Jak podaje Verizon w raporcie z 2022 roku, ponad 82% incydentów bezpieczeństwa to incydenty związane z zaniedbaniem po stronie człowieka, związanych choćby z wypłynięciem haseł czy phishingiem. Co więcej, hasła, które zostają wykradzione to hasła o różnej długości i różnym stopniu złożoności. Biorąc pod uwagę skalę i udoskonalane przez atakujących metody, o wypłynięcie nawet mocnego hasła wcale nie jest trudno. A stąd już tylko krok, żeby użyć go w atakach słownikowych.
Bez względu na to, czy mówimy o wypłynięciu hasła chroniącego dostęp do aplikacji społecznościowych, sklepów internetowych czy do firmowych finansów lub systemów produkcyjnych, skutki mogą być opłakane.
Co zatem zrobić, skoro logowanie nazwą użytkownika i hasłem nie wystarcza, żeby bezpiecznie korzystać z systemów IT? Powinniśmy zacząć zastanawiać się nad alternatywnymi drogami zabezpieczenia dostępu do zasobów firmowych, tym bardziej, że coraz częściej łączymy się do niej z domowego biura.
45% żądań dostępu do aplikacji firmowych pochodzi spoza siedzib firm.
– 2019 Duo Trusted Access Report
Z pomocą przychodzą rozwiązania Multi Factor Authentication (MFA), które umożliwiają wykorzystanie dodatkowego składnika w procesie uwierzytelnienia i potwierdzenia tożsamości użytkownika. Generalną ideą stojącą za rozwiązaniami MFA jest wykorzystanie przez logującego się użytkownika czegoś, co ten posiada, poza tym, co już zna (hasło). Coś, co użytkownik posiada, wymusza z nim fizyczną interakcję, a to pozwala jednoznacznie potwierdzić jego tożsamość w danym momencie.
Multi Factor Authentication (MFA) jest już dość dobrze znanym podejściem do uzyskiwania bezpieczniejszego procesu uwierzytelniania. Celem tego rodzaju uwierzytelnienia jest zapewnienie dodatkowego poziomu bezpieczeństwa, dzięki któremu uwierzytelniający się użytkownik udowodni swoją tożsamość za pomocą różnych, niezależnych od siebie czynników.
Paradygmat MFA polega na tym, że użytkownik potwierdza swoją tożsamość, podając informacje, które zna (przykład: poświadczenia użytkownika), a następnie dostarczając informacje na podstawie tego, co posiada (przykład: token sprzętowy lub programowy). Ta procedura zwiększa prawdopodobieństwo autentycznego uwierzytelnienia i upewnia się, że nie jest fałszywe.
W hipotetycznym scenariuszu osoba atakująca może ukraść dane uwierzytelniające użytkownika, szpiegując, podsłuchując lub zgadując, czy hasło nie jest wystarczająco bezpieczne. Usługa MFA utrudnia taki atak, ponieważ osoba atakująca nie posiada drugiego czynnika do uwierzytelnienia. Drugi (lub trzeci) czynnik może być różnego rodzaju, na przykład fizyczny, oparty na aplikacji, połączony lub samodzielny. Mogą to być fizyczne lub logiczne tokeny, rozmowy telefoniczne, wiadomości tekstowe lub wiadomości push.
Przejrzyjmy popularne typy różnych czynników uwierzytelniających.
Dane logowania (credentials)
Najpopularniejsze – użytkownicy znają swoją nazwę użytkownika i hasła i podają je podczas uwierzytelniania.
Certyfikaty
Również popularny czynnik – użytkownicy zarejestrowali się za pomocą swoich osobistych certyfikatów i używają struktury X509 do uwierzytelnienia. Jeśli chcesz szczegółowo poznać proces uwierzytelniania certyfikatu, zapoznaj się ze standardami ITU.
Tokeny
Token zapewnia jednorazowe hasło, które zmienia się w ustalonych odstępach czasu, np. co 60 sekund. Hasło jednorazowe (OTP) jest wyświetlane podczas synchronizacji z serwerem referencyjnym, często nazywanym serwerem tokenów. Synchronizacja odbywa się między wewnętrznym zegarem tokena a zegarem serwera tokena. Obie strony generują liczbę pseudolosową dzięki algorytmowi OATH lub dowolnej odmianie algorytmu generowania OTP. Tokeny mogą być sprzętowe (np. sprzęt RSA SecureID) lub programowe (np. aplikacje mobilne na iOS lub Android). Minusem tokenów hw jest to, że są drogie w implementacji.
