Двухфакторная аутентификация в ОС Linux на основе «Рутокен»::БИТ 06.2022
 
                 
Поиск по сайту
 bit.samag.ru     Web
Рассылка Subscribe.ru
подписаться письмом
Вход в систему
 Запомнить меня
Регистрация
Забыли пароль?

Календарь мероприятий
декабрь    2022
Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

показать все 

Новости партнеров

29.11.2022

9 –11  декабря сообщество цифровых управленцев "я-ИТ-ы" проводит масштабное мероприятие, на котором соберутся более 130 ИТ-директоров со всех уголков России. По традиции мероприятие пройдет в отеле Azimut, Переславль-Залесский.

Читать далее 

28.11.2022

Правление РУССОФТ начало работу в новом составе

Читать далее 

23.11.2022

Новая версия российской ОС «Альт Рабочая станция К» 10.1: работа на  ноутбуках-трансформерах и планшетах, защищенный доступ к сайтам государственных информационных систем, поддержка широкого спектра периферийных устройств.

Читать далее 

22.11.2022

Объявлены даты конференции ЦИПР-2023

Читать далее 

показать все 

Статьи

17.11.2022

8 шагов к росту продаж программных продуктов

Читать далее 

16.11.2022

Замене не подлежит?

Читать далее 

18.10.2022

Ваш цифровой профиль

Читать далее 

10.07.2022

Помогут ли ИИ-технологии противостоять санкциям?

Читать далее 

29.04.2022

Можно ли продолжать цифровую трансформацию сегодня?

Читать далее 

13.02.2020

Чат-бот CallShark не требует зарплаты, а работает круглосуточно

Читать далее 

24.12.2019

До встречи в «Пьяном Сомелье»!

Читать далее 

21.12.2019

Искусство как награда Как изготавливали статуэтки для премии IT Stars им. Георгия Генса в сфере инноваций

Читать далее 

04.12.2019

ЛАНИТ учредил премию IT Stars памяти основателя компании Георгия Генса

Читать далее 

04.06.2019

Маркетолог: привлекать, продавать, продвигать?

Читать далее 

показать все 

Двухфакторная аутентификация в ОС Linux на основе «Рутокен»

Главная / Архив номеров / 2022 / Выпуск №06 (119) / Двухфакторная аутентификация в ОС Linux на основе «Рутокен»

Рубрика: Безопасность


Андрей Игнатовменеджер по продуктам Компании «Актив»


Двухфакторная аутентификация

в ОС Linux на основе «Рутокен»

Внедрение технологии двухфакторной аутентификации позволяет предотвратить кражу паролей и последующий несанкционированный доступ злоумышленников к ресурсам организации 

 

Для чего нужна двухфакторная аутентификация? В чем ее смысл?

В подавляющем числе случаев для аутентификации – процедуры проверки подлинности чего-либо – используются пароли. Это удобно, легко, но не так надежно. Проблема паролей в том, что их достаточно легко подсмотреть и перехватить с помощью различных систем, от легальных до нелегальных. Кроме того, люди часто используют одни и те же пароли и для работы, и для личных целей. Злоумышленник, зная ваши логин и пароль, может с ними пройти по всем возможным сервисам, которыми вы пользуетесь. И где-то, скорее всего, ему удастся получить доступ к вашей конфиденциальной информации.

Идентификация – процедура, в результате выполнения которой для субъекта идентификации выявляется его идентификатор, однозначно определяющий этого субъекта в информационной системе.
Аутентификация – процедура проверки подлинности, например, проверка подлинности пользователя путем сравнения введенного им пароля с паролем, сохраненным в базе данных.
Авторизация – предоставление определенному лицу или группе лиц прав на выполнение определенных действий.

Трудно понять, что пароль украден, поскольку он нематериален, его копирование невозможно отследить. Пароль – это просто знание, нельзя быть уверенным в том, что этим знанием не обладает кто-то еще. Плохо и то, что вы даже не подозреваете, что злоумышленник знает ваш пароль и пользуется им наравне с вами.

Злоумышленник может очень долго использовать пароль вместе с его законным владельцем. А потом, если что-то случится, обвинят в причиненном вреде владельца пароля. Поэтому пароли в чистом виде – это плохое и ненадежное решение защиты информации, хотя ими все привыкли пользоваться.

Когда-то, в ранних версиях, Linux пароли хранились в открытом доступе. Потом их начали шифровать в хэш. Пришло время сложных паролей, которые сложно запомнить, но по-прежнему легко украсть, потому что люди нередко записывают их и держат в легкодоступном месте, например, наклеивают бумажку с паролем прямо на монитор компьютера. К тому же, средства автоматической кражи паролей значительно усовершенствовались.

