Menu

Region US

Grandmetric LLC
Brookfield Place Office
200 Vesey Street
New York, NY 10281
EIN: 98-1615498
+1 302 691 94 10
info@grandmetric.com

Region EMEA

GRANDMETRIC Sp. z o.o.
ul. Metalowa 5, 60-118 Poznań, Poland
NIP 7792433527
+48 61 271 04 43
info@grandmetric.com

UK

Grandmetric LTD
Office 584b
182-184 High Street North
London
E6 2JA
+44 20 3321 5276
info@grandmetric.com

  • en
  • pl
  • Cisco Duo, czyli Multi-Factor Authentication
    w praktyce 

    Cisco Duo, czyli Multi Factor Authentication w praktyce 

    Date: 20.09.2022

    Autor:


    Jak podaje Verizon w raporcie z 2022 roku, ponad 82% incydentów bezpieczeństwa to incydenty związane z zaniedbaniem po stronie człowieka, związanych choćby z wypłynięciem haseł czy phishingiem. Co więcej, hasła, które zostają wykradzione to hasła o różnej długości i różnym stopniu złożoności. Biorąc pod uwagę skalę i udoskonalane przez atakujących metody, o wypłynięcie nawet mocnego hasła wcale nie jest trudno. A stąd już tylko krok, żeby użyć go w atakach słownikowych. 

    Bez względu na to, czy mówimy o wypłynięciu hasła chroniącego dostęp do aplikacji społecznościowych, sklepów internetowych czy do firmowych finansów lub systemów produkcyjnych, skutki mogą być opłakane. 

    Co zatem zrobić, skoro logowanie nazwą użytkownika i hasłem nie wystarcza, żeby bezpiecznie korzystać z systemów IT? Powinniśmy zacząć zastanawiać się nad alternatywnymi drogami zabezpieczenia dostępu do zasobów firmowych, tym bardziej, że coraz częściej łączymy się do niej z domowego biura. 

    45% żądań dostępu do aplikacji firmowych pochodzi spoza siedzib firm. 

    – 2019 Duo Trusted Access Report 

    Z pomocą przychodzą rozwiązania Multi Factor Authentication (MFA), które umożliwiają wykorzystanie dodatkowego składnika w procesie uwierzytelnienia i potwierdzenia tożsamości użytkownika. Generalną ideą stojącą za rozwiązaniami MFA jest wykorzystanie przez logującego się użytkownika czegoś, co ten posiada, poza tym, co już zna (hasło). Coś, co użytkownik posiada, wymusza z nim fizyczną interakcję, a to pozwala jednoznacznie potwierdzić jego tożsamość w danym momencie. 

    Jak działa Multi Factor Authentication? 

    Multi Factor Authentication (MFA) jest już dość dobrze znanym podejściem do uzyskiwania bezpieczniejszego procesu uwierzytelniania. Celem tego rodzaju uwierzytelnienia jest zapewnienie dodatkowego poziomu bezpieczeństwa, dzięki któremu uwierzytelniający się użytkownik udowodni swoją tożsamość za pomocą różnych, niezależnych od siebie czynników.

    Paradygmat MFA polega na tym, że użytkownik potwierdza swoją tożsamość, podając informacje, które zna (przykład: poświadczenia użytkownika), a następnie dostarczając informacje na podstawie tego, co posiada (przykład: token sprzętowy lub programowy). Ta procedura zwiększa prawdopodobieństwo autentycznego uwierzytelnienia i upewnia się, że nie jest fałszywe.

    W hipotetycznym scenariuszu osoba atakująca może ukraść dane uwierzytelniające użytkownika, szpiegując, podsłuchując lub zgadując, czy hasło nie jest wystarczająco bezpieczne. Usługa MFA utrudnia taki atak, ponieważ osoba atakująca nie posiada drugiego czynnika do uwierzytelnienia. Drugi (lub trzeci) czynnik może być różnego rodzaju, na przykład fizyczny, oparty na aplikacji, połączony lub samodzielny. Mogą to być fizyczne lub logiczne tokeny, rozmowy telefoniczne, wiadomości tekstowe lub wiadomości push.