Powiadomienia push
Dobrym wyborem dla dużych wdrożeń (często tańszych niż tokeny sprzętowe) jest metoda powiadomień push, w której Użytkownik jest aktywnie proszony przez aplikację mobilną o zatwierdzenie lub odrzucenie faktu uwierzytelnienia. Ta metoda jest używana w połączeniu ze smartfonem i zainstalowaną na nim aplikacją mobilną. Ten rodzaj czynnika uwierzytelniania jest używany w naszym studium przypadku.
Kody SMS
Innym rodzajem czynnika jest wysłanie kodu SMS, który użytkownik musi podać podczas monitu o uwierzytelnienie. Wymaga to bramki SMS dla tego procesu.
Telefon zwrotny
Niektóre z rozwiązań rynkowych umożliwiają „oddzwanianie na telefon”, które jest przetwarzane automatycznie po poprawnym przejściu pierwszego czynnika. Po rozmowie telefonicznej użytkownik może nacisnąć żądany klawisz. Ta metoda działa dobrze dla użytkowników offline, na przykład tych, którzy nie korzystają ze smartfonów.
Pierwszą architekturą i scenariuszem, z którego często korzystają zespoły IT jest VPN Remote Access. To zestawienie szyfrowanego tunelu między pracownikiem zdalnym, a siecią wewnętrzną firmy. To rozwiązanie pozwala pracownikowi korzystać z systemów w taki sam sposób, jakby był w biurze.
Dodając Multi Factor do procesu uwierzytelniania pozwalamy zintegrować alternatywny kanał potwierdzający.
Scenariusz polega na wykorzystaniu komponentu Duo Proxy, który po prawidłowym uwierzytelnieniu w oparciu np. o Active Directory wyśle informację do Duo Cloud z prośbą o potwierdzenie alternatywnym kanałem. Gdy użytkownik wpisze nazwę użytkownika i hasło, otrzyma momentalnie prośbę o potwierdzenie tego drugim kanałem, dzięki czemu automatycznie zestawi się tunel szyfrowany Remote Access pozwalający na pracę zdalną.
Jeśli nie mamy wystarczających zasobów VPN Remote Access, możemy skorzystać z dostępu w oparciu o Duo Network Gateway. To często wykorzystywany scenariusz dostępu dla pracowników, kontraktorów, partnerów czy klientów firmy.
Komponent Duo Network Gateway jest serwerem proxy, który pomaga uwierzytelnić drugim składnikiem próby dostępu do aplikacji wewnętrznych. Jak to wygląda?
Duo Network Gateway można też stosować przy dostępie SSH, czyli w przypadku, gdy administratorzy systemów, inżynierowie DevOps i inni specjaliści łączą się do naszych zasobów za pomocą protokołu SSH.
Mogą to zrobić też bez VPNa, korzystając z lekkiej aplikacji Duo Connect, za pomocą której zestawia się tunel SSH przez Network Gateway do serwera SSH, a network Gateway odpytuje Duo Cloud o drugi składnik uwierzytelnienia, tak jak w przypadku aplikacji webowej.
Duo Access Gateway, w odróżnieniu od Network Gateway, nie przenosi ruchu
produkcyjnego inline, ale służy do uwierzytelnienia danej sesji użytkownika. Wykorzystywany jest w aplikacjach typu Software as a Service, np. Salesforce.
Chcesz zobaczyć, jak Cisco Duo poradzi sobie z Twoim scenariuszem dostępu? Umów się na niezobowiązującą rozmowę, podczas której nasi inżynierowie pokażą więcej scenariuszy i możliwości Duo Security.
Popularną opcją jest użycie Active Directory, innego repozytorium użytkowników zlokalizowanego on-premise lub w zasobach chmurowych (np. Microsoft Azure czy Google G-suite), a następnie wykorzystanie Duo Access Gateway w procesie uwierzytelniania w oparciu o Cloud Directory Provider.
Sam mechanizm działa w sposób następujący:
Wachlarz najczęściej wybieranych aplikacji jest podany na stronie duo.com/docs#cloud.
Całe portfolio jest znacznie bogatsze.
Jak na rozwiązanie chmurowe przystało, Cisco Duo jest produktem subskrypcyjnym, z trzema poziomami licencji.
Architektura numer 2, o której opowiadałem wcześniej, to architektura wykorzystująca Duo Network Gateway. Właśnie ona jest dostępna w licencji Beyond.
Dzięki zastosowaniu uwierzytelniania wieloskładnikowego użytkownik zwolniony jest z obowiązku zapamiętywania długich i skomplikowanych haseł. W praktyce eliminuje to problem zapisywania skomplikowanych haseł na karteczkach albo używaniem jednego hasła wszędzie, gdzie to tylko możliwe.
Zapisz się do Grandmetric Tech Newsletter. Otrzymaj dostęp do materiałów premium: ebooków, checklist, webinarów i innych.
Dodaj komentarz