Каким образом можно защититься от кражи паролей? С помощью многофакторной аутентификации, когда для того, чтобы получить к чему-либо доступ необходимо, помимо фактора знания, обладать еще неким устройством, которое всегда при вас, либо использовать биометрическую аутентификацию. Защиту обеспечивает фактор физического присутствия либо самого человека, либо устройства, которое невозможно украсть или потерять без ведома владельца.

Есть три основных фактора аутентификации.

Первый – фактор знания. Я знаю пароль или PIN-код. Когда вы используете парольную аутентификацию, то она у вас однофакторная.

Второй – фактор владения. У вас есть некое устройство – смарт-карта, токен или смартфон, позволяющие с этой аутентификацией работать.

Третий фактор аутентификации– сам пользователь. Это биометрия, обладание определенными характеристиками – радужкой глаза, отпечатками пальцев, голосом, группа крови – которые позволяют установить личность человека.

Комбинация двух или трех основных факторов и лежат в основе многофакторной аутентификации.

Существуют также вспомогательные факторы. Например, клавиатурный почерк – информация о том, какой скоростью вы обычно вводите пароль. Или фактор географического положения – учитывается ваше обычное местоположение. Например, доступ предоставляется только из Москвы, и блокируется, если вы пытаетесь получить его, находясь в другом месте. Но эти факторы потому и называются вспомогательными, что не могут однозначно служить для разрешения или запрета аутентификации.

Леонид Кривошеин,
начальник службы обеспечения совместимости «Базальт СПО»:


«Компания «Базальт СПО» уделяет особое внимание надежной аутентификации пользователей в операционных системах семейства «Альт». С каждым годом требования к безопасности работы в среде наших ОС становятся выше. Если раньше эти требования касались лишь отдельных рабочих мест, оснащенных ОС «Альт», то сегодня надежная аутентификация необходима каждому компьютеру. Она входит в перечень обязательных свойств ОС в тендерной документации. Повышенный спрос на надежную аутентификацию связан с тем, что наши заказчики все чаще пользуются цифровыми услугами государственных и коммерческих организаций, а также практикуют дистанционную работу сотрудников.
Наиболее высокий уровень безопасности обеспечивает многофакторная аутентификация. Она реализуется с помощью специализированных физических устройств: токенов, смарт-карт и подобных. Вместе с производителями таких устройств мы ведем регулярную работу по тестированию их совместимости с нашими ОС. Результат – полная работоспособность токенов и смарт-карт в среде ОС «Альт».
Преимущество операционных систем «Альт» состоит в том, что они способны реализовать разные сценарии двухфакторной аутентификации – как локальную, так и в доменах трех типов: SAMBA (альтернатива Windows AD), FreeIPA (домен только для машин с ОС на ядре Linux) и Windows AD (на основе MS Windows Server). Это позволяет обеспечить надежную аутентификацию каждого пользователя в гетерогенной сети с компьютерами на ОС «Альт» и Windows. Такое свойство наших ОС особенно ценно для крупных организаций, которые переводят свои ИТ-инфраструктуры на ОС «Альт» постепенно, в несколько этапов».


Какие проблемы есть у каждого фактора аутентификации?

Пароли – опасны, их можно подсмотреть, украсть, а затем использовать без ведома владельца.

Биометрия балансирует между несколькими полюсами – это скорость распознавания, надежность распознавания и стоимость считывателей. Тут тоже есть свои проблемы. Например, датчики могут работать не совсем корректно. Точность определения может меняться. Считыватели – или очень дорогие, или упрощенные.

К тому же уже известно немало примеров обмана биометрии. К сожалению, сегодня можно подделать любой голос, отпечатки пальцев и обмануть систему. А скомпрометированные данные, например, рисунок радужки, нельзя заменить. Так что биометрия может быть только дополнительным фактором.

И, наконец, устройства. Конечно, любое устройство может быть потеряно или украдено, поэтому очень важно, чтобы оно было надлежащим образом защищено.

Кроме того, устройство должно быть безопасным. Оно не может являться достоверной средой, если заражено вирусом или содержит ошибки в реализации, с помощью которых злоумышленник может войти под правами легального пользователя.


Каким требованиям должна соответствовать правильная двухфакторная аутентификация?

