Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


23.09.2021

5 edycja konferencji Test...

21 października startuje kolejna, piąta już edycja największej w Polsce konferencji...
23.09.2021

Zero Trust Firewall

FortiGate 3500F
23.09.2021

Ochrona IoT

Kaspersky SHS
23.09.2021

Wydatki lobbingowe

Cyfrowy monopol
23.09.2021

Współdziałanie klastrów

SUSE Rancher 2.6
23.09.2021

Panasonic TOUGHBOOK 55

Najnowsza wersja wszechstronnego Panasonic TOUGHBOOK 55 to wytrzymały notebook typu...
23.09.2021

Elastyczna dystrybucja...

Liebert RXA i MBX
23.09.2021

Zdalny podgląd w 360°

D-Link DCS-8635LH
23.09.2021

Sejf na dane

Szyfrowany pendrive

Alternatywne podejście do Azure MFA

Data publikacji: 26-08-2021 Autor: Michał Gajda

Ochrona tożsamości jest kluczowym elementem bezpieczeństwa organizacji. Niestety czasami mogą wystąpić sytuacje, w których zastosowanie klasycznych rozwiązań MFA nie jest możliwe. Wtedy dobrą alternatywą może być wykorzystanie sprzętowych tokenów.

 

Wykorzystywanie mechanizmów bezpiecznego uwierzytelniania powinno być już niezaprzeczalnym standardem stosowanym we wszystkich organizacjach chcących należycie chronić tożsamość swoich użytkowników. W sytuacjach, w których mechanizmów typu passwordless nie można stosować jako minimum, powinny być stosowane rozwiązania uwierzytelniania wieloskładnikowego. W przypadku usługi Azure AD dostępny mamy cały wachlarz możliwych opcji stosowania dodatkowego zabezpieczenia. Do najpopularniejszych możemy zaliczyć połączenia telefoniczne, kody jednorazowe wysyłane SMS-em czy uwierzytelnianie w ramach aplikacji Microsoft Authenticator.

Niemniej jednak niekiedy mogą zaistnieć warunki, kiedy zastosowanie wspomnianych mechanizmów może nie być możliwe. Jedną ze składowych wymienionych metod jest urządzenie mobilne, czyli np. smartfon lub ostatecznie tablet, które posiada użytkownik końcowy. Kłopot z ochroną konta może się pojawić w sytuacji, gdy nie wszyscy pracownicy w naszej organizacji posiadają swoje indywidualne telefony służbowe. Dodatkowo również wtedy, gdy polityka organizacji nie zezwala na wykorzystywanie prywatnych urządzeń lub gdy sam użytkownik tego nie chce – wówczas problem jest gwarantowany. By rozwiązać ową kwestię, możliwe jest skorzystanie z alternatywnego mechanizmu, czyli sprzętowych tokenów OTP.

 

> TOKENY OTP

Sprzętowe tokeny OTP (ang. One-Time Password) służą do generowania jednorazowych kodów uwierzytelniających, które mogą być dostarczane przez różnych zewnętrznych dostawców. Należy jednak pamiętać o tym, że token tokenowi nierówny. Dlatego jeżeli zamierzamy wykorzystywać je w ramach usługi Azure AD, musimy wybrać odpowiedni rodzaj urządzenia sprzętowego, który jest kompatybilny ze wspomnianą chmurową usługą obsługi tożsamości.

Rozróżniamy dwa rodzaje tokenów: OATH HOTP oraz OATH TOTP. Pierwszy ze wspomnianych mechanizmów, czyli OATH HOTP (ang. HMAC-based One-Time Password), bazuje na wykorzystywaniu klucza tajnego zachowanego jedynie po stronie użytkownika, a konkretnie samego tokenu oraz dla celów weryfikacji po stronie docelowego serwera. Dodatkowo mechanizm wykorzystuje licznik zwiększany każdorazowo przy użyciu, co pozwala na wygenerowanie kolejnego kodu. Niestety wspomniany mechanizm ma jedną zasadniczą wadę – nie zapewnia możliwości zmiany kodów w określonym interwale czasów, dlatego nie może być zastosowany w ramach usługi Azure AD.

Drugim rodzajem tokenów jest wspomniany już standard OATH TOTP (ang. Time-based One-Time Password). Niniejszy mechanizm jest zbliżony zasadą działania do wcześniej omówionego, jednak zamiast zwiększanej wartości licznika zastosowany został znacznik czasowy. Wspomniany znacznik jest zaokrąglany do określonego kwantu czasowego, np. 30 lub 60 sekund, co pozwala na wygenerowanie stałego kodu aktywnego tylko przez określony czas. Jest to analogiczne podejście jak w przypadku aplikacji Microsoft Authenticator, z tym że użytkownik zamiast aplikacji mobilnej wykorzystuje sprzętowe urządzenie w formie breloka czy plastikowej karty, zakupionej od zewnętrznego dostawcy. Jak łatwo się domyślić, usługa Azure AD zapewnia wsparcie dla tokenów SHA-1 OATH TOTP.

 

> INTEGRACJA Z AZURE MFA

Jak już wspomniano, generowanie kodów uwierzytelniających za pomocą sprzętowego tokenu OATH TOTP bazuje na wykorzystywaniu dwóch składników. Jednym z nich jest czas, w przypadku którego ważne jest, aby był odpowiednio zsynchronizowany po obydwu stronach mechanizmu uwierzytelniania, czyli w usłudze Azure AD oraz na urządzeniu sprzętowym. Drugim składnikiem jest tajny klucz, zapisany w ramach tokenu, który musi zostać załadowany do usługi Azure AD. Import kluczy tajnych pozwala na zrealizowanie dwóch zasadniczych założeń. Pierwszym z nich jest powiązanie użytkownika końcowego z danym tokenem sprzętowym. Drugim kryterium jest umożliwienie usłudze Azure AD weryfikacji, czy wprowadzony przez użytkownika kod jednorazowy został poprawnie wygenerowany.

Niestety w przeciwieństwie do rejestracji aplikacji mobilnej Microsoft Authenticator proces rejestracji tokenów OATH TOTP nie może być wykonany samodzielnie przez użytkowników końcowych. Jedynie administrator posiadający uprawnienia Globalnego Administratora w usłudze Azure AD może go wykonać. Wspomniany proces odbywa się z poziomu portalu administracyjnego usługi Azure AD.

Zanim jednak przejdziemy do importowania, konieczne jest przygotowanie odpowiednich danych. Procedura wymaga posiadania pliku inicjalizacyjnego dla każdego z tokenów. Jest to klasyczny plik CSV zawierający listę niezbędnych informacji o wszystkich tokenach, jakie będą dodawane. Musi on zawierać zdefiniowane następujące kolumny:

 

  • UPN – identyfikator użytkownika, dla którego zostanie przypisany token uwierzytelniający. Ważne, aby był to istniejący użytkownik posiadający status członka organizacji, tak więc nie może być to konto Gościa usługi Azure AD;
  • serial number – numer seryjny pozwalający na identyfikację tokenu sprzętowego;
  • secret key – tajny klucz, który może zawierać następujący zestaw znaków: a–z, A–Z oraz cyfry w przedziale 2–7. Całość musi być zakodowana w systemie Base32;
  • time interval – interwał odświeżania, czyli 30 lub 60 sekund;
  • manufacturer – dostawca sprzętowego tokenu;
  • model – model tokenu.


Przykładowy format pliku importowania prezentujemy na rys. 1. Z kolei cała procedura importowania została przybliżona w ramce Krok po kroku: importowanie tokenów OATH do usługi Azure AD.

W całym rozwiązaniu najważniejszym elementem jest zapewnienie poufności klucza tajnego tokenu. Jego przechwycenie przez stronę trzecią może doprowadzić do możliwości generowania jednorazowych kodów przez osoby niepowołane (rys. 2), a co za tym idzie, nieuprawnione przejście w procesie uwierzytelniania weryfikacji drugiego składnika. Dlatego jeżeli chcemy mieć pewność, iż nikt niepowołany nie wejdzie w posiadanie omawianego klucza, należy rozważyć zakup tokenów programowalnych, dla których administrator za pomocą specjalistycznego oprogramowania może samodzielnie wygenerować i zaprogramować klucz tajny tokenu.

 

[...]

 

Autor ma wieloletnie doświadczenie w administracji oraz implementowaniu nowych technologii w infrastrukturze serwerowej. Pasjonat technologii Microsoft. Posiada tytuł MVP Cloud and Datacenter Management. Autor webcastów, książek oraz publikacji w czasopismach i serwisach branżowych.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"