Главная Security, Без рубрики, Новое Active Directory Domain Services: Выбор средств двухфакторной аутентификации
  • Active Directory Domain Services: Выбор средств двухфакторной аутентификации

    Технология двухфакторной аутентификации RSA SecurID — теперь и для платформы AndroidПостроения двухфакторной аутентификации в корпоративной среде – ответственная задача. На что следует обратить внимание, чтобы реализовать адекватное потребностям рынка решение? В «Системном администраторе», а также в других изданиях, посвященных ИТ-технологиям и вопросам информационной безопасности, неоднократно упоминалось о принципиальной ненадежности парольной аутентификации, а также крайней нежелательности использования запоминаемых паролей. Это особенно актуально в эпоху облачной эры, на пороге которой мы находимся. Вероятность компрометации конфиденциальной информации будет только возрастать.

    Разумным решением станет переход к более надежным методам доступа, а именно к двухфакторной аутентификации, причем вариантов технологических решений, как мы имели возможность убедиться в предыдущих материалах, множество. Здесь мы говорим и о технологиях асимметричной криптографии, о биометрическом доступе, использовании одноразовых паролей и т.д.

    На что же следует обратить внимание при выборе варианта двухфакторной аутентификации при многообразии вендоров, которые существуют сегодня на рынке ИБ? Разумеется, я не буду рекомендовать конкретного поставщика решений.

    Целью этой статьи является сделать обзор необходимого корпоративному заказчику набора технологий, базируясь на которых можно выбрать конкретное решение для реализации в рамках службы каталога Active Directory. Рассмотрим аутентификацию на основе смарт-карт и USB-ключей.

     

    Современный подход к работе

    Требования к технологиям для потребителей и бизнеса меняются коренным образом. Каждому человеку хочется иметь несколько устройств для работы и жизни, и у каждого свои предпочтения.

    В современных условиях нам часто приходится перемещаться, и место работы не должно оказывать влияние на ее эффективность. Наличие возможности работы из любой точки мира, где есть доступ к сети Интернет, воспринимается как само собой разумеющееся. Нетрудно заметить, что основной потребностью пользователей становится возможность мобильной и безопасной работы, независимо от месторасположения и используемого клиентского устройства. И неважно, что это будет: персональный компьютер на базе ОС Windows или MAC OS, планшет или смартфон. Все это представляет существенные сложности для ИТ-служб.

    Как обеспечить безопасный доступ со всех этих устройств? Разумеется, самым простым способом будет использование обычных паролей, однако это приводит к слишком серьезным рискам с точки зрения информационной безопасности.Парольная аутентификация потенциально уязвима ввиду использования социотехники, внедрения клавиатурных шпионов, возможности перехвата и других подобных методик взлома. Вероятность возникновения подобных событий чрезвычайно высока, особенно в свете консьюмеризации, потребности сотрудников использовать разные типы устройств для доступа к корпоративной сети. Следовательно, такой вариант в зрелых компаниях не рассматривается, и речь может идти только о двухфакторной аутентификации. Выбирая поставщика оборудования, стоит быть особенно внимательным к некоторым важным деталям.

    Очевидно, что наиболее «правильным» с точки зрения ИБ будет применение асимметричной криптографии, что, собственно говоря, реализовано у любого поставщика. Связка смарт-карт, технологии Kerberos PKINIT, доступной нам еще с Windows Server 2000, и инфраструктуры открытых ключей, например, Microsoft PKI, предоставляет нам на первый взгляд весь необходимый для реализации безопасной аутентификации функционал (в статье не идет речь об особенностях криптоалгоритмов, их надежности и т.д. Здесь мы рассматриваем выбор только на основе форм фактора устройств).

    Однако физическое подключение смарт-карты или USB-ключа не всегда возможно, например, если мы используем планшет или смартфон. Тогда реализация безопасной аутентификации посредством асимметричной криптографии становится проблематичной. Конечно, мы можем установить цифровой сертификат открытого ключа непосредственно на устройство, однако такой вариант не является достаточно надежным в связи с понятными рисками.

    Следовательно, для такой ситуации имеет смысл рассмотреть технологию одноразовых паролей, о которой шла речь в статьях [1, 2]. При этом весьма желательно обладать возможностью использования не только аппаратного устройства (OTP-токена), но и временного использования программного OTP, например, в ситуации утери или кражи. Некоторые производители предлагают комбинированное устройство, сочетающее в себе как функционал смарт-карты, так и OTP.

    Возможность сочетания разных типов аутентификации оказывается довольно удобной, когда мы предполагаем, что доступ может осуществляться как со стационарного или мобильного компьютера, так и с планшета или смартфона. Следует иметь в виду, что реализация доступа по смарт-картам и USB-ключам – встроенная возможность, реализуемая Active Directory и Microsoft PKI, тогда как внедрение OTP может потребовать дополнительных программных модулей.

    Итак, выбирая средство двухфакторной аутентификации (смарт-карту, токен и т.д.), стоит обратить внимание на то, с какими устройствами будет работать пользователь. Наличие в номенклатуре средств аутентификации комбинированных устройств – немаловажный фактор, который имеет смысл учитывать.