Пароль или PIN-код должен блокировать доступ непосредственно к аппаратному устройству. Что это означает? Например, вы можете осуществлять двухфакторную аутентификацию с помощью приложения-аутентификатора в своем устройстве. Минус этого способа в том, что если устройство потеряется, то злоумышленник, найдя его и определив ваши логин и пароль, сможет ими воспользоваться в преступных целях.

В случае использования токена, PIN-код блокирует доступ к защищенной памяти самого токена. И вы просто не сможете пользоваться устройством, пока не введете этот PIN-код. Это первое.

Второе. Устройство не должно использоваться для других задач кроме хранения критически важных данных и криптографических преобразований. У него не должно быть никакого другого программного обеспечения. Этим токен выгодно отличается от смартфона.

Соответственно, PIN-код в данном случае может быть простым, потому что без устройства он бесполезен. Если же токен все-таки украден, вы  заблокируете его на сервере, и доступ к нему будет запрещен.

Реализация криптографии, если она необходима, на токене должна быть аппаратной, в отличии от смартфона, который реализует программную аутентификацию.

Устройство может быть также использовано для дополнительных задач – электронной подписи, оплаты в столовой или системы контроля и управления доступом (СКУД).

Александр Сабов,
ведущий аналитик департамента развития системных продуктов РЕД СОФТ:


«Операционную систему РЕД ОС используют в федеральных и региональных органах исполнительной власти, в госкорпорациях, в медицинских организациях и в целом на объектах критической информационной инфраструктуры, где обязателен высокий уровень защиты данных от утечек и несанкционированного доступа к системе. Поэтому мы уделяем особое внимание возможности многофакторной аутентификации в РЕД ОС.
РЕД ОС имеет встроенные средства для двухфакторной аутентификации – используется модуль «pam_usb». Аутентификация через pam_usb может работать на любом сервисе, скомпилированном с поддержкой PAM.
Также РЕД ОС совместима со специализированными устройствами доступа, такими как токены, смарт-карты и пр. В частности протестированы на совместимость и активно используются у наших клиентов продукты Компании “Актив” – Рутокен Lite, Рутокен ЭЦП 2.0, Рутокен ЭЦП PKI, смарт-карта Рутокен ЭЦП 2.0, смарт-карта Рутокен ЭЦП 3.0 NFC и др.
Многофакторная аутентификация в РЕД ОС может использоваться как локально,
так и в доменной инфраструктуре на базе Samba DC, FreeIPA и Microsoft Active Directory».


В чем проигрывают токену другие способы реализации фактора владения?

SMS/Puch – это двухэтапная, а не двухфакторная аутентификация. Сначала выполняется аутентификация с помощью логина и пароля, это первый этап, а потом вам приходит SMS/Puch для выполнения второго этапа аутентификации. Недостаток этого способа в том, что злоумышленник может перехватить и SMS, и Puch. К сожалению, банки в работе с физическими лицами часто пользуются несовершенными технологиями. Но юридические лица используют только токены для доступа к своим банковским счетам.

Смартфон – всем хорош, но это недоверенное устройство с непроверенным программным обеспечением, используемое для личных целей.

ОТР – незащищенная технология, там требуется отдельная реализация парольной защиты.

FIDO U2F/ FIDO2 – западная технология, поэтому токены FIDO стоят гораздо дороже, чем токены, которые выпускаются в нашей стране. При этом защита у западных токенов слабее. Например, базовый токен FIDO не позволяет подписывать документы электронной подписью.


Как реализуется двухфакторная аутентификация на основе Рутокен?

Первый фактор – владение физическим токеном линейки Рутокен ЭЦП, который всегда при вас – либо это небольшое устройство, либо смарт-карта.

Второй фактор – это PIN-код, который закрывает доступ к токену.

Вы подключаете токен к компьютеру, вводите PIN-код, он разблокирует доступ к токену, и дальше с помощью ключей ЭЦП, которые присутствуют на токене, и криптографических преобразований выполняется двухфакторная аутентификация.


Что делать, если вы потеряли токен или у вас его украли?

Если токен потерялся, то ничего страшного не произойдет, потому что получить к нему доступ путем подбора PIN-кода практически невозможно. Если количество попыток ввести PIN-код превысит установленный заранее лимит, то токен блокируется, а владелец токена должен обратиться за помощью к администратору.

Если подсмотрен PIN-код, то аутентификация без токена невозможна. Если токен украден, то аутентификация невозможна по нескольким причинам – PIN-код не известен стороннему лицу, при переборе PIN-код блокируется, для разблокировки токена владелец должен связаться с администратором.

Особенно важна двухфакторная аутентификация при удаленной работе, даже больше, чем при работе в офисе. Потому что удаленно может подключиться кто угодно.

