`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Арсен Бандурян

Двухфакторная аутентификация (2FA) без фишинга и MITM

+24
голоса

В последнее время много новостей о том, что 2FA (двухфакторная аутентификация) в опасности из-за качественно выполненных фейковых страниц. Конечно, 2FA бывают разные. В некоторых "особо продвинутых" европейских банках до сих пор пор можно разжиться листиком с одноразовыми TAN-кодами.

Но уже несколько лет как индустрия не стоит на месте, и вместо одноразовых TAN/PIN-кодов прилетающих по SMS или через приложения типа RSA Token, Steam Guard, Google Authenticator есть и другие варианты.

Вот видео, нас интересует самый первый сценарий. Что происходит?

Вкратце:

  1. Пользователь логинится в приложение. Приложение не выполняет аутентификацию само - оно перенаправляет пользователя в его систему контроля доступа.
  2. Система контроля доступа (IAM - Identity & Access Management, SSO - Single Sign On) активирует приложение для Single Sign On на смартфоне пользователя.
  3. Пользователь видит на экране смартфона, что пришел запрос (кто, откуда и т.д.), аутентифицируется и разрешает доступ
  4. Система IAM получает зеленый свет и возвращает пользователя в приложение, прилагая параллельно разрешение на доступ.

Вопросы:

  • Q1: Где здесь пользватель вводил что-то в свой компьютер?
  • Q2: Куда дружным строем отправлятся фейковые страницы?.

Я понимаю, что теперь могут возникнуть и другие вопросы, поэтому

Подробнее

1. Пользователь логинится в приложение. Приложение не выполняет аутентификацию само - оно перенаправляет пользователя в его систему контроля доступа.

* Работает это не только для веб-сайтов, но и для десктопных и мобильных приложений. Типичный пример в бизнес-среде: приложения из MS Office 2013+ (реально 2010+, но там всё было очень кривенько).

* Стандартам и протоколам для интеграции с системами IAM/SSO (SAML, OAuth, OpenID Connect) уже много лет, за ними стоят такие гиганты как Google, Facebook и представители OpenSource сообщества. Есть куча библиотек, SDK и т.д. Так что не интегрируется только ленивый.

* Интеграция подразумевает обмен сертификатами между SSO/IAM и приложением - удачи в подделке 

2. Система контроля доступа (IAM - Identity & Access Management, SSO - Single Sign On) активирует приложение для Single Sign On на смартфоне пользователя.

* Нормальные и продвинутые системы позволяют гибко настраивать параметры 2FA

  • по приложениям (почта/финансы - важно, расписание корпоративного спортзала - можно и без 2FA),
  • по типу аутентификации в приложении-аутентификаторе (почта - палец/PIN, финансы - полный длинный пароль)
  • контексту и т.д. (диапазон IP - внутри из офиса или из аэропорта; с какого устройтва, является ли устройство корпоративным; соответствует ли оно Compliance Policy и т.д.).

* Таким образом можно реализовать интересные сценарии. Например, тот же доступ к финансовому приложению:

  • Корпоративный лаптоп в офисе - SSO через сертификат, пользователь просто заходит без вопросов, но только если лаптоп прошел проверку Health Attestation (антивирус, файрволл и т.д. отписались, что всё ОК)
  • Тот же лаптоп вне офиса (дома, в пути) - 2FA
  • [опционально] Тот же лаптоп вне офиса в VPN - пароль 
  • Свой лаптоп - доступ запрещен, и даже знание пароля и установленный VPN-клиент не помогут, т.к. к проверкам подключается корпоративная MDM-система.
  • Но посмотреть расписание корпоративного спортзала можно и со своего лаптопа/телефона - но через 2FA
  • А если хочется со своего и без 2FA - регистрируй устройство в корпоративном MDM (с разделением приватного и фирменного) и тогда можно и без 2FA

3. Пользователь видит на экране смартфона, что пришел запрос (кто, откуда и т.д.), аутентифицируется и разрешает доступ

* Обратите внимание, что при таком подходе пользователь, даже находясь на новогодней корпоративной вечеринке, сразу увидит, если кто-то пытается доступиться к его ресурсам.

