Authentification à deux facteurs sur le site à l'aide d'un jeton USB. Comment sécuriser l'accès au portail de services?


Les pirates ont eu accès au serveur de messagerie principal de la société internationale Deloitte. Le compte administrateur de ce serveur était protégé par mot de passe uniquement.


Le chercheur autrichien indépendant David Wind a reçu une récompense de 5 000 $ pour avoir détecté des vulnérabilités sur la page de connexion intranet de Google.


91% des entreprises russes cachent des fuites de données.


De telles nouvelles peuvent être trouvées presque tous les jours dans les fils de nouvelles Internet. Il s'agit d'une preuve directe que les services internes de l'entreprise doivent être protégés.


Et plus l'entreprise est grande, plus elle compte d'employés et plus l'infrastructure informatique interne est complexe, plus le problème de fuite d'informations est urgent. Quelles informations intéressent les attaquants et comment les protéger?


Fuite de quelle information pourrait nuire à l'entreprise?


  • informations sur les clients et les transactions;
  • informations techniques sur les produits et savoir-faire;
  • informations sur les partenaires et offres spéciales;
  • données personnelles et comptabilité.

Et si vous comprenez que certaines informations de la liste ci-dessus sont disponibles à partir de n'importe quel segment de votre réseau uniquement en présentant un nom d'utilisateur et un mot de passe, alors vous devriez penser à augmenter le niveau de sécurité des données et à les protéger contre les accès non autorisés.


L'authentification à deux facteurs sur des supports cryptographiques matériels (jetons ou cartes à puce) a acquis une réputation de très fiable et en même temps assez facile à utiliser.


Nous écrivons sur les avantages de l'authentification à deux facteurs dans presque tous les articles. En savoir plus à ce sujet dans les articles sur la protection de votre compte de domaine Windows et de votre messagerie .


Dans cet article, nous vous montrerons comment utiliser l'authentification à deux facteurs pour vous connecter aux portails internes de votre organisation.


À titre d'exemple, nous prendrons le modèle Rutoken le plus approprié pour une utilisation en entreprise - le jeton USB cryptographique Rutoken PKI EDS .




Commençons par la configuration.


Étape 1 - Configuration du serveur


Le fondement de tout serveur est le système d'exploitation. Dans notre cas, il s'agit de Windows Server 2016. Et avec lui et d'autres systèmes d'exploitation de la famille Windows, IIS (Internet Information Services) est distribué.


IIS est un groupe de serveurs Internet, y compris un serveur Web et un serveur FTP. IIS comprend des applications pour créer et gérer des sites Web.


IIS est conçu pour créer des services Web à l'aide de comptes d'utilisateurs fournis par un domaine ou Active Directory. Cela vous permet d'utiliser des bases de données d'utilisateurs existantes.


Dans le premier article, nous avons décrit en détail comment installer et configurer une autorité de certification sur votre serveur. Maintenant, nous ne nous attarderons pas sur cela en détail, mais nous supposerons que tout est déjà configuré. Le certificat HTTPS pour le serveur Web doit être émis correctement. Il vaut mieux le vérifier tout de suite.


Windows Server 2016 intègre la version 10.0 d'IIS.


Si IIS est installé, il reste à le configurer correctement.


Au stade de la sélection des services de rôle, nous avons coché la case Authentification de base .




Ensuite , IIS a activé l' authentification de base .




Et a indiqué le domaine dans lequel se trouve le serveur Web.






Ensuite, nous avons ajouté une liaison de site.




Et choisissez les options SSL.




Ceci termine la configuration du serveur.


Après avoir effectué ces étapes, seul un utilisateur possédant un jeton avec un certificat et un code PIN de jeton peut accéder au site.


Nous rappelons encore une fois que selon le premier article , l'utilisateur a été pré-délivré avec un token avec des clés et un certificat émis selon un modèle de type Utilisateur avec une carte à puce .


Nous allons maintenant configurer l'ordinateur de l'utilisateur. Il doit configurer les navigateurs qu'il utilisera pour se connecter aux sites Web protégés.


Étape 2 - Configuration de votre ordinateur


Par souci de simplicité, supposons que notre utilisateur dispose de Windows 10.


Supposons également qu'il a installé les pilotes Rootoken pour Windows .


L'installation du kit de pilotes est facultative, car la prise en charge des jetons arrivera probablement via Windows Update.


Mais si cela ne s'est pas produit soudainement, l'installation du kit de pilotes Rootoken pour Windows résoudra tous les problèmes.


Connectez le jeton à l'ordinateur de l'utilisateur et ouvrez le Panneau de configuration Rootoken.


Dans l'onglet Certificats , cochez la case en regard du certificat requis, s'il n'en vaut pas la peine.


Ainsi, nous avons vérifié que le jeton fonctionne et contient le certificat nécessaire.




Tous les navigateurs sauf Firefox sont configurés automatiquement.


Surtout avec eux, vous n'avez rien à faire.


Ouvrez maintenant n'importe quel navigateur et entrez l'adresse de la ressource.


Avant le chargement du site, une fenêtre pour choisir un certificat s'ouvre, puis une fenêtre pour entrer le code PIN du jeton.






Si Aktiv ruToken CSP est sélectionné comme fournisseur de cryptographie pour l'appareil par défaut, une autre fenêtre s'ouvrira pour entrer le code PIN.




Et seulement après son entrée réussie dans le navigateur, notre site s'ouvrira.




Pour Firefox, des paramètres supplémentaires doivent être définis.


Dans les paramètres du navigateur, sélectionnez Confidentialité et protection . Dans la section Certificats , cliquez sur Dispositif de protection . La fenêtre Gérer les appareils s'ouvre.


Cliquez sur Télécharger , spécifiez le nom du Rootoken EDS et le chemin C: \ windows \ system32 \ rtpkcs11ecp.dll.




C'est tout, maintenant Firefox sait comment gérer le jeton et vous permet d'accéder au site en l'utilisant.




Soit dit en passant, la connexion par jeton aux sites Web fonctionne également sur les Mac dans Safari, Chrome et Firefox.


Il vous suffit d'installer le module de support du trousseau à partir du site Rutoken et de voir le certificat sur le jeton.




Vous n'avez pas besoin de configurer Safari, Chrome, Yandex et d'autres navigateurs, il vous suffit d'ouvrir le site dans l'un de ces navigateurs.




Le navigateur Firefox est configuré presque de la même manière que sous Windows (Paramètres - Avancé - Certificats - Dispositifs de sécurité). Seul le chemin de la bibliothèque est légèrement différent / Library / Akitv Co / Rutoken ECP / lib / librtpkcs11ecp.dylib.


Conclusions


Nous vous avons montré comment configurer l'authentification à deux facteurs sur les sites à l'aide de jetons cryptographiques. Comme toujours, nous n'avions pas besoin de logiciel supplémentaire pour cela, à l'exception des bibliothèques système Rootoken.


Vous pouvez effectuer cette procédure avec n'importe laquelle de vos ressources internes, et vous pouvez configurer de manière flexible des groupes d'utilisateurs qui auront accès au site, cependant, comme ailleurs dans Windows Server.


Vous utilisez un système d'exploitation différent pour le serveur?


Si vous souhaitez que nous écrivions sur la configuration d'autres systèmes d'exploitation, écrivez-y dans les commentaires de l'article.

Source: https://habr.com/ru/post/fr412809/


All Articles