ГлавнаяНовостиСтатьиКаталогВендоры Контакты  +7 (495) 231-4831  © 
КаталогСредства аутентификации и защиты от НСДАладдин Р.Д. – eToken и решения на их базеОписание
Спецификация eToken PRO

Возможные сценарии использования eToken NG-OTP - средство аутентификации

Сценарий аутентификации с помощью OTP

Задача

  Пользователю необходимо установить безопасную связь через Интернет с корпоративной сетью. Для этого он должен пройти процесс строгой аутентификации.

  Решение

  Запрос на аутентификацию пользователя осуществляется с помощью запуска VPN-клиента (с удаленного рабочего места пользователя), который затем выводит подсказку о необходимости ввода имени пользователя и пароля.

  Пользователь генерирует значение OTP, нажимая на кнопку на корпусе eToken NG-OTP, а затем вводит полученное число (значение OTP) в диалоговом окне VPN-клиента. После того, как число будет введено, VPN-клиент посылает VPN-шлюзу запрос на аутентификацию.

  VPN-шлюз должен определить, является ли запрос правомочным. Для этого шлюз запрашивает сервер аутентификации, который в свою очередь проверяет и оценивает ОТР, введенный пользователем.

  Если оценка OTP прошла успешно, сервер аутентификации уведомляет об этом шлюз VPN, который затем задействует определенные заранее политики и принимает решение о разрешении пользователю установить соединение с корпоративной сетью. После установки связи пользователю будет доступен необходимый ему ресурс.

  В целях оценки ОТР сервер аутентификации использует параметры из специального хранилища, созданного на основе Active Directory. В качестве сервера аутентификации eToken OTP использует Microsoft IAS (Службу аутентификации через Интернет).

Использование eToken NG-OTP для VPN доступа

Проблема.

  На сегодняшний день большинство корпоративных приложений предполагает наличие механизм контроля доступа и требует соответствующей идентификации пользователя.

  В большей части приложений применяется устаревшая концепция получения доступа с помощью ввода имени пользователя и пароля, имеющая определенный набор недостатков. Администрирование паролей требует существенных затрат, их сложно запоминать и, кроме того, они весьма чувствительны к атакам. Обычные пароли легко скопировать, раскрыть или взломать.

  Решение

  Традиционная технология IPSec VPN и бесклиентская технология VPN SSL помогают компаниям делать приложения доступными для удаленного персонала, работников, находящихся в постоянных разъездах, деловых партнеров, поставщиков и клиентов.

  Обе эти технологии, с помощью клиента VPN или браузера, позволяют удаленным пользователям получать доступ к деловым приложениям, файлам и данным, находящимся в сети, практически из любого места.

  eToken NG-OTP позволяет пользователям генерировать одноразовые пароли, обеспечивающие повышение уровня безопасности при получении доступа к приложениям. Применение технологии eToken NG-OTP позволяет устранить самое слабое звено инфраструктуры безопасности – статичные пароли, которые легко украсть, подобрать или просто угадать.

  Настройка VPN для аутентификации по OTP

  Типичная компания имеет центральный сайт, соединенный с Интернетом при помощи маршрутизатора. У компании может также быть отделение с выходом в Интернет. Некоторые сотрудники компании постоянно находятся в командировках и могут рассматриваться как удаленные пользователи. Несколько сотрудников компании могут работать дома.

  Персонал, находящийся в центральном офисе компании, имеет доступ к приложениям и файлам, возможность осуществлять печать, может пользоваться электронной почтой. Для прочих пользователей получение доступа к этим ресурсам может быть существенно сложнее.

  Сервер VPN устанавливается в корпоративной сети до маршрутизатора. Он соединяется с WAN и LAN с помощью отдельных портов Ethernet. Удаленные пользователи вводят либо URL сервера VPN в своем Web-браузере, чтобы начать защищенную сессию Clientless VPN SSL, либо вводят свои традиционные для VPN-клиента данные для шифрованной связи IPSec.

  Сервер VPN применяет внешнюю аутентификацию. Аутентификация пользователей осуществляется через сервер аутентификации Microsoft IAS RADIUS. Если серверы VPN работают как клиенты RADIUS, в целях осуществления аутентификации они могут передавать сведения о клиенте серверу RADIUS.

Применение пользователями NG OTP позволяет повысить безопасность процедуры аутентификации. Модуль eToken NG OTP генерирует одноразовый пароль OTP. Пользователь вводит в соответствующем поле имя пользователя и значение ОТР в поле для ввода пароля на странице Clientless VPN или в диалоговом окне подключения, если применяется традиционная VPN.

  Сервер VPN (клиент RADIUS) передает запрос на аутентификацию серверу IAS RADIUS. Сервер IAS RADIUS с помощью Active Directory проверяет одноразовый пароль. Если аутентификация проходит успешно, пользователь получает доступ к серверу VPN.

  RADIUS является протоколом на основе архитектуры клиент-сервер, позволяющим применяемому в процессе аутентификации оборудованию запрашивать аутентификацию у сервера RADIUS.

