Сертификат AM Test Lab
Номер сертификата: 259
Дата выдачи: 02.07.2019
Срок действия: 02.07.2024
- Введение
- Архитектура ESET Secure Authentication
- Функциональные возможности и системные требования ESET Secure Authentication
- Установка и предварительная настройка ESET Secure Authentication
- Работа с ESET Secure Authentication
- 5.1. Управление пользователями в ESET Secure Authentication
- 5.2. Управление компонентами и создание приглашений в ESET Secure Authentication
- 5.3. Использование ESET Secure Authentication с аппаратными токенами
- 5.4. Использование отчетности и настроек в ESET Secure Authentication
- Выводы
Введение
При современном развитии технологий понятие рабочего места настолько размыто, что под ним может подразумеваться любое мобильное устройство, имеющее доступ к интернету. При такой организации работы необходимо обеспечить гарантированную аутентификацию пользователя, что предполагает использование стойкой парольной защиты.
Пароль, созданный сегодня по всем правилам безопасности и являющийся образцом в стойкости к различного рода взломам, уже завтра может считаться совершенно небезопасным. Информационные технологии ежедневно совершенствуются, а вместе с ними совершенствуются и технологии взлома защиты информации. Для сохранения стойкости пароля его необходимо постоянно усложнять и запоминать длинные буквенно-цифровые комбинации. И все равно эти методы не гарантируют стопроцентную защиту. Массовые утечки учетных данных пользователей подтверждают, что использование одного лишь пароля небезопасно, даже если он и соответствует всем требованиям парольной защиты. Эти выводы подтверждает масштабный опрос интернет‑пользователей, который проводила компания ESET. При проведении опроса 60% пользователей ответили, что они как минимум единожды сталкивались с кражей данных от своих учетных записей, а 25% из них ответили, что становились объектами злоумышленников неоднократно.
Сотрудникам, работающим удаленно, необходимо обеспечить стабильный и безопасный доступ к обрабатываемой информации, а работодателю необходимо точно знать, что именно их сотрудник, а не злоумышленник в настоящий момент получил доступ к информационным ресурсам организации. Информация, циркулирующая внутри организации, как правило, значима для компании, и ее конфиденциальность является одной из составляющей успешного бизнеса.
Все эти угрозы позволяет минимизировать использование многофакторной аутентификации, а как частное решение — двухфакторная аутентификация (Two Factor Authentication — 2FA).
Двухфакторная аутентификация обеспечивает эффективную защиту пользовательских аккаунтов от несанкционированного проникновения в различных сервисах, при помощи запроса двух разных аутентификационных данных. Первый — это стандартное использование связки логин/пароль, а второй — ввод одноразового пароля (OTP). На сегодняшний день процесс двухфакторной аутентификации можно считать надежным барьером, который значительно усложняет злоумышленнику доступ к защищаемой информации.
ESET Secure Authentication (далее сокращенно ESA) позволяет внедрить двухфакторную аутентификацию при осуществлении входа в операционную систему компьютера, при обращении к веб‑приложениям Microsoft, при осуществлении доступа к облачным сервисам, а также при обращении к VPN и VDI-системам компании.
ESA генерирует одноразовый пароль и позволяет отправить его в виде SMS‑сообщений на заранее зарегистрированный номер мобильного телефона пользователя, либо возможно получить этот пароль в мобильном приложении ESET Secure Authentication, которое устанавливается пользователем заранее, или же одноразовый пароль может быть получен при помощи аппаратного токена пользователя, а также OTP может быть доставлен на пользовательский e-mail адрес.
Плюс ко всему перечисленному ESA 2.8 позволяет использовать push‑сообщения для подтверждения аутентификации пользователем и позволяет использовать аутентификаторы, соответствующие стандартам FIDO2, что повышает уровень безопасности и удобство для пользователя. В случае применения push‑сообщения для подтверждения аутентификации, пользователю на установленное мобильное приложение или смарт-часы приходит push‑уведомление, и для успешной аутентификации необходимо лишь одним касанием подтвердить его, или же наоборот отклонить, если по каким-либо причинам необходимость в аутентификации пропала.
Далее в обзоре более подробно расскажем о продукте ESET Secure Authentication и рассмотрим, чем же он выгодно выделяется на фоне остальных подобных решений.
Архитектура ESET Secure Authentication
ESET Secure Authentication является полностью самостоятельным программным продуктом, предназначенным для корпоративного использования, и представляет собой набор отдельных модулей, которые позволяют внедрять двухфакторную аутентификацию.
В ESET Secure Authentication 2.8 можно выделить серверную и клиентскую часть, взаимодействие которых и обеспечивает реализацию двухфакторной аутентификации.
Серверная часть продукта поддерживает только операционные системы семейства Windows Server. При работе с учетными записями пользователей используется Microsoft Windows Active Directory или собственная база данных. Использование API позволяет внедрять ESA в любые системы аутентификации, такие как веб‑порталы, системы CRM, различные бухгалтерские системы и т. д., а использование пакета SDK позволяет встраивать двухфакторную аутентификацию в собственное программное обеспечение. Управление серверной частью продукта возможно при помощи веб-консоли ESA.
Клиентская часть ESET Secure Authentication совместима с актуальными мобильными платформами и устанавливается на мобильное устройство пользователя, что позволяет ему принимать push-уведомления и генерировать одноразовые пароли доступа. Если по каким-либо причинам использование клиентской части невозможно, то ESET Secure Authentication позволяет использовать аппаратные токены, работающие по стандарту OATH (Open Authentication), и аутентификаторы, соответствующие стандарту FIDO2.
Использование клиентской части ESA и аппаратных токенов не является строгой необходимостью. При их отсутствии ESET Secure Authentication не теряет свою функциональность. В этом случае одноразовые пароли могут быть доставлены пользователю в виде SMS или e-mail сообщений.
Один из вариантов построения двухфакторной аутентификации при помощи ESET Secure Authentication 2.8 показан на рисунке 1.
Рисунок 1. Пример построения двухфакторной аутентификации при помощи ESET Secure Authentication 2.8
В состав ESET Secure Authentication 2.8 входят следующие компоненты:
- модуль ESA Web Application;
- модуль ESA Remote Desktop;
- модуль ESA Windows Login;
- сервер защиты ESA RADIUS Server;
- служба ESA Authentication Service;
- средство управления ESA Management Tools.
Каждый компонент реализует строго определенный набор функций, о чем мы поговорим далее в статье.
Функциональные возможности и системные требования ESET Secure Authentication
В ESET Secure Authentication 2.8 можно выделить следующие основные функции:
- Защита двухфакторной аутентификацией доступа к офисным приложениям Microsoft. Таких как: Microsoft Exchange Server 2007 (Outlook Web Access — Exchange Client Access Server) (64-разрядная версия); Microsoft Exchange Server 2010, 2013, 2016, 2019 (Outlook Web App — Exchange Client Access Server); Microsoft Dynamics CRM 2011, 2013, 2015, 2016; Microsoft SharePoint Server 2010, 2013, 2016, 2019; Microsoft SharePoint Foundation 2010, 2013.
- Защита двухфакторной аутентификацией доступа к удаленному рабочему столу, при использовании платформы VMware Horizon View и Citrix XenApp.
- Защита двухфакторной аутентификацией входа в операционную систему Microsoft Windows.
- Добавление двухфакторной аутентификации в аутентификацию виртуальной частной сетей компании (VPN), при использовании таких платформ как: Barracuda, Cisco ASA, Citrix Access Gateway, Citrix NetScaler, Check Point Software, Cyberoam, F5 FirePass, Fortinet FortiGate, Juniper, Palo Alto, SonicWall. Добавление двухфакторной аутентификации в пользовательские приложения, например, «1С:Предприятие».
- Защита входа двухфакторной аутентификацией в облачные сервисы, такие как Office 365 и Google G Suite.
- Управление пользователями и тонкая настройка отдельных модулей ESA.
- Поддержка любых аппаратных токенов, поддерживающих стандарт OATH.
- Подтверждение аутентификации пользователя при помощи push‑сообщений.
ESET Secure Authentication не требовательна к системным ресурсам. Основные требования предъявляются к платформе, на которую будет интегрироваться клиентская и серверная части продукта. Поддерживаемые платформы для установки серверной и клиентской части указаны в таблице 1.
Таблица 1. Перечень поддерживаемых платформ, необходимый для инициализации клиентской и серверной части ESET Secure Authentication 2.8
| Поддерживаемые платформы |
Клиентская часть ESET Secure Authentication 2.50 | с iOS 8 до iOS 12; |
Серверная часть ESET Secure Authentication 2.8 | Windows Server 2008, 2008 R2, 2012, 2012 R2, 2012 Essentials, 2012 R2 Essentials, 2016, 2016 Essentials 2019, 2019 Essentials; |
Для корректной работы каждого компонента, входящего в состав ESA, необходимо наличие определенных предустановленных системных элементов. Перечень таких элементов представлен в таблице 2.
Таблица 2. Необходимые системные элементы для корректного функционирования отдельных компонентов ESET Secure Authentication 2.8
Необходимые элементы системы | |
Модуль ESA Web Application | Windows Server 2008 или версия новее, либо Windows 7 или более новая версия; |
Модуль ESA Remote Desktop | Windows Server 2008 или версия новее, либо Windows 7 или более новая версия; |
Модуль ESA Windows Login | Windows 7, 8, 8.1, 10 (включая обновление Fall Creators или Redstone 3); |
Сервер защиты ESA RADIUS Server | Windows Server 2008 или версия новее; |
Служба ESA Authentication Service | Windows Server 2008 или версия новее; |
Средство управления ESA Management Tools | Windows 7 или версия новее, либо Windows Server 2008 или более новая версия; |
Установка и предварительная настройка ESET Secure Authentication
При первоначальном развертывании продукта необходимо установить как минимум один экземпляр сервера аутентификации (Authentication Server) и как минимум одну конечную точку аутентификации. Эти компоненты возможно инициализировать как на одной системе, так и распределить их по различным рабочим местам. Исключением является веб-консоль, которая является частью сервера аутентификации ESA. Разворачивание сервера аутентификации возможно не только на контроллере домена, но и на любом рабочем месте в среде Active Directory. На рисунке 2 представлен стандартный пример разворачивания системы ESA.
Рисунок 2. Стандартное разворачивание ESET Secure Authentication 2.8
Для безопасной установки продукта требуется интернет-подключение, а также необходима установленная платформа .NET Framework версии 4.5, в случае ее отсутствия программа установки попытается автоматически ее инициализировать.
Установка продукта начинается с выбора типа установки (рисунок 3). В ESA существует два типа установки: с интеграцией с Active Directory (AD) и без интеграции с AD, т. е. установка автономной версии продукта.
Рисунок 3. Окно выбора типа установки ESET Secure Authentication 2.8
При выборе каждого типа установки происходит проверка наличия инициализированных системных компонентов. На рисунке 4 продемонстрирована проверка установленных системных компонентов, при выборе типа установки с интеграцией с Active Directory, а на рисунке 5 проверка установленных компонентов, при выборе автономного типа установки.
Рисунок 4. Проверка установленных компонентов при инициализации ESET Secure Authentication с интеграцией Active Directory 2.8
Рисунок 5. Проверка установленных компонентов при автономной инициализации ESET Secure Authentication 2.8
При успешном прохождении проверки наличия установленных системных компонентов в следующем окне нужно выбрать модули ESA, которые необходимы для установки. В таблице 3 перечислены эти модули и их краткое описание.
Таблица 3. Модули ESET Secure Authentication 2.8 и их краткое описание
Наименование модуля ESA | Назначение модуля |
Authentication Service | Служба аутентификации ESA, с помощью которой интегрируется двухфакторная аутентификация в пользовательские приложения |
Management Tools | Средства управления ESA. Используется для управления пользователями и настройки продукта и его компонентов |
Reporting Engine (Elasticsearch) | Механизм отчетности ESA. Позволяет просматривать отчеты в веб‑консоли платформы |
Windows Login | Модуль добавляет двухфакторную аутентификацию при осуществлении входа в операционную систему компьютера |
RADIUS Server for VPN Protection | При помощи RADIUS-сервера возможно добавление двухфакторной аутентификации в процесс аутентификации VPN-соединения |
Remote Desktop Protection | Модуль добавляет двухфакторную аутентификацию в процесс аутентификации пользователей при использовании удаленного рабочего стола |
Web Application Protection for Microsoft Exchange Server | Модуль позволят добавить двухфакторную аутентификация при работе с Microsoft Exchange Server |
Web Application Protection for Microsoft SharePoint Server | Модуль включает двухфакторную аутентификацию при работе с семейством продуктов Microsoft SharePoint Server |
Web Application Protection for Remote Desktop Web Access | Модуль позволяет защитить веб‑приложения для удаленного доступа рабочего стола при помощи добавления двухфакторной аутентификации |
Web Application Protection for Microsoft Dynamics CRM | Модуль добавляет двухфакторную аутентификацию в пакет программного обеспечения Microsoft Dynamics CRM |
Web Application Protection for Remote Web Access | Модуль позволяет интегрировать процесс двухфакторной аутентификации в веб‑приложения для удаленного доступа |
Active Directory Federation Services (AD FS) Protection | Модуль позволяет защитить двухфакторной аутентификацией доступ к Active Directory |
Следующим этапом после выбора модулей необходимо указать предварительные настройки сервера аутентификации и RADIUS-сервера (рисунок 6), а затем указать логин и пароль для защиты доступа веб‑консоли администратора (рисунок 7), а также логин и пароль для ограничения доступа к механизму отчетности (рисунок 8).
Рисунок 6. Окно с предварительными настройками сервера аутентификации и сервера защиты RADIUS в ESET Secure Authentication 2.8
Рисунок 7. Окно ввода логина и пароля для защиты веб‑консоли администратора в ESET Secure Authentication 2.8
Рисунок 8. Окно ввода логина и пароля для доступа к механизму отчетности в ESET Secure Authentication 2.8
На следующем этапе платформа повторно проводит проверку наличия системных компонентов и, если все компоненты соответствуют предъявляемым требованиям, то ESET Secure Authentication успешно инициализируется в системе.
Работа с ESET Secure Authentication
Работа с ESET Secure Authentication 2.8 осуществляется при помощи веб‑консоли управления. Доступ к веб‑консоли возможен с помощью Microsoft Internet Explorer 11, Google Chrome (последняя версия), Mozilla FireFox (последняя версия), Microsoft Edge (последняя версия) и Safari (последняя версия).
Веб‑консоль позволяет:
- управлять пользователями (добавление, удаление пользователей, изменение второго фактора аутентификации и т. п.);
- проводить настройку установленных модулей;
- управлять лицензией продукта.
Для доступа в веб‑консоль необходимо ввести в окне авторизации логин и пароль, которые были указаны во время установки продукта. На рисунке 9 представлено окно авторизации в веб‑консоли.
Рисунок 9. Окно авторизации в веб‑консоли ESET Secure Authentication 2.8
Управление пользователями в ESET Secure Authentication
Главное окно веб‑консоли (рисунок 10) предоставляет информацию о количестве зарегистрированных в системе пользователей, данные о сервере аутентификации, количестве установленных модулей, версию продукта и сведения о лицензии продукта.
Рисунок 10. Главное окно веб‑консоли ESET Secure Authentication 2.8
Вкладка USERS в главном окне веб‑консоли содержит список всех зарегистрированных в системе пользователей и позволяет ими управлять и настраивать их профиль в соответствии с требованиями политики безопасности, утвержденной в организации. В ESET Secure Authentication 2.8 возможна регистрация пользователей в ручном режиме и их синхронизация при помощи протокола LDAP, а также возможно импортирование списка пользователей из более поздних версий ESA при помощи CSV или LDIF файлов. На рисунке 11 показано окно со списком зарегистрированных в системе пользователей.
Рисунок 11. Список пользователей в ESET Secure Authentication 2.8
При синхронизации пользователей с помощью протокола LDAP (рисунок 12), необходимо указать адрес сервера LDAP, тип сервера, указать логин и пароль доступа LDAP, а также указать интервал синхронизации.
Рисунок 12. Синхронизация пользователей при помощи протокола LDAP в ESET Secure Authentication 2.8
Список пользователей отображает информацию о включении пользователя в ту или иную пользовательскую область и информацию об использовании типа двухфакторной аутентификации для каждого пользователя. При клике на имени пользователя открывается окно состояния пользователя (рисунок 13), которое позволяет просмотреть информацию об использовании двухфакторной аутентификации, добавить или исключить лишний тип аутентификации, который используется в качестве второго фактора защиты, возможно изменение пользовательского номера телефона, на который при необходимости будет отправлен код доступа, а также позволяет заблокировать пользователя или полностью его удалить из системы.
Рисунок 13. Окно просмотра состояния пользователя в ESET Secure Authentication 2.8
Для каждого пользователя в отдельности указывается способ доставки одноразового пароля и указывается возможность использования аппаратных токенов и push‑аутентификации. На рисунке 14 представлен пример push‑сообщения на устройстве под управлением операционной системы Android и iOS.
Рисунок 14. Пример push‑сообщения, используемый для аутентификации пользователя на мобильном устройстве под управлением Android (слева) и iOS (справа)
При получении такого сообщения пользователь может согласиться и подтвердить свою аутентификацию и это будет равноценно предоставлению одноразового пароля, либо отказаться и отклонить push‑сообщение, в этом случае авторизация пользователя будет отклонена.
Управление компонентами и создание приглашений в ESET Secure Authentication
Вкладка COMPONENTS в главном окне веб‑консоли позволяет управлять установленными компонентами. На рисунке 15 приведен пример изменения настроек такого компонента, как «RADIUS-сервер».
Рисунок 15. Пример настройки сервера защиты RADIUS в ESET Secure Authentication 2.8
Помимо управления установленными компонентами, во вкладке COMPONENTS можно создавать так называемые приглашения (рисунок 16). Они необходимы для развертывания двухфакторной защиты в сети без использования доменной службы Active Directory. Каждое приглашение можно ограничить по времени и количеству раз использования.
Рисунок 16. Создание приглашения в ESET Secure Authentication 2.8
В окне создания приглашения указывается его наименование, время, которое оно будет действительно, и максимальное количество попыток его использования. После заполнения всей необходимой информации и создания приглашения система показывает все детали созданного приглашения (рисунок 17).
Рисунок 17. Просмотр деталей созданного приглашения в ESET Secure Authentication 2.8
Управление и настройка установленных компонентов позволяет более точно реализовать и внедрить только необходимые функции двухфакторной аутентификации в каждый процесс доступа к конфиденциальным данным, а создание приглашений делает процесс внедрения двухфакторной аутентификации гибким.
Использование ESET Secure Authentication с аппаратными токенами
Если по какой-либо причине у пользователя отсутствует возможность или желание использовать клиентскую часть и одноразовые пароли, то в ESET Secure Authentication реализована возможность использования аппаратных токенов для генерирования кодов доступа и использования их в качестве второго фактора защиты.
ESET Secure Authentication поддерживает все аппаратные токены, соответствующие стандарту OATH. На сегодняшний день такие токены предлагают: VASCO, Gemalto (SafeNet), Yubico, Protectimus, Feitian и NagraID.
С помощью вкладки HARD TOKENS, которая находится в главном окне веб‑консоли, ESA позволяет управлять используемыми аппаратными токенами. В этой вкладке можно посмотреть список используемых пользователями аппаратных токенов (рисунок 18) в котором указывается дата начала и окончания использования токена, назначение использования, производитель токена и его тип.
Рисунок 18. Список используемых аппаратных токенов в ESET Secure Authentication 2.8
Аппаратные токены не поставляются совместно с ESA, при необходимости они приобретаются отдельно. Для формирования списка используемых аппаратных токенов нужно импортировать в систему файл XML-файл в формате PSKC. Такой файл должен поставляться совместно с токеном, а в случае отсутствия такого файла его необходимо запросить отдельно у производителя.
При использовании токена может возникнуть такая ситуация, как его рассинхронизация. Это может произойти, если пользователь создаст большое количество запросов на создание одноразовых паролей за короткий промежуток времени. Для исправления такой ситуации веб‑консоль ESA позволяет провести повторную синхронизацию токена.
Использование отчетности и настроек в ESET Secure Authentication
Если во время установки продукта дополнительно был установлен модуль Reporting Engine (Elasticsearch), то в этом случае ESET Secure Authentication 2.8 позволяет просматривать системные отчеты, в которых отражаются:
- все действия, проводимые в веб‑консоли;
- сообщения об ошибках;
- информация об отправке SMS-сообщений с одноразовым кодом доступа;
- информация по аудиту системы;
- информация по регистрации пользователей.
Системные отчеты можно найти в главном окне веб‑консоли, нажав на вкладку REPORTS (рисунок 19). Отчет содержит такую информацию, как время и дата события, информацию о компоненте системы, в котором произошло событие, описание события, имя пользователя, инициировавшего событие, и результат выполнения события.
Рисунок 19. Пример отчета в ESET Secure Authentication 2.8
Система также представляет информацию о зафиксированных событиях в виде графиков и диаграмм, что делает отчетность более наглядной и дает возможность офицеру безопасности проводить более качественный анализ выявленных инцидентов информационной безопасности, а использование фильтра позволяет отсеять ненужные события и провести расследование инцидента в кратчайшие сроки.
Вкладка SETTINGS, доступ к которой находится в главном окне веб‑консоли, открывает возможности для тонкой настройки отдельных элементов системы, а именно:
- управление учетной записью администратора веб‑консоли (добавление и удаление учетной записи, изменение типа аутентификации, блокирование профиля);
- управление лицензией продукта;
- настройка отчетности системы;
- настройка аутентификации по стандарту FIDO;
- настройка учетных данных API;
- настройка аутентификации мобильных приложений;
- создание и изменение списка белых IP‑адресов или их диапазонов, т. е. таких адресов, при доступе с которых не будет запрашиваться второй фактор защиты;
- выбор вариантов доставки одноразового пароля, которые будут использоваться по умолчанию при добавлении новых пользователей в систему.
На рисунке 20 приведен список настроек ESET Secure Authentication 2.8 с открытой вкладкой настройки списка белых IP‑адресов.
Рисунок 20. Настройка списка белых IP‑адресов в ESET Secure Authentication 2.8
Выводы
Использование двухфакторной аутентификации становится фактически стандартном для критических бизнес-приложений. Драйвером развития рынка двухфакторной аутентификации остаются риски несанкционированного доступа к данным и критическим для бизнеса информационным системам.
ESET Secure Authentication 2.8 позволяет применять двухфакторную аутентификацию для входа в операционную систему Windows, входа в облачные сервисы, доступа к VPN и VDI-системам организации. Также при помощи дополнительных модулей можно защищать вход в операционные системы семейства macOS и Linux, и программные продукты собственной разработки.
Можно отметить, что продукт прост в установке и настройке, а модульная структура помогает более рационально использовать его для постепенного внедрения двухфакторной аутентификации для различных задач.
Достоинства:
- Клиентская часть продукта поддерживает распространенные мобильные платформы, такие как: iOS с 8 до 12 версии; Android с версии 4.1 до 9.0 и с Windows Phone 8.1 до Windows 10 Mobile.
- Простота использования клиентской части продукта.
- Легкость интеграции продукта в существующую инфраструктуру организации.
- Модульная структура продукта позволяет добавлять двухфакторную аутентификацию только в необходимые процессы.
- Выбор наиболее удобного для пользователя способа получения одноразового пароля: при помощи SMS или e-mail или же при помощи мобильного приложения.
- Применение push‑сообщений в качестве второго фактора защиты при аутентификации пользователей.
- Поддержка любых аппаратных токенов, работающих по стандарту OATH (Open Authentication) HOTP.
- Набор средств разработки SDK и API для интеграции с со сторонними приложениями и ОС, отличными от Windows.
- Бесплатная круглосуточная поддержка продукта.
Недостатки:
- Серверная часть продукта не переведена на русский язык, что в некоторых ситуациях осложняет понимание того или иного элемента настройки.
- Полноценное функционирование продукта только в операционных системах семейства Windows. Для macOS и Linux необходимо использовать дополнительные модули для корректной настройки продукта.
- На момент подготовки обзора отсутствует сертификат ФСТЭК России.