Вступление
В ситуациях, когда организациям требуется повышенная защита доступа к их информационным ресурсам, имеет смысл применять многофакторную систему аутентификации. В рамках данной статьи будет представлена общая информация об аутентификации, а также рассмотрен вариант использования устройства Fortinet FortiToken-200 для обеспечения двухфакторной аутентификации на предприятии, в инфраструктуре которого функционирует платформа сетевой безопасности Fortinet FortiGate.
В первую очередь целесообразно определить, что же такое аутентификация. Под аутентификацией понимается процедура проверки подлинности предоставленных пользователем данных. Факторы аутентификации – типы признаков, используемые для аутентификации. К наиболее часто используемым факторам можно отнести:
- знания, которыми обладает персона (пароль);
- предмет во владении персоны (устройство или документ);
- характеристика персоны (биометрические данные).
Однофакторная аутентификация предполагает, что пользователь предоставляет лишь один набор данных — например, указывает пароль для получения доступа к рабочему компьютеру или корпоративному почтовому ящику под определенным именем пользователя. Зачастую однофакторной аутентификации оказывается недостаточно, так как пароли могут быть скомпрометированы множеством способов. При двухфакторной аутентификации добавляется второй фактор, отличный от первого. За счет этого повышается степень защищенности системы от сторонних лиц, желающих получить несанкционированный доступ к ресурсам организации – злоумышленникам будет необходимо не только завладеть паролями пользователей, но и суметь обойти второй используемый фактор, причем сделать это до того, как выяснится, что пароли пользователей были скомпрометированы.
Примеры использования двухфакторной аутентификации приведены в следующей таблице:
Пример | Описание |
---|---|
Банковская карта. | Для использования банковской карты в общем случае необходима как сама карта, так и ее PIN-код. |
Имя пользователя и пароль от учетной записи, а также указанный в ее параметрах номер телефона или адрес электронного почтового ящика. | В случае успешной аутентификации по паролю система формирует SMS-сообщение или электронное письмо с уникальным кодом и запрашивает у пользователя этот код. |
Имя пользователя и пароль от учетной записи, а также подключенное к ней устройство (токен) для генерации временных одноразовых паролей. | После ввода корректного пароля пользователя система запросит указать одноразовый пароль. Данный пароль генерируется исключительно на выделенном пользователю устройстве, связанном с сервером аутентификации этой системы. |
Использование токена Fortinet FortiToken-200
При наличии в организации платформы Fortinet FortiGate существует возможность выполнения двухфакторной аутентификации с помощью аппаратных OTP-токенов (от англ. «One Time Password» – одноразовый пароль) модели FortiToken-200. При этом не потребуется ежегодной оплаты лицензии на использование токенов и затрат на покупку дополнительных аппаратных средств и программного обеспечения, что снижает общую цену внедрения подобного решения и упрощает сопровождение инфраструктуры относительно других вариантов.
Токены могут применяться уполномоченными лицами для получения доступа к:
- SSL VPN-туннелю;
- IPSEC VPN-туннелю;
- captive portal при работе с Wi-Fi;
- интерфейсу FortiGate с правами администратора.
Рассмотрим вариант использования токена FortiToken-200 на примере получения доступа к корпоративному SSL VPN-туннелю:
- IT-департамент организации регистрирует все купленные токены FortiToken-200 в программной оболочке устройства FortiGate – указывает серийные номера токенов и подключает двухфакторную аутентификацию для пользователей тех сотрудников организации, которым будут выданы токены. Также для этих сотрудников обеспечивается доступ к SSL VPN-туннелю.
- IT-департамент выдает сотрудникам имена пользователей, пароли и токены с контролем за тем, чтобы каждый сотрудник получил именно тот токен, который был зарегистрирован в FortiGate для пользователя этого сотрудника.
- Сотрудники при каждом подключении к SSL VPN-туннелю указывают свои имя пользователя и пароль, а также вводят одноразовый пароль. Этот пароль сотрудники получают с LCD-экрана выданного им токена путем нажатия на нем кнопки в момент, когда система запрашивает ввод одноразового пароля. В случае корректного ввода всех реквизитов осуществляется подключение к SSL VPN-туннелю.
Технические характеристики токена Fortinet FortiToken-200
- Компактный и надежный пылевлагозащищенный корпус (степень защиты IP68), выполненный из жесткого пластика.
- Невозможность вскрытия корпуса без его повреждения, защита электронной начинки токена от попыток нанесения ущерба.
- Работа в диапазоне температур от -10°C до 50°C.
- Единственная кнопка на корпусе для пробуждения токена и генерации временного пароля на 60 секунд.
- Крупный LCD-дисплей для отображения шестизначного цифрового пароля и оставшегося времени его действия.
- Поддержка стандарта OATH.
- До 5 лет работы от встроенной батареи, до 14000 генераций пароля.
Заключение
Токен модели FortiToken-200 представляет из себя весьма выгодное решение задачи по внедрению двухфакторной аутентификации как в финансовом плане, так и в аспекте временных затрат на реализацию и дальнейшее сопровождение.
Для того, чтобы купить FortiToken-200, пожалуйста, свяжитесь с нами по телефону 8 (800) 333 43 73 или оставьте заявку на обратный звонок на нашем сайте.