© 2007, Компания Aladdin Контроль и аудит доступа пользователей в IT-инфраструктуре.

Найдите одно отличие qwerty HdyJGy%84^$;-)hjdG&743kkfT*][_%lbd629 Самый РАСПОСТРАННЕНЫЙ пароль Самый ПРАВИЛЬНЫЙ пароль

Кража личности – миф или реальность ? Доля на кражу личности 57%

Burton Group: Аутентификация – основа IAM (Identity and Access Management)

Многофакторная аутентификация Для успешного прохождения процедуры аутентификации пользователь должен знать нечто иметь нечто обладать набором индивидуальных черт #e3Gr3!$FR находиться в определённом месте IP-адрес, данные RFID

Идентификация - процедура присвоения идентификатора объекту КС или установления соответствия между объектом и его идентификатором; узнавание. Аутентификация – Процедура проверки соответствия предявленного идентификатора объекта КС на предмет принадлежности его этому объекту; установление или подтверждение аутентичности. НД ТЗИ

Кто ты? User Name: Password: x Технология ААА

X Кто ты? Что ты можешь? User Name: Password: x Технология ААА

X Кто ты? Что ты можешь? Как всем этим управлять? User Name: Password: x Технология ААА

X Audit Кто ты? Что ты можешь? Как всем этим управлять? Эээ…А что это было?!? User Name: Password: x Технология ААА+А

Компоненты инфраструктуры IAM Средства строгой аутентификации пользователей Инфраструктура открытых ключей (PKI) Служба каталога Single sign-on (Web, Host) Аутентификация в унаследованных приложениях Управление учетными (аутентификационными) данными пользователя Учет пользовательских данных и мониторинг

Концепция продуктовой линейки 1.Средства аутентификации –USB-ключи / смарт-карты / OTP –Средства разработки 2.Решения для управления паролями –eToken SSO / WSO / Windows Logon –eToken для Lotus Notes, SAP R/3 3.Решения для PKI-систем (хранение и использование закрытых ключей и цифровых сертификатов) –Microsoft, Linux, Oracle, IBM –Продукты российских разработчиков –Крипто-Про УЦ, Microsoft CA, RSA Keon 4.Управление учётными данными пользователями –eToken TMS 5.Защита персональных и корпоративных данных –Персональные данные, конфиденциальная информация –Базы данных, файловые архивы

Смарт-карты и USB-ключи для решения задач ИБ 13

eToken Pro Защищенный микроконтроллер Аппаратные шифрования DES, 3DES, RSA 1024/2048 Аппаратные хеш-функций SHA-1, MD5, MD5 HMAC Четыре уровня полномочий доступа: Гость Пользователь (с PIN-кодом) Администратор Эмитент PIN-авторизация со счетчиком набора (запрос-ответ) Дополнительная аутентификация при работе с RSA-ключами Защищенная память (16, 32, 64 кб) Уникальные ID номера eToken и смарт-карты Генератор закрытых ключей Длина RSA ключа – от 8 до 2048 бит Световой индикатор работы Полупрозрачный защищенный герметичный корпус

Функциональная модель

Контроль физического доступа Бесконтактные радиометки RFID –Ангстрем БИМ-002 –HID ISOProxII –Mifare –EM-Marine –Indala Все форм-факторы –USB-ключ, смарт-карта, комбинированные ключи Высокочастотные метки Единая карта –Физический доступ –Логический доступ Чип смарт-карты RFID-метка Фото, логотип

eToken Windows Logon Автоматический вход в корпоративную сеть Блокирование компьютера Мобильность Автоматическая генерация пароля Использование сложных паролей Возможность входа в сеть по паролю

eToken Windows Logon Автоматический вход в корпоративную сеть Блокирование компьютера Мобильность Автоматическая генерация пароля Использование сложных паролей Возможность входа в сеть по паролю

eToken Windows Logon Автоматический вход в корпоративную сеть Блокирование компьютера Мобильность Автоматическая генерация пароля Использование сложных паролей Возможность входа в сеть по паролю

Доступ к приложениям Simple Sign-On –Безопасное хранение регистрационных данных и автоматическое заполнение полей форм Windows-приложений Web Sign-On –Безопасное хранение регистрационных данных и автоматическое заполнение полей HTML-форм eToken Windows Logon –Безопасное хранение регистрационных данных и их использование при регистрации на рабочей станции и в сети Windows

eToken для PKI-решений Тенденции рынка –Переход от парольной к строгой двухфакторной аутентификации –Всё больше продуктов поддерживают технологии PKI – аутентификация, ЭЦП, шифрование данных –Продукты–«стимуляторы»: системы документооборота eToken обеспечивает –Безопасное хранение и использование закрытых ключей –Усиление функций безопасности Приложения, использующие закрытые ключи –ОС: Windows 2000/XP/2003/Embedded/Vista –Службы каталога: Active Directory, Novell eDirectory –Бизнес-приложения: Outlook/Exchange, Microsoft Office, Lotus Notes/Domino, Oracle eBusiness Suite, mySAP Enterprise Portal –Продукты отечественных разработчиков: системы документооборота (ЭОС); КриптоАРМ (Digt); «Клиент-Банк» (Диасофт); системы сдачи налоговой отчётности

eToken в решениях Cisco Аутентификация по протоколу 802.1x –Аутентификация на уровне сетевого порта Аутентификация клиентов при VPN-доступе –Клиентский VPN (IPSec) –Бесклиентский VPN (SSL VPN) –Средства: USB-ключи, смарт-карты, комбинированные ключи с генераторами одноразовых паролей –Методы: закрытый ключ + сертификат, одноразовый пароль Хранение конфигурационных параметров, закрытых ключей и сертификатов сетевого оборудования –Cisco ASA –Cisco VPN Concentrator 300x –Маршрутизаторы серии Cisco 2800 и 3800 ISR –Коннектор eToken TMS

eToken в решениях IBM Lotus Notes / Domino –Аутентификация пользователей Lotus Notes –Защита ID-файлов серверов Lotus Domino –Безопасное хранение и использование закрытых ключей сертификатов –Защищённый удаленный доступ к веб-сервисам на базе Lotus Domino Tivoli Access Manager –Обеспечение надёжной однократной регистрации пользователя в информационной системе (Single Sign- On, SSO) с использованием eToken –Реализация мандатного доступа к информационным ресурсам –Поддержка eToken в IBM WebShpere Application Server и BEA WebLogic Server (IBM Tivoli Access Manager выступает как аутенфикационный прокси) –Единая централизованная стратегия управления доступом

Аутентификация на терминальных клиентах Строгая аутентификация с использованием закрытого ключа и цифрового сертификата Х.509, установленных на eToken На терминальных клиентах (регистрация в ОС) В домене Windows На сервере при терминальном доступе к Windows Server 2003 Дополнительные возможности Блокировка терминальной сессии и терминала Использование eToken в серверных приложениях

eToken для Microsoft Windows Решение проблемы «слабых» паролей –Полный отказ от использования паролей –Удобное использование сложных паролей Усиление функций безопасности операционных систем Microsoft Windows –Замена однофакторной парольной аутентификации на двухфакторную аутентификацию Безопасное администрирование –Работа с минимальным уровнем привелегий –Простое выполнение операций / запуск приложений, требующих повышенного уровня полномочий –Отсутствие необходимости ввода паролей с клавиатуры Максимальное полное использование потенциала уже приобретённых продуктов Microsoft –Использование более защищённых протоколов ИБ –Повышается масштабируемость и управляемость

eToken для SSL / TLS SSL и TLS - основные протоколы защиты Web-трафика SSL обеспечивает: –Аутентификацию сервера: цифровой сертификат X.509 –Защиту и целостность данных: данные шифруются с использованием симметричных алгоритмов; для контроля целостности используются хэш-фукции –Аутентификацию клиента: цифровой сертификат X.509 Преимущества использования для SSL-аутентификации цифровых сертификатов X.509, установленных на eToken: Для пользователя Мобильность Надёжность Безопасность Для владельца серверного ресурса Надёжная аутентификация (напр., для биллинга)

Выбор цифрового сертификата для входа на защищенный Web-портал

SSL-аутентификация с использованием закрытого ключа в памяти eToken

Роль eToken в PKI-системах Обеспечение безопасности закрытых ключей пользователя на всeх этапах их жизненного цикла: -Генерация -Хранение -Использование -Уничтожение

Проблема управления Microsoft IBM Cisco Oracle Novell RSA … унаследованные приложения Централизованное управление Децентрализованное управление

Жизненный цикл токена

Основные задачи Выпуск смарт-карты Персонализация смарт-карты сотрудником Обслуживание карты –Добавление возможности доступа к новым приложениям –Отзыв предоставленного ранее доступа Замена / временная выдача новой карты Разблокирование PIN-кода Выход смарт-карты из строя Отзыв карты

Что такое Aladdin Token Management System (TMS)? Система, предназначенная для внедрения, управления и использования средств аутентификации пользователей в масштабах организации. TMS - связующее звено между: – пользователями; – политикой безопасности (организационными правилами); – средствами аутентификации; – приложениями ИБ.

eToken TMS 2.0 Система управления жизненным циклом Новая архитектура Ролевое управление Новый графический интерфейс Поддержка eToken NG-FLASH Поддержка «виртуального токена»

Единая система управления жизненным циклом для всех средств аутентификации - смарт-карт, USB-ключей и устройств с функционалом OTP Простая установка, основанная на мастерах (wizards) Веб-интерфейсы: –TMS Management Center (администрирование) –TMS Self-Service Center (пользователь в локальной сети) –TMS Remote Service Center (удалённый пользователь) Открытая архитектура –Коннекторы для интеграции с разнообразными приложениями безопасности –Комплект разработчика (eToken TMS Connector SDK) для разработки собственных коннекторов Обработка сценариев «утеря eToken» и «выход eToken из строя» Обработка ситуации, если пользователь, находясь в командировке, потерял или забыл eToken Безопасное резервное копирование и восстановление профилей пользователя на eToken Аудит и отчёты Ролевая модель доступа к eToken TMS Встроенные механизмы шифрования данных, различные ключи шифрования для разных поддоменов Не требует выделенного сервера Полная интеграция с Microsoft Active Directory –Прямая связь с данными пользователя – нет необходимости в репликации –Полная интеграция с правилами и политиками пользователя в AD Возможности eToken TMS 2.0

Поддерживаемые приложения Различные приложения безопасности поддерживаются за счет использования специальных коннекторов, входящих в комплект поставки: –eToken Windows Logon (GINA) –eToken OTP Authentication, включая eToken PASS –eToken Single Sign-On (SSO) 3.0 –Microsoft CA – для приложений, использующих PKI-технологии (VPN, SSL, аутентификация в сети) –P12 Importing Tool –Check Point Internal CA –eToken Flash Partition Application

Ролевое управление

Редактор Token Policy Object (TPO) Установка всех политик TMS Если политика может быть установлена как Not Defined, то определение берётся из вышестоящей политики Установки включают: –General Settings/Mail Server Settings –Connectors Settings –eToken Settings (Initialization Settings, Password Settings, eToken Properties –Enrollment Settings –eToken recovery options –Audit Settings –Desktop Agent Settings

Конфигурация Token Policy Object

TPO для конекторов В качестве примера – коннектор eToken OTP.

TPO – параметры PIN-кода eToken

TMS Management Center Help Desk Быстрые и эффективные help desk – утилиты и операции

Token Inventory Онлайновая инвентаризация токенов User Search by OU

Отчеты и аудит TMS предоставляет гибкие и обширные отчеты

Веб-сайт пользователя - MyeToken Безопасное самообслуживание токена, снятие нагрузки с администратора

Сотрудник в дороге Сотруднику необходимо сделать очень важную презентацию у заказчика, находящегося за границей и он не может найти etoken Ему необходимо следующие решения для: –Входа в свой персональный компьютер –Проведения операций по расшифрованию файлов –Получить доступ к электронной почте и другим приложениям Поддержка - eToken Virtual –Безопасный ключ в программном хранилище, временно активируется до возвращения сотрудