Active Directory Domain Services. Выбор средств двухфакторной аутентификации::БИТ 10.2012
 
                 
Поиск по сайту
 bit.samag.ru     Web
Рассылка Subscribe.ru
подписаться письмом
Вход в систему
 Запомнить меня
Регистрация
Забыли пароль?

Календарь мероприятий
декабрь    2019
Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

показать все 

Новости партнеров

06.12.2019

100-тысячную консультацию Центра услуг для бизнеса в Москве получила руководитель экологически важного проекта

Читать далее 

05.12.2019

ИСП РАН и Huawei открыли совместную R&D-лабораторию по развитию средств разработки программного обеспечения

Читать далее 

04.12.2019

Определилась победительница московского этапа федерального проекта «Мама-предприниматель»

Читать далее 

04.12.2019

НОРБИТ начинает внедрять системы для автоматизации закупок  на платформе Creatio

Читать далее 

показать все 

Статьи

04.12.2019

ЛАНИТ учредил премию IT Stars памяти основателя компании Георгия Генса

Читать далее 

26.11.2019

Осторожно: данные!

Читать далее 

26.10.2019

Что делать, чтобы тебя услышали?

Читать далее 

19.09.2019

Онлайн-обучение: кризис жанра?

Читать далее 

19.09.2019

Битва за электронику: кто кого?

Читать далее 

31.08.2019

Кадры для цифровой среды

Читать далее 

04.06.2019

Маркетолог: привлекать, продавать, продвигать?

Читать далее 

04.06.2019

Бонусы за лояльность

Читать далее 

04.06.2019

Прощайте, доктора?

Читать далее 

04.06.2019

Между В2В и В2С – сплошная двойная

Читать далее 

показать все 

Active Directory Domain Services. Выбор средств двухфакторной аутентификации

Главная / Архив номеров / 2012 / Выпуск №5 (23) / Active Directory Domain Services. Выбор средств двухфакторной аутентификации

Рубрика: Технологии


Леонид Шапироархитектор ИТ-систем, преподаватель ЦКО «Специалист» при МГТУ им. Баумана. MVP, MCT, MCSE:S, MCSE:M, MCITP EA, TMS Certified Trainer

Active Directory Domain Services
Выбор средств двухфакторной аутентификации

Построения двухфакторной аутентификации в корпоративной среде – ответственная задача. На что следует обратить внимание, чтобы реализовать адекватное потребностям рынка решение?

В «Системном администраторе», а также в других изданиях, посвященных ИТ-технологиям и вопросам информационной безопасности, неоднократно упоминалось о принципиальной ненадежности парольной аутентификации, а также крайней нежелательности использования запоминаемых паролей. Это особенно актуально в эпоху облачной эры, на пороге которой мы находимся. Вероятность компрометации конфиденциальной информации будет только возрастать.

Разумным решением станет переход к более надежным методам доступа, а именно к двухфакторной аутентификации, причем вариантов технологических решений, как мы имели возможность убедиться в предыдущих материалах, множество. Здесь мы говорим и о технологиях асимметричной криптографии, о биометрическом доступе, использовании одноразовых паролей и т.д.

На что же следует обратить внимание при выборе варианта двухфакторной аутентификации при многообразии вендоров, которые существуют сегодня на рынке ИБ? Разумеется, я не буду рекомендовать конкретного поставщика решений.

Целью этой статьи является сделать обзор необходимого корпоративному заказчику набора технологий, базируясь на которых можно выбрать конкретное решение для реализации в рамках службы каталога Active Directory. Рассмотрим аутентификацию на основе смарт-карт и USB-ключей.

Современный подход к работе

Требования к технологиям для потребителей и бизнеса меняются коренным образом. Каждому человеку хочется иметь несколько устройств для работы и жизни, и у каждого свои предпочтения.

