Współcześnie użytkownicy mają możliwość korzystania z zasobów wewnętrznych organizacji, w tym na przykład systemów klasy ERP czy poczty firmowej, z dowolnego miejsca i dowolnego urządzenia.  

Dostęp tego typu jest nie tylko wygodny, ale pozwala również na większą dynamikę i efektywność pracy.  Niestety otwiera on również dodatkowe wektory ataku na każdy z systemów dostępnych on-line. Jest to szczególnie istotne, gdy systemy przechowują kluczowe dla firmy dane jak dane kadrowe, informacji finansowe czy szczegóły relacji z Klientami.   

Co znajdziesz w tym artykule?  

  • Metody ataków na aplikacje Internecie 
  • Czym jest MFA 
  • Dlaczego MFA jest istotne w systemie ERP 
  • Możliwości uwierzytelniania w Enova365 
  • MFA w enova365 z ADFS i Cisco DUO 


Jedną z często wykorzystywanych metod jest atak bezpośrednio na opublikowany w Internecie system, za pomocą wyspecjalizowanych technik i skomplikowanych narzędzi informatycznych wykorzystujących wykryte w systemie podatności.  

Przeciwdziałanie takim atakom wymaga drogich i skomplikowanych we wdrożeniu systemów klasy Web Application Firewall i/lub IPS, które jednak dobrze przygotowana zapewniają co najmniej przyzwoity poziom zabezpieczenia.   

Drugim znacznie częściej wykorzystywanym wektorem ataku, jest próba przejęcia danych logowania użytkownika i wykorzystania ich do nieuprawnionego dostępu. Atak ten jest znacznie prostszy do zrealizowania i nie wymaga omijania wyrafinowanych zabezpieczeń a do jego przeprowadzenia nie konieczne jest posiadanie unikalnej wiedzy IT.  

Przejęcie danych uwierzytelniających jest dosyć łatwe, np. za pomocą wiadomości e-mail zawierającej złośliwe linki przekierowujące na strony łudząco podobne do stron organizacji. Na ten typ ataków podatni są wszyscy użytkownicy, zarówno Ci mniej biegli w obsłudze komputera, jak i zaawansowani. Często nie jest konieczne nawet przeprowadzanie samego ataku. Wielu zwłaszcza nie związanych z IT użytkowników wykorzystuje te same hasła do wielu systemów w tym do portali prywatnych np. sklepów internetowych etc. Wystarczy nierzadki obecnie, wyciek takich haseł i z danych dostępnych w Internecie atakujący może próbować dostać się do firmowych systemów.  

Bez odpowiedniego przygotowania środowiska IT takim atakom bardzo trudno przeciwdziałać.  Z pomocą przychodzi uwierzytelnianie wieloskładnikowe zwane potocznie MFA lub 2FA 


Czym jest „Uwierzytelnianie wieloskładnikowe”  

MFA to sposób logowania do systemu lub aplikacji, który oprócz podstawowych danych użytkownika, czyli login oraz hasło, wymaga jeszcze podania dodatkowego składnika przypisanego do naszego konta.  

Tym składnikiem może być:  

  • kod jednorazowy wygenerowany przez aplikację mobilną 
  • kod z fizycznego tokenu 
  • certyfikat zainstalowany na karcie z chipem, 
  • klucz sprzętowy np. YoubiKey którą należy włożyć do czytnika lub też  
  • kod przesłany w wiadomości email/sms 

Zalogowanie do systemu możliwe jest wyłącznie, gdy jednocześnie spełnione są wszystkie warunki, wystarczy, aby jeden z nich był niepoprawny i logowanie zakończy się niepowodzeniem 

Jest to bardzo efektywny sposób zabezpieczenia systemu przed nieautoryzowanym logowaniem, ponieważ dodatkowy składnik logowania jest dynamiczny i przy każdym logowaniu jest inny, więc nie da się łatwo go wykraść. Nawet jeśli hasło użytkownika wycieknie bez fizycznego posiadania telefonu czy tokenu nie będzie możliwe uzyskanie dostępu do systemu.  


System enova365 – rodzaje dostępu 

 

enova365 jest jednym z wiodących systemów EPR w Polsce, jednocześnie wyróżnia się technologicznie, gdyż poza klasycznym interfejsem desktopowym posiada wersję webową, gdzie wszystkie funkcjonalności systemu dostępne są poprzez przeglądarkę internetową.  