Необходимость двухфакторной аутентификации закреплена и на законодательном уровне. Существуют приказы ФСТЭК России №17 и №21, согласно которым требуется двухфакторная аутентификация при защите информации, особенно если вы оперируете персональными данными.


Как реализуется двухфакторная аутентификация в Linux?

В Linux существует подключаемый модуль для выполнения аутентификации – Pluggable Authentication Module или PAM. Базовый PAM реализует аутентификацию с паролями, хранящимися в локальном диске. Но можно создавать и свои PAM. Есть много готовых PAM для разных вариантов двухфакторной аутентификации с помощью токена.

Рассмотрим два варианта реализации двухфакторной аутентификации. Первый – с использованием инфраструктуры открытых ключей (PKI). Второй вариант – с хранением пароля в защищенной памяти токена.

При первом варианте, с использованием инфраструктуры открытых ключей, у пользователя есть два ключа. Один ключ – открытый или публичный для проверки электронной подписи, который доступен всем, кто проверяет подписанные пользователем документы. Второй ключ – частный, закрытый, он имеется только у конкретного человека и хранится в надежном хранилище – токене.

Оба ключа генерируются в паре. Частный – хранится только в токене и не может быть извлечен. Публичный ключ хранится на сервере, обычно в сертификате – электронном документе, который гарантирует подлинность данного открытого ключа.  Пользователи заносятся в специальный каталог. Для каждого пользователя указан его сертификат.


Как работает двухфакторная аутентификация с использованием инфраструктуры открытых ключей?

Пользователь подключает токен к компьютеру, чтобы разблокировать токен вводом PIN-кода. Затем контроллер домена генерирует произвольное число и отправляет его на компьютер. Компьютер преобразовывает код с помощью личного ключа пользователя и криптопроцессора токена и отправляет результат на сервер. Сервер выполняет обратное преобразование с помощью обратного ключа из сертификата пользователя. Если в результате этой комбинации получится исходное число, то только тогда аутентификация пройдена.


Как реализуется двухфакторная аутентификации на основе сертификатов Linux?

Можно использовать хранилище Microsoft Active Directory. К нему ставите бесплатный компонент Microsoft Certification Services в качестве PKI и работаете.

Можно хранить сертификаты на локальном ПК. В этом случае аутентификация происходит внутри компьютера.  Сложность в том, что каждым компьютером нужно управлять отдельно.

Есть также такой контроллер FreeIPA. В качестве PKI для него используется открытое программное обеспечение DogTag.

И, наконец, есть собственные контроллеры и PKI от российских производителей Linux.


Чем отличается второй вариант реализации двухфакторной аутентификации с хранением пароля в защищенной памяти токена от первого?

При выборе этого варианта токен подключается к компьютеру, вводится PIN-код, он разблокирует токен. Дальше генерируется длинный и сложный пароль, который устанавливается для пользователя в операционную систему. Пароль сохраняется на токене.

При аутентификации токен подключается к компьютеру. Пользователь вводит PIN-код и разблокирует токен. PAM извлекает пароль из памяти токена и выполняет аутентификацию.

Конечно, первый вариант с сертификатом надежнее, но можно использовать и второй вариант аутентификации.

Теперь, когда мы разобрали основные варианты аутентификации – с помощью паролей, биометрии и устройств, думаю, что будет легко ответить на вопрос: «Почему же компании необходима двухфакторная аутентификация при защите своих конфиденциальных данных?»

Ответ ясен: внедрение технологии двухфакторной аутентификации позволит предотвратить кражу паролей и последующий несанкционированный доступ злоумышленников к ресурсам организации, а также обеспечит выполнение требований регуляторов в области защиты информационной инфраструктуры предприятия.

Ключевые слова: многофакторная аутентификация, информационная инфраструктура предприятия, токен, операционная система, домен

 


Подпишитесь на журнал
Купите в Интернет-магазине

В начало⇑

 

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи

Выпуск №08 (121) 2022г.
Выпуск №08 (121) 2022г. Выпуск №07 (120) 2022г. Выпуск №06 (119) 2022г. Выпуск №05 (118) 2022г. Выпуск №04 (117) 2022г. Выпуск №03 (116) 2022г. Выпуск №01 (114) 2022г. Выпуск №02 (115) 2022г.
Вакансии на сайте Jooble

           

Tel.: (499) 277-12-41  Fax: (499) 277-12-45  E-mail: sa@samag.ru

 

Copyright © Системный администратор

  Яндекс.Метрика