     

    Что требуется администратору безопасности?

    Внедрение смарт-карт и USB-ключей нередко тормозится проблемами, связанными с управляемостью решения. Если вопросы традиционного управления учетными записями пользователей легко решаются встроенными средствами службы каталога, то для аппаратных устройств все оказывается не так просто.

    В составе MS PKI у нас есть все необходимые средства управления жизненным циклом сертификатов, однако это не может быть потенциальной заменой комплексов управления жизненным циклом устройств хотя бы потому, что не решаются вопросы, связанные с управлением OTP-устройствами.

    Какие же задачи приходится решать администратору безопасности или другому ответственному сотруднику?

    1. При вводе ключей в эксплуатацию необходимо для каждого токена задать пароль администратора, PIN-код пользователя и загрузить в его память все требуемые данные (ключи, сертификаты и т.п.). Кроме того, нужно внести изменения в базу данных пользователей, поставив в соответствие каждому определенное устройство или устройства.

    2. В процессе использования токена сотрудниками администратору безопасности придется многократно менять уровни доступа, разрешая или запрещая им те или иные действия.

    3. В ситуации кражи или утери токена, необходимо иметь возможность его немедленной блокировки с тем, чтобы не позволить злоумышленнику им воспользоваться.

    4. В случае рассинхронизации OTP, необходимо иметь возможность исправить ситуацию.

    5. Если пользователь забыл свой ПИН-код, требуется обеспечить возможность, на основе технологий запрос-ответ, его смены.

    6. Если пользователю требуется срочный доступ, а аппаратный токен выдать невозможно, то потребуется сформировать токен программный.

     

    Здесь приведен далеко не полный список задач, которые могут появиться, однако даже этой малой части вполне достаточно, чтобы понять, что работы предстоит много. На первый взгляд может показаться, что все эти задачи могут быть решены в рамках AD и специальный инструментарий не потребуется. Тем не менее это не так. Если мы говорим о компании среднего размера или крупной, то возникает существенный рост нагрузки на ИБ или ИТ-службу, поскольку ответственному лицу придется «вручную» корректировать записи в AD, системе VPN, правилах доступа к внутреннему порталу, в базе данных каталога каждого отдельного приложения (если таковые имеются), отзывать все выданные сотруднику сертификаты, убирать полномочия по расшифровыванию данных и подписи документов.

    Этот список можно продолжать еще долго. Очевидно, что внесение необходимых изменений требует времени и существенного внимания. Стоит только администратору ИБ забыть о каком-то элементе информационной системы и не отключить к ней доступ, как появляется уязвимость, которой может воспользоваться злоумышленник. Следовательно, необходимо внедрение комплекса автоматизации процесса управления жизненным циклом средств аутентификации. Наличие подобной системы у поставщика средств аутентификации крайне важно и позволит избежать множества проблем.

     

    Что важно для компании?

    Еще один чрезвычайно важный аспект при выборе поставщика решения – наличие в его оборудовании поддержки российской криптографии. Большинству компаний, работающих на территории РФ, необходимо соблюдать требования регуляторов с точки зрения использования криптоалгоритмов. Таким образом, мы получаем третий критерий для выбора поставщика.

    ***

    Итак, подведем итоги. При выборе поставщика средств двухфакторной аутентификации следует рассматривать те компании, которые предлагают широкую линейку устройств, позволяющих работать с разным клиентским оборудованием, тесно интегрированы с современными службами каталогов, поддерживают асимметричную криптографию, работают с российскими криптоалгоритмами и, наконец, предлагают систему управления жизненным циклом всего спектра поставляемых смарт-карт и токенов.

     

    Статья опубликована в журнале «БИТ» № 12 за 2012 год.

    1. Шапиро Л. Аутентификация и одноразовые пароли. Теоретические основы. Часть 1. // «Системный администратор», № 9, 2012 г.

    2. Шапиро Л. Аутентификация и одноразовые пароли. Часть 2. Внедрение OTP для аутентификации в AD. //«Системный администратор» № 10, 2012 г.

    3. Аутентификация, теория и практика обеспечения безопасного доступа к информационным ресурсам. – М., 2009, ISBN 978-5-9912-0110-0.

Комментарии

  1. Я видимо плохо знаю вопрос, мог бы кто-нибудь прокомментировать?

    Аутентификация – это процесс проверки, что представившееся системе лицо, действительно то, за кого себя выдает.

    Далее LSA генерирует Access token и в идеале (все системы повязаны Single SingOn) пользователь больше не вводит идентифицирующую и аутентифицирующую информацию.

    При доступе к ресурсам происходит процесс авторизации, когда механизмы контроля доступа смотрят кто к ним пришел, по предоставленному Access token, и что ему можно, по спискам контроля доступа.

    Почему автор пишет о том, что “поскольку ответственному лицу придется «вручную» корректировать записи в AD, системе VPN, правилах доступа к внутреннему порталу, в базе данных каталога каждого отдельного приложения (если таковые имеются), отзывать все выданные сотруднику сертификаты, убирать полномочия по расшифровыванию данных и подписи документов.” ? Как это относится к процессу управления аутентификационными устройствами? В ACL связь же идет идентификатор – права.

