Cisco Duo, czyli Multi-Factor Authentication
w praktyce 

Jak podaje Verizon w raporcie z 2022 roku, ponad 82% incydentów bezpieczeństwa to incydenty związane z zaniedbaniem po stronie człowieka, związanych choćby z wypłynięciem haseł czy phishingiem. Co więcej, hasła, które zostają wykradzione to hasła o różnej długości i różnym stopniu złożoności. Biorąc pod uwagę skalę i udoskonalane przez atakujących metody, o wypłynięcie nawet mocnego hasła wcale nie jest trudno. A stąd już tylko krok, żeby użyć go w atakach słownikowych. 

Bez względu na to, czy mówimy o wypłynięciu hasła chroniącego dostęp do aplikacji społecznościowych, sklepów internetowych czy do firmowych finansów lub systemów produkcyjnych, skutki mogą być opłakane. 

Co zatem zrobić, skoro logowanie nazwą użytkownika i hasłem nie wystarcza, żeby bezpiecznie korzystać z systemów IT? Powinniśmy zacząć zastanawiać się nad alternatywnymi drogami zabezpieczenia dostępu do zasobów firmowych, tym bardziej, że coraz częściej łączymy się do niej z domowego biura. 

Z pomocą przychodzą rozwiązania Multi Factor Authentication (MFA), które umożliwiają wykorzystanie dodatkowego składnika w procesie uwierzytelnienia i potwierdzenia tożsamości użytkownika. Generalną ideą stojącą za rozwiązaniami MFA jest wykorzystanie przez logującego się użytkownika czegoś, co ten posiada, poza tym, co już zna (hasło). Coś, co użytkownik posiada, wymusza z nim fizyczną interakcję, a to pozwala jednoznacznie potwierdzić jego tożsamość w danym momencie. 

Jak działa Multi Factor Authentication? 

Multi Factor Authentication (MFA) jest już dość dobrze znanym podejściem do uzyskiwania bezpieczniejszego procesu uwierzytelniania. Celem tego rodzaju uwierzytelnienia jest zapewnienie dodatkowego poziomu bezpieczeństwa, dzięki któremu uwierzytelniający się użytkownik udowodni swoją tożsamość za pomocą różnych, niezależnych od siebie czynników.

Paradygmat MFA polega na tym, że użytkownik potwierdza swoją tożsamość, podając informacje, które zna (przykład: poświadczenia użytkownika), a następnie dostarczając informacje na podstawie tego, co posiada (przykład: token sprzętowy lub programowy). Ta procedura zwiększa prawdopodobieństwo autentycznego uwierzytelnienia i upewnia się, że nie jest fałszywe.

W hipotetycznym scenariuszu osoba atakująca może ukraść dane uwierzytelniające użytkownika, szpiegując, podsłuchując lub zgadując, czy hasło nie jest wystarczająco bezpieczne. Usługa MFA utrudnia taki atak, ponieważ osoba atakująca nie posiada drugiego czynnika do uwierzytelnienia. Drugi (lub trzeci) czynnik może być różnego rodzaju, na przykład fizyczny, oparty na aplikacji, połączony lub samodzielny. Mogą to być fizyczne lub logiczne tokeny, rozmowy telefoniczne, wiadomości tekstowe lub wiadomości push.

Jak działa uwierzytelnianie drugiego czynnika?

Przejrzyjmy popularne typy różnych czynników uwierzytelniających.

Dane logowania (credentials)

Najpopularniejsze – użytkownicy znają swoją nazwę użytkownika i hasła i podają je podczas uwierzytelniania.

Certyfikaty

Również popularny czynnik – użytkownicy zarejestrowali się za pomocą swoich osobistych certyfikatów i używają struktury X509 do uwierzytelnienia. Jeśli chcesz szczegółowo poznać proces uwierzytelniania certyfikatu, zapoznaj się ze standardami ITU.

