По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие наши статьи:
img
Предприятия, использующие различные бизнес-приложения, должны поддерживать конфиденциальность данных и предоставлять права доступа в соответствии с ролями пользователей во всей инфраструктуре. Сделать это достаточно сложно. SAML (Security Assertion Markup Language) значительно помогает в этом плане. Давайте посмотрим, что же это такое и как оно работает, в чем его преимущества, чем оно отличается от SSO, а в чем оно похоже, и как оно помогает в проверке доступа к API для обеспечения максимального уровня безопасности. Что такое SAML? Основная работа SAML заключается в том, чтобы позволить IdP (поставщикам удостоверений - identity details providers) делиться учетными данными, связанными с аутентификацией, с соответствующими органами. Это открытый стандарт, который позволяет предоставить унифицированный доступ для всех видов приложений без ущерба для безопасности данных. Вот еще несколько фактов, которые вы должны знать о SAML: Он использует XML для завершения стандартного соединения между IdP и поставщиками услуг для обеспечения надежной связи. Процесс аутентификации SAML подтверждает личность конечного пользователя, а авторизация SAML определяет, какие ресурсы должны быть доступны для пользователя. Он проверяет SP (поставщиков услуг), IdP (поставщиков удостоверений) и конечных пользователей, если пользователь имеет право на требуемое действие. Это стандарт OASIS. Обеспечивает безопасный обмен данными. Он поддерживает активацию SSO. Однако данная процедура требует подключения к внешнему поставщику удостоверений и совместного с ним использования XML-токенов. Кратко о SSO (Single Sign-on – система однократного входа) SSO считается одним из самых эффективных механизмов аутентификации и объединяет несколько экранов входа. Это значит, что вам не нужно самостоятельно входить в систему в своих приложениях. Вместо этого для приложений SaaS (Software as a Service) будет работать всего один набор данных для входа для всех ваших учетных записей. Это обеспечивает более быстрый доступ к приложению, делает его более простым и подконтрольным. Это является ключевым аспектом IAM-стратегий компаний, стремящихся к беспрепятственной проверке доступа к приложениям и наилучшей реализации безопасности. Включение SSO дает следующие возможности: Надежные пароли, так как нет необходимости создавать несколько схожих паролей. Достаточно иметь один сложный и надежный пароль. Пользователям не нужно запоминать различные пароли. Простое использование MFA (Многофакторная аутентификация), которое проверяет несколько факторов, так как его активация в одной точке обеспечивает защиту различных приложений. Политика быстрого повторного ввода пароля, поскольку у администраторов есть единственная точка применения политики. Удобное внутренне управление учетными данными, поскольку SSO хранит пароли пользователей внутри и предоставляет IT-специалистам гораздо больший контроль над базой данных. Мгновенное восстановление пароля пользователя, поскольку IT-команда должна работать над восстановлением одного пароля. Аутентификация SAML – пошагово Давайте рассмотрим всю процедуру в нескольких шагах. Прежде всего, служба идентификации передает входные данные, связанные со входом пользователя в систему, поставщику услуг. Для бесперебойной передачи параметров SAML поставщикам услуг каждый конечный пользователь обязан один раз войти в систему через SSO. Затем, SP связывается с IdP для подтверждения достоверности запроса. Этот процесс также требует предоставления согласия на настройку системы однократного входа SAML. Это гарантирует то, что для проверки личности и авторизации пользователя/запроса используются одни и те же параметры SAML. Преимущества SAML Данный подход имеет стандартный формат, поэтому он предоставляет предприятиям открытый подход, не зависящий от совместимости платформ и реализаций поставщиков. Он использует слабосвязанные каталоги, что означает, что нет необходимости хранить и синхронизировать пользовательские данные с локальными каталогами. Так как он поддерживает SSO, то конечные пользователи получат доступ к приложениям. SAML позволяет предприятиям повторно использовать интеграции для регистрации/входа, сохраняя при этом тот же уровень безопасности. Это значительно сокращает расходы на управление аккаунтом. Обязанность