    “2. В процессе использования токена сотрудниками администратору безопасности придется многократно менять уровни доступа, разрешая или запрещая им те или иные действия.”

    Если “менять уровни доступа, разрешая или запрещая..” делается в токене – почему в токене, ACL’ы же находятся возле рессурсов? Если не в токене – то это обычный процесс управления правами, при чем тут токены?

  2. Леонид , просветите в области паролей в AD,недавно видел такую штуку в одной крупной организации ad на 2k8r2 пользователь вводит связку логин-пароль авторизуется подходит администратор вводит связку тот же логин ,но пароль уже другой и так же авторизуется под тем же пользователем. Всякие шутки мистики и прочее ,включая rfid и им подобное исключаю полностью.
    То есть фактически имеем альтернативный пароль к учетке в домене я так понимаю это мастер-пароль для администраторов для работы под учеткой пользователей. Спросить как это работает я просто постеснялся, а теперь вот весь гугл замучал ,но ответа не могу найти. Что это было?!

  3. Семен, насчет Вашего вопроса (1)…
    Дело в том, что у Вас на токене может быть информация для доступа в разные каталоги, т. е. AD по сертификату, AD по паролю, к каким-то БД и приложениям, сайтам, которые не связаны с Вашей AD и т. д. Если Вы не используете систему управления жизненным циклом средств аутентификации, то Вы вынуждены отзывать сертификат, выполнять процедуры блокировки пользователя в системах не связанных в AD и т. п. В этом смысле у Вас возникает много дополнительной работы, и, если что-то будет пропущено, то это скажется на безопасности.
    По поводу вопроса N2… Здесь речь не о доступе к ресурсам системы, а о доступе к функционалу токена и к его данным.

  4. Насколько я понимаю, такой вход противоречит логике работы AD. Я не встречался с такой ситуацией.
    Так что лучше спросить там, где Вы постеснялись 🙂
    Может быть гуру по AD на форуме что-то могут рассказать…

  5. Леонид, спасибо за ответы!

  6. Сфера,гуглите Impersonation
    например http://msdn.microsoft.com/en-us/library/windows/desktop/aa376391(v=vs.85).aspx
    скорей всего это оно или аналог

  7. Simon Dolin меня тоже интересует данный вопрос нашел только
    http://technet.microsoft.com/en-us/library/cc961980.aspx
    подскажите как это работает в домене

  8. Сейчас меня за кидают всяким, но в чем удобство дополнительного носителя, в данном случае OTP токена, мое мнение – это неудобное для пользователя решение, которое уже изначально обречено на провал. Думаю пояснять не стоит, что одним только директивным методом внедрения – успеха не добиться ? Его так же легко, не напрягаюсь могут забыть,потерять, просто оставить в номере (если сотрудник в командировки)

    Не проще ли изначально смотреть на решения ориентированные на смс (телефон) который всегда с собой ? Да риски с телефоном тоже известные, но читая не одну статью и думая самостоятельно, телефон – это то, что у 99% людей извиняюсь за выражение “прилеплено к заднице” – то есть, это изначально снижает риск утери, минимизирует фин затраты на оборудование и управление им и не вызывает отторжение у пользователя, так как он работает знакомым и ПРИВЫЧНЫМ инструментом. А приучили его к этому банки, госуслуги и т.п. вещи.

  9. OTP в качестве отдельного устройства появилось давно, по-крайней мере до того, как мобильный телефон стал использоваться для этой цели. Эти устройства нередко являются комплексными и объединяют в себе сразу несколько функций, например, eToken NG-OTP. http://www.aladdin-rd.ru/catalog/etoken/otp/
    Оно включает в себя не только функции одноразовых паролей, но и функционал стандартной смарт карты.
    Решение ориентированные на использование СМС, разумеется, существуют и активно используется, и вместе с тем не всегда можно на это полагаться, поскольку существует еще передача данных о пароле через сотовые сети, которые находятся все сферы Вашего контроля. Доверять ли такому способу передачи пароля…? Зависит от требований безопасности.
    Риск утери телефона не менее существенен, чем риск утери токена. Токен точно также может быть на одной связке с ключами от автомобиля или квартиры. Работа с токеном, на мой взгляд, не должна вызывать отторжения. Во всяком случае, получить набор цифр для ввода в форме аутентификации здесь никак не сложней, чем при использовании телефона. Кроме того, не придется беспокоиться о разных ОС телефонов, решать проблемы совместимости и т. д., если мы говорим не об использовании СМС сообщения, а о генерации OTP на самом телефоне.

  10. В компании которой я работаю.
    Пришлось развернуть двухфакторную аутентификацию.
    Считаю что в компании где работают 400 сотрудников это не удобно.
    Так как существует человеческий фактор забыл пароль, забыл прокси карту.

  11. Не совсем понятно, что имеется в виду… Человеческий фактор существует где угодно, независимо от размеров компании. Что важней доступность или безопасность? Исходя из этого и выбираем.