    Multi-Factor Authentication by Cisco Duo
    Źródło: https://duo.com/product/multi-factor-authentication-mfa 

    Jak działa uwierzytelnianie drugiego czynnika?

    Przejrzyjmy popularne typy różnych czynników uwierzytelniających.

    Dane logowania (credentials)

    Najpopularniejsze – użytkownicy znają swoją nazwę użytkownika i hasła i podają je podczas uwierzytelniania.

    Certyfikaty

    Również popularny czynnik – użytkownicy zarejestrowali się za pomocą swoich osobistych certyfikatów i używają struktury X509 do uwierzytelnienia. Jeśli chcesz szczegółowo poznać proces uwierzytelniania certyfikatu, zapoznaj się ze standardami ITU.

    Tokeny

    Token zapewnia jednorazowe hasło, które zmienia się w ustalonych odstępach czasu, np. co 60 sekund. Hasło jednorazowe (OTP) jest wyświetlane podczas synchronizacji z serwerem referencyjnym, często nazywanym serwerem tokenów. Synchronizacja odbywa się między wewnętrznym zegarem tokena a zegarem serwera tokena. Obie strony generują liczbę pseudolosową dzięki algorytmowi OATH lub dowolnej odmianie algorytmu generowania OTP. Tokeny mogą być sprzętowe (np. sprzęt RSA SecureID) lub programowe (np. aplikacje mobilne na iOS lub Android). Minusem tokenów hw jest to, że są drogie w implementacji.

    Token sprzętowy

    Token programowy

    Powiadomienia push

    Dobrym wyborem dla dużych wdrożeń (często tańszych niż tokeny sprzętowe) jest metoda powiadomień push, w której Użytkownik jest aktywnie proszony przez aplikację mobilną o zatwierdzenie lub odrzucenie faktu uwierzytelnienia. Ta metoda jest używana w połączeniu ze smartfonem i zainstalowaną na nim aplikacją mobilną. Ten rodzaj czynnika uwierzytelniania jest używany w naszym studium przypadku.

    Przykład Duo MFA Push Notify

    Kody SMS

    Innym rodzajem czynnika jest wysłanie kodu SMS, który użytkownik musi podać podczas monitu o uwierzytelnienie. Wymaga to bramki SMS dla tego procesu.

    Telefon zwrotny

    Niektóre z rozwiązań rynkowych umożliwiają „oddzwanianie na telefon”, które jest przetwarzane automatycznie po poprawnym przejściu pierwszego czynnika. Po rozmowie telefonicznej użytkownik może nacisnąć żądany klawisz. Ta metoda działa dobrze dla użytkowników offline, na przykład tych, którzy nie korzystają ze smartfonów.

    Rozwiązanie Duo Security pozwala na wykorzystanie wszystkich powyższych kanałów.   

    Kiedy warto stosować MFA w systemach firmowych? 

    VPN Remote Access – Scenariusz 1 

    Pierwszą architekturą i scenariuszem, z którego często korzystają zespoły IT jest VPN Remote Access. To zestawienie szyfrowanego tunelu między pracownikiem zdalnym, a siecią wewnętrzną firmy. To rozwiązanie pozwala pracownikowi korzystać z systemów w taki sam sposób, jakby był w biurze.  

    Dodając Multi Factor do procesu uwierzytelniania pozwalamy zintegrować alternatywny kanał potwierdzający. 

    Scenariusz polega na wykorzystaniu komponentu Duo Proxy, który po prawidłowym uwierzytelnieniu w oparciu np. o Active Directory wyśle informację do Duo Cloud z prośbą o potwierdzenie alternatywnym kanałem. Gdy użytkownik wpisze nazwę użytkownika i hasło, otrzyma momentalnie prośbę o potwierdzenie tego drugim kanałem, dzięki czemu automatycznie zestawi się tunel szyfrowany Remote Access pozwalający na pracę zdalną.  

    MFA VPN by Grandmetric
    Scenariusz użycia Duo Proxy do zestawienia tunelu VPN 

    Duo Network Gateway – Scenariusz 2 

    Jeśli nie mamy wystarczających zasobów VPN Remote Access, możemy skorzystać z dostępu w oparciu o Duo Network Gateway. To często wykorzystywany scenariusz dostępu dla pracowników, kontraktorów, partnerów czy klientów firmy.   

