Вопросы внедрения аутентификации SecurID

Published on Февраль 2, 2009 by   ·   Комментариев нет

Аутентификация сетевых пользователей с помощью имени и пароля является самым простым и самым дешевым (а потому и самым популярным) методом аутентификации. Однако, многие компании уже поняли слабости данного способа. Пароли могут быть угаданы или взломаны методом подбора по словарю или более изощренными способами, такими как таблицы «rainbow tables» программы RainbowCrack. К тому же пользователей могут заставить выдать пароль угрозами, обольщением или обманом. Такие методы, называемые социотехникой, становятся большой проблемой для компаний всех размеров.

Одним из способов пресечь попытки применения социотехники и уменьшить другие риски, связанные с паролями, является внедрение одной из форм двойной аутентификации. Если пользователи будут обязаны не только набрать пароль или персональный идентификационный номер, но и предоставить еще что-либо дополнительно, как то карточка, жетон, отпечаток пальца или радужной оболочки глаза и т.д., то получение пароля не будет достаточным условием для проникновения в сеть с помощью взлома или социотехники.

Существует две базовых категорий «вторичных факторов»: устройства, которые пользователи постоянно носят с собой, и биометрические характеристики. В данной статье мы рассмотрим, как внедрить одну из форм первой категории, а именно карты и устройства SecurID от компании RSA.

Преимущества устройств аутентификации

Устройства аутентификации, или аутетификаторы, поставляются в нескольких видах:

  • Смарт-карты размером с кредитную карту, на которых в цифровом виде хранятся учетные данные пользователя.
  • Аппаратные ключи, похожие на устройства “thumb drives”, которые можно носить на связке ключей и подключать к USB-порту компьютера.
  • Программные ключи (цифровые учетные данные), которые хранятся на переносных устройствах, таких как смартфоны, устройства Blackberry или портативный компьютер /PDA.

Каждый вид имеет свои достоинства и недостатки. Смарт-карты можно носить в бумажнике, но, учитывая количество других карт, таких как пропуска, кредитные и банковские карты, карты страхования и т.п., бумажник очень скоро будет переполнен. Аппаратные ключи можно носить в кармане или на связке ключей, но их также легко потерять, а связка ключей будет переполнена больше, чем бумажник. Те, кто использует смартфоны или PDA, сочтут самым удобным решение хранить данные аутентификации на них, но ошибки в работе этих устройств (даже обычный разряд батареи) могут сделать невозможным вход этих пользователей в сеть.

Ценовые факторы тоже разнятся. Для использования смарт-карт вам придется устанавливать на систему устройство чтения карт, к тому же за сами карты также приходится платить. Аппаратные ключи эффективны по затратам, поскольку они подключаются напрямую к USB-порту. Однако на старых системах USB-порта может и не быть, или же USB-порты могут быть заблокированы по причинам безопасности для запрещения использования пользователями USB-устройств. Естественно, сматрфоны и PDA стоят дороже карт и аппаратных ключей, но если пользователи уже используют их для собственных нужд, это может быть самым оптимальным по затратам (и самым удобным) способом внедрения двойной аутентификации.

Как работает RSA SecurID

Известная компания RSA (названная в честь популярного алгоритма шифрования по схеме открытого ключа RSA, на который компания имеет патент) предоставляет аутентификаторы SecurID во всех трех формах. Вот как это работает:

  1. Аутентификатор SecurID имеет уникальный ключ (симметричный или «секретный» ключ).
  2. В ключ встроен алгоритм, который генерирует код. Новый код создается каждые 60 секунд.
  3. Для входа в систему пользователь использует этот код и личный номер (PIN), который знает только он.

Компоненты системы SecurID:

  • Аутентификаторы
  • Программа Authentication Manager, которая устанавливается на сервер или другое устройство, и в которую сходит база данных, средства администрирования и отчетов.
  • Программа Authentication Agent, которая установлена на серверы удаленного доступа, брандмауэры, VPN-серверы, Web-серверы и другие защищаемые ресурсы для перехватывания запросов доступа и переадресации их на программу Authentication Manager
  • Программа RSA Card Manager используется для предоставления отдельных смарт-карт и большого их количества, а также для поддержки запросов самообслуживания для разблокирования карт, обновления сертификатов и запросов временных учетных данных в случае потери карт.

По заявлению компании RSA, SecurID поддерживают порядка двухсот продуктов, таких как брандмауэры, VPN-шлюзы, точки доступа беспроводной сети, серверы удаленного доступа и web-серверы. Небольшие и средние организации могут приобрести устройства SecurID с уже установленной программой Authentication Manager, которая поддерживает от 10 до 250 пользователей. Агенты аутентификации доступны для следующих систем:

  • Microsoft Windows • Службы Internet Information Services (IIS)
  • UNIX/Linux
  • Web-сервер Apache
  • Sun Java
  • Matrix
  • Служба Novell Modular Authentication Service (NMAS)

SecurID в организации

На уровне организации пароли являются большой проблемой, поскольку часто пользователям приходится помнить несколько паролей. Это создает неудобства, и может стать проблемой безопасности, поскольку пользователи начинают записывать пароли для того, чтобы не забыть их все.