обслуживания удостоверений пользователей переносится на IdP, когда работает SAML. Это освобождает поставщиков услуг от лишних проблем, связанных с регистрацией и входом в систему. Что такое SAML Assertion? Выражаясь простым языком, это документ в формате XML, который содержит в себе информацию о статусе авторизации пользователя. Эта информация предоставляется IdP поставщику услуг. Есть утверждения трех типов: Authentication – это проверка личности пользователя, связанных с ней методов и сведения об отслеживании продолжительности сеанса. Assigned обеспечивает успешную передачу SAML-токенов поставщику услуг. IdP и SP используют одни и те же атрибуты для подтверждения личности создателя запроса. И последнее, утверждение типа Authorization-decision объясняет, где пользователю предоставляется доступ в соответствии с его запросом. Если будет отказано в доступе, то также будет предоставлена подробно описанная причина этого отказа. Пример SAML Ниже приведен самый простой пример того, как SAML обрабатывает свои операции: Пусть конечный пользователь по имени Джон пытается получить доступ к бизнес-приложению в служебных целях. Джон начинает сеанс с SSO и завершает часть процедуры проверки личности. Zoho CRM запрашивает у IdP информацию о пользователе для подтверждения. Программное средство SaaS получает доступ к результатам для завершения этапа проверки полномочий. IdP отвечает по этому запросу в формате SAML. На нем будут цифровые подписи Джона. На основании сходства между идентифицированными данными, которые предоставил Джон и IdP, в ответном сообщении могут содержаться и другие сведения. Программное средство SaaS получает ответ и предоставляет доступ или отказывает в доступе в соответствии с инструкциями IdP. Если доступ был разрешен, то Джон может использовать свою учетную запись Zoho. SAML vs SSO SAML помогает в проверке личности пользователя и делает возможным использование системы однократного входа (SSO). SSO может существовать отдельно и позволяет конечным пользователям использовать различные приложения с унифицированными данными для входа. SSO может задействовать стандартные протоколы SAML при обмене информацией, поскольку у него нет собственным специальных протоколов. Помимо этого, он может использовать сторонние протоколы, такие как OpenID, для эффективной междоменной проверки личности пользователя. SAML имеет же широкий спектр собственных протоколов. SAML vs oAuth2 Из-за сходства основного назначения SAML 2.0 и oAuth 2.0 часто принимают за одно и то же программное средство. Хотя они и имеют некоторое сходство, но они также имеют и различия в некоторых аспектах. Сходства И то, и другое необходимо для обеспечения безопасного взаимодействия приложений. Оба поддерживают простое управление доступом и быструю интеграцию. Различия oAuth 2.0 больше уделяет внимание на авторизацию, тогда как SAML отдает приоритет аутентификации. SAML основан на XML, а oAuth 2.0 – на JSON. SAML поддерживает данные сеанса с помощью файлов cookie, в то время как oAuth использует вызовы API. Аутентификация API с помощью SAML Несмотря на то, что одним из самых распространенных вариантов применения SAML является поддержка проверка личности пользователя и включение SSO, он также может оказаться полезным для проверки подлинности запроса в API. Проверка прав доступа пользователя для проверки подлинности запроса является ключевой с точки зрения безопасности API и может быть проведена путем отправки SAML-запроса, который в свою очередь должен предусматривать следующее: SAML подготавливает запрос аутентификации API на основе API-интерфейса. Запрос должен содержать SAML-сообщение, которое может поддерживать процесс SSO, автоматически инициируемый IdP. Очень важно, чтобы сообщение SAML-запроса основывалось на закодированном XML-документе с корневым элементом <Response>. Тело запроса должно содержать текстовое наполнение, идентификаторы и область. Первые два аспекта являются обязательными, третий – нет. Ответ SAML включает в себя access_token (маркер SAML, предоставляющий или запрещающий доступ), username (имя пользователя), expires_in, refresh_token и realm (область). Заключение SAML и SSO тесно связаны друг с другом. Это критически важно для обеспечения безопасности данных без каких-либо компромиссов. Надеюсь, эта статья поможет вам разобраться в теме и больше узнать об этих двух программных средствах.