    Komponent Duo Network Gateway jest serwerem proxy, który pomaga uwierzytelnić drugim składnikiem próby dostępu do aplikacji wewnętrznych. Jak to wygląda?  

    1. Użytkownik zestawia sesję webową do Duo Network Gateway w ramach sesji HTTPS (szyfrowanej sesji w przeglądarce).  
    1. Następnie użytkownik wybiera aplikację wewnętrzną, z której chce skorzystać. 
    1. Network Gateway wysyła prośbę do Duo Cloud o uwierzytelnienie użytkownika drugim składnikiem. 

    Duo Network Gateway można też stosować przy dostępie SSH, czyli w przypadku, gdy administratorzy systemów, inżynierowie DevOps i inni specjaliści łączą się do naszych zasobów za pomocą protokołu SSH.  

    Mogą to zrobić też bez VPNa, korzystając z lekkiej aplikacji Duo Connect, za pomocą której zestawia się tunel SSH przez Network Gateway do serwera SSH, a network Gateway odpytuje Duo Cloud o drugi składnik uwierzytelnienia, tak jak w przypadku aplikacji webowej.  

    Duo Access Gateway – Scenariusz 3 

    Duo Access Gateway, w odróżnieniu od Network Gateway, nie przenosi ruchu  
    produkcyjnego inline, ale służy do uwierzytelnienia danej sesji użytkownika. Wykorzystywany jest w aplikacjach typu Software as a Service, np. Salesforce.  

    1. By uzyskać dostęp do aplikacji, użytkownik podaje swoje dane logowania.  
    1. Aplikacja w integracji z Access Gateway wysyła żądanie uwierzytelnienia.  
    1. Access Gateway uwierzytelnia użytkownika w oparciu o repozytorium typu Active Directory oraz wysyła informację do Duo Cloud w celu uwierzytelnienia drugim składnikiem.  
    1. Gdy użytkownik uwierzytelni się drugim składnikiem, automatycznie nawiązywana jest sesja z aplikacją.  
    Cisco Duo Access Gateway by Grandmetric
    Scenariusz użycia Duo Access Gateway 

    Chcesz zobaczyć, jak Cisco Duo poradzi sobie z Twoim scenariuszem dostępu? Umów się na niezobowiązującą rozmowę, podczas której nasi inżynierowie pokażą więcej scenariuszy i możliwości Duo Security. 

    W jakich sytuacjach korzystać z Duo Access Gateway? 

    Popularną opcją jest użycie Active Directory, innego repozytorium użytkowników zlokalizowanego on-premise lub w zasobach chmurowych (np. Microsoft Azure czy Google G-suite), a następnie wykorzystanie Duo Access Gateway w procesie uwierzytelniania w oparciu o Cloud Directory Provider.  

    Sam mechanizm działa w sposób następujący: 

    1. Logujemy się do aplikacji podając dane użytkownika i hasło.  
    1. Aplikacja wysyła do Duo prośbę o potwierdzenie uwierzytelniania.  
    1. Duo wysyła nam push notification.  
    1. Potwierdzamy i jesteśmy uwierzytelniani w danej aplikacji. 

    Wachlarz najczęściej wybieranych aplikacji jest podany na stronie duo.com/docs#cloud. 

    Całe portfolio jest znacznie bogatsze.  

    Licencje na Cisco Duo 

    Jak na rozwiązanie chmurowe przystało, Cisco Duo jest produktem subskrypcyjnym, z trzema poziomami licencji. 

    Licencja MFA – Podstawa 

    • Licencja MFA umożliwia uruchomienie funkcjonalności Duo Push, czyli związanej z aplikacją mobilną, a także kanały One Time Passwords, Phone Call Back, SMS token i Harbor token.  
    • Jeśli skonfigurujemy politykę uwierzytelniającą phone callback, otrzymujemy w tej licencji także sto kredytów telefonicznych na użytkownika na rok. 
    • W licencji MFA możemy przeglądać urządzenia, z których dokonano logowania w oparciu o Duo Cloud. 
    • Możemy tworzyć polityki globalne i politykę uwierzytelniania dla danej aplikacji. 
    • Mamy dostęp do Duo Access Gateway w trybie aplikacji SaaS Single Sign On (SSO), opisany wyżej w Scenariuszu nr 3.   

