Спецпроекты

Аутентификация: когда телефон лучше токена

Телеком Безопасность Техническая защита Администратору
Облачные вычисления, электронная коммерция, дистанционное банковское обслуживание, удаленная работа сотрудников по всему миру — эти новшества нашей эпохи могут дать огромную прибыль компаниям, которые сумеют ими грамотно воспользоваться. Одно из условий – отлаженная система ИБ, в которой важную роль играет надежный и понятный способ аутентификации пользователей в компьютерной системе. Хорошее решение проблемы — отправка паролей пользователям по отдельному каналу связи, независимому от компьютеров и интернета, которое предлагает компания TopSecurity — официальный дистрибьютор решений SecurEnvoy в России.

При потере телефона пользователь может восстановить его номер самостоятельно, обратившись не к системному администратору, а к собственному оператору связи, или же зарегистрировать новый номер телефона - в любом случае нет необходимости физического присутствия пользователя при регистрации устройства, что удобно для удаленных сотрудников.

В основе – сервер безопасности

Основой для системы аутентификации SecurAccess является сервер безопасности, который объединяет несколько продуктов компании SecurEnvoy. Он обеспечивает регистрацию пользователей и их мобильных телефонов, он же пересылает набор одноразовых паролей на мобильный телефон, и он же проводит процедуру аутентификации по протоколу RADIUS. Для получения информации о пользователях сервер может использовать Microsoft Active Directory. Novell e-Directory, Sun Directory Server и продукт с открытыми исходными кодами OpenLDAP. С помощью RADIUS сервер безопасности SecurEnvoy может быть интегрирован практически в любую информационную систему, причём с возможностью создания гетерогенной конфигурации. Этот же протокол используется для интеграции с системой аппаратных токенов, если такая развёрнута у клиента.


Сервер безопасности SecurEnvoy может быть интегрирован практически в любую информационную систему, причём с возможностью создания гетерогенной конфигурации

Для интеграции с мобильной сетью можно использовать два метода: GSM-модем, подключённый к серверу, или подключение через шлюз оператора. В демонстрационной версии есть шлюз только для подключения к AOL, но подготовлены шаблоны и для других операторов, в том числе российских. Если же планируется передача SMS через модем, то использовать можно только два типа устройств: Wavecom (последовательный и USB) и Siemens TC35i.

Продукт предусматривает миграцию с различных систем аутентификации, в том числе с обычных паролей и токенов с одноразовыми паролями. При миграции вначале все пользователи помещаются в эту группу, а в дальнейшем переводятся на обслуживание в SecurAccess, для чего им присваивается соответствующий номер телефона и режим обслуживания. Пароли могут выдаваться в режиме реального времени по одному или по три в одном сообщении. Также может быть выдан временный пароль, который действует один или несколько дней. Это позволяет экономить на отправке SMS.

Для поддержки существующей системы аутентификации с помощью токенов также используется протокол RADIUS, с помощью которого SecurAccess передаёт запрос на аутентификацию в соответствующий сервер обслуживания токенов - поддерживается до двух различных токен-серверов. Все запросы на аутентификацию защищаются с помощью протокола SSL. Предусмотрен также режим работы сервера безопасности SecurEnvoy с дублированием, который позволяет распределить нагрузку и обеспечить отказоустойчивость. Этот же механизм можно использовать и для построения многодоменной конфигурации, где каждый домен построен на своём LDAP-каталоге.

Поскольку для генерации одноразовых паролей используется не хеширующая функция, а действительно случайные числа, то не существует начального вектора инициализации, как в аппаратных устройствах. Поэтому от надёжности защиты производителя, как это произошло с RSA, работа механизма не зависит. При этом регистрация в системе может быть дистанционной и легко контролироваться компанией по спискам контактных телефонов сотрудников, клиентов или партнёров. Безопасность системы зависит от защиты сервера, которую можно сделать достаточно надёжной. Для взлома механизма аутентификации хакеры должны перехватывать канал между корпоративной сетью и мобильным оператором, что сделать достаточно трудно, или же получить контроль над мобильным телефоном жертвы.

Аутентификация по мобильному телефону может пригодиться для систем дистанционного банковского обслуживания, различных платёжных приложений и любых систем удалённого доступа к наиболее ценным корпоративным ресурсам. В частности, подобная процедура защищает от действия троянских программ, которые работают на компьютере и неспособны синхронно контролировать еще и мобильный телефон сотрудника. Защититься же от троянцев на мобильном телефоне можно, используя самые простые телефоны, которые только и умеют, что получать SMS-сообщения.

Кроме того, аутентификация с помощью мобильных телефонов хорошо подходит для защиты облачных приложений. Продукт SecurEnvoy работает в виртуальных средах VMware и Microsoft Hyper-V, что облегчает его использование в облачных приоложениях. Поэтому его можно использовать для усилиения безопасности облачных вычислений - именно это и является сейчас основной проблемой для внедрения облаков. Надёжная аутентификация в облаке является ключевой задачей при построения системы защиты распределённых приложений.

Для разных потребностей

Также на основе данного сервера безопасности работает несколько продуктов SecurEnvoy, каждый из которых может найти своё место в инфраструктуре компании. Следует отметить, что сервер безопасности имеет также функционал и других продуктов SecurEnvoy: безопасной смены паролей SecurPassword, защиты системы в случае аварийной ситуации SecurICE и системы защищённой электронной почты SecurMail. Для их активации нужно получить дополнительные лицензии, тогда соответствующие конфигурационные возможности станут доступны администратору.

При этом все четыре продукта вполне могут использоваться одним предприятием. Так SecurPassword необходим для организации безопасной смены пароля для пользователей, которые подключаются к системе с помощью простых паролей, то есть для группы sepasswordonly. Для смены пароля они должны заранее определить свой номер телефона, на который им будет переслан новый временный пароль.

Продукт SecurICE необходим в том случае, когда на предприятии используются аппаратные токены и с ними что-то случилось. Например, администратор потерял такой токен и не может удалённо подключиться для выполнения своих обязанностей. Тогда до получения токена такого администратора можно перевести на одноразовые пароли, рассылаемые на мобильный телефон. Ну, а защищённая почта может потребоваться всем. При этом контрагент должен установить программное обеспечение для расшифровки послания, а пароль для него посылается на мобильный телефон - и то, и другое можно сделать удалённо. При этом не нужно разворачивать системы PKI и создавать совместные секреты.

В целом же можно отметить, что продукты для аутентификации на основе сервера безопасности SecurEnvoy более просты в конфигурировании, чем базирующиеся на токенах и сертификатах, но при этом обеспечивают не меньший уровень безопасности, поскольку также опираются на дополнительное устройство - мобильный телефон. Скачать бесплатные пробные 30-дневные версии продуктов можно на сайте TopSecurity.

Максим Самойленко / CNews

Вгляд месяца

Уже сегодня можно перейти на онлайн-контроль бизнеса госорганами

Ольга Макрецкая

директор по учету и финконтролю «Газпром нефти»

Стратегия месяца

Как Пулково превращают в цифровой аэропорт

Леонид Сергеев

генеральный директор аэропорта Пулково