Soc

Multifactor. Двухфакторная аутентификация «Мультифактор»: на страже безопасности удаленного подключения

Multifactor. Двухфакторная аутентификация «Мультифактор»: на страже безопасности удаленного подключения Multifactor. Двухфакторная аутентификация «Мультифактор»: на страже безопасности удаленного подключения Multifactor. Двухфакторная аутентификация «Мультифактор»: на страже безопасности удаленного подключения
02.08.2022

Системы защиты сайтов, серверов, облаков и других критически важных для работы любой компании инструментов непрерывно совершенствуются. Но одним из самых распространенных способов получить к ним доступ по-прежнему остается взлом паролей сотрудников. Хакерам просто ни к чему искать более сложные варианты, если уже на базовом уровне обнаруживаются бреши в защите системы.

Решить проблему призвана система многофакторной аутентификации. Второй фактор в разы снижает риски и осложняет задачу злоумышленника. Теперь недостаточно подобрать пароль, который состоит из имени или даты рождения члена семьи сотрудника. Инструмент многофакторной аутентификации делает подбор второго фактора попросту невозможным.

В этой статье рассматривается инструмент многофакторной аутентификации Multifactor, который является полностью российской разработкой. Решение сочетает простоту подключения и настройки с надежным уровнем защиты для любого удаленного подключения.

1.jpg

Рис. 1. Аутентификация в консоли администрирования Multifactor

Как работает многофакторная аутентификация Multifactor

С помощью двухфакторной или многофакторной аутентификации для входа в систему, помимо привычного всем пароля, добавляется второй уровень защиты. С его помощью легко убедиться, что в систему входит именно сотрудник, и предотвратить угон учетных записей.

В качестве второго компонента для безопасного входа могут использоваться различные варианты аутентификации.

Как работает многофакторная аутентификация Multifactor

Рис. 2. Главное меню консоли администратора в Multifactor

У Multifactor таковых семь:

  • мобильное приложение Multifactor;

  • универсальная web-аутентификация с поддержкой биометрии (U2F (Universal Second Factor), UAF (Universal Authentication Framework) FIDO (Fast IDentity Online), CTAP (Client to Authenticator Protocol), объединенные в единый стандарт WebAuthn);

  • мессенджер Telegram;

  • OTP-токены, то есть USB-устройства защиты при помощи одноразовых паролей;

  • приложение Google Authenticator (или любое приложение, поддерживающее генерацию одноразовых кодов по TOTP или HOTP алгоритмам);

  • SMS;

  • звонок на смартфон пользователя.

Как работает многофакторная аутентификация Multifactor

Рис. 3. Управление настройками в Multifactor

Создатели инструмента ранжируют данные способы по уровню защиты. Максимальную имеет мобильное приложение Multifactor, а очень высокую — универсальная web-аутентификация с поддержкой биометрии. Высокую оценку уровня защищенности получили аутентификация через Telegram, OTP-токен и Google Authenticator (или аналогичное приложение). Наконец, надежность SMS-сообщений с паролями и звонков на мобильные устройства определяется как средняя.

Telegram, биометрия и мобильное приложение считаются более удобными для пользователя. Остальные способы могут потребовать чуть больше времени и усилий для входа.

Важным преимуществом Multifactor является возможность выбора способа аутентификации. Сначала это делает администратор, определяя варианты, которые будут доступны сотрудникам. После этого выбрать из нескольких открытых опций наиболее удобную для себя может каждый пользователь самостоятельно.

Что защищает

Существенным преимуществом решения Multifactor является возможность защитить все виды удаленных подключений к инфраструктуре компании, а также реализация для них безопасного single sign-on (SSO, единый вход). Решение подойдет для защиты:

  • сервисов Windows, в том числе Windows Logon, VPN, RD Gateway, NPS, OWA, Remote Desktop;

  • сервисов Linux, включая Linux Logon, SSH, SUDO;

  • облачных сервисов Huawei Cloud, Yandex Cloud и ряда других;

  • доступа к корпоративным web-сайтам;

  • web-почты Outlook Web Access;

  • виртуальных рабочих столов VMware Horizon, Citrix, Remote Desktop и ряда других;

  • VPN-сервисов (OpenVPN, Windows VPN, Open VPN, Cisco AnyConnect, Fortigate VPN, Checkpoint VPN).

Настроить двухфакторную аутентификацию с помощью Multifactor можно не только для сотрудников, но также для партнеров и клиентов компании.

Что защищает

Рис. 4. Добавление ресурсов заказчика для реализации и MFA

Как защищает

Multifactor не увеличивает риски раскрытия паролей сотрудников, так как не собирает, не хранит и не обрабатывает их. У приложения нет доступа к учетным данным, поскольку они проверяются в пределах корпоративной сети. Когда ввод корректного пароля подтвержден, система направляет запрос на аутентификацию вторым фактором.

Серьезные опасения могла бы вызвать передача биометрических данных сотрудников компании. Однако в Multifactor она также не производится. Когда в системе регистрируется устройство, способное работать с биометрическими данными и выбирается этот вариант аутентификации, создается две пары ключей. Первый является секретным и хранится на самом устройстве. В Мультифактор передается второй открытый ключ, который не содержит биометрических данных. Закрытый ключ «подписывает» запрос от системы на аутентификацию, открытый — используется для проверки и подтверждения подлинности пользователя.

Как защищает

Рис. 5. Принцип работы Multifactor с учетными данными

Обработка запроса производится в облаке Multifactor. Если второй фактор аутентификации подтвержден успешно, пользователь получает доступ к запрашиваемому ресурсу.