В современных условиях нам часто приходится перемещаться, и место работы не должно оказывать влияние на ее эффективность. Наличие возможности работы из любой точки мира, где есть доступ к сети Интернет, воспринимается как само собой разумеющееся. Нетрудно заметить, что основной потребностью пользователей становится возможность мобильной и безопасной работы, независимо от месторасположения и используемого клиентского устройства. И неважно, что это будет: персональный компьютер на базе ОС Windows или MAC OS, планшет или смартфон. Все это представляет существенные сложности для ИТ-служб.

Как обеспечить безопасный доступ со всех этих устройств? Разумеется, самым простым способом будет использование обычных паролей, однако это приводит к слишком серьезным рискам с точки зрения информационной безопасности.

Парольная аутентификация потенциально уязвима ввиду использования социотехники, внедрения клавиатурных шпионов, возможности перехвата и других подобных методик взлома.

Вероятность возникновения подобных событий чрезвычайно высока, особенно в свете консьюмеризации, потребности сотрудников использовать разные типы устройств для доступа к корпоративной сети.

Следовательно, такой вариант в зрелых компаниях не рассматривается, и речь может идти только о двухфакторной аутентификации.

Выбирая поставщика оборудования, стоит быть особенно внимательным к некоторым важным деталям.

Очевидно, что наиболее «правильным» с точки зрения ИБ будет применение асимметричной криптографии, что, собственно говоря, реализовано у любого поставщика. Связка смарт-карт, технологии Kerberos PKINIT, доступной нам еще с Windows Server 2000, и инфраструктуры открытых ключей, например, Microsoft PKI, предоставляет нам на первый взгляд весь необходимый для реализации безопасной аутентификации функционал (в статье не идет речь об особенностях криптоалгоритмов, их надежности и т.д. Здесь мы рассматриваем выбор только на основе форм фактора устройств).

Однако физическое подключение смарт-карты или USB-ключа не всегда возможно, например, если мы используем планшет или смартфон. Тогда реализация безопасной аутентификации посредством асимметричной криптографии становится проблематичной.

Конечно, мы можем установить цифровой сертификат открытого ключа непосредственно на устройство, однако такой вариант не является достаточно надежным в связи с понятными рисками.

Следовательно, для такой ситуации имеет смысл рассмотреть технологию одноразовых паролей, о которой шла речь в статьях [1, 2]. При этом весьма желательно обладать возможностью использования не только аппаратного устройства (OTP-токена), но и временного использования программного OTP, например, в ситуации утери или кражи. Некоторые производители предлагают комбинированное устройство, сочетающее в себе как функционал смарт-карты, так и OTP.

Возможность сочетания разных типов аутентификации оказывается довольно удобной, когда мы предполагаем, что доступ может осуществляться как со стационарного или мобильного компьютера, так и с планшета или смартфона.

Следует иметь в виду, что реализация доступа по смарт-картам и USB-ключам – встроенная возможность, реализуемая Active Directory и Microsoft PKI, тогда как внедрение OTP может потребовать дополнительных программных модулей.

Итак, выбирая средство двухфакторной аутентификации (смарт-карту, токен и т.д.), стоит обратить внимание на то, с какими устройствами будет работать пользователь. Наличие в номенклатуре средств аутентификации комбинированных устройств – немаловажный фактор, который имеет смысл учитывать.

Что требуется администратору безопасности?

Внедрение смарт-карт и USB-ключей нередко тормозится проблемами, связанными с управляемостью решения. Если вопросы традиционного управления учетными записями пользователей легко решаются встроенными средствами службы каталога, то для аппаратных устройств все оказывается не так просто.

В составе MS PKI у нас есть все необходимые средства управления жизненным циклом сертификатов, однако это не может быть потенциальной заменой комплексов управления жизненным циклом устройств хотя бы потому, что не решаются вопросы, связанные с управлением OTP-устройствами.

Какие же задачи приходится решать администратору безопасности или другому ответственному сотруднику?

