апрель    2024

Пн	Вт	Ср	Чт	Пт	Сб	Вс
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30

показать все 

22.04.2024

Сообщество цифровых управленцев «я-ИТ-ы» проводит ЗАКРЫТУЮ встречу в рамках выставки «Связь-2024»!

Читать далее 

18.04.2024

Ассоциация разработчиков «Отечественный софт» отметила 15-летие

Читать далее 

17.04.2024

РДТЕХ представил Технологическую карту российского ПО 2023

Читать далее 

16.04.2024

RAMAX Group получила партнерский статус уровня Gold по продукту Tarantool

Читать далее 

показать все 

18.04.2024

5 способов повысить безопасность электронной подписи

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

Читать далее 

18.04.2024

Скоро некому будет делать сайты и заниматься версткой

Читать далее 

18.04.2024

Цифровая трансформация в энергетике: как запустить проект с максимальным финансовым эффектом?

Читать далее 

05.04.2024

Мотивируй, не то проиграешь!

Читать далее 

22.03.2024

В 2024 году в России и мире вырастут объемы применения AR/VR 

Читать далее 

25.02.2024

Цифровые технологии: надежды и риски

Читать далее 

05.02.2024

Будут ли востребованы услуги технической поддержки софта Oracle в России в ближайшие годы?  

Читать далее 

31.01.2024

Здания с признаками интеллекта. Как Сергей Провалихин автоматизирует дома и производства

Читать далее 

показать все 

Главная / Архив номеров / 2012 / Выпуск №5 (23) / Active Directory Domain Services. Выбор средств двухфакторной аутентификации

Рубрика: Технологии

Леонид Шапиро, архитектор ИТ-систем, преподаватель ЦКО «Специалист» при МГТУ им. Баумана. MVP, MCT, MCSE:S, MCSE:M, MCITP EA, TMS Certified Trainer

Active Directory Domain Services
Выбор средств двухфакторной аутентификации

Построения двухфакторной аутентификации в корпоративной среде – ответственная задача. На что следует обратить внимание, чтобы реализовать адекватное потребностям рынка решение?

В «Системном администраторе», а также в других изданиях, посвященных ИТ-технологиям и вопросам информационной безопасности, неоднократно упоминалось о принципиальной ненадежности парольной аутентификации, а также крайней нежелательности использования запоминаемых паролей. Это особенно актуально в эпоху облачной эры, на пороге которой мы находимся. Вероятность компрометации конфиденциальной информации будет только возрастать.

Разумным решением станет переход к более надежным методам доступа, а именно к двухфакторной аутентификации, причем вариантов технологических решений, как мы имели возможность убедиться в предыдущих материалах, множество. Здесь мы говорим и о технологиях асимметричной криптографии, о биометрическом доступе, использовании одноразовых паролей и т.д.

На что же следует обратить внимание при выборе варианта двухфакторной аутентификации при многообразии вендоров, которые существуют сегодня на рынке ИБ? Разумеется, я не буду рекомендовать конкретного поставщика решений.

Целью этой статьи является сделать обзор необходимого корпоративному заказчику набора технологий, базируясь на которых можно выбрать конкретное решение для реализации в рамках службы каталога Active Directory. Рассмотрим аутентификацию на основе смарт-карт и USB-ключей.

Современный подход к работе

Требования к технологиям для потребителей и бизнеса меняются коренным образом. Каждому человеку хочется иметь несколько устройств для работы и жизни, и у каждого свои предпочтения.

В современных условиях нам часто приходится перемещаться, и место работы не должно оказывать влияние на ее эффективность. Наличие возможности работы из любой точки мира, где есть доступ к сети Интернет, воспринимается как само собой разумеющееся. Нетрудно заметить, что основной потребностью пользователей становится возможность мобильной и безопасной работы, независимо от месторасположения и используемого клиентского устройства. И неважно, что это будет: персональный компьютер на базе ОС Windows или MAC OS, планшет или смартфон. Все это представляет существенные сложности для ИТ-служб.

Как обеспечить безопасный доступ со всех этих устройств? Разумеется, самым простым способом будет использование обычных паролей, однако это приводит к слишком серьезным рискам с точки зрения информационной безопасности.

Парольная аутентификация потенциально уязвима ввиду использования социотехники, внедрения клавиатурных шпионов, возможности перехвата и других подобных методик взлома.

Вероятность возникновения подобных событий чрезвычайно высока, особенно в свете консьюмеризации, потребности сотрудников использовать разные типы устройств для доступа к корпоративной сети.

Следовательно, такой вариант в зрелых компаниях не рассматривается, и речь может идти только о двухфакторной аутентификации.

Выбирая поставщика оборудования, стоит быть особенно внимательным к некоторым важным деталям.

Очевидно, что наиболее «правильным» с точки зрения ИБ будет применение асимметричной криптографии, что, собственно говоря, реализовано у любого поставщика. Связка смарт-карт, технологии Kerberos PKINIT, доступной нам еще с Windows Server 2000, и инфраструктуры открытых ключей, например, Microsoft PKI, предоставляет нам на первый взгляд весь необходимый для реализации безопасной аутентификации функционал (в статье не идет речь об особенностях криптоалгоритмов, их надежности и т.д. Здесь мы рассматриваем выбор только на основе форм фактора устройств).

Однако физическое подключение смарт-карты или USB-ключа не всегда возможно, например, если мы используем планшет или смартфон. Тогда реализация безопасной аутентификации посредством асимметричной криптографии становится проблематичной.