Tokeny

Token zapewnia jednorazowe hasło, które zmienia się w ustalonych odstępach czasu, np. co 60 sekund. Hasło jednorazowe (OTP) jest wyświetlane podczas synchronizacji z serwerem referencyjnym, często nazywanym serwerem tokenów. Synchronizacja odbywa się między wewnętrznym zegarem tokena a zegarem serwera tokena. Obie strony generują liczbę pseudolosową dzięki algorytmowi OATH lub dowolnej odmianie algorytmu generowania OTP. Tokeny mogą być sprzętowe (np. sprzęt RSA SecureID) lub programowe (np. aplikacje mobilne na iOS lub Android). Minusem tokenów hw jest to, że są drogie w implementacji.

Powiadomienia push

Dobrym wyborem dla dużych wdrożeń (często tańszych niż tokeny sprzętowe) jest metoda powiadomień push, w której Użytkownik jest aktywnie proszony przez aplikację mobilną o zatwierdzenie lub odrzucenie faktu uwierzytelnienia. Ta metoda jest używana w połączeniu ze smartfonem i zainstalowaną na nim aplikacją mobilną. Ten rodzaj czynnika uwierzytelniania jest używany w naszym studium przypadku.

Kody SMS

Innym rodzajem czynnika jest wysłanie kodu SMS, który użytkownik musi podać podczas monitu o uwierzytelnienie. Wymaga to bramki SMS dla tego procesu.

Telefon zwrotny

Niektóre z rozwiązań rynkowych umożliwiają „oddzwanianie na telefon”, które jest przetwarzane automatycznie po poprawnym przejściu pierwszego czynnika. Po rozmowie telefonicznej użytkownik może nacisnąć żądany klawisz. Ta metoda działa dobrze dla użytkowników offline, na przykład tych, którzy nie korzystają ze smartfonów.

Rozwiązanie Duo Security pozwala na wykorzystanie wszystkich powyższych kanałów.   

Kiedy warto stosować MFA w systemach firmowych? 

VPN Remote Access – Scenariusz 1 

Pierwszą architekturą i scenariuszem, z którego często korzystają zespoły IT jest VPN Remote Access. To zestawienie szyfrowanego tunelu między pracownikiem zdalnym, a siecią wewnętrzną firmy. To rozwiązanie pozwala pracownikowi korzystać z systemów w taki sam sposób, jakby był w biurze.  

Dodając Multi Factor do procesu uwierzytelniania pozwalamy zintegrować alternatywny kanał potwierdzający. 

Scenariusz polega na wykorzystaniu komponentu Duo Proxy, który po prawidłowym uwierzytelnieniu w oparciu np. o Active Directory wyśle informację do Duo Cloud z prośbą o potwierdzenie alternatywnym kanałem. Gdy użytkownik wpisze nazwę użytkownika i hasło, otrzyma momentalnie prośbę o potwierdzenie tego drugim kanałem, dzięki czemu automatycznie zestawi się tunel szyfrowany Remote Access pozwalający na pracę zdalną.  

Duo Network Gateway – Scenariusz 2 

Jeśli nie mamy wystarczających zasobów VPN Remote Access, możemy skorzystać z dostępu w oparciu o Duo Network Gateway. To często wykorzystywany scenariusz dostępu dla pracowników, kontraktorów, partnerów czy klientów firmy.   

Komponent Duo Network Gateway jest serwerem proxy, który pomaga uwierzytelnić drugim składnikiem próby dostępu do aplikacji wewnętrznych. Jak to wygląda?  

1. Użytkownik zestawia sesję webową do Duo Network Gateway w ramach sesji HTTPS (szyfrowanej sesji w przeglądarce).  

2. Następnie użytkownik wybiera aplikację wewnętrzną, z której chce skorzystać. 

3. Network Gateway wysyła prośbę do Duo Cloud o uwierzytelnienie użytkownika drugim składnikiem. 

Duo Network Gateway można też stosować przy dostępie SSH, czyli w przypadku, gdy administratorzy systemów, inżynierowie DevOps i inni specjaliści łączą się do naszych zasobów za pomocą protokołu SSH.  

Mogą to zrobić też bez VPNa, korzystając z lekkiej aplikacji Duo Connect, za pomocą której zestawia się tunel SSH przez Network Gateway do serwera SSH, a network Gateway odpytuje Duo Cloud o drugi składnik uwierzytelnienia, tak jak w przypadku aplikacji webowej.  

