niedziela, 20 grudnia 2020

YubiKey 5 NFC jako 2FA (two factor authentication) dla systemów Synology SRM / DSM

Jednym z lepszych gwarantów bezpieczeństwa naszych urządzeń ogólnie, czy też w szczególności znajdujących się na nich informacji, jest dwuskładnikowe uwierzytelnianie (2FA - Two factor authentication).

Chodzi w nim o to, że przy próbie zalogowania do jakiegoś zasobu (np. do interfejsu zarządzania routerem) po podaniu loginu i hasła, użytkownik proszony jest także o wprowadzenie kodu wygenerowanego przez zewnętrzną aplikację jak np. Google Authenticator, bądź Yubico Authenticator

Prośba o podanie kodu uwierzytelniania dwuskładnikowego przy próbie zalogowania do routera Synology RT2600AC
Prośba o podanie kodu uwierzytelniania dwuskładnikowego przy próbie zalogowania do routera Synology RT2600AC

W zasadzie można by te aplikacje nazwać bliźniaczymi co do funkcjonalności. Różni je chyba tylko jedna rzecz, za to - nomen omen - kluczowa ;) Yubico Authenticator wprowadza dodatkowy element zabezpieczenia w postaci klucza sprzętowego YubiKey.

W praktyce wygląda to tak, że aplikacja firmy Google generuje kody dla każdej osoby, która uzyska do niej dostęp, z kolei Yubico Authenticator wymaga dodatkowo obecności klucza w porcie USB komputera, bądź przyłożenia go do smartfona w celu skomunikowania się przez NFC (aplikacja dostępna jest na wiele systemów operacyjnych i platform mobilnych, ale o tym w dalszej części tekstu).


Klucz YubiKey 5 NFC wpięty do portu USB typu A
Klucz YubiKey 5 NFC wpięty do portu USB typu A

Skoro już wiadomo czym jest dwuskładnikowe uwierzytelnianie oraz jaka jest różnica pomiędzy Google Authenticatorem i Yubico Authenticatorem, to pora przejść do praktycznego przykładu. 

Urządzenia firmy Synology wyposażone w system SRM (Synology Router Manager) np. router Synology RT2600AC, czy DSM (Disk Station Manager) w sławnych już NASach tej firmy, umożliwiają skonfigurowanie dwuskładnikowego uwierzytelniania dla konkretnego użytkownika, bądź wymuszenia tego zabezpieczenia wobec wszystkich userów. 

Poniżej przedstawiony będzie krótki poradnik pokazujący w jaki sposób dokonać tego w oparciu o router Synology RT2600AC i aplikację Yubico Authenticator zainstalowaną na komputerze stacjonarnym z systemem Windows 10.

Autoryzacja 2FA na routerze Synology RT2600AC

Po zainstalowaniu aplikacji Yubico Authenticator należy zalogować się do routera i przejść do ustawień użytkownika poprzez kliknięcie na ikonkę użytkownika w prawym górnym rogu ekranu (1), następnie wybrać menu Opcje i na zakładce Konto (2) zaznaczyć Włącz weryfikację 2-etapową (3).

"Ścieżka" do opcji włączającej dwuetapową weryfikację
Ścieżka dostępu do opcji dwuetapowej weryfikacji

Włączenie tej opcji spowoduje, że router zsynchronizuje czas z serwerem NTP, a następnie wyświetli kod QR celem połączenia konta użytkownika z aplikacją YubiKey Authenticator (dostępna dla Windows, Linux, macOS i platformy mobilne Android oraz iOS).


Kod QR do połączenia konta Synology z aplikacją YubiKey Authenticator
Kod QR do połączenia konta Synology z aplikacją YubiKey Authenticator

Na chwilę obecną to wszystko co należy wykonać po stronie routera. 