Программа управления паролями Sign-On Manager от RSA позволяет использовать один пароль, поэтому пользователи имеют доступ к нескольким приложениям без необходимости каждый раз вводить новый пароль. Программа объединена со смарт-картами и ключами SecurID. Также она позволяет пользователям изменять свои пароли для системы Windows. Программа Sign-On Manager работает на системах Windows 2000 и XP (клиентская часть). Серверная часть работает на системе Windows Server 2003 с пакетом обновлений SP1. Серверу требуется связь с Active Directory/ADAM, Novell eDirectory или Sun Java System Directory Server.

Работа SecurID на ISA Server 2004

ISA Server 2004 поддерживает программный интерфейс приложений SecurID, поэтому для добавления поддержки аутентификации RSA EAP вы можете установить программу RSA Authentication Agent. На сервере должен быть установлен пакет обновлений ISA-сервера Service Pack 1.

Для внедрения SecurID для защиты web-сайтов, опубликованных на ISA-сервере, выполните следующее:

  1. Добавьте запись узла агента в программу RSA Authentication Manager для идентификации ISA-сервера в базе данных программы Authentication Manager. Это позволить ISA-серверу общаться с программой Authentication Manager. Настройте ISA-сервер в качестве агента Net OS и в запись узла агента включите следующую информацию: имя узла, IP-адреса всех сетевых адаптеров, ключ RADIUS (если вы используете аутентификацию RADIUS).
  2. Настройте web-приемники ISA-сервера:
    — Убедитесь, что ISA-сервер и сервер или устройство с программой Authentication Manager могут соединяться с помощью утилиты проверки аутентификации RSA, которая находится в папке Tools на установочном диске ISA-сервера. Cкопируйте эту утилиту в папку, где установлен ISA-сервер.
    — Скопируйте файл sdconf.rec с сервера с программой Authentication Manager в папку System32 на ISA-сервере.
    — Запустите программу sdtest.exe, введя в командной строке: %Путь к папке установки ISA-сервера %\sdtest.exe
  3. В консоли управления ISA-сервером включите web-фильтр SecurID:
    — В узле вашего ISA-сервера правой кнопкой щелкните по пункту Firewall Policy (Политика брандмауэра) и выберите Edit System Policy (Редактировать системную политику).
    — В левой панели редактора системной политики Configuration Groups (Группы конфигурации) в папке Authentication Services (Службы аутентификации) нажмите RSA SecurID и отметьте на вкладке General (Общие) пункт Enable (Включить). Для сохранения изменений нажмите OK.
    — Не забудьте нажать кнопку Apply (Применить) на панели инструментов ISA-сервера, чтобы изменения настроек вступили в силу. Перезапустите ISA-сервер.
  4. Настройте правило web-публикации для аутентификации RSA SecurID:
    — В консоли управления ISA-сервером щелкните по пункту Firewall Policy (Политика брандмауэра), далее на панели списка задач нажмите Create New Server Publishing Rule (Создать новое правило публикации сервера). — Введите имя правила.
    — На странице Select Rule Action (Выбор действия по правилу) нажмите кнопку Allow (Разрешить).
    — На странице Select Web Site to Publish (Выберите web-сайт для публикации) введите имя компьютера или IP-адрес, а также папку, которую вы хотите опубликовать.
    — На странице Select Public Domain Name (Выбор имени домена) введите имя домена или IP-адрес web-сайта, который вы хотите опубликовать.
  5. Выберите web-приемник для прослушивания web-трафика:
    — На странице Select Web Listener (Выбор web-приемника) нажмите Edit (Изменить).
    — На вкладке Networks (Сети) отметьте все сети, к которым вы хотите привязать web-приемник.
    — На вкладке Preferences (Предпочтения) нажмите Authentication (Аутентификация).
    — На странице Authentication (Аутентификация) в списке методов аутентификации отметьте параметр SecurID. Отметьте пункт Ask Unauthenticated Users for Identification (Запрашивать идентификацию неаутентифицированных пользователей). Для применения изменений нажмите OK.
  6. Теперь в мастере правила web-публикации в списке Listener Properties (Свойства приемника) показана опция SecurID.
  7. Чтобы брандмауэр применял правило ко всем, кто пытается зайти на этот web-ресурс, к установкам пользователей правила добавьте All Users (Все пользователи).
  8. Для сохранения нового правила нажмите Finish (Завершить). Не забудьте снова нажать Apply (Применить) на панели инструментов ISA-сервера, чтобы сохранить новое правило в настройках сервера.

Резюме

Технология SecurID компании RSA используется для уменьшения рисков, связанных с безопасностью, которые могут быть результатом взлома пароля или социотехники. В данном случае использует двойная аутентификации для входа в Windows, доступа к web-ресурсам через брандмауэр, использование VPN и т.д. Смарт-карты и устройства RSA, известные своей безупречной репутацией и повсеместным взаимодействием, являются одним из лучших вариантов внедрения в вашей сети сложной.

Источник www.windowsecurity.com
















Смотрите также:

Tags: , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)



Информация профилактика остеохондроза позвоночника здесь.

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]