  1. При вводе ключей в эксплуатацию необходимо для каждого токена задать пароль администратора, PIN-код пользователя и загрузить в его память все требуемые данные (ключи, сертификаты и т.п.). Кроме того, нужно внести изменения в базу данных пользователей, поставив в соответствие каждому определенное устройство или устройства.
  2. В процессе использования токена сотрудниками администратору безопасности придется многократно менять уровни доступа, разрешая или запрещая им те или иные действия.
  3. В ситуации кражи или утери токена, необходимо иметь возможность его немедленной блокировки с тем, чтобы не позволить злоумышленнику им воспользоваться.
  4. В случае рассинхронизации OTP, необходимо иметь возможность исправить ситуацию.
  5. Если пользователь забыл свой ПИН-код, требуется обеспечить возможность, на основе технологий запрос-ответ, его смены.
  6. Если пользователю требуется срочный доступ, а аппаратный токен выдать невозможно, то потребуется сформировать токен программный.

Здесь приведен далеко не полный список задач, которые могут появиться, однако даже этой малой части вполне достаточно, чтобы понять, что работы предстоит много.

На первый взгляд может показаться, что все эти задачи могут быть решены в рамках AD и специальный инструментарий не потребуется. Тем не менее это не так.

Если мы говорим о компании среднего размера или крупной, то возникает существенный рост нагрузки на ИБ или ИТ-службу, поскольку ответственному лицу придется «вручную» корректировать записи в AD, системе VPN, правилах доступа к внутреннему порталу, в базе данных каталога каждого отдельного приложения (если таковые имеются), отзывать все выданные сотруднику сертификаты, убирать полномочия по расшифровыванию данных и подписи документов.

Этот список можно продолжать еще долго. Очевидно, что внесение необходимых изменений требует времени и существенного внимания. Стоит только администратору ИБ забыть о каком-то элементе информационной системы и не отключить к ней доступ, как появляется уязвимость, которой может воспользоваться злоумышленник. Следовательно, необходимо внедрение комплекса автоматизации процесса управления жизненным циклом средств аутентификации. Наличие подобной системы у поставщика средств аутентификации крайне важно и позволит избежать множества проблем.

Что важно для компании?

Еще один чрезвычайно важный аспект при выборе поставщика решения – наличие в его оборудовании поддержки российской криптографии. Большинству компаний, работающих на территории РФ, необходимо соблюдать требования регуляторов с точки зрения использования криптоалгоритмов. Таким образом, мы получаем третий критерий для выбора поставщика.

***

Итак, подведем итоги. При выборе поставщика средств двухфакторной аутентификации следует рассматривать те компании, которые предлагают широкую линейку устройств, позволяющих работать с разным клиентским оборудованием, тесно интегрированы с современными службами каталогов, поддерживают асимметричную криптографию, работают с российскими криптоалгоритмами и, наконец, предлагают систему управления жизненным циклом всего спектра поставляемых смарт-карт и токенов.

  1. Шапиро Л. Аутентификация и одноразовые пароли. Теоретические основы. Часть 1. // «Системный администратор», № 9, 2012 г.
  2. Шапиро Л. Аутентификация и одноразовые пароли. Часть 2. Внедрение OTP для аутентификации в AD. //«Системный администратор» № 10, 2012 г.
  3. Аутентификация, теория и практика обеспечения безопасного доступа к информационным ресурсам. – М., 2009, ISBN 978-5-9912-0110-0.

В начало⇑

 

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи

Выпуск №09 (92) 2019г.
Выпуск №09 (92) 2019г. Выпуск №08 (91) 2019г. Выпуск №07 (90) 2019г. Выпуск №06 (89) 2019г. Выпуск №05 (88) 2019г. Выпуск №04 (87) 2019г. Выпуск №03 (86) 2019г. Выпуск №02 (85) 2019г. Выпуск №01 (84) 2019г.
Вакансии на сайте Jooble

           

Tel.: (499) 277-12-41  Fax: (499) 277-12-45  E-mail: sa@samag.ru

 

Copyright © Системный администратор

  Яндекс.Метрика