Основной проблемой современного Интернета является аутентификация. Именно обман процедуры аутентификации и лежит в основе большинства хакерских атак, в которых злоумышленники выдают себя за легальных пользователей. При этом не всегда помогают даже такие средства аутентификации как специальные устройства (токены), которые генерируют одноразовые пароли. Они не очень удобны в использовании, поскольку их нужно иметь под рукой для прохождения процедуры аутентификации. Однако, как показывает практика, и на них так же могут быть организованы атаки. Примером может служить атака на систему дистанционного банковского обслуживания нескольких банков, которая началась со взлома производителя токенов RSA.
В то же время практически у всех пользователей современных технологий удаленного доступа есть устройство, которое привязано жестко к пользователю — это его мобильный телефон. Сейчас он постепенно превращается и в средство аутентификации пользователей. В России все контракты мобильных операторов именные и привязаны к паспортам, что позволяет по номеру мобильного телефона в случае необходимости определить его владельца. Именно эту особенность мобильного телефона и использует компания SecurEnvoy, разработавшая продукт SecurAccess для аутентификации пользователей в различных веб-системах с помощью мобильного телефона.
Телефон как имя
Компания предлагает систему, которая позволяет аутентифицировать пользователя по номеру телефона. Продукт состоит из сервера, который рассылает одноразовые пароли на мобильные телефоны предварительно зарегистрированных пользователей. При этом у пользователя проверяется знание постоянного пароля для входа в систему аутентификации Windows. Для этого продукт интегрируется с такими службами каталогов как Microsoft Active Directory, Novell E-Directory, Sun Directory Server и OpenLDAP, а сама процедура аутентификации выполняется по протоколу Kerberos. Дополнительным фактором защиты может служить PIN-код для снятия блокировки самого телефона, который вообще не передаётся по сетям и его знает только владелец телефона. Одноразовый пароль служит для подтверждения регистрации данного телефона в системе. Таким образом, систему можно отнести к классу двухфакторных с привязкой к телефону. SecurAccess интегрируется с большинством серверов удалённого доступа и веб-службами, включая Microsoft OWA, Citrix, Juniper, Cisco и многими другими. Устанавливается он на любой существующий сервер Microsoft Windows 2003 или 2008, поддерживающий виртуальные среды, такие как VMware и Microsoft Hyper-V. Причем может работать и в условиях нестабильной сотовой связи — в одном SMS может передаваться до 3 кодов-паролей. Использование их последовательно пользователю можно получать в три раза меньше сообщений. Кроме того, есть режим получения временных ключей со сроком действия один или несколько день — они хорошо подходят для временного персонала. Причем у пользователя есть возможность получить временный пароль с помощью веб-интерфейса или по электронной почте.
Технология, реализованная в SecurAccess, предназначена для построения систем удалённого доступа, решая наиболее сложную для них проблему двухфакторной аутентификации. Причем она проще в использовании, чем традиционные аппаратные устройства — для её применения пользователям достаточно стандартных мобильных телефонов. Кроме того, она может оказаться дешевле. Токены стоят определённых денег, да к тому же ими нужно управлять, для чего приходится разворачивать специальные приложения. В то же время при потере токена этот факт может обнаружиться не сразу, а для его замены нужно приобретать новый токен, приходить к системному администратору и прописывать его в системе.
В то же время стоимость решения с использованием мобильных телефонов зависит от лицензии на само ПО и цены SMS, которая постоянно снижается. Аппаратная же часть системы — мобильные телефоны — находятся вообще в собственности пользователя, и он за них отвечает самостоятельно. Кроме того, сам пользователь следит за тем, чтобы мобильный телефон был постоянно доступен и в случае потери может легко восстановить номер. При потере телефона пользователь может восстановить его номер самостоятельно, не обращаясь к системному администратору, но к собственному оператору или зарегистрировать новый номер телефона — в любом случае нет необходимости физического присутствия пользователя при регистрации устройства.
Поскольку для генерации одноразовых паролей используется не хеширующая функция, но действительно случайные числа, то и не существует начального вектора инициализации, как в аппаратных устройствах. Поэтому от надёжности защиты производителя, как это произошло с RSA, работа механизма не зависит. При этом регистрация в системе может быть дистанционной и легко контролироваться компанией по спискам контактных телефонов сотрудников, клиентов или партнёров. Безопасность системы зависит от защиты сервера, которую можно сделать достаточно надёжной. Для взлома механизма аутентификации хакеры должны перехватывать канал между корпоративной сетью и мобильным оператором, что сделать достаточно трудно, или же получить контроль над мобильным телефоном жертвы.
Аутентификация по мобильному телефону может пригодиться для систем дистанционного банковского обслуживания, различных платёжных приложений и любых систем удалённого доступа к наиболее ценным корпоративным ресурсам. В частности, подобная процедура защищает от действия троянских программ, которые работают на компьютере и не в состоянии синхронно контролировать еще и мобильный телефон сотрудника. Защититься же от троянцев на мобильном телефоне достаточно просто — использовать простые телефоны, которые только и умеют, что получать SMS-сообщения.
Кроме того, аутентификация с помощью мобильных телефонов хорошо подходит для защиты облачных приложений. Продукт SecurEnvoy работает в виртуальных средах VMware и Microsoft Hyper-V, что облегчает его использование в облачных приоложениях. Поэтому его можно использовать для усилиения безопасности облачных вычислений — именно это и является сейчас основной проблемой для внедрения облаков. Надёжная аутентификация в облаке является ключевой задачей при построения системы защиты распределённых приложений.
Также на основе данного сервера безопасности работает несколько продуктов SecurEnvoy, каждый из которых может найти своё место в инфраструктуре компании. Так надёжная аутентификация во время чрезвычайных ситуаций может быть выполнена с помощью продукта SecurICE, восстановление паролей через мобильный телефон можно организовать с помощью продукта SecurPassword, а для передачи защищенных сообщений можно воспользоваться продуктом SecurMail.
Не так давно мы уже обсуждали качество картинки в обзоре первых мини-ITX Brazos. Если вычитали этот ...