Teraz należy przejść do aplikacji Yubico Authenticator do której kod QR wyświetlony w routerze może zostać przekazany na dwa sposoby:

  1. poprzez przycisk Scan - opcja ta zrobi zrzut ekranu w poszukiwaniu kodu QR i jeżeli taki wykryje, to potrzebne dane zostaną automatycznie zaczytane do Yubico Authenticator. Należy jedynie pamiętać, aby kod QR był widoczny na ekranie.
  2. poprzez przycisk Manual - tutaj z kolei użytkownik może ręcznie przeprowadzić proces dodawania konta podając  nazwę konta oraz tajny kod. Tajny kod w przypadku systemu Synology DSM ukryty jest pod opcją Tajny klucz można także wprowadzić ręcznie - widocznej nad kodem QR w powyższym screenie. 
Przeprowadzając powyższą operację można rozważyć jednoczesne dodawanie konta do aplikacji Yubico Authenticator zainstalowanej na urządzeniu mobilnym, bądź drugim komputerze. W przeciwnym wypadku, w razie awarii komputera na którym przeprowadzamy proces konfiguracji autoryzacji dwuskładnikowej, może zajść potrzeba awaryjnego odzyskiwania konta, która wymaga prawidłowo skonfigurowanego konta e-mail w systemie SRM / DSM (warto to zweryfikować zanim będzie za późno). 

Dane uzupełnione automatycznie po zeskanowaniu z  ekranu kodu QR
Dane uzupełnione automatycznie po zeskanowaniu z  ekranu kodu QR

Dodając konto warto zwrócić uwagę na opcję Require touch, widoczną na dole powyższego screena. Jest to kolejna warstwa zabezpieczeń, która gwarantuje odporność na oprogramowanie złośliwe, mogące próbować "pod nieuwagę" użytkownika odczytać zawartość klucza YubiKey. 
W przypadku zaznaczonej opcji Require touch, każdorazowe wygenerowanie kodu wymaga od użytkownika potwierdzenia tej czynności naciśnięciem płytki dotykowej klucza. 
Oprogramowanie złośliwe nie powinno być w stanie obejść tego zabezpieczenia. 

Płytka dotykowa w kluczu YubiKey
Płytka dotykowa sygnalizująca światłem oczekiwanie na interakcję z użytkownikiem

Warto tu wyjaśnić, że płytka dotykowa nie jest czytnikiem linii papilarnych, więc każdy kto będzie miał dostęp do komputera z aplikacją i klucza YubiKey będzie w stanie potwierdzić generowanie kodu. Obejściem tego problemu może być założenie hasła na samą aplikację Yubico Authenticator, ponieważ istnieje taka możliwość. 
Klucz z czytnikiem linii papilarnych jest aktualnie projektowany przez Yubico. Więcej na jego temat możecie przeczytać pod tym linkiem

Zakończeniem powyższych kroków jest pojawienie w Yubico Authenticator konta generującego kody dla routera, które wygląda jak na screenie poniżej. 

Konto routera Synology RT 2600AC dodane do Yubico Authenticator
Konto routera Synology RT 2600AC dodane do Yubico Authenticator

Od tego momentu w celu zalogowania do routera Synology RT 2600AC koniecznym będzie potwierdzenie swojej tożsamości poprzez niżej wypisane kroki:
  1. Podanie loginu,
  2. Wprowadzenie hasła użytkownika,
  3. Wygenerowanie kodu w aplikacji Yubico Authenticator, po ewentualnym wcześniejszym podaniu hasła do niej i włożeniu klucza do portu USB,
  4. Skopiowanie / przepisanie kodu z aplikacji do formularza logowania.
I to w zasadzie tyle. Po tych czynnościach powinniśmy uzyskać dostęp do interfejsu routera Synology RT2600AC, bądź urządzeń NAS tej firmy. 

Podsumowanie

Samo dwuskładnikowe uwierzytelnianie jest dużym krokiem naprzód jeżeli chodzi o bezpieczeństwo. Większości użytkowników z pewnością wystarczy aplikacja udostępniania przez firmę Google i generowane przez nią kody. 

Jaka zatem jest korzyść z dodatkowej warstwy zabezpieczeń w postaci klucza YubiKey?

Przede wszystkim jest to kolejny poziom bezpieczeństwa dla osób, które pragną zapewnić sobie spokój ducha i zarządzanych przez siebie danych, w najwyższy możliwy sposób, bowiem poprzez użycie fizycznego klucza, proces autoryzacji jest nie do złamania od strony programowej. Dodatkowo, w przypadku komputera stacjonarnego, który może być używany przez kilka osób, nawet wykradzenie loginu i hasła przy pomocy keyloggera i dostęp do aplikacji generującej kody nic atakującemu nie da, jeżeli klucz będziemy mieli przy sobie.
Tutaj każdy zainteresowany będzie musiał odpowiedzieć sobie na pytanie, czy potrzebuje takich zabezpieczeń, czy też nie.

Brak komentarzy:

Prześlij komentarz

Bardzo proszę o zachowanie netykiety.