Конечно, мы можем установить цифровой сертификат открытого ключа непосредственно на устройство, однако такой вариант не является достаточно надежным в связи с понятными рисками.

Следовательно, для такой ситуации имеет смысл рассмотреть технологию одноразовых паролей, о которой шла речь в статьях [1, 2]. При этом весьма желательно обладать возможностью использования не только аппаратного устройства (OTP-токена), но и временного использования программного OTP, например, в ситуации утери или кражи. Некоторые производители предлагают комбинированное устройство, сочетающее в себе как функционал смарт-карты, так и OTP.

Возможность сочетания разных типов аутентификации оказывается довольно удобной, когда мы предполагаем, что доступ может осуществляться как со стационарного или мобильного компьютера, так и с планшета или смартфона.

Следует иметь в виду, что реализация доступа по смарт-картам и USB-ключам – встроенная возможность, реализуемая Active Directory и Microsoft PKI, тогда как внедрение OTP может потребовать дополнительных программных модулей.

Итак, выбирая средство двухфакторной аутентификации (смарт-карту, токен и т.д.), стоит обратить внимание на то, с какими устройствами будет работать пользователь. Наличие в номенклатуре средств аутентификации комбинированных устройств – немаловажный фактор, который имеет смысл учитывать.

Что требуется администратору безопасности?

Внедрение смарт-карт и USB-ключей нередко тормозится проблемами, связанными с управляемостью решения. Если вопросы традиционного управления учетными записями пользователей легко решаются встроенными средствами службы каталога, то для аппаратных устройств все оказывается не так просто.

В составе MS PKI у нас есть все необходимые средства управления жизненным циклом сертификатов, однако это не может быть потенциальной заменой комплексов управления жизненным циклом устройств хотя бы потому, что не решаются вопросы, связанные с управлением OTP-устройствами.

Какие же задачи приходится решать администратору безопасности или другому ответственному сотруднику?

1. При вводе ключей в эксплуатацию необходимо для каждого токена задать пароль администратора, PIN-код пользователя и загрузить в его память все требуемые данные (ключи, сертификаты и т.п.). Кроме того, нужно внести изменения в базу данных пользователей, поставив в соответствие каждому определенное устройство или устройства.
2. В процессе использования токена сотрудниками администратору безопасности придется многократно менять уровни доступа, разрешая или запрещая им те или иные действия.
3. В ситуации кражи или утери токена, необходимо иметь возможность его немедленной блокировки с тем, чтобы не позволить злоумышленнику им воспользоваться.
4. В случае рассинхронизации OTP, необходимо иметь возможность исправить ситуацию.
5. Если пользователь забыл свой ПИН-код, требуется обеспечить возможность, на основе технологий запрос-ответ, его смены.
6. Если пользователю требуется срочный доступ, а аппаратный токен выдать невозможно, то потребуется сформировать токен программный.

Здесь приведен далеко не полный список задач, которые могут появиться, однако даже этой малой части вполне достаточно, чтобы понять, что работы предстоит много.

На первый взгляд может показаться, что все эти задачи могут быть решены в рамках AD и специальный инструментарий не потребуется. Тем не менее это не так.

Если мы говорим о компании среднего размера или крупной, то возникает существенный рост нагрузки на ИБ или ИТ-службу, поскольку ответственному лицу придется «вручную» корректировать записи в AD, системе VPN, правилах доступа к внутреннему порталу, в базе данных каталога каждого отдельного приложения (если таковые имеются), отзывать все выданные сотруднику сертификаты, убирать полномочия по расшифровыванию данных и подписи документов.

Этот список можно продолжать еще долго. Очевидно, что внесение необходимых изменений требует времени и существенного внимания. Стоит только администратору ИБ забыть о каком-то элементе информационной системы и не отключить к ней доступ, как появляется уязвимость, которой может воспользоваться злоумышленник. Следовательно, необходимо внедрение комплекса автоматизации процесса управления жизненным циклом средств аутентификации. Наличие подобной системы у поставщика средств аутентификации крайне важно и позволит избежать множества проблем.

Что важно для компании?

Еще один чрезвычайно важный аспект при выборе поставщика решения – наличие в его оборудовании поддержки российской криптографии. Большинству компаний, работающих на территории РФ, необходимо соблюдать требования регуляторов с точки зрения использования криптоалгоритмов. Таким образом, мы получаем третий критерий для выбора поставщика.

***

Итак, подведем итоги. При выборе поставщика средств двухфакторной аутентификации следует рассматривать те компании, которые предлагают широкую линейку устройств, позволяющих работать с разным клиентским оборудованием, тесно интегрированы с современными службами каталогов, поддерживают асимметричную криптографию, работают с российскими криптоалгоритмами и, наконец, предлагают систему управления жизненным циклом всего спектра поставляемых смарт-карт и токенов.

1. Шапиро Л. Аутентификация и одноразовые пароли. Теоретические основы. Часть 1. // «Системный администратор», № 9, 2012 г.
2. Шапиро Л. Аутентификация и одноразовые пароли. Часть 2. Внедрение OTP для аутентификации в AD. //«Системный администратор» № 10, 2012 г.
3. Аутентификация, теория и практика обеспечения безопасного доступа к информационным ресурсам. – М., 2009, ISBN 978-5-9912-0110-0.

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи