POP3 / IMAP autenticación más fuerte

9

Recientemente implementamos una solución de autenticación de dos factores con el fin de reforzar el inicio de sesión en nuestras aplicaciones web (una de ellas es el correo basado en web, el acceso web de Microsoft Outlook) La mayoría de los usuarios a los que se les ha asignado nuevos tokens también son usuarios pop3 / imap de hace mucho tiempo. Luego, nos dimos cuenta de que, si bien las aplicaciones web están bien protegidas por 2FA, las aplicaciones de correo son una manera fácil de evitar cualquier método de autenticación más fuerte porque POP3 / IMAP no admite 2FA.

Mi pregunta es ¿cómo puedo proporcionar un método de autenticación más sólido con servicios pop3 / imap que no sean compatibles con 2FA? ¿Algún consejo para abordar este problema?

    
pregunta Owkv 04.09.2012 - 01:10
fuente

6 respuestas

8

IMAPS (también conocido como "IMAP dentro de SSL") se puede configurar con un requisito para un certificado de cliente (que es SSL autenticado). Puede configurar el servidor IMAPS de esa manera y solicitar certificados emitidos por una CA personalizada y distribuidos en tarjetas inteligentes (o tokens USB equivalentes a tarjetas inteligentes, lo que es más fácil ya que no necesitan lectores específicos). Finalmente, las tarjetas inteligentes podrían requerir un código PIN, que luego cuenta como 2FA (un factor es la posesión de la tarjeta inteligente, el segundo factor es el conocimiento del PIN).

Desafortunadamente, no todos los clientes IMAPS admiten certificados de clientes (por ejemplo, en un iPhone, aparentemente requiere jailbreaking y un poco de esfuerzo extra ) (buena suerte al conectar una tarjeta inteligente en un iPhone de todos modos ...). Además, configurar una PKI e inscribir tarjetas inteligentes, que suele ser un poco caro, digamos.

    
respondido por el Tom Leek 04.09.2012 - 02:22
fuente
1

Si su servidor IMAP admite el uso de PAM para la autenticación, es posible que pueda configurar PAM para usar una contraseña de Yubikey + para la autenticación de dos factores. Creo que Yubikey admite la integración con PAM, aunque no tengo experiencia personal con él y no he visto ningún informe sobre cómo integrarlo con un servidor IMAP.

O, puede usar Gmail como su proveedor de correo y usar una "contraseña específica de la aplicación" para autenticarse en Gmail. Esto no es técnicamente una autenticación de dos factores, pero es algo mejor que una contraseña elegida por el usuario.

    
respondido por el D.W. 04.09.2012 - 01:47
fuente
1

Solo puede permitir conexiones al servidor de correo desde direcciones IP internas y proporcionar una solución de VPN y correo web. La VPN sería necesaria para usar clientes como Outlook y requeriría autenticación de dos factores en la conexión. La opción de correo web requeriría una autenticación de dos factores para conectarse al sitio y el sitio permitiría enviar y recibir correo electrónico a través de un servidor interno al que se permite el acceso según las reglas del servidor de correo.

    
respondido por el AJ Henderson 04.09.2012 - 19:40
fuente
1

Aunque sería relativamente sencillo modificar un servidor POP / IMPA de código abierto para utilizar un método de autenticación diferente, volver a escribir MS Outlook será mucho más difícil.

Alternativamente, puede usar una puerta de enlace cautiva inversa para permitir solo el acceso al servidor POP / IMAP para las direcciones IP que se han autenticado exitosamente recientemente a través de HTTP, pero hay varios problemas con esto:

  • está basando la autenticación en una dirección IP, no en el usuario, puede haber otros usuarios en la dirección IP

  • la IP del cliente que ves en el servidor puede ser diferente para diferentes protocolos / mismo cliente

Una solución más práctica sería restringir el acceso IMAP / POP a una VPN y requerir autenticación para la VPN (primer factor) junto con un nombre de usuario / contraseña POP (segundo factor).

    
respondido por el symcbean 04.09.2012 - 11:18
fuente
0

La recomendación de Tom Leek de ver los certificados de los clientes es su mejor apuesta. Las soluciones de contraseña de un solo uso no son adecuadas para IMAP , porque muchos clientes de correo electrónico abren varias conexiones o conexiones repetidas sin que sea evidente para el usuario.

Ingresé a mi cliente de correo web IMAP una vez esta mañana, pero observando los registros, veo que se ha autenticado contra el backend IMAP 40 veces en los últimos 90 minutos. Si un factor de contraseña de un solo uso estaba en uso, no se podría hacer sin una solicitud adicional.

    
respondido por el gowenfawr 04.09.2012 - 20:27
fuente
0

Lo primero es replantear la pregunta: ¿Qué protocolos de autenticación estándar puedo usar para implementar la autenticación de dos factores en IMAP? La respuesta dentro del firewall suele ser el radio. Si puede configurar su servidor IMAP para que admita el almacenamiento en caché de radios y sesiones (para evitar el problema que menciona @gowenfawr, ya que no tiene ninguna duda con sus aplicaciones web), puede hacerlo funcionar con cualquier proveedor 2FA. Como todos apoyamos el radio.

No estoy seguro de cómo hacer esto en Windows, pero lo más probable es que necesites algo frente a tu servidor IMAP como Forefront. Así es como lo hice para SquirrelMail / IMAP en Linux: enlace .

    
respondido por el nowen 27.05.2014 - 16:01
fuente

Lea otras preguntas en las etiquetas