Сервис AUTH.AS Protector для защиты веб-сайтов
В этой инструкции мы рассмотрим процесс настройки сервиса AUTH.AS Protector с системой двухфакторной аутентификации auth.as для защиты любого web-ресурса в сети от несанкционированного доступа.
Описание сервиса
Сервис AUTH.AS Protector создан для защиты веб-ресурса от неавторизованного доступа из внешней сети. Сервис представляет собой обратный прокси-сервер (Reverse Proxy), который обеспечивает проверку второго фактора безопасности, без необходимости дополнительной интеграции защищаемого web-ресурса с системой AUTH.AS. При этом, весь трафик от клиента до веб-ресурса проходит через AUTH.AS Protector, что повышает безопасность веб-ресурса от разного рода атак и снижает на него нагрузку. Одним из ключевых преимуществ, является удобство его подключения – для этого не потребуется вносить какие-либо изменения на защищаемом веб-ресурсе или производить инсталляцию дополнительного ПО.
Архитектура решения
Для наглядной демонстрации схемы работы AUTH.AS Protector рассмотрим архитектуру данного решения. В подавляющем большинстве случаев, схема запроса и получения веб-контента с веб-сайта выглядит следующим образом:
- Потенциальный посетитель сайта делает запрос в браузере по имени сайта (например, www.site1.com). Этот запрос, браузер отправляет на публичный DNS сервер, для получения IP адреса сайта.
- DNS сервер возвращает браузеру IP адрес, который соответствует имени www.site1.com, например, 199.178.201.250.
- Браузер отправляет запрос на полученный от DNS IP адрес (199.178.201.250), для получения web-контента.
- Браузер получает запрашиваемый контент и отображает его пользователю.
При использовании сервиса AUTH.AS Protector, схема доступа к веб-ресурсу и получения с него контента, выглядит следующим образом:
- Потенциальный посетитель сайта делает запрос в браузере по имени сайта (например, www.site1.com). Этот запрос, браузер отправляет на публичный DNS сервер, для получения IP адреса сайта.
- DNS сервер возвращает браузеру IP адрес системы AUTH.AS Protector (например 9.9.9.9), так как сайт теперь защищен от несанкционированного доступа.
- Браузер отправляет запрос на IP адрес 9.9.9.9 на получение доступа к сайту www.site1.com. AUTH.AS Protector запрашивает у браузера (клиента) имя пользователя и одноразовый пароль для системы auth.as.
- AUTH.AS Protector валидирует введенный email и пароль через API системы auth.as.
- В случае успешной валидации пароля, переходит к шагу 6.
- По известному только AUTH.AS Protector IP адресу сайта (например, 199.178.201.250), делается запрос на контент этого сайта.
- Полученный контент перенаправляется браузеру клиента.
- Браузер получает и отображает контент запрашиваемого сайта от сервиса AUTH.AS Protector.
Настройка систем
- В системе двухфакторной аутентификации auth.as, необходимо получить API_KEY для защищаемого домена, а также, настроить учетные записи для авторизованных пользователей. Вы можете просто отправить нам письмо на support@auth.as, указав в нем список авторизованных пользователей и мы сделаем все настройки в системе auth.as для вас. Если же, вы хотите настроить систему auth.as самостоятельно, то, для получения API_KEY, нужна всего пара кликов:
- Напишите нам письмо на support@auth.as, укажите в нём DNS имя вашего ресурса, его реальный IP адрес или несколько адресов, ваш API_KEY ключ (который вы получили на первом шаге). Мы самостоятельно настроим AUTH.AS Protector для работы с вашим ресурсом. Если планируется доступ к вашему сайту по протоколу HTTPS, не забудьте выслать сертификат и ключ от вашего сайта. В случае, если ваш веб-ресурс использует дополнительные или нестандартные порты, нам нужно также об этом знать.
- После того как настройка AUTH.AS Protector будет готова, внесите изменения в DNS для вашего ресурса, укажите IP адрес нашего сервиса вместо вместо вашего.
Затем, ввести авторизованных пользователей и назначить им токены:
Более детальные инструкции даны в статьях Управление пользователями и Управление токенами.
Готово! Ваш ресурс защищён!
Для конечного пользователя системы AUTH.AS Protector, удобство заключается в том, что фактически, требуется сделать самостоятельно лишь последний пункт. Остальные настройки будут сделаны службой поддержки auth.as, пользователю лишь нужно предоставить необходимые данные.
Следует не забывать, что для полной изоляции целевого сайта от доступа из-вне, на сервере сайта нужно запретить сетевые соединения для всех адресов, кроме AUTH.AS Protector. В противном случае, несанкционированный пользователь сможет получить доступ к сайту, зная его реальный IP адрес.