Но вместо того, чтобы рвать на себе волосы достаточно просто отклонить запрос на доступ и продолжать пить отдыхать, а уже после ИБ по логам разберется.

* Также, нигде не фигурирует реальный пароль пользователя, и ничто не пишется в веб-страницу/приложение - фейковое или реальное

4. Система IAM получает зеленый свет и возвращает пользователя в приложение, прилагая параллельно разрешение на доступ.

* Разрешение (SAML Assertion) подписано ЭЦП системы IAM и действительно только для этой сессии - просто так не подделать

* Разрещение может содержать дополнительные параметры доступа: роль, ограничения (закрытие определенных разделов портала), временное окно для реаутентификации и т.д.

* И что тоже очень полезно (но должно поддерживаться с обеих сторон) - Just in time Provisioning - т.е. динамическое создание аккаунта в приложении.

Если в компанию пришло 10 человек, и каждому нужно создать 10 аккаунтов - какова вероятности, что админы где-то напортачат и сколько это потом исправлять? С помощью JIT Provisioning приложение получает данные из системы IAM и автоматом всё создает. Хороший пример - Salesforce.

В завершение.

Тему можно развивать долго. Вариантов много. Важно, что всё описанное выше - не космос, а вполне реальные вещи, которые может себе позволить любая организация числом от 1 до 100000 чел.

Естественно, если есть много корявых старых приложений, то всё будет сложнее, но в типичных сценариях сроки внедрения <1 мес - реальны.

Важным нюансом является то, что система IAM должна уметь работать с MDM (система управления мобильными устройствами, включая лаптопы/ПК) - иначе должный уровень безопасности не обеспечить (сохраняя вменяемый уровень простоты).

Два крупнейших решения (согласно Gartner MQ 2018):

* Microsoft Azure AD Premium P2 + Intune или MS 365 E3/E5

Отлично вписывается в формат организаций (особенно крупных), внедряющих Office 365 или двигающихся в облако Azure, есть пара подводных камней в лицензировании (типа отдельной платы на 2FA за каждую аутентификацию в отдельных пакетах), что компенсируется кучей всевозможных интеграций с другими продуктами MS и Azure  (в т.ч. мобильными приложениями), аналитикой, ИИ и т.д.

Как вариант, MS ADFS (Active Directory Federation Services) позволяет многое реализовать самому и без облака (в т.ч. что, чего Azure до сих пор не умеет, но приходится буквально сшивать лоскутное одеяло, интегрируя и поддерживая различные продукты от разных вендоров

* VMware WorkSpace ONE

VMware купила в 2014 абсолютного (по сей день, включая MQ 2018) лидера MDM/EMM рынка AirWatch и расширила функциональность своими решениями.

Наворотов не так много как у Microsoft, зато работает не только в облаке, больше возможностей для интеграции, больше поддерживаемых платформ (и зачастую больше функциональности - Mac, Android) экосистема (не заточена на Microsoft, как Intune/AzureAD, куча интеграций со специализированными вендорами безопасности, Threat Intelligence, Threat Management), проще лицензирование и, как результат, малые организации могут позволить себе "взрослые" фишки без доплаты.

Оба решения поддерживают управление Windows 10 Modern Management, т.к. MDM-протокол для Win10 разрабатывался (насколько мне известно) с привлечением AirWatch.


В общем, пора закругляться. Думаю дырки в повествовании еще остались. Если есть вопросы - задавайте.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

+24
голоса

Напечатать Отправить другу

Читайте также

У меня простой и очевидній вопрос: а если у пользователя нет смартфона? И, кстати, если вы ещё не сталкивались: аккаунты Exchange не работают на устройства зарегистрированных в вашей корпоративной MDM, если эти устройства (железо) не были официально завезены на территорию ЕС или США или ОК. Точнее: они как бы работаю, но "коряво". Например, если вы установите себе приложение Outlook, на Android купленный в Украине и зарегистрированный на MDM в Европе, США или ОК (Объеденённое Королевство),то - вы сможете видеть структуру папок IMAP но почта "ходить" не будет и будут другие проблемы связанные с Exchange. После долгих и запутанных расследований: почему в Украине и многих (не всех) странах бывшего СССР не работают сервисы MDM, которые должны работать и работают в других странах "запада", мы выяснили, что базы данных IMEI и серийных номеров основных брендов, которые официально поставляются на рынки США,Европы и ОК - верифицируються всеми системами MDM+Exchange. С "яблочными" железяками всё работает, но - не все организации готовы обеспечивать сотрудников "яблокми", так же, как и не все сотрудники- готовы энролить личные "яблоки" под корпоративный MDM.

Вы же знаете ответ на свой вопрос:
если у пользователя нет смартфона - брать листочек с TAN кодами и страдать от фишинга, или искать совсем другое решение.

Тема поста - показать, что можно сделать 2FA без "ШОК! ФИШИНГ! 2FA В ОПАСНОСТИ!" - что есть работающие решения.
Выдать счастья всем и бесплатно в задачу поста не входило.

Про вот этот косяк с Exchange и проверкой IMEI впервые слышу. Звучит очень странно - сами сталкивались или слышали от кого? Какой MDM? Exchange on premise или Cloud? Дайте ссылки на источники, пожалуйста.

https://practical365.com/exchange-server/preventing-new-activesync-devic...


Какой MDM - я точно не знаю. Exchange on premise. При попытках энролнуть любой девайс, купленный не на территории ЕС, США, ОК - присылает вот такое.

Your mobile phone is temporarily blocked from accessing content via Exchange ActiveSync because the phone has been quarantined. No action is necessary on your part. Content will automatically be downloaded as soon as access is granted by your administrator.
Information about your mobile phone:
Device model:
Outlook for iOS and Android
Device type:
Outlook
Device ID:
3xxxxxxxxxx3
Device OS:
Outlook for iOS and Android 1.0
Device user agent:
Outlook-iOS-Android/1.0
Device IMEI:XXXXXXXXXXXX
Exchange ActiveSync version:
14.1
Device access state:
Quarantined
Device access state reason:
Global

Внутри корпорации не решили проблему, идёт активная переписка с Microsoft, Google и остальными, к кому уходит запрос на проверку IMEI и S/N девайсов - на whitelist`ность. Сразу отвечаю на непроизвольный вопрос, который может возникнуть: да, "гуглили"; да, пробовали.

Пока есть возможность пользоваться физическими RSA-токенами, я не очень переживаю, но немного беспокоиться уже начинаю. Потому, что "железные" токены - уже недоступны в корпоративном шопе, а сроки действия начнут истекать уже в конце 2019-го.

По списку.
В статье, ссылку на которую Вы прислали нет ни слова про IMEI - есть про стандартное управление настройками EAS через Powershell (см ниже).

Скриншот из агента VMware AirWatch UEM. Такой скриншот показывается когда стоит Whitelist на регистрацию девайсов в консоли AW (например, чтобы юзеры не могли регистрировать личные устройства без разрешения). К Exchange отношения вообще не имеет.
Общайтесь с админами. В качестве варианта (если админы плохо закрыли дырки) - скачайте приложение WorkSpace ONE (именно так, не Hub) и попробуйте через него :)

Второе - whitelisting уже в самом Exchange - тут надо разбираться с его админами MS, т.к. вариантов туча. Например, админ того же AirWatch настроил интеграцию через Powershell с проверкой Compliance, и что-то накосячил. Теперь никто почту не получит :)
Или стоит ещё какой софт из категории Security, который закручивает гайки на Exchange.
Надеюсь, как минимум, альтернативными клиентами (родной iOS, Boxer, Nine) пробовали? Outlook mobile ещё тот фрукт.