img
OpenSSH позволяет выполнять удаленное подключение к серверу, производить манипуляции с файлами и управлять системой. Сегодня хотим рассказать про лучшие методы, которые позволят увеличить безопасность системы на базе OpenSSH. Конфигурационные файлы /etc/ssh/sshd_config - файл конфигурации сервера OpenSSH; /etc/ssh/ssh_config - файл конфигурации клиентской части OpenSSH; ~/.ssh/ - директория, в которой хранятся пользовательские SSH настройки; ~/.ssh/authorized_keys или ~/.ssh/authorized_keys - список ключей (RSA или DSA), которые используются для подключения к пользовательским аккаунтам; /etc/nologin - если данный файл существует в системе, то sshd запретит подключаться всем пользователям кроме root в систему; /etc/hosts.allow и /etc/hosts.deny - система запрета (часть безопасности). Работает по аналогии с ACL; SSH порт по умолчанию - 22 Не нужен - выключай Если вашему серверу не требуется удаленное подключение по SSH, то обязательно отключите его. В таких системах как CentOS/RHEL делается это так: chkconfig sshd off yum erase openssh-server Используйте SSH второй версии Протокол SSH первой версии имеет проблемы с безопасностью, которые закрыты во второй версии. Поэтому, используйте вторую версию. Убедитесь, что в файле /etc/ssh/sshd_config указана опция Protocol 2. Ограничивайте SSH доступ По умолчанию, все системные пользователи имеют возможность подключаться к системе по SSH. Рекомендуем ограничить SSH доступ в целях безопасности. Например, разрешить SSH для пользователей root, merion и networks: AllowUsers root merion networks С другой стороны, вы можете разрешить доступ всем пользователям, кроме указанных: DenyUsers root merion networks Время неактивности Важно указывать время, в течение которого, неактивная сессия будет терминирована (завершена). Это можно сделать следующими опциями: ClientAliveInterval 300 ClientAliveCountMax 0 В данной настройке мы указали время бездействия равным 300 секунд (5 минут). Про файлы .rhosts Дело в том, что данный файл содержит список хостов и пользователей. Если в данном файле содержится комбинация хоста и юзера, то данный пользователь сможет подключиться к системе по SSH без запроса пароля. Рекомендуем отключить эту «замечательную» фичу: IgnoreRhosts yes Никакой аутентификации на базе хоста! Так называемая Host-Based Authentication позволяет пользователю с определенного хоста подключаться к серверу. Отключаем: HostbasedAuthentication no Прямое подключение через root Не нужно открывать root. Максимум, советуем использовать прямое root подключение на время проведения работ. Затем отключать. Лучше давать su (sudo) доступ для некоторых категория пользователей. Закрыть можно вот так: PermitRootLogin no Сделайте баннер Для каждого подключающегося сделайте баннер, в котором можно угрожать злоумышленникам, которые пытаются совершить несанкционированный доступ. За настройку баннера отвечает параметр Banner. 22 порт только изнутри! Сделайте доступ к 22 порту системы только через цепочку фаервол правил. Лучше всего, оставить доступ только изнутри LAN. Например, в Iptables можно дать доступ для 192.168.11.0/24: -A RH-Firewall-1-INPUT -s 192.168.11.0/24 -m state --state NEW -p tcp --dport 22 -j ACCEPT Где слушать По умолчанию SSH слушает подключения на всех доступных интерфейсах. Мы рекомендуем сменить порт по умолчанию и указать IP – адрес, на котором необходимо ожидать подключения. Например, мы укажем порт 962 и IP – адрес 192.168.11.24 Port 962 ListenAddress 192.168.11.24 Криптостойкие пароли Используйте устойчивые к защите пароли. В сети множество инструментов, которые сгенерируют криптостойкий пароль онлайн, бесплатно и без смс :) Запретить пустые пароли Бывают пользователи без паролей. Их доступ к SSH так же необходимо запретить с помощью опции: Port 962 PermitEmptyPasswords no Анализируйте логи Установите логирование событий в режим INFO или DEBUG – это позволит иметь расширенный контроль над системой: LogLevel INFO