    Licencja Access  

    • Zawiera wszystkie funkcjonalności MFA oraz umożliwia wgląd w stan bezpieczestwa komputerów i telefonów. 
    • Pozwala na tworzenie polityk globalnych dla danej aplikacji, ale z użyciem grup użytkowników. Dzięki temu możemy uzależnić dostęp od grupy Active Directory, w której znajduje się dany użytkownik. 
    • Możemy też do polityki dodać takie elementy jak wymuszenie aktualizacji systemu operacyjnego, jeśli użytkownik korzysta z konkretnej, nieaktualnej wersji systemu.   

    Licencja Beyond  

    • Zawiera wszystkie funkcjonalności Access oraz MFA.
    • Może posługiwać się informacjami związanymi z agentami Antivirus, Anti-Malware. Może stwierdzić, czy na stacji końcowej zainstalowany jest Windows Defender albo Cisco AMP (Anty- Malware Protection). 
    • Możemy dzięki Beyond dodatkowo identyfikować urządzenia i rozgraniczać urządzenia służbowe od prywatnych, które zostały zaimportowane do naszego systemu w procesie BYOD. 
    • Możemy wykorzystać integrację z Microsoft Intune oraz z innymi dostępnymi na rynku MDMami – inaczej Mobile Device Management – czyli oprogramowaniem do zarządzania i zabezpieczania urządzen mobilnych pracujących w sieci firmowej. 

    Architektura numer 2, o której opowiadałem wcześniej, to architektura wykorzystująca Duo Network Gateway. Właśnie ona jest dostępna w licencji Beyond.  

    Cisco Duo licencje by Grandmetric
    Plany licencyjne Cisco Duo 

    Zwiększ bezpieczeństwo dostępu do ważnych zasobów  

    Dzięki zastosowaniu uwierzytelniania wieloskładnikowego użytkownik zwolniony jest z obowiązku zapamiętywania długich i skomplikowanych haseł. W praktyce eliminuje to problem zapisywania skomplikowanych haseł na karteczkach albo używaniem jednego hasła wszędzie, gdzie to tylko możliwe. 

    Bądź na bieżąco w tematach, z którymi pracujesz na co dzień

    Zapisz się do Grandmetric Tech Newsletter. Otrzymaj dostęp do materiałów premium: ebooków, checklist, webinarów i innych.

      Zapisując się na newsletter wyrażam zgodę na przetwarzanie udostępnionych danych osobowych na potrzeby prowadzonego newslettera, w ramach którego Grandmetric sp. z o.o. jako administrator danych przesyłać będzie informacje marketingowe, promocyjne, handlowe i informacyjne w obszarze prowadzonej działalności gospodarczej. Zapoznałam/em się z treścią Regulaminu oraz Polityki prywatności i akceptuję ich treść. Regulamin Polityka prywatności

      Autor

      Marcin Bialy

      Architekt systemów sieciowych i bezpieczeństwa IT. Prowadził duże projekty transformacyjne u klientów z branży bankowości, sektora enterprise, produkcji oraz instytucji państwowych. Spędził setki godzin przy konfiguracji, diagnostyce i projektowaniu sieci IP. Jest autorem kursów, workbook’ów do szkoleń autorskich Grandmetric i organizatorem inicjatyw takich jak Network & Wireless meetup zrzeszających społeczność specjalistów sieciowych. Jego specjalizacje obejmują obszar Network Security, Routing & Switching. Marcin posiada certyfikaty Cisco CCSI#35269, CCNP, CCNA. Był także był jednym z pierwszych inżynierów w Polsce uzyskując certyfikat FCNSP#7207 (dzisiejsza ścieżka NSE).

      Dodaj komentarz

      Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *


      Grandmetric: Network & Security