Сегодня в компаниях становится все больше сотрудников, которые работают не в офисе, а удаленно: у заказчика, дома, у партнеров или в разъездах. Но им, как и пользователям, работающим в офисе, бывает нужно получать доступ к корпоративным базам данных и приложениям, в которых может содержаться важная для предприятий конфиденциальная информация. Допускать к ней посторонних может быть опасно. Даже создание «секретных» страничек на сайтах с полезной информацией для сотрудников рискованно — поисковые роботы могут до них добраться. Поэтому компаниям приходится организовывать аутентификацию своих пользователей: поисковые роботы избегают страниц, для доступа на которые требуется аутентификация.
Проблемы аутентификации
Аутентификация по имени и паролю также не всегда безопасна — пароли перехватываются с помощью троянских программ или могут быть просто подобраны. К тому же пароли нужно регулярно менять, чтобы минимизировать последствия компрометации пароля. А если хакеры, подобрав пароль, заблокировали доступ к системе и корпоративным ресурсам? Словом, надежность простых паролей в современных условиях уже недостаточна для сохранения персональных и корпоративных секретов, хотя их вполне можно применять для регистрации пользователей корпоративного сайта — пароль все еще остается самым дешевым способом аутентификации. А саму парольную систему можно усилить с помощью мобильного телефона.
Сейчас мобильный телефон есть практически у каждого. В России все мобильные контракты заключаются с конкретным человеком — в базе оператора сохраняются его паспортные данные. И хотя нередко телефон записан на одного человека, а пользуется им другой, скорее всего, он делает это постоянно. Когда операторы стали восстанавливать SIM-карты абонентов, номер телефона перестал пропадать в случае потери аппарата, а пользователь при желании может восстановить номер.
Все эти вновь открывшиеся возможности мобильной связи можно применять для решения проблем аутентификации — достаточно задействовать мобильный телефон для доставки паролей доступа. В этом случае пароли можно сделать одноразовыми и привязанными к номеру мобильного телефона, то есть к конкретному человеку. Такую технологию можно использовать как для постоянной аутентификации в системе удаленного доступа, так и в случае аварийной ситуации или для восстановления забытого, утерянного или «украденного» пароля для его обнуления и смены. Мобильный телефон также можно использовать для обмена зашифрованными сообщениями. В этом случае устройство служит для передачи ключей декодирования. При этом можно не задействовать сложные системы PKI и сертификаты.
Например, все перечисленные функции позволяет реализовать набор продуктов компании SecurEnvoy (см. экран 1) — надежная аутентификация во время чрезвычайных ситуаций может быть выполнена с помощью продукта SecurICE, восстановление паролей через мобильный телефон можно организовать посредством SecurPassword, для постоянной аутентификации с помощью одноразовых паролей предназначен SecurAccess, а для передачи защищенных сообщений можно воспользоваться продуктом SecurMail. Все они построены на основе базовой платформы аутентификации, поэтому логично вначале описать ее.
Экран 1. Окно локального администрирования SecurEnvoy |
Платформа аутентификации по SMS
Базовые функции аутентификации с помощью SMS выполняет серверный продукт, который клиент может установить в своей корпоративной сети. Этот сервер организует взаимодействие с SMS-шлюзами операторов, через которые рассылаются сообщения с одноразовыми паролями. Кроме того, он обеспечивает собственно аутентификацию, то есть проверяет соответствие между именем пользователя и высланными ему паролями. Для этого используется протокол RADIUS. Также для получения учетной информации о пользователях применяется протокол LDAP, с помощью которого сервер может взаимодействовать с доменами Active Directory, Novell e-Directory, Sun LDAP и даже с реализацией openLDAP для Linux. Причем сам сервер устанавливается в виртуальную среду VMware или Hyper-V, то есть может не иметь определенного места и перемещаться по корпоративной сети или даже за ее пределами.
Конечно, последнее не рекомендуется, поскольку данный сервер нужно хорошо защитить — от этого зависит надежность всей системы аутентификации. Если злоумышленнику удалось получить контроль над сервером аутентификации, он сможет входить в систему под чужим именем. Поэтому желательно сделать все возможное для усложнения взлома виртуальной машины или ее перемещения за пределы контролируемой зоны.
С другой стороны, от надежности работы программного обеспечения зависит возможность пользователей регистрироваться в системе, а она будет потеряна в случае выхода сервера из строя. Поэтому необходимо иметь под рукой резервную копию виртуальной машины, которая обработает запросы на аутентификацию в случае, если первый экземпляр выйдет из строя. Баланс между безопасностью и надежностью и определяет тот набор средств защиты и резервирования, который необходимо предусмотреть для сервера аутентификации, а скорее даже для службы аутентификации, поскольку в полностью развернутой системе пользователь может и не знать, какой именно экземпляр сервера провел процедуру аутентификации. На основе данного базового сервера безопасности работает несколько продуктов, каждый из которых может найти свое место в инфраструктуре компании. Рассмотрим их более подробно.
SecurePassword
Данный модуль дает пользователям возможность обновить пароль (экран 2). Для этого достаточно, чтобы пользователь системы ввел в момент регистрации не только свои учетные данные, но и номер мобильного телефона. Если свой старый пароль пользователь забыл или он был скомпрометирован, на сайте запускается специальная процедура восстановления пароля, которая инициирует пересылку SMS-сообщения на ранее зарегистрированный мобильный телефон. В сообщении содержится временный пароль, который гарантирует, что процедуру проходит зарегистрированный пользователь с указанным номером телефона. При этом пользователь может сменить временный пароль на любой другой.
Экран 2. Окно SecurePassword |
Пересылку временного пароля можно инициировать и в том случае, если пользователь несколько раз ввел пароль неправильно. Если это был легальный пользователь, то он в результате может успешно пройти процедуру аутентификации. Если же это была попытка подбора пароля, то легальный пользователь автоматически получит предупреждающее сообщение и должен будет сообщить об этом факте администратору системы. Таким образом, продукт можно задействовать не только для восстановления пароля, но и как средство защиты от атаки методом подбора пароля.
Следует отметить, что применять подобную систему удобнее не для регистрации собственных сотрудников компании, а для сторонних пользователей. Пароли являются не самым надежным, но самым дешевым средством аутентификации, поэтому когда предполагается, что пользователей будут тысячи, лучше использовать обычные пароли с возможностью их обнуления по мобильному телефону — именно для этого предназначен продукт SecurPassword.
SecurAccess
Для идентификации собственных сотрудников больше подойдет модуль SecurAccess, который позволяет организовать аутентификацию по одноразовым паролям. В этом случае все вводимые пользователем пароли новые — их присылает сервер аутентификации в сообщении SMS. При этом в одном сообщении может быть указано несколько паролей — это необходимо, чтобы пользователь смог получить доступ даже в том месте, где сотовая связь недоступна. Впрочем, можно задействовать сессионные или временные ключи, которыми можно пользоваться несколько раз.
Этот способ аутентификации более надежный, но и более дорогой, поскольку сервер рассылает больше сообщений. Фактически он каждый раз проверяет соответствие между пользователем и номером его телефона. Этот метод аутентификации лучше применять для относительно небольшого числа пользователей — до нескольких сотен. В основном этот продукт можно использовать для аутентификации сотрудников или особо доверенных партнеров для доступа к конфиденциальной информации компании.
SecurICE
В некоторых случаях все-таки стоит задействовать аппаратные устройства аутентификации — это может быть указано в требованиях безопасности или в том случае, когда система с аппаратными ключами, или токенами, уже была развернута. Для надежной аутентификации также могут использоваться сертификаты. Однако эти системы достаточно сложны и также могут выходить из строя. Например, что делать, если аппаратный идентификатор потерян или корневой сертификат дискредитирован. В этом случае система становится беззащитной, чем могут воспользоваться злоумышленники. Они же могут и спровоцировать такую ситуацию для проникновения внутрь системы.
Чтобы защититься от подобных активных методов нападения, компании стоит предусмотреть надежный метод аутентификации на время восстановления штатной работы системы защиты. В этом случае также может помочь аутентификация по мобильному телефону. В частности, именно для этих целей компания SecurEnvoy предлагает продукт SecurICE. Его активирует системный администратор в случае аварийной ситуации со штатной системой аутентификации. Сервер безопасности рассылает всем пользователям, пострадавшим от сбоя, одноразовые пароли для временного доступа. В результате система не полностью теряет защиту, но переходит в другой режим безопасности, узнать о котором заранее злоумышленники не могут.
Этот продукт пригодится тем компаниям, у которых есть развернутая система надежной аутентификации. Поскольку она стоит достаточно дорого, пользуются ею обычно наиболее важные сотрудники — системные администраторы и руководство. Именно для них и стоит предусмотреть надежную аутентификацию на случай аварийной ситуации, чтобы нападающие не могли ею воспользоваться.
SecurMail
Безопасные системы передачи сообщений существуют достаточно давно, однако для них всегда актуальна проблема передачи ключа дешифрования новому пользователю. Для этого приходится использовать схемы распределения ключей через сертификаты или общие секреты. Однако лучше доставлять ключи дешифрования на мобильный телефон. При этом также можно задействовать платформу безопасной аутентификации, разработанную компанией SecurEnvoy. Именно этим и занимается продукт SecurMail, который обеспечивает шифрование сообщений и рассылку паролей для их дешифрования на мобильный телефон. Правда, для шифрования и дешифрования сообщений потребуется установка специального программного компонента. Подобное программное решение может пригодиться практически любой компании для защиты внутренней переписки, а также общения с наиболее важными контрагентами.
Заключение
Компания SecuiEnvoy разработала удобную технологическую платформу для более надежной аутентификации с использованием мобильного телефона. При этом в любой организации могут пригодиться практически все продукты на базе этой платформы. Так, SecurPassword можно использовать для смены и восстановления пароля посетителей сайта, SecurAcces — для организации доступа своих сотрудников, а SecurICE — для поддержки системы надежной аутентификации, которая должна быть развернута для защиты наиболее важных пользователей — руководства или системных администраторов. А безопасный обмен шифрованными сообщениями с помощью SecurMail может пригодиться любым компаниям для защиты наиболее важной почтовой переписки. Скачать бесплатную пробную 30-дневную версию продуктов можно на сайте официального дистрибьютора в России, компании TopSecurity www.tsecure.ru.
Виталий Иванов — эксперт по информационной безопасности