Это выглядело так:
Пользователь с электронным ключом JaCarta осуществляет подключение, система запрашивает смарт-карту и открытый ключ на ней, пользователь вводит PIN-код. Карта разблокируется, для проверки пользователя сервис просит подписать ChallengeResponse сертификатом, который хранится на карте. После проверки учетных данных пользователь получает доступ либо отказ в обслуживании.
Недавно мы с коллегами из компании Citrix и учебного центра «Звёзды и С» провели совместный вебинар по многофакторной аутентификации в виртуальной инфраструктуре Citrix на основе PKI-инфраструктуры и решений компании «Аладдин Р.Д». Это был третий технический вебинар из цикла повышения безопасности Citrix. В ходе этой серии коллеги не просто рассказывают о способах повышения безопасности, но и показывают в live-режиме техническую настройку. В первую очередь, эта серия вебинаров интересна администраторам, инженерам, техническим специалистам.
В этот раз нас пригласили принять участие как компанию эксперта в области многофакторной аутентификации, с большим опытом, в том числе и работы с продуктами Citrix.
В ходе вебинара показывали, как настроить двухфакторку в не самых простых сценариях на NetScaler. В схему добавились NetScaler и внешняя сеть со внешними устройствами, в довольно общем виде схема выглядит так:
Принцип взаимодействия со смарт-картой для аутентификации схож с предыдущим. После предъявления JaCarta PKI (первый фактор) и ее разблокировки путем ввода PIN-кода (второй фактор), происходит проверка учетных данных, после чего пользователь получает доступ либо отказ в обслуживании.
В ходе вебинара мы со своей стороны попытались отразить тренд диджитализации рабочих мест, развития формата BYOD и использования при этом различных «недоверенных» сетей с аспекта важности защиты виртуальной инфраструктуры от несанкционированного доступа и других атак, важности использования нескольких факторов аутентификации. Также рассказали о плюсах использования именно электронных ключей PKI. И в целом раскрыли темы для чего это нужно, как начать использовать многофакторную аутентифкацию в Сitrix, и как это работает.
Затронули вскользь интересную тему аутентификации на основе одноразовых паролей, возможно, по теме OTP будет проведен отдельный вебинар. Если вам интересна эта тема, или имеются другие интересные вопросы, можете об этом нам написать.
Запись вебинара с нашим участием есть на Youtube канале Citrix_ru.
Темой следующего технического вебинара из серии повышения безопасности будет аутентификация в Citrix по ГОСТ-алгоритмам, с использованием решения «Привратник» от компании «Совинтегра». Данное решение работает с JaCarta ГОСТ в качестве защищенного носителя закрытого ключа и ГОСТ-сертификата. Этот вебинар состояится уже завтра, если поспешить, можно найти открытую ссылку на регистрацию на facebook citrix_ru.
На канале также доступны прошлые интересные технические вебинары этой серии:
- шифрование взаимодействия всех компонентов Citrix c использованием TLS
- аутентификация по SAML, в примере показывается, как настроить аутентификацию в Сitrix через Google.
Дополню, что похожим образом, через ADFS, реализуется связка локальной AD c облачным Citrix, в том числе с аутентификацией по сертификатам. Как показано на схеме ниже.
Работает это так:
Есть ряд внешних устройств и пользователи с электронными ключами JaCarta, которые пытаются получить доступ к пулу ресурсов через NetScaler. Далее система перенаправляет запрос пользователя на прокси-сервер для аутентификации. После успешной аутентификации пользователь перенаправляется в ЕК для двухфакторной аутентификации. Используя ключ JaCarta PKI, с расположенным на нем сертификатом, пользователь водит PIN-код. Система возвращает аутентификационные данные в ADFS, который, в свою очередь, возвращает данные в NetScaler. Далее пользователь получает доступ к пулу ресурсов, либо сообщение об отказе в обслуживании.
Комментарии (4)
NerVik
21.04.2018 01:53статью не читал, но увидел упоминание JaCarta, так вот вопрос, а они перестали отказывать чуть ли не на следующий день после записи на них ключа? Мы по гарантии процентов 60 наверное меняли потому что они отказывали.
shuralev Автор
21.04.2018 01:54Возможно какая то бракованная серия была, а какие модели, в каких сценариях использовали?
NerVik
21.04.2018 10:18точные модели уже не скажу, сперва были стандартного размера с флэшку и черно-оранжевого цвета, потом маленькие черно-оранжевые и последними которые я видел были маленькие черно-зеленые. Использовались для алкогольного ЕГАИС.
так вот большие мне казалось вообще не проживают года, маленькие оранжевые были более живучими, но всё рано дохли часто. Зеленые были лучше всех, но и они дохли чаще, чем хотелось бы.
Пару раз было такое, что мы записывали клиенту КЭП для ЕГАИС, а через пару-тройку дней нам говорили, что УТМ не видит подпись, ЕКД в лучшем случае не видел подпись, в худшем вообще всю флэшку. Если не видел подпись, то при попытки инициализации PKI выдавал ошибку вида x00400000 (или что-то подобное). Короче я ненавидел эту серию носителей, пока с ними работал. Как минимум раз в неделю приходилось менять и по гарантии, или еще хуже без неё.
str1k3r
потер лампу, и Citrix тебя пустил)