  Сервер Microsoft IAS RADIUS имеет доступ к учетной записи пользователя в Active Directory и, таким образом, может осуществлять проверку полномочий пользователя на получение аутентификации. Если ваши полномочия подтверждены и попытка связи авторизована, сервер RADIUS разрешает доступ в соответствии с заранее определенными параметрами, а также заносит сведения о получении доступа в журнал регистрации.

  Клиент RADIUS (обычно сервер удаленного доступа, сервер VPN или точка беспроводного доступа) посылает данные о пользователе в форме сообщения на сервер RADIUS.

  Сервер RADIUS аутентифицирует и авторизует запрос клиента RADIUS и посылает ответ на сообщение. Клиент RADIUS также посылает серверам RADIUS сообщения о состоянии учетной записи servers. Кроме того, стандарты RADIUS поддерживают прокси RADIUS. Прокси RADIUS представляют собой компьютер, который передает сообщения RADIUS компьютерам, поддерживающим эту систему.

Служба IAS поддерживает стандарты IETF для RADIUS, описанные в RFC 2865 и 2866. Когда сервер IAS входит в домен Active Directory, IAS применяет службу директорий в качестве базы данных пользователей. Аналогичный набор характеристик применяется при контроле доступа к сети (аутентификация и авторизация доступа к сети) и подключении к домену Active Directory.

  Когда дополнение к плагину eToken OTP реализуется с RADIUS IAS, плагин OTP, установленный на сервере IAS, сравнивает OTP с виртуальным токеном, хранящимся в AD.

Сценарий работы с традиционным VPN

В качестве сценария опишем установку сервера VPN в корпоративной сети до маршрутизатора Интернет. Этот сервер отвечает на запросы клиентов VPN, желающих получить доступ к защищенным внутренним ресурсам. При создании туннеля IPSec сервер сетевого доступа (NAS, Network Access Server) будет требовать двухфакторной аутентификации пользователя с помощью одноразового пароля. После успешного осуществления аутентификации удаленный пользователь получает защищённый доступ ко внутренней сети.

  Для настройки аутентификации пользователей с помощью ОТР и использования клиентского программного обеспечения VPN, поддерживающего туннели VPN, необходимо выполнение следующих условий:

  • Установите систему управления жизненным циклом смарт-карт и USB-ключей eToken - eToken TMS в домене Microsoft Windows.
  • Установите службу Microsoft IAS на одном из серверов внутренней сети (этот сервер будет выполнять функции сервера RADIUS), установите и настройте плагин eToken OTP на сервере RADIUS.
  • Сконфигурируйте сервер сетевого доступа (NAS, Network Access Server) как клиент RADIUS (чтобы он выполнял аутентификацию удалённых пользователей по протоколу RADIUS на сервере Microsoft IAS RADIUS).
  • Через административный интерфейс системы eToken TMS: зарегистрируйте USB-ключи eToken NG-OTP; ассоциируйте каждый ключ с учётной записью пользователя, которому требуется удалённый доступ; выполните операцию инициализации и выпуска ключей для этих пользователей.
  • Настройте клиентское программное обеспечение VPN на получение доступа к сети через NAS.

После осуществления настройки следует запустить клиентское программное обеспечение, ввести имя пользователя и одноразовый пароль ОТР. Если туннель VPN создан успешно, пользователю будет предоставлен защищённый удалённый доступ ко внутренней сети.

  VPN-шлюзы IPSec VPN обычно реализуются на брандмауэрах и позволяют или запрещают удаленный доступ ко всем частным подсетям.

Сценарий работы с бесклиентским VPN

В качестве другого сценария возможен вариант, при котором сервер SSL VPN устанавливается в корпоративной сети за маршрутизатором Интернет. Он обрабатывает запросы клиентов SSL VPN на получение доступа к защищенным внутренним ресурсам.

  Применение SSL больше подходит в тех случаях, когда доверие к удаленным пользователям ограничено, или когда установка сертификатов не целесообразна (компьютеры деловых партнеров, компьютеры в открытом доступе, домашние компьютеры).

  Сервер сетевого доступа (NAS), играющий роль прокси, обрабатывает запросы на получение доступа к защищенным Web-ресурсам. Аутентификация требуется до получения доступа к Web-ресурсу. После успешного осуществления аутентификации удаленный пользователь получает доступ к защищенной сети, например, к учетной записи OWA (после дополнительной аутентификации).

  Обычно для поддержки ОТР в описываемом случае требуется выполнение следующих условий:

  • NAS должен быть настроен для поддержки туннелей SSL VPN.
  • Для поддержки аутентификации пользователей с помощью Microsoft IAS необходимо определить NAS как клиента RADIUS.
  • Необходимо установить TMS и настроить плагин OTP в IAS.
  • Следует зарегистрировать пользователей OTP в профилях.

По завершению настройки следует запустить браузер и вписать ссылку OWA на порт 443. Во время создания туннеля SSL необходимо будет ввести имя пользователя и пароль ОТР. Если туннель будет создан, пользователь будет перенаправлен на форму аутентификации OWA. На этом этапе для получения доступа к учетной записи вам придется пройти повторную аутентификацию с помощью имени пользователя и пароля.


Рейтинг @Mail.ru
Rambler''s Top100