IT-biztonsági berkekben manapság az egyik legnépszerűbb eljárás a Multi-factor authentication. Sok esetben az univerzális megoldás, ami megoldja a szervezetek security problémáját. Ennek ellenére nem beszélhetünk egyszerű rendszerről, itt is fontos az átgondolt hozzáállás.
Hiába a beruházás MFA-megoldásokba, és hiába van minden felhasználónál bekapcsolva, ha van olyan technikai megoldás, amire a többtényezős hitelesítés nem értelmezhető. Tehát legyünk körültekintőek, hiába az MFA, ha az adott szolgáltatások elérhetőek legacy authentikációval is!
Block legacy authentication, ezt lehet olvasni minden security guide-ban, mint egyik fontos tétel a biztonságos környezet kialakításában.
Legacy authentication, mikor egyszerű felhasználónév/jelszó párossal hitelesítünk egy erőforráson, pl. levelezőszerveren. Ilyen többek között a POP, SMTP, IMAP, és MAPI protokollok. Mivel ezek nem támogatják a többfaktoros hitelesítést, a használatuk veszélyt jelent. Ha a felhasználói jelszót ellopják/feltörik, akkor bárhonnan bármikor elérik a céges erőforrásokat.
Megjelöltünk egy tételt feketével. Bizony, hétkarakteres jelszó, ami tartalmaz kisbetű-nagybetű-szám-speciális szimbólumot, és mégis 17 óra alatt feltörhető.
Az Azure AD statisztikái szerint a jelszótámadások 99%-a a legacy authenticationhoz köthető. Ahol ezt már letiltották, ott 67%-kal csökkent a sikeres törések száma.
Az AzureAD Sign-in logs kiváló eszközt nyújt számunkra a kereséshez. Navigáljunk el az AzureAD/Monitoring/Sign-ins részre. Válasszuk ki a kívánt időtartamot és a filterben adjuk hozzá a Client app mezőt, majd pipáljuk be az összes Legacy Authentication Clients-t.
Utána a Columns-nál adjuk hozzá, hogy jelentítse meg a Client Appokat is.
Így lesz egy kész táblázatunk, amiben látjuk a használatban lévő legacy protokollokat:
A tábálzatot letölthetjük CSV vagy JSON formában is, további feldolgozás céljából.
Miután beazonosítottuk a protokollokat, döntést hozhatunk a sorsuk felől. Szükséges a céges levelezéshez a POP? Kell-e támogatni az unsupported ActiveSync klienseket (ezek általában nem szabványos levelezőalkalmazások stb)? Érdemes manapság a Modern Authenticationt használó alkalmazásokra áttérni (pl. Outlook 2013-tól felfelé és egyéb újabb alkalmazások). Vigyázat, a Skype for Business Exchange Web Services-t használ az Exchange-naptár eléréséhez, tehát tiltás esetén a Skype és naptár integrációtól elbúcsúzhatunk!
Természetesen nem javasolt azonnali tiltást bevezetni minden felhasználóra vonatkozóan. Szerencsére az Azure AD Conditional Access segítségével tudunk felmérést készíteni, hány felhasználót érintene a tiltás. A policyt beállítva szűri a usereket, de nem blokkol, csak logolást végez. A szükséges beállítás a következő:
Ezt a policy érdemes futni hagyni 4-6 hétig, hogy elegendő adatot gyűjtsön.
Jön a kiértékelés rész, hány usert érintene a blokkolás? A Conditional Access Insights részen látható a Failure szám.
Érdemes felhasználói csoportokra bontva, fokozatosan bevezetni a tiltást. Azok a userek, akik már biztosan nem használnak ilyen régi protokollokat, bevonhatóak az enforce block beállításba.
Miután meggyőződtünk róla, hogy a felhasználók készen állnak a kivezetésre, a legegyszerűbb mód, ha a fenti policyt átállítjuk Report-only módból On-ra. Természetesen létrehozhatunk másik policyt, amit csak adott csoportra állítunk be és ott tiltjuk aktívan a legacy authenticationt.
A sign-in logok között látható lesz, ha mégis érkezne ilyen protokollon keresztüli kapcsolódás:
Összefoglalva: nagyon népszerű manapság a többfaktoros hitelesítés, napról-napra több helyen is vezetik be, ami örvendetes tendencia. Viszont ne feledkezzünk meg róla, hogy csak akkor ér valamit, ha van mihez kötni a második faktort! Erre pedig a legacy protokollok nem képesek.
Istvánffy Zoltán
Microsoft Cloud Solution Architect, Microsoft Certified Trainer
Qualysoft Informatikai Zrt.