img
В продолжение нашей статьи про настройку Netflow на маршрутизаторах Mikrotik, сегодня мы расскажем про Ntopng — приложение, которое анализирует трафик в вашей сети. Устанавливать будем на CentOS 7. Установка Ntopng не доступен в дефолтных репозиториях CentOS 7, поэтому предварительно нам нужно будет выполнить определенные действия по их добавлению. Сперва, выполните команду по добавлению EPEL репозитория: sudo yum install epel-release Затем необходимо создать ntop репозиторий. Для этого нужно будет создать файл ntop.repo внутри директории /etc/yum.repos.d - для этого введите команду sudo nano /etc/yum.repos.d/ntop.repo. В данный файл добавьте следующие строки: [ntop] name=ntop packages baseurl=http://www.nmon.net/centos-stable/$releasever/$basearch/ enabled=1 gpgcheck=1 gpgkey=http://www.nmon.net/centos-stable/RPM-GPG-KEY-deri [ntop-noarch] name=ntop packages baseurl=http://www.nmon.net/centos-stable/$releasever/noarch/ enabled=1 gpgcheck=1 gpgkey=http://www.nmon.net/centos-stable/RPM-GPG-KEY-deri Для создания файла, конечно же, можно использовать любой текстовый редактор — не только nano. Но если хотите дотошно следовать инструкции, то, вероятно, сначала текстовый редактор придется установить с помощью команды yum install nano -y. После добавления нужных строк в файл сохраните изменения с помощью сочетания клавиш CTRL+O, и выйдите из файла командой CTRL+X. Теперь переходим к непосредственно установке — выполните команду sudo yum --enablerepo=epel install redis ntopng -y . После этого просто соглашайтесь со всеми пунктами, и, спустя минут 5, все должно быть установлено. Запуск сервисов и настройка ntopng После установки ntopng, необходимо установить hiredis-devel пакет и запустить redis сервер до старта ntopng: sudo yum --enablerepo=epel install hiredis-devel Затем запускаем redis сервис и разрешаем ему автозапуск — и тоже самое делаем с ntopng. sudo systemctl start redis.service sudo systemctl enable redis.service sudo systemctl start ntopng.service sudo systemctl enable ntopng.service Далее, проверим, работает ли ntopng командой sudo systemctl status ntopng. Затем, превратим наш ntopng в бесплатную версию — для этого нужно отредактировать конфиг командой sudo nano /etc/ntopng/ntopng.conf и изменить строку: -G=/var/tmp/ntopng.pid на строку: -G=/var/tmp/ntopng.pid --community После чего, сохраним и выйдем из файла и перезапустим ntopng: sudo systemctl restart ntopng Последний шаг — настроим фаерволл и перезагрузим его. Настройка заключается в разрешении порта 3000. sudo firewall-cmd --permanent --add-port=3000/tcp sudo firewall-cmd --reload Первый запуск ntopng Теперь осталось перейти по следующему адресу: http://yourhostip:3000. Логин и пароль по умолчанию — admin. Сразу после этого вам предложат изменить пароль. Далее, вы увидите дэшборд, с разнообразной информацией, примерно как на скриншоте ниже: Для понимания возможностей данного приложения — попробуйте посмотреть хосты, сети и прочие — в общем, попробуйте освоиться с функционалом. Заключение Всем спасибо за внимание, многие крупные вендоры сейчас уделяют особое внимание протоколу Netflow и придумывают различные сценарии применения. Как это может быть полезно именно для вас, пара примеров: после недельного анализа вашей сети вы поймете, что она была недостаточно сегментирована, или увидите какие-то подозрительные потоки. Дайте нам знать, если вам интересна более подробная настройка ntopng и софта, подобного ему — обязательно напишем про это статью! :).
ВЕСЕННИЕ СКИДКИ
40%
50%
60%
До конца акции: 30 дней 24 : 59 : 59