System jako rozwiązanie ERP, gromadzi niezwykle istotne dane, jak informacje kadrowe, faktury, dane księgowe etc. Ich wyciek może mieć dla każdej firmy ogromne konsekwencje.  

Specyfika współczesnej pracy, często wymaga udostępnienia systemu zdalnie, często również bez dodatkowych zabezpieczeń jak VPN np. w sytuacji, gdy korzystamy z systemu do publikacji zewnętrznego API lub pulpitów kontrahenta/pracownika. 

Możliwość dostępu do systemy poprzez przeglądarkę z dowolnego miejsca jest niezwykle kusząca. Nie można jednak zapominać, że wprowadzenie takiego usprawnienia pracy wymaga implementacji odpowiednich zabezpieczeń.  

Uwierzytelnienie w systemie enova365 

Podstawowym sposobem zalogowania do systemu enova365, czy to w wersji webowej czy desktop jest sam login i hasło. W wersji desktopowej ten sposób uwierzytelniania może być wystarczający, ponieważ aby poprawnie zalogować się do samego systemu użytkownik musi dostać się do komputera lub terminala do pracy, na którym zainstalowana i odpowiednio skonfigurowana jest aplikacja.  Sam komputer czy terminal musi posiadać odpowiednie dostępy sieciowe do serwera z bazą danych, więc całość można uznać za względnie bezpieczną.  

Inaczej jest natomiast z wersją webową systemu. W tym scenariuszu w wielu przypadkach aplikacja jest dostępna bezpośrednio z Internetu za pomocą dowolnej przeglądarki.  

Jeżeli posiadamy adres strony logowania, który bardzo łatwo pozyskać oraz login i hasło uzyskujemy dostęp do całości systemu ERP. Skutki nieuprawnionego dostępu mogą być bardzo dotkliwe, mogą mieć bezpośredni wpływ na funkcjonowanie samej organizacji, a raczej na paraliż jej funkcjonowania oraz na inne organizacje, których dane przechowywane są w systemie.  

Jak „uzbroić” nasz system enova365 w MFA? 

Włączenie dodatkowych składników uwierzytelniania możemy osiągnąć dzięki wykorzystaniu i połączeniu technologii wspieranych przez producenta systemu.  

Poniżej przykład rozwiązania, które pozwala taki efekt osiągnąć.  

Do implementacji wykorzystamy n następujące technologie:  

  • Microsoft Active Directory (AD) 
  • Microsoft Active Directory Federation Services (ADFS) 
  • Cisco DUO 

Nie wszyscy mogą znać specyfikę ww. systemów stąd poniżej kilka słów objaśnienia.  

Rozwiązanie zakłada integrację systemu enova365 z AD i ADFS oraz wykorzystanie ADFS do integracji z Cisco DUO. Aplikacja Cisco została przeze mnie wykorzystana ze względu na prostotę jej obsługi zarówno przez administratora jak i użytkownika, stosunkowo duże możliwości oraz niską cenę. DUO jest jednym z popularniejszych dostawców MFA, jest uznane za niezwykle bezpieczne a sama obsługa od strony użytkownika jest bardzo intuicyjna. Użytkownik nie musi bowiem podawać kodu z aplikacji mobilnej a jedynie podczas logowania otrzymuje notyfikacje w telefonie i musi nacisnąć przycisk „Potwierdź”.  

Zakładając, że organizacja posiada już serwer AD, czyli dostawcę tożsamości, który jest powszechnie wykorzystywany w środowiska opartych o systemy Windows. Jeśli wykorzystywane są usługi terminalowe to AD jest wręcz niezbędne, do wdrożenia pozostaje serwer z usługą ADFS.  

W pierwszym kroku integrujemy oprogramowanie enova365 z AD poprzez protokół LDAP, dzięki temu login i hasło do systemu enova365 zarówno w wersji webowej jak i desktop będzie ten sam jak login i hasło w AD.  

Następnie przechodzimy do konfiguracji serwera ADFS, który umożliwia integrację różnych aplikacji z AD bez konieczności zapewniania bezpośredniego dostępu ich do serwera AD. ADFS łączy się do AD poprzez protokół Kerberos, a aplikacją komunikuje się z ADFS z wykorzystaniem protokołu SAML lub OAuth.  

Podstawowa konfiguracja usługi ADFS jest opisana szczegółowo w dokumentacji Microsoft.  

Kolejnym krokiem jaki należy wykonać jest integracja systemu enova365 z usługą Active Directory Federation Services. Ten krok nie jest już tak intuicyjny, ale producent dostarcza w tym zakresie ogólną instrukcję. 

Przy tak wykonanej instalacji dostajemy wiele możliwości zabezpieczenia logowania do wersji webowej systemu enova365, przy pomocy domyślnych ustawień AD FS, możemy np. ograniczyć możliwość tylko do konkretnych użytkowników, zaufanych adresów IP użytkowników lub tylko do komputerów posiadających certyfikat wystawiony przez organizację.  

Jest to już namiastka uwierzytelniania wieloskładnikowego, jednak docelowo chcemy, aby użytkownik mógł podłączyć się z dowolnego urządzenia i musiał potwierdzić to za pomocą kodu lub aplikacji. Tu z pomocą przychodzi nam aplikacja Cisco DUO. Po zintegrowaniu jej z naszym serwerem AD FS (instrukcja dostarczana przez Cisco) dostajemy możliwość włączenia konieczności potwierdzania logowania za pomocą aplikacji mobilnej zainstalowanej na telefonie użytkownika. Efektem tej operacji jest następujący scenariusz logowania:  

  1. Użytkownik z dowolnego urządzenia otwiera w przeglądarce stronę logowania do aplikacji enova365. 
  1. W swój login i hasło i zatwierdza logowanie. 
  1. Jeżeli login i hasło są poprawne na telefonie użytkownika wyskakuje powiadomienie z aplikacji Cisco DUO, w którym należy potwierdzić lub odrzucić logowanie.  
  1. Po zatwierdzeniu logowania w DUO przeglądarka przekierowuje użytkownika do aplikacji enova365. Natomiast jeżeli użytkownik odrzuci logowanie do administratora określonego w DUO zostaje wysłane powiadomienie o nieuprawnionym logowaniu.   

W ten łatwy sposób zabezpieczyliśmy system enova365 dodatkowym składnikiem uwierzytelniania oraz otrzymaliśmy pełną informację o logowaniach, która jest logowana przez systemu DUO przy każdej autoryzacji.  

Rafał Gonos

Senior Solutions Architect /ENTEO TECH. Doświadczony inżynier specjalizujący się w rozwiązaniach z zakresu: sieci, wirtualizacji oraz infrastruktury sprzętowej, chmurowej i cyberbezpieczeństwa.
Człowiek orkiestra, który nie tylko rozumie zagadnienia techniczne, ale również potrafi widzieć wagę tych rozwiązań w znaczeniu biznesowym. Skupia się na rozwiązaniach: Vmware vSphere, Acronis Cyber Protect Cloud, Fortinet, Cisco, Windows Serwer, Linux.


To również może Cię zainteresować:

ERP | CRM | DMS | Enova365 | Aplikacje Dedykowane | Analiza Systemowa | Projektowanie Procesów | Zarządzanie Projektami.

Systemy ERP, CRM, DMS, System Enova365, Aplikacje Dedykowane, Analiza Systemowa, Projektowanie Procesów, Zarządzanie Projektami.

NG Firewall | WAF | Antyspam | NG Endpoint | SIEM | Wirtualizacja | Przechowywanie Danych Sieci LAN Data Center, WLAN | Kopie zapasowe i DR | Audyt Bezpieczeństwa

NG Firewall, Waf, Antyspam, NG Endpoint Siem, Wirtualizacja, Przechowywanie Danych, Sieci LAN, Data Center, WLAN, Audyt Bezpieczeństwa

Chmura prywata | Chmura publiczna
IaaS | PaaS | SaaS | BaaS | DRaaS | Systemy bezpieczeństwa dedykowane dla chmury obliczeniowej

Infrastruktura w modelu Cloud.
IAAS, PAAS, SAAS, BAAS i DRAAS, Systemy bezpieczeństwa dedykowane dla chmury obliczeniowej