Как уточняют разработчики, использование инструмента снижает риски неавторизованного доступа на 99%. При этом новых рисков, связанных с перехватом и подбором паролей, не создается.

Вычислительные мощности и сетевая инфраструктура Multifactor размещены на территории РФ. Центр обработки данных DataLine находится в Москве. Это выгодно отличает решение от ряда аналогов, ЦОДы которых расположены за рубежом. Оператором инфраструктуры инструмента двухфакторной аутентификации выступает Ростелеком, а оператором платформы является сам Мультифактор.

Установка и поддержка

Регистрация в системе управления Multifactor – легкий и бесшовный процесс, который администратор может выполнить самостоятельно. Развернуть полную защиту всех необходимых программ и инструментов можно примерно за два часа.

Далее к системе нужно подключить все нуждающиеся в усиленной защите ресурсы компании. В большинстве случае двухфакторная аутентификация необходима как минимум для двух операций:

  • входа в систему;
  • восстановления пароля.

Установка и поддержка

Рис. 6. Схема работы Multifactor

В компании Multifactor рекомендуют перед подключением провести анализ потребностей компании. Возможно, аналогичным образом потребуется защитить что-то еще. В некоторых случаях оправданной будет защита каких-то действий, которые могут нанести компании особый ущерб, поэтому требуют особого контроля. К таковым часто можно отнести выгрузку отчета по продажам со всеми контрагентами и прочие документы, защищенность которых критически важна. Инструмент располагает возможностями защиты для всех важных для компании операций.

Технические требования и затраты

Для работы с Multifactor заказчику нет необходимости разворачивать какую-либо дополнительную инфраструктуру на своей стороне. Аутентификация проводится исключительно средствами вендора. Для этого применяется проксирование запроса на аутентификацию через ПО RADIUS adapter, IIS Adapter и портала Self-Service Portal, не требующих дополнительных лицензий или серверных мощностей.Это позволяет сократить расходы на установку.

Пользователи Multifactor избавлены и от необходимости покупки лицензий на ПО сторонних вендоров. Единственные возможные дополнительные затраты составляет приобретение аппаратных токенов, если этот способ аутентификации выбран заказчиком.

Таким образом, стоимость использования состоит исключительно из цены лицензии самого ПО Multifactor. Сэкономить можно, если отдать предпочтение подходящему корпоративному или партнерскому тарифу.

Для работы в Multifactor не понадобится инфраструктуры продвинутого уровня со стороны пользователя. Однако базовые технически требования все же есть. Определяются они не характеристиками продукта, а тем ресурсом или инструментом, для которого настраивается аутентификация.

Чтобы настроить двухфакторную аутентификацию при входе в Windows потребуются:

  • операционная система от Windows 7 или выше 64 бит десктопная;
  • операционная система Windows Server 2012 или выше 64 бит серверная;
  • открытый исходящий порт 1812 UDP, по которому будут отправляться запросы RADIUS протоколу;
  • доступ к RADIUS или иному адаптеру в локальной сети;
  • предварительно обновленный Microsoft Visual C++ Redistributable.

Для настройки двухфакторной аутентификации на сервере Windows со службой RD Gateway потребуется выполнение следующих условий:

  • предварительная установка и настройка на сервере компоненты Remote Desktop Gateway и Network Policy and Access Service;
  • компонент MultiFactor Radius Adapter, установленный на сервере с NPS;
  • доступ к хосту api.multifactor.ru для сервера по порту 443 (TLS).

Оптимальный способ составить перечень всех необходимых технических требований — создать список подключаемых к двухфакторной аутентификации решений. Далее можно проверить требования для каждого из них. Вся информация по подключению доступна в разделе «Начало работы» на сайте Multifactor. Поэтому каких-либо сложностей подключение и настройка вызвать не должны.

Настройка для сотрудников

После завершения установки и настройки Multifactor администратором приходит очередь настройки для сотрудников. Добавление новых пользователей система также позволяет автоматизировать. Для этого используется PowerShell-автоматизация. Новые пользователи получают на e-mail конфигурационные ссылки, по которым могут настроить предпочтительный способ многофакторной аутентификации. Чтобы не растягивать задачу, администратор может определить срок, за которую она должна быть выполнена.

Важный плюс — обучать сотрудников пользоваться Мультифактором не требуется. Получив сообщение, они смогут настроить всё сами. Также предусмотрен онбординг для новых пользователей, который точно поможет найти ответы на возникшие вопросы.

Настройка для сотрудников

Рис. 7. 3 режима подключения 2FA пользователями Multifactor

Сертификация

Мультифактор входит в единый реестр российского ПО под № 7046, так как является полностью отечественной разработкой.

Выводы

Multifactor – удобная и надежная система двухфакторной аутентификации полностью российской разработки, с отечественным ЦОДом и самостоятельным обслуживанием платформы. Решение входит в реестр российского ПО.

Защищая свои web-сайты и приложения с помощью Multifactor, компания в любом случае существенно уменьшает риски несанкционированного доступа. При этом новых угроз не создается — инструмент не получает доступ ни к паролям, ни к биометрическим данным, так как всё хранится на стороне заказчика.

Восемь разновидностей второго фактора аутентификации и возможность выбора наиболее удобного варианта каждым пользователем обеспечивают максимальный комфорт и гибкость. Multifactor просто настроить, использовать и интегрировать в любую ИТ-инфраструктуру компании.


Читайте также


Комментарии 0