Портал документации Рутокен

Page tree

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

Version 1 Current »

Использование Рутокен ОТР совместно с PAM-системой СКДПУ НТ необходимо для реализации следующих сценариев:

Усиленная защита привилегированного доступа

В большинстве организаций доступ администраторов к критически важной инфраструктуре осуществляется через привилегированные учетные записи. Компрометация таких данных позволяет злоумышленнику получить полный контроль над ИТ-инфраструктурой.

Для контроля всех действий привилегированных пользователей используется PAM-система — единственный способ входа на целевые устройства. Однако она становится критической точкой доверия: если злоумышленник получит доступ к PAM-системе, он сможет использовать ее для подключения к другим системам.

Чтобы повысить уровень защиты ИТ‑инфраструктуры, необходимо применить два независимых механизма аутентификации на разных уровнях:

  1. Доступ к СКДПУ НТ защищен двухфакторной аутентификацией TOTP.
    В рамках PAM‑платформы реализована собственная 2FA на основе алгоритма TOTP, что исключает необходимость сторонних решений.
  2. Доступ к целевым системам защищен PKI‑аутентификацией со смарт‑картами или токенами.

Такой подход формирует многоуровневую модель защиты привилегированного доступа.

Каждый последующий этап требует дополнительного подтверждения личности, что существенно усложняет реализацию атак даже для злоумышленников с высоким уровнем подготовки.

Состав комплекса решений

PAM-платформа СКДПУ НТ

  • централизованный доступ к инфраструктуре;
  • контроль привилегированных учетных записей;
  • запись и аудит административных сессий;
  • встроенная поддержка 2FA по TOTP;
  • выявление и обработка инцидентов, реагирование на них.

Аппаратный генератор одноразовых кодов Рутокен OTP

  • генерация одноразовых кодов TOTP;
  • хранение секретного ключа внутри устройства;
  • использование как второго фактора аутентификации.

Смарт-карта/PKI-токен (например, Рутокен ЭЦП)

  • безопасное хранение ключей и сертификатов;
  • формирование и проверка ЭП;
  • шифрование данных;
  • PKI-аутентификация пользователя.

Почему это надежнее, чем просто пара логин-пароль

  1. TOTP-токены каждый раз генерируют уникальные коды, что делает доступ к системе более защищенным.
    • если у злоумышленника есть логин и пароль, он не сможет попасть в систему, пока не украдет аппаратный токен или смартфон с приложением для аутентификации;
    • TOTP-токены не могут быть легко скопированы или воспроизведены, как цифровые пароли. Если токен потерян или украден, он может быть деактивирован, что предотвратит несанкционированный доступ;
    • использование аппаратных токенов исключает атаки через перехват SMS и компрометацию мобильных приложений MFA.
  2. Смарт-карты обеспечивают строгую аутентификацию при доступе к вашим целевым системам.
    • украсть смарт-карту и узнать PIN-код сложнее, чем узнать пароль;
    • использование смарт-карт исключает брутфорс-атаки, кейлоггинг и фишинг.

Благодаря TOTP‑токенам и смарт‑картам компрометация одного элемента автоматически не приводит к доступу ко всей инфраструктуре, что подтверждает многоуровневую модель безопасности.

Когда это необходимо

  • Администрирование серверной инфраструктуры.
  • Управление сетевой инфраструктурой.
  • Доступ к системам АСУ ТП.

Использование многоуровневой аутентификации и PAM-системы значительно снижает вероятность успешной атаки и позволяет своевременно обнаруживать подозрительные действия.

 

Усиленная защита доступа к целевым системам в полностью изолированной инфраструктуре

Для работы многих организаций (субъектов КИИ, ВПК, ЦОД ГИС и других) необходима полностью изолированная ИТ-инфраструктура. Для нее характерно:

  • отсутствие доступа в интернет и к мобильной сети;
  • запрет на использование мобильных устройств;
  • невозможность использования облачных сервисов MFA.

Изолированная инфраструктура зачастую считается более защищенной, однако на практике она также подвержена кибератакам, в том числе со стороны внутренних специалистов. Для повышения уровня защиты доступа к целевым системам необходимо использование 2FA. Его эффективная организация в полностью изолированной инфраструктуре обеспечивается благодаря совместной работе аппаратного генератора TOTP Рутокен OTP и PAM-платформы СКДПУ НТ.

Устройство Рутокен OTP генерирует коды автономно, так как не зависит от внешних сервисов.

СКДПУ НТ проверяет эти коды, используя встроенную поддержку алгоритма TOTP.

Состав комплекса решений

PAM-система СКДПУ НТ

  • управление привилегированным доступом;
  • поддержка 2FA;
  • проверка кодов TOTP.

Аппаратный генератор Рутокен OTP

  • полностью автономная генерация кодов;
  • отсутствие необходимости подключения к сети;
  • хранение секретного ключа внутри устройства.

Почему это надежнее, чем просто пара логин-пароль

TOTP-токены каждый раз генерируют уникальные коды, что делает доступ к системе более защищенным:

  • если у злоумышленника есть логин и пароль, он не сможет попасть в систему, пока не украдет аппаратный токен или смартфон с приложением для аутентификации;
  • TOTP-токены не могут быть легко скопированы или воспроизведены, как цифровые пароли. Если токен потерян или украден, он может быть деактивирован, что предотвратит несанкционированный доступ;
  • использование аппаратных токенов исключает атаки через перехват SMS и компрометацию мобильных приложений MFA.

Когда это необходимо

  • Администрирование серверной инфраструктуры.
  • Управление сетевой инфраструктурой.
  • Доступ к системам АСУ ТП.

 

  • No labels