Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



29.12.2022

Nowe funkcje od Oracle

W aplikacjach CX, SCM, EPM i HCM Fusion Cloud firmy Oracle pojawiło się wiele nowych...
29.12.2022

Inteligentne sygnały

Nowa usługa Vectra MDR zapewnia wsparcie ekspertów w zakresie bezpieczeństwa...
29.12.2022

Wieloetapowa analiza treści

Firma WithSecure wprowadziła nową warstwę ochrony w swojej opartej na chmurze platformie...
29.12.2022

Kontrola aplikacji

Fortinet zaprezentował nowe funkcje systemu FortiSASE: bezpieczny prywatny dostęp (Secure...
29.12.2022

Zgodnie z przepisami

Nowe rozwiązanie do zarządzania danymi firmy Commvault, oferowane w formie usługi,...
29.12.2022

Większa elastyczność w...

Schneider Electric ogłosił wprowadzenie na rynek urządzenia zasilającego APC NetShelter...
29.12.2022

Firewall nowej generacji

Fortinet zaprezentował nową rodzinę zapór sieciowych nowej generacji (NGFW) – FortiGate...
29.12.2022

Nowy przełącznik źródeł...

Vertiv przedstawił nową rodzinę przełączników źródeł zasilania Vertiv Geist RTS, które...
29.12.2022

Routery VPN Omada

TP-Link poszerza portfolio routerów VPN o dwa nowe urządzenia. ER7212PC to urządzenie 3 w...

Wycofanie Basic authentication

Data publikacji: 29-12-2022 Autor: Adam Kamiński

Ponad trzyletnie starania Microsoftu o wyeliminowanie podstawowego uwierzytelniania z usługi Exchange Online przypominały zawracanie kijem Wisły. Trudności związane z przeprowadzeniem dużej społeczności przez fundamentalną transformację techniczną są doskonale widoczne na przykładzie wielu etapów kampanii giganta z Redmond.

 

Bezpieczeństwo jest coraz ważniejszą kwestią dla większości organizacji. Basic authentication jest przestarzałym standardem branżowym, dlatego mechanizmy podstawowego uwierzytelniania są systematycznie wycofywane na rzecz bezpieczniejszych rozwiązań. Niestety wiąże się to z koniecznością zaktualizowania wielu rozwiązań po stronie aplikacji klienckich. Funkcja podstawowego uwierzytelniania została uznana za przestarzałą już w 2019 r. i do drugiej połowy 2021 r. miała być usunięta. Od tego czasu zagrożenia z nią związane tylko wzrosły.


Przez trzy lata Microsoft wyznaczał kolejne deadline’y zmiany sposobu uwierzytelniania, które klienci konsekwentnie, z uporem godnym lepszej sprawy, świadomie ignorowali/lekceważyli. Celem tych starań było nakłonienie klientów do wdrożenia nowoczesnych metod uwierzytelniania i przyjęcia strategii bezpieczeństwa takich jak Zero Trust (nigdy nie ufaj, zawsze sprawdzaj), stosowanie zasad oceny w czasie rzeczywistym, gdy użytkownicy i urządzenia uzyskują dostęp do informacji korporacyjnych. Wśród nowoczesnych metod autentykacji stawia się również na protokół OAuth 2.0 skoncentrowany na ułatwieniu użytkownikowi przepływu autoryzacji dla aplikacji internetowych, aplikacji, telefonów komórkowych oraz innych urządzeń, na których można się zalogować na określone strony internetowe. OAuth zapewnia klientom tzw. bezpieczny delegowany dostęp do zasobów serwera w imieniu właściciela zasobów. Definiuje proces autoryzacji dostępu użytkowników zewnętrznych do zasobów serwera bez konieczności współdzielenia poświadczeń. Zamiast tego używa tokenów autoryzacyjnych, które mają na celu potwierdzenie tożsamości pomiędzy dostawcami usług a konsumentami. Uwierzytelnianie za pomocą Modern Authentication w środowisku Microsoft bazuje na generowaniu tokenów dostępowych przez usługę Azure AD dla konkretnego klienta. Token zawiera niezbędne informacje o właścicielu zasobu, które są przekazywane do serwera z zasobami w celu weryfikacji, czy danemu podmiotowi może zostać udzielony dostęp.


Te rozwiązania pozwalają weryfikować, kto, skąd, z jakiego urządzenia i do czego próbuje uzyskać dostęp i podejmować decyzję o jego przydzieleniu, zamiast na ślepo ufać poświadczeniu uwierzytelniającemu, które może być fałszywym aktorem podszywającym się pod użytkownika. Mimo wielu postów na blogu, wiadomości w Message Center, zakłóceń usługi i podejmowania tego tematu w tweetach czy prezentacjach na konferencjach wielu tenantów wciąż nie jest przygotowanych na tę zmianę.


> Podatne Basic Auth


Aplikacje przez wiele lat używały uwierzytelniania podstawowego do łączenia się z serwerami, usługami i punktami końcowymi API. W tym rodzaju poświadczeń aplikacja przy każdym żądaniu wysyła nazwę użytkownika i hasło, które są również często przechowywane lub zapisywane na urządzeniu. Wszystko to zwiększa ryzyko przechwycenia poświadczeń użytkowników przez atakujących, szczególnie jeśli nie są chronione protokołem TLS. Jako że składa się ono tylko z loginu i hasła, uwierzytelnianie podstawowe jest podatne na ataki typu brute force i password spraying.


Basic authentication jest również znane jako uwierzytelnianie przez proxy, ponieważ klient poczty e-mail podaje dane uwierzytelniające do programu Exchange Online, a ten przekazuje lub proksuje poświadczenia do autorytatywnego dostawcy tożsamości (IdP) w imieniu klienta poczty e-mail lub aplikacji. Wybór IdP zależy od modelu uwierzytelniania stosowanego w danej organizacji:•uwierzytelnianie w chmurze – IdP to Azure Active Directory;•w uwierzytelnianiu federacyjnym – IdP to rozwiązanie on-premises, takie jak Active Directory Federation Services (AD FS).


W uwierzytelnianiu w chmurze klient poczty elektronicznej wysyła nazwę użytkownika i hasło do programu Exchange Online (gdy uwierzytelnianie podstawowe jest zablokowane, jest ono zablokowane na tym etapie). Następnie Exchange Online wysyła nazwę użytkownika i hasło do Azure Active Directory. AD zwraca bilet użytkownika do Exchange Online i użytkownik zostaje uwierzytelniony.


W uwierzytelnianiu federacyjnym pierwszy krok jest taki sam. W następnej kolejności. Exchange Online wysyła nazwę użytkownika i hasło do rozwiązania lokalnego IdP, a Exchange Online odbiera od niego token Security Assertion Markup Language (SAML). Usługa pocztowa wysyła token SAML do Azure Active Directory, a to z kolei zwraca ticket użytkownika do Exchange Online i użytkownik zostaje uwierzytelniony.
Standardowo uwierzytelnianie podstawowe jest domyślnie włączone na większości serwerów lub usług i jest proste do skonfigurowania. Prostota nie jest wcale zła, ale uwierzytelnianie podstawowe ułatwia napastnikom przechwytywanie danych uwierzytelniających użytkownika (szczególnie jeśli nie są one chronione przez TLS), co zwiększa ryzyko, że po kradzieży zostaną ponownie wykorzystane przeciwko innym punktom końcowym lub usługom. Ponadto egzekwowanie uwierzytelniania wieloczynnikowego (MFA) w niektórych przypadkach jest niemożliwe, gdy uwierzytelnianie podstawowe pozostaje włączone. Starsze protokoły uwierzytelniania, takie jak POP, SMTP, IMAP i MAPI, nie mogą wymuszać MFA, co czyni je preferowanymi punktami wejścia dla atakujących. Aby dobre praktyki i zasady MFA były skuteczne, starsze uwierzytelnianie musi być zablokowane na poziomie usługi Office 365, co pomoże chronić Exchange Online przed atakami typu brute force lub password spray.


> Długa kampania


Metoda podstawowego uwierzytelniania już w 2019 r. została uznana za przestarzałą i do końca 2021 r. miała być usunięta. Również na wtedy zaplanowano wyłączenie protokołów Basic Auth dla protokołów EWS, EAS, POP, IMAP, Remote PowerShell, SMTP AUTH. Jednak ze względu na pandemię i jej wpływ na priorytety oraz schematy pracy organizacji wyłączenie odłożono w czasie dla tych protokołów, które były aktywnie używane przez dzierżawców. Wciąż jednak likwidowano Basic Auth dla nieużywanych protokołów, aby zapobiec potencjalnym nadużyciom. Decyzje o wyłączeniu były podejmowane na podstawie badania zarejestrowanego użycia tych protokołów przez dzierżawcę, a powiadomienia o zmianie trafiały do Centrum Wiadomości najemcy z 30-dniowym wyprzedzeniem.


W dążeniu do osiągnięcia kompromisu, w którym możliwe byłoby ostateczne wyłączenie Basic Auth, Microsoft przyznał zwolnienie dla SMTP AUTH, aby umożliwić klientom dalsze korzystanie z urządzeń wielofunkcyjnych, programów i skryptów wykorzystujących Exchange Online do wysyłania e-maili (przejście na korzystanie z Graph API nie jest trudne, ale wymaga czasu na znalezienie, uaktualnienie i przetestowanie kodu). Microsoft współpracował także z Apple'em, aby użytkownicy iOS-a i iPadOS-a mogli nadal łączyć się z Exchange Online za pomocą natywnej aplikacji pocztowej.

 

[...]

 

Autor jest testerem oprogramowania oraz entuzjastą technologii kwantowych i rozproszonych rejestrów. Redaktor prowadzący „IT Professional”.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

prenumerata Numer niedostępny Spis treści

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik \"IT Professional\"