себя более ценными компаниями, которые используют MFA.
  • — MFA может подключаться с помощью программного обеспечения единого входа и предоставлять пользователям более простой и безопасный процесс входа в систему.

Сегодня становится все опаснее хранить конфиденциальную информацию в Интернете или даже в облаке. Рост количества использования многофакторной аутентификации облегчает жизнь и компаний и обычных людей, а также значительно усиливает общую защиту от хакерских атак

Если вы готовы найти идеальное решение для обеспечения безопасности вашей информации, посмотрите лучшие инструменты многофакторной аутентификации на G2.

Примеры вопросов:

  • — Как звали Вашего первого питомца?
  • — На какой улице Вы выросли (родился)?
  • — Какая девичья фамилия вашей матери?
  • — Какая у Вас была кличка в детстве?
Похожее:  Как войти в личный кабинет StarLine и что такое ТЕЛЕМАТИКА: функции, регистрация, авторизация онлайн через интернет и настройка мобильного приложения

При входе в свою учетную запись вы вводите свое имя пользователя и пароль, а затем вас попросят дать ответ на секретный вопрос. Более сильные версии секретных вопросов (так называемые динамические вопросы) создаются в режиме реального времени на основе таких записей в истории, как последние транзакции и кредитная история.

Надо понимать, что MFA довольно защищенный способ, но если хакер фокусируется на Вас, он может проанализировать все ваши социальные сети и найденный контент о Вас и попытаться собрать все данные, которые могли бы касаться перечня вопросов выше.

Про пользователей и методы защиты

Природа типичного пользователя такова, что к сохранности паролей от учетных записей отношение достаточно легкомысленное и исправить это невозможно. Наш опыт показывает, что даже если в компании применяются строгие политики, тренинги пользователей и т.д., все равно найдется незашифрованное устройство, покинувшее стены офиса, а просматривая список продуктов одной известной компании понимаешь, что извлечение паролей из незашифрованного устройства лишь дело времени.

Некоторые компании для контроля доступа к данным в облаке устанавливают туннели между облаком и офисом, запрещают удаленный доступ. На наш взгляд — это не совсем оптимальное решение, во-первых, теряется часть преимуществ облачного решения, а во-вторых есть проблемы с производительностью, отмеченные в статье.

Решение с использованием терминального сервера и Remote Desktop Gateway (RDG) более гибкое, можно настроить высокий уровень безопасности. Данный способ позволяет предотвратить передачу данных из облака, но накладывает ограничения на работу пользователя и не полностью решает проблему аутентификации, скорее это DLP решение.

Возможно лучшим способом гарантировать, что под учетной записью пользователя не работает злоумышленник, является двухфакторная аутентификация. Настройка MFA от Microsoft и Google для клиентского VPN — способ хороший, но, во-первых, он требует наличия CISCO ASA, что не всегда легко реализуемо, особенно в бюджетных облаках, а во-вторых, работа через VPN неудобна.

Проводился ли анализ безопасности приложений silverfort, особенно для ос android?

Илья Осадчий:

Разработчик Silverfort следует принципам SSDLC, в том числе осуществляется проверка качества и защищённости всех компонентов системы.

Развертывание mfa сервера

Устанавливать MFA сервер необходимо на виртуальную машину отличную от RDG сервера. Поддерживаются ОС старше Windows Server 2008 или Windows 7. Для работы необходим Microsoft .NET Framework 4.0.

Должны быть доступны адреса по 443 порту:

Устанавливаем MFA сервер, при установке отказываемся от мастера настроек.

При первом запуске необходимо ввести данные от учетной записи, которые надо сгенерировать на странице загрузки сервера.

Создание поставщика аутентификации в портале microsoft azure

Заходим в Microsoft Azure (учетная запись должна иметь подписку или установлена триальная версия) и находим Multi-Factor Authentication (MFA).

На данный момент управление MFA не добавлено в новую версия портала Azure, поэтому откроется старая версия портала.

Для создания нового поставщика многофакторной проверки подлинности необходимо слева внизу нажать «СОЗДАТЬ -> Службы приложений -> Active directory -> Поставщик многофакторной проверки подлинности -> Быстрое создание». Указать имя и модель использования.

От модели использования зависит как будет начисляться оплата, либо по количеству пользователей, либо по количеству аутентификаций.

После создания MFA отобразится в списке. Далее переходим к управлению, нажав соответствующую кнопку.

Переходим в загрузки и скачиваем MFA сервер

Существуют ли токены, которые можно физически вставить в смартфон, например в слот для sim-карты или карты памяти?

Михаил Рожнов:

Да, такие токены есть (они называются «токены в формате SIM-карт»). Однако для их корректной работы с приложениями ОС и прикладным ПО необходимо делать интеграцию за счёт применения специального SDK. Также есть Bluetooth-токены, но для них тоже требуются специальные SDK (требуется интеграция с приложениями).

Сергей Груздев:

Да, лет 7 назад мы предлагали токен, совмещённый с картой памяти MicroSD. Микросхема смарт-карты была размещена внутри стандартного корпуса карты памяти MicroSDHC. Работа со смарт-картой происходила через операции чтения / записи в файлы с определёнными именами в файловой системе карты памяти (передача APDU — запись в файл, получение ответа на команду — чтение из файла).

К сожалению, это решение не нашло спроса у заказчиков, поскольку всем нужны карты памяти разной ёмкости. Кроме того, в смартфонах на платформе Android только один разъём для карты памяти; значит, единственная карточка, установленная в этом разъёме, должна быть большой ёмкости, и, как следствие, она получалась весьма дорогой.

Текстовые токены

Текстовый токен идентичен коду электронной почты, только через другое средство связи. Получение текстовых токенов является простым вариантом реализации и может использоваться практически любым.

После ввода вашего имени пользователя и пароля на ваш телефон будет отправлен одноразовый пароль (OTP) в виде пин-кода. Номер действует как второй фактор аутентификации и вводится на следующей странице / экране.

Типы многофакторной аутентификации

Обычно при покупках в онлайн магазинах для доступа к своим аккаунтам, Вы используете 2-3 типа MFA, но на самом деле их существует намного больше. Давайте разберемся.

У кого из производителей внедрены ssdlc (процессы безопасной разработки)?

Михаил Рожнов:

У компании Thales. Для прохождения различных сертификаций (начиная от Common Criteria и заканчивая ФСТЭК) требуется обязательное подтверждение наличия SDL в компании. Также для крупных компаний это является обязательным элементом жизненного цикла ПО.

Сергей Груздев:

«Аладдин». Но SDL — это как ремонт в квартире: его нельзя закончить… Процессы постоянно улучшаются, требования и внутренняя метрика усиливаются.

Мы приняли для себя довольно высокую планку — уровень доверия 2 — и к разрабатываемому ПО (и процессам проектирования, тестирования, документирования, поддержки), и к «железу».

Установка sdk

SDK устанавливается на сервер MFA и требует наличия IIS, ASP.NET, Basic Authentication, которые необходимо предварительно установить, используя Server Manager.

Для установки SDK переходим в раздел Web Service SDK в Multi-Factor Authentication Server и нажимаем кнопку установить, следуем мастеру установки.

Установка веб-службы мобильного приложения

Данная служба необходима для взаимодействия мобильного приложения с сервером MFA. Для корректной работы службы, компьютер, на который она будет установлена, должен иметь выход в интернет и открыт 443 порт для подключения из интернета.

Файл установки службы находиться в папке C:Program FilesAzure Multi-Factor Authentication на компьютере с установленным MFA. Запускаем установщик и следуем мастеру установки. Для удобства пользователей можно заменить имя виртуального каталога «MultiFactorAuthMobileAppWebService» на более короткое.

Установка пользовательского портала

Для установки требуется IIS, ASP.NET и роль совместимости мета базы IIS 6 (для IIS 7 или более поздней версии).

Выводы

Многофакторная аутентификация — действительно «горячая тема», которая может заинтересовать даже людей, не имеющих прямого отношения к информационной безопасности. С другой стороны, многообразие форм многофакторной аутентификации, широта её применения, жёсткие требования заказчиков к надёжности таких систем делают MFA отдельной областью знания в сфере информационной безопасности.

Спикеры конференции AM Live «Выбор корпоративной системы многофакторной аутентификации (MFA)» показали себя настоящими профессионалами и в ответах зрителям не обошли стороной «любительские» вопросы о перспективах криптозащиты в эпоху квантовых вычислений или дороговизне биометрических средств.

Однако, как и ожидалось, наибольшее количество ответов собрали дискуссионные темы, дающие возможность выразить свою точку зрения. Например, вопрос о возможности «утечки» токена через RDP получил подробные ответы почти от всех участников конференции, тем более что формулировка позволяла экспертам упомянуть свои MFA-продукты.

Интеграция средств аутентификации с SIEM, процессы безопасной разработки аппаратных ключей и средств защиты, соответствие требованиям регуляторов — все эти темы вызывают живой интерес среди специализированной аудитории и могут служить ориентирами если не для разработчиков, то для маркетологов ИБ-компаний при выстраивании коммуникаций со своими клиентами.

Можно ли «управлялки» подключить к siem? есть ли варианты одно- и двухстороннего обмена? например, отзыв, перевыпуск сертификата по инциденту.

Михаил Рожнов:

Да, часть событий безопасности может быть отправлена в SIEM (например, через Syslog). Далее может быть разработан триггер для блокировки, приостановки аутентификатора и т. д.

Сергей Груздев:

Для выполнения подобных операций система должна обладать двумя качествами — уметь выгружать события в Syslog и иметь API для интеграции с другими системами.

Обоими этими качествами обладает JMS компании «Аладдин». SIEM получает информацию о событии через Syslog. Затем при сработке SIEM через соответствующий API подаётся команда в JMS.

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (1 оценок, среднее: 4,00 из 5)
Загрузка...

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector