Transcript – RSA SecurID Kahefaktoriline autentimine Hardy Viilup Stallion AS

Kahefaktoriline autentimine – RSA SecurID
Hardy Viilup
Stallion AS
RSA Security’st
Faktid
• RSA algoritm saab järgmine aasta 30 aastaseks
• On autentimisturu liider 20+ aastat
• SecurID nimelised tooted turul olnud 15+ aastat
• Klientide poolt hinnatud klienditugi, saadaval 24 tundi
ööpäevas
• Osaleb aktiivselt uurimustöödes, selleks on loodud eraldi
ettevõte, RSA Laboratories
Kasutaja kasu
• Kasutaja rahulolu – teadmine et tegemist usaldusväärse
tootjaga, kes pingutab oma klientide heaolu nimel
• Kindlustunne - pika elueaga tooted
Sissejuhatus RSA SecurID juurde
Milleks keskenduda autentimisele?
•
Autentimine on vajalik usaldatavate
äriprotsesside loomiseks
— Loob usalduse määrates tehingute
osapoolte identiteedid
— “Internetis ei tea keegi, et
sa oled koer”
Salgamise vääramine!
Tugeva autentimise vajadust mõjutavad
tegurid
•
Laienev ligipääsu ring
— Mobiilsete ja kaugtöötajate
hulga kasv
— Ettevõtte ressursse kasutavad
kolmandad osapooled
• Kliendid
•
Probleemid paroolidega
— Paroolid pakuvad nõrka kaitset
— Mitme parooli meelespidamine
tülikas
— Paroolid on üllatavalt kulukad
• Partnerid
• “Willy Sutton’i effekt”
— Kaugjuurdepääs tundlikule
infole
— Üha rohkem “phishing” ründeid
Source: RSAS, adapted from Frost & Sullivan
Kahefaktoriline autentimine
Enamlevinud näide
+ PIN
Autentimisvalikud
Suhteline tugevus
Parool
+
Password
PIN
PIN
+
+
PIN
+
Poliitika
Policy
+
Ühefaktoriline
Nõrgem
Kahefaktoriline
Kolmefakt.
Tugevam
Kasutajate autentimise hetkeolukord
•
•
Paroolid domineerivad aga muutuvad üha nõrgemaks
Vajadus tugeva autentimise järgi aina kasvab
— Üha enam ettevõtteid viib oma äri internetti
— Töötajate mobiilsus kasvab – vajadus informatsioonile juurdepääsuks
igalt pool, igal ajal
— “Phishing” ründed on viimase aastaga kõvasti kasvanud
(vt. www.antiphishing.org)
•
Tugevate autentimislahenduste seas
— Populaarseimad on võtmehoidlad
— Kiipkaardid muutuvad aina võimekamateks
— Biomeetrilisi lahendusi surutakse peale, mõned suured lahendused
RSA SecurID
Tootepere
RSA SecurID tooted
•
RSA SecurID Autentikaatorid
— Riistvaralised võtmehoidlad
— Tarkvaralised võtmehoidlad
— Kiipkaardid/USB võtmehoidlad
•
SID lahenduse 3
põhikomponenti
RSA Authentication Manager
— RSA SecurID mootor
•
RSA Authentication Agents RSA
— SecurID “valvurid”
•
RSA Authentication Deployment Manager
— RSA SecurID volituste juurutamise lahendus
•
RSA SecurID Select
— Co-branding teenus - oma logo peale kandmine
RSA SecurID autentimislahendus
Arvutab
pääsukoodi
Kasutaja sisestab
pääsukoodi
(PIN + kood
võtmehoidlast)
Authentication
Agent
(Autentimisagent)
Kasutaja
autenditud
Authentication
Manager
(Autentimishaldur)
RSA SecurID
Aja-sünkroonne kahefaktoriline autentimine
RSA
Authentication
Agent
RSA
Authentication
Manager
RAS,
VPN,
veebiserver,
032848
WiFi AP
jne.
Algoritm
Algoritm
Aeg
Seeme
Aeg
Sama seeme
Sama aeg
Seeme
RSA SecurID
Ajasünkroonse autentimise
seadmed
RSA SecurID Autentikaatorid
•
RSA SecurID riistvaralised
võtmehoidlad
— Võtmehoidja
— Pangakaardi kujuline
— Pangakaardi kujuline sõrmistikuga
— Hübriidvõtmehoidla
•
RSA SecurID tarkvaralised
võtmehoidlad
— MS Windows PC
— MS Windows Mobile
— Palm pihuarvutid
— BlackBerry pihuarvutid
— Mobiiltelefonid
RSA SecurID SID700 autentikaator
• Paranenud kvaliteet ja vastupidavus
• Väiksemad mõõtmed, mugavam
kasutada
• Võimalik lisada oma logo
• Saadaval kohe
RSA SecurID SID800 autentikaator
Täiendavad omadused lisana SID700 omadustele:
•
Ühtne konteiner mitmesugustele volitustele
— Dün. ühekordsed paroolid, sertifikaadid, paroolid
— Sega-autentimiskeskkonnad – ettevõtte sisevõrk,
kaugpöördus, veeb
— Digitaalallkirjad ja krüpteerimine
•
Laiendatavus kaitseb klientide investeeringuid
— Dün. Ühekordsete paroolide juurutamine, hiljem
selektiivselt võimalik lisada täiendav funktsionaalsus
— JAVA tagab hilisema täiendavate rakenduste lisamise
ja parendamise võimaluse
•
Lihtne kasutada
— Tarkvaraliste vahendistega võtmehoidla koodile
ligipääs vähendab kasutaja poolt teostatavate
klaviatuurivajutuste arvu
RSA autentikaatori utiliit
SID800 kliendi tarkvara
• Klient tarkvara kasutatav kui SID800 ühendatud
• MSI ja SMS paigalduseks, tugi ja uuendused distantsilt
• Võtmehoidla koodi vaataja toetab “kopeeri ja kleebi” operatsioone
•
•
•
•
Windows parooli muutmise sündmuse korral uuendatakse ka
võtmehoidlas olevat parooli
Sertifikaatide ja kiipkaardi osa haldus
Lokaliseerimine toetatud
Platvormide tugi
— Win 2000, XP Home, Pro
— 2003 Enterprise Edition
RSA Authentication Manager
(Autentimishaldur)
RSA Authentication Manager
Süsteemi võtmekomponendid
•
Andmebaas
— Kasutajad, võtmehoidlad ja klientide info
•
Autentimismootor
— Autendib kasutaja vastavalt agendi edastatud andmetele
•
Administreerimisliides
— Süsteemi haldus: sätete loomine ja muutmine, võtmehoidlate
omistamine & kasutajad, aruandlus jne.
RSA SecurID seade
Turvaline ja lihtne
RSA SecurID seade
Kõik ühes seade
• Skaleerub 10…250, eritellimusel
kuni 50,000 kasutajat
• Sobib nii suurele kui väiksele
• Kiirelt juurutatav
3-aastased SID700
võtmehoidlad
RSA SecurID seade
Auth Mgr baaslitsents
Aastane riistvara
garantii
Hoolduspakettide valim
Standart või laiendatud
RSA SecurID seade
Omadused ja kasu
Omadused
Kasu
•
•
•
•
•
•
•
•
•
Kindla sihtotstarbega seade
Tugevdatud Windows® Server 2003
—
Sisseehitatud rakenduste tulemüür
—
Mittevajalikud teenused ja komponendid blokeeritud
—
Tugevdatud TCP/Stack
—
Piiratud Group/User jagamisvõimalused
—
Rakendused tugevdatud
Täisfunktisonaalne Authentication
Manager v6.1
Veebipõhine haldusliides
—
Sisseehitatud veebiserver (IIS 6.0) + Authentication
Agent for Web 5.3
•
Toetab enam kui 200 RSA SecurID partneri
tooteid
Madalad omamiskulud
Kiire juurutamine
Tugevam turvalisus
Täis funktsionaalsus
Lihtsalt hallatav
RSA Authentication Agents
(Autentimisagendid)
RSA Authentication Agents
•
“Turvamees” RSA Authentication Manager, kaitstud ressursi ja
kasutaja vahel
— Katkestab ressursi poole pöördumise ja sunnib kasutajaid end RSA
SecurID abil autentima
•
•
•
Kastist välja ühilduvus üle 200 tootja – üle 300 sertifitseeritud
tootega
RSA Authentication Agent SDK võimaldab SID ühildada kasutaja
ressurssidega
RSA SecurID Ready programm tagab kolmanda osapoole
toodete, mis kasutavad RSA Authentication Agent’it, testimise
Tugevad autentimislahendused kontrollivad kasutaja
identiteeti enne kui lubavad ressursile juurdepääsu
Kasutajad
Ressursid
PAM Agent
SID4Win
Admin
SecurID Ready
Veebi agendid
Kaugtöötaja
Töötaja
SID4Win
6.1 Server
Veebi agendid
OTPS
Ressursid
OS: Unix
OS: Linux
OS: Windows
süsteemid
Veeb
Faks
Telefon
Sissehelist.
VPN
Citrix
SSL-VPN
OWA
Veeb
Telefon
Windows
Traadita
Veebi portaal
Traat + 802.1x
Kasutajad
Veebi agendid
Isetehtud
Äripartner
Veebi agendid
Isetehtud
Individuaalne
klient
Ühilduv rohkem kui 300 lahendusega
•
•
•
•
Veebirakenduseg ja serverid
•
Traadita
—
Oracle
—
Cisco
—
EMC Documentum
—
Microsoft
—
Sun Microsystems
—
Nokia
—
Apache
—
BEA
—
Aventail
—
IBM
—
Check Point Software
—
Microsoft
—
Cisco
—
Citrix
•
Provisioning
Perimeetri kaitse (Tulemüürid, VPN-id ja ründetuvastus)
—
Computer Associates
—
Juniper
—
IBM
—
Nortel
—
Thor Technologies
—
Nokia
—
BMC
—
Microsoft
—
Sun Microsystems
•
E-post, töövoo ja kontori automatiseerimine
Arvutivõrk ja kommunikatsioon
—
Lucent
—
Cisco
—
Microsoft
—
Novell
—
Adobe
—
3COM
—
IBM
—
Funk Software
—
Cisco
—
Lucent
•
Kaugpöördus
—
iPass
—
Citrix
—
Nortel
—
Symantec
Radius
Kliendi kasu: Kiiremini lahendusega turule ja väiksemad juurutuskulud
RSA Authentication Deployment Manager
(Autentimise juurutamise haldur)
RSA Authentication Deployment Manager
Ülevaade
•
•
•
Iseteenindav mudel – kasutajad saavad veebisirvija abi taotleda,
kasutusele võtta ja aktiveerida riistvaralisi ja tarkvaralisi võtmehoidlaid
Automatiseerib väljaandmise ja kiirendab oluliselt RSA SecurID
riistvaraliste ja tarkvaraliste võtmehoidlate väljaandmiskiirust
Iseteenindav funktsionaalsus, mis vähendab halduskulusid
— PIN koodi vahetud
— Asendusvõtmehoidla taotlemine
•
•
Skaleerub nii suurele kui ka väiksele
Paindlikult integreeritav teiste RSA Security toodetega või teie
olemasolevate ressurssidega
RSA Authentication Deployment Manager
Investeeringu tasuvus
Käsitsi protsess
Paberil
taotlus
Juhi
allkiri
Juht edastab
selle
ITO-le
ITO kogub
kasutajate
info
Tulemused:
K. andmed
sisestatakse
ACE/Server
ITO omistab
SecurID
ITO väljast.
SecurID Kle
RSA Auth Deployment Manager
K. esitab
taotluse läbi
ADM-i
X-osakond
väljastab
SecurID
K. aktiveerib
võtmehoidla
läbi ADM-i
• 7 sammu
• Palju viiteid
• Juurutamise aeg: päevi
• Suur ITO sekkumine
Tulemused:
• 3 sammu
• Juurutamise aeg: < 1 päev
• ITO pole asjasse segatud,
Authentication Manager
tööd juhib automaatselt
Web Express
Iga kasutaja, ükskõik kus
•
•
•
•
Automatiseeritus tagab kiire juurutamise
Inimressursside piiratus ei takista enam RSA SecurID kasutusele
võttu
Saadaval 24x7
RSA Authentication Deployment Manager kasutaja ja kaitstavate
andmete baasil
— Ettevõte
— B2B
— B2C
— ASP
RSA Authentication
Deployment Manager
RSA SecurID üldlevinud rakendused
RSA SecurID
Autentimislahendus töös
Federated Identity
Management
VPN lüüs
Veebi
ligipääs
Veebi
SSO
Citrix
RSA Authentication
Manager
ja seade
Traadita
Ettevõtte
SSO
WAP/802.11
OS/Võrgu
seadmed
Admin ligipääs
Andmete krüpteerimine
ja alglaadimise kaitse
Mida RSA Security kliendid ütlevad—
väljavõte hiljutisest The Info Pro küsitlusest
•“Tugev. Lihtsalt töötab. Kindel, korralik autentimislahendus.”
•“Tuntud, usaldusväärne.”
•“No. 1 autentimislahenduste tootja.”
•“Laialdane levik muudab toote tugiteenuse osutamise lihtsaks ja
usaldatavaks.”
•“Server on stabiilne. Skaleeritav ja hästi jälgitav.”
•“Meile suurepärane. On usaldusväärne ja töötab siis kui peab.”
•“Väga tugev ja usaldusväärne.”
•“RSA ja nende tooted avaldasid väga muljet. Suurepärane ettevõte, saan
alati vastused oma küsimustele. Nad on fantastilised.”
•“Nende klienditugi on klienditoe ja kvaliteedi mudeliks. Nad on parimad keda
näinud olen.”