Я привёл ссылку на одно из первых упоминаний. В актуальном интерфейсе, даже нет некоторых "кнопок", которые рекомендуется нажимать для решения проблемы. Про IMEI, это выяснилось в результате расследования. Я просто пересказываю слова наших специалистов: на одном из этапов первичной проверки устройства, при попытке зарегистрироваться в нужной MDM, проверяются тех.параметры устройства и данные про IMEI, vendor , S/N и т.п. - уходят на валидацию на MS и на другие необходимые сторонние сервисы. Вот эта проверка и возвращает ошибку, для устройств, которые не завозились официально на территоррию ЕС,США,ОК. С точно такими же устройствами, той же модели, тех же сроков выпуска, но - купленными на территории ЕС,США,ОК - все процессы энролмента, проходят - как по маслу. Это даже привело к некоторым серьёзным разбирательствам внутри компании: когда нам доказывали,что - это мы тут .уки криворукие и у них ТАМ - всё прекрасно работает. Закончилось (или началось) тем, что прислали в Украину несколько человек для проверки ситуации. И, вот, они - купили, тут, в Украине несколько смартфонов, разных марок и эмпирическим путём выяснили,что: таки да,- проблема есть. С нас сняли обвинения в некомпетентности, пообещали быстренько решить проблему и уехали к себе в хэдофис. Это було в Июне этого года. Проблема не решена, на данном этапе, ключевым сотрудникам выдают MDM "яблоки". С "яблоками" - другая проблема - одна SIM`ка, пока что решаем через корпоративные SIP софтфоны на этих "одноногих" девайсах. Проблема "односимковости" в том, что у каждого современного человека существует очень много сервисов: "рабочих" и "личных" - привязанных к определённым номерам. И, при всём огромном желании иметь сотрудника-функцию,этому постоянно мешает сотрудник-личность. UPD:Это очень связанно с Mobile ID (https://ko.com.ua/mobilnyj_pasport_127280).

А,забыл сказать, может это важно: мы не самостоятельно с этим разбираемся, нас обслуживает ATOS и если они не смогли пофиксить это быстро,то - я даже не знаю - куда ещё обращаться...

Когда приеду в Украину - хочу это своими глазами увидеть...
Могу выдать вам тестовый доступ в песочницу (WorkspaceONE + O365 Exchange Online), попробуйте туда зарегистрировать телефон - 99% уверен, что всё заведется.

Спасибо за предложение, но передо мной не стоИт задача решить проблему для себя,мне интересно решить проблему принципиально, найдя первопричину. Мне-то как раз выдали "яблоки", причём, как это бывает в больших компаниях - сразу два, от разных департаментов. Это к вопросу об "экономии" корпоративных бюджетов. В нашем случае, корень всех проблем в том, что в жертву инфосек "защищённости" - принесены: понятность и управляемость структуры и "размазанность" разнообразных админправ по неизвестному количеству безымянных админов. То есть: узнать имя или должность человека, который может решить проблему и имеет для этого достаточно админправ - задача с несколькими "звёздочками". Раньше я подозревал, что в масштабах всей организации это как-то связано с коррупцией западного типа (продвигаемой панконтинентальными корпорациями, типа HP,MS,Adobe и остальными), основанной на покупке сторонних оутсорсинговых услуг, а теперь: мне всё больше кажется, что дело не в коррупции, а в том, что - коллективная безответственность - выгодна всем участникам ситуации - она заставляет все эти механизмы -крутится в дивном танце бесконечных онлайн митингов и переписок с постоянным освоением всяческих разовых бюджетов (без цели что-то украсть). Если мы решим свою проблему, способом, который может быть полезен другим - я обещаю отписАться здесь. А за предложение - искренне спасибо! Я вынужден отказаться только потому, что я ясно понимаю, что это будет невозможно имплементировать в нашу технологию, да и - времени катастрофически не хватает на всё. Я всегда с удовольствием читаю Ваши статьи про всякие чудесные Вай-Фаи и т.п. =) С Наступающим!

В AW можно всегда для теста создать отдельную орг группу, сделать в ней override на Enrollment Restrictions (конкретно, убрать все ограничения) и протестировать с вашими девайсами. Потом потихоньку прикручивать ограничения назад и смотреть, где посыпется.

Двойной пост. Когда нибудь сайт КО допилят для нормальной работы на мобильных устройствах..

Не двойной, а двухфакторный, КО на острие прогресса! ))

 

Ukraine

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT