Введение
Долгое время считалось, что классический метод аутентификации, основанный на комбинации логина и пароля, весьма надёжен. Однако сейчас утверждать такое уже не представляется возможным. Всё дело — в человеческом факторе и наличии у злоумышленников больших возможностей по «угону» пароля. Не секрет, что люди редко используют сложные пароли, не говоря уже о том, чтобы регулярно их менять. К сожалению, является типичной ситуация, когда для различных сервисов и ресурсов применяется один и тот же пароль. Таким образом, если последний будет подобран посредством брутфорса или украден с помощью фишинговой атаки, то у злоумышленника появится доступ ко всем ресурсам, для которых применялся этот пароль. Для решения описанной проблемы можно использовать дополнительный фактор проверки личности. Решения, основанные на таком методе, называются системами двухфакторной аутентификации (two-factor authentication, 2FA) или многофакторной аутентификации (multi-factor authentication, MFA). Одним из таких решений является Multifactor от компании «Мультифактор». Эта система позволяет выбрать в качестве второго фактора один из следующих инструментов: аппаратный токен, SMS-сообщения, звонки, биометрию, UTF, Google Authenticator, «Яндекс.Ключ», Telegram или мобильное приложение. Необходимо добавить, что данное решение предлагается только в качестве сервиса, когда у заказчика устанавливаются лишь программные агенты, а ядро системы размещается на стороне вендора, избавляя таким образом специалистов заказчика от проблем с внесением изменений в инфраструктуру и решением вопросов по организации канала связи с провайдерами для приёма звонков и SMS-сообщений.
Функциональные возможности системы Multifactor
Система Multifactor обладает следующими ключевыми функциональными особенностями:
Большой выбор способов аутентификации: Telegram, биометрия, U2F, FIDO, OTP, Google Authenticator, «Яндекс.Ключ», мобильное приложение Multifactor, звонки и SMS-сообщения.
Предоставление API для управления пользователями из внешних систем.
Журналирование действий пользователей при получении доступа.
Управление ресурсами, к которым осуществляется доступ.
Управление пользователями из консоли администрирования.
Возможность импорта пользователей из файлов формата CSV или простого текстового файла.
Большой перечень ресурсов, с которыми возможна интеграция Multifactor: OpenVPN, Linux SSH, Linux SUDO, Windows VPN, Windows Remote Desktop, Cisco VPN, FortiGate VPN, Check Point VPN, VMware vCloud, VMware Horizon, VMware AirWatch, Citrix VDI, Huawei.Cloud (в России — SberCloud), Outlook Web Access, и другие.
Управление функциями системы Multifactor через единую консоль администратора.
Информирование администратора системы о потенциальных инцидентах в сфере ИБ.
Поддержка Active Directory и RADIUS. Возможность возвращать атрибуты на основе членства пользователя в группе.
Архитектура системы Multifactor
Как уже было сказано, Multifactor является сервисным продуктом. Таким образом, вычислительные мощности и сетевая инфраструктура, необходимые для работы системы, размещены в Москве, в дата-центре «Даталайн». ЦОД сертифицирован по стандартам PCI DSS (уровень 1) и ISO/IEC 27001:2005. На стороне заказчика устанавливаются только следующие программные компоненты с открытым исходным кодом:
RADIUS Adapter (для приёма запросов по протоколу RADIUS)
IIS Adapter (для включения двухфакторной аутентификации в Outlook Web Access)
Портал самообслуживания (для самостоятельного управления средствами аутентификации со стороны пользователей).
Системные требования Multifactor
Для корректного функционирования Multifactor производитель установил отдельные системные требования по каждому из компонентов системы. В таблице 1 указаны минимальные ресурсы для RADIUS Adapter.
В таблице 2 приведены показатели, соответствие которым необходимо для установки портала самообслуживания (Self-Service Portal).
Для взаимодействия с большей частью средств коммутации и сервисов в целях осуществления доступа в Multifactor используется сетевой протокол RADIUS (Remote Authentication Dial-In User Service). Система полагается на данный протокол в следующих сценариях:
Схема двухфакторной аутентификации, где в качестве первого фактора пользователь применяет пароль, а в качестве второго — мобильное приложение, Telegram или одноразовый код (OTP);
Схема однофакторной аутентификации, где пользователь применяет логин, а вместо пароля вводится второй фактор (например, пуш-уведомление).
Для того чтобы можно было использовать протокол RADIUS, необходимо обеспечить беспрепятственное подключение устройства доступа (сервер, межсетевой экран или другое средство сетевой коммутации) к адресу radius.multifactor.ru по UDP-порту 1812. Соответственно, данный порт и веб-адрес должны находиться в списке разрешённых.
Кроме того, протокол RADIUS можно применять для обеспечения безопасности подключения по SSH, использования команды SUDO и других операций, требующих усиленного контроля доступа. Также сетевой протокол RADIUS пригодится как дополнительный инструмент проверки подлинности Windows для подключения к удалённому рабочему столу (Remote Desktop).
Для полноценного использования протокола RADIUS в Multifactor применяется программный компонент Multifactor RADIUS Adapter. Multifactor RADIUS Adapter реализует следующие возможности:
получение запросов для прохождения аутентификации по протоколу RADIUS;
проверка логина и пароля пользователя в Active Directory или NSP (Microsoft Network Policy Server);
проверка второго фактора аутентификации на мобильном устройстве пользователя;
настройка доступа на основе принадлежности пользователя к группе в Active Directory;
включение второго фактора на основе принадлежности пользователя к группе в Active Directory;
применение мобильного телефона пользователя из Active Directory для отправки одноразового кода через SMS.
Помимо RADIUS в Multifactor также используется протокол взаимодействия SAML, который кроме двухфакторной аутентификации предоставляет технологию единого входа (SSO) в корпоративные и облачные приложения, где первым фактором может быть логин и пароль от учётной записи в Active Directory либо в Google или Yandex. При использовании протокола SAML в Multifactor можно настроить взаимодействие для аутентификации со следующими приложениями и сервисами: VMware, Yandex.Cloud, SberCloud, Salesforce, Trello, Jira, Slack и др.
Если вас заинтересовал данный продукт, то мы готовы провести совместное тестирование. Следите за обновлениями в наших каналах (Telegram, Facebook, VK, TS Solution Blog)!
mumische
Где можно посмотреть информацию о стоимости решения?
cooper051 Автор
sales@tssolution.ru
Minipyh
бизнес по русски — цена по запросу
admOS
Дык, например, у китайцев также — друг, приходи, посидим, чаю попьём, обо всём договоримся.
stobaksov100
Да не выдумывайте.
Это модель, скопированная с Запада.
У нас еще под стол пешком нынешние бизнесмены ходили и был сплошной социализм — а у них уже вовсю применялась «цена по запросу».
Minipyh
в современном мире с такой конкурентоспособностью, даже не российские продукты типа DUO и те сразу цены пишут. Я смотрю во что превратился хороший продукт из Onlyoffice — полностью ушедший на Европу и Запад, в Р7 офис — с ценой по запросу и отвратительнейшей ТП, но желающий кусок по жирнее. При том что, одни и те же разработчики, но каналы сбыта разные. Так что прозрачность приветствуется, мы ж не к цыганам приходим.
ivanych
Это чтобы удобнее было обманывать клиентов и налоговую?
cooper051 Автор
Мы лишь транслируем условия вендора, как системный интегратор. Политика закрытого прайса характерна для огромного кол-ва производителей ИБ решений, как отечественных, так и зарубежных. С чем это связано, не могу сказать, не компетентен в данном вопросе.