Duo Access Gateway – Scenariusz 3 

Duo Access Gateway, w odróżnieniu od Network Gateway, nie przenosi ruchu  
produkcyjnego inline, ale służy do uwierzytelnienia danej sesji użytkownika. Wykorzystywany jest w aplikacjach typu Software as a Service, np. Salesforce.  

1. By uzyskać dostęp do aplikacji, użytkownik podaje swoje dane logowania.  

2. Aplikacja w integracji z Access Gateway wysyła żądanie uwierzytelnienia.  

3. Access Gateway uwierzytelnia użytkownika w oparciu o repozytorium typu Active Directory oraz wysyła informację do Duo Cloud w celu uwierzytelnienia drugim składnikiem.  

4. Gdy użytkownik uwierzytelni się drugim składnikiem, automatycznie nawiązywana jest sesja z aplikacją.  

W jakich sytuacjach korzystać z Duo Access Gateway? 

Popularną opcją jest użycie Active Directory, innego repozytorium użytkowników zlokalizowanego on-premise lub w zasobach chmurowych (np. Microsoft Azure czy Google G-suite), a następnie wykorzystanie Duo Access Gateway w procesie uwierzytelniania w oparciu o Cloud Directory Provider.  

Sam mechanizm działa w sposób następujący: 

1. Logujemy się do aplikacji podając dane użytkownika i hasło.  

2. Aplikacja wysyła do Duo prośbę o potwierdzenie uwierzytelniania.  

3. Duo wysyła nam push notification.  

4. Potwierdzamy i jesteśmy uwierzytelniani w danej aplikacji. 

Wachlarz najczęściej wybieranych aplikacji jest podany na stronie duo.com/docs#cloud. 

Całe portfolio jest znacznie bogatsze.  

Licencje na Cisco Duo 

Jak na rozwiązanie chmurowe przystało, Cisco Duo jest produktem subskrypcyjnym, z trzema poziomami licencji. 

Licencja MFA – Podstawa 

Licencja Access  

• Zawiera wszystkie funkcjonalności MFA oraz umożliwia wgląd w stan bezpieczestwa komputerów i telefonów. 
• Pozwala na tworzenie polityk globalnych dla danej aplikacji, ale z użyciem grup użytkowników. Dzięki temu możemy uzależnić dostęp od grupy Active Directory, w której znajduje się dany użytkownik. 
• Możemy też do polityki dodać takie elementy jak wymuszenie aktualizacji systemu operacyjnego, jeśli użytkownik korzysta z konkretnej, nieaktualnej wersji systemu.   

Licencja Beyond  

• Zawiera wszystkie funkcjonalności Access oraz MFA.
• Może posługiwać się informacjami związanymi z agentami Antivirus, Anti-Malware. Może stwierdzić, czy na stacji końcowej zainstalowany jest Windows Defender albo Cisco AMP (Anty- Malware Protection). 
• Możemy dzięki Beyond dodatkowo identyfikować urządzenia i rozgraniczać urządzenia służbowe od prywatnych, które zostały zaimportowane do naszego systemu w procesie BYOD. 
• Możemy wykorzystać integrację z Microsoft Intune oraz z innymi dostępnymi na rynku MDMami – inaczej Mobile Device Management – czyli oprogramowaniem do zarządzania i zabezpieczania urządzen mobilnych pracujących w sieci firmowej. 

Architektura numer 2, o której opowiadałem wcześniej, to architektura wykorzystująca Duo Network Gateway. Właśnie ona jest dostępna w licencji Beyond.  

Zwiększ bezpieczeństwo dostępu do ważnych zasobów  

Dzięki zastosowaniu uwierzytelniania wieloskładnikowego użytkownik zwolniony jest z obowiązku zapamiętywania długich i skomplikowanych haseł. W praktyce eliminuje to problem zapisywania skomplikowanych haseł na karteczkach albo używaniem jednego hasła wszędzie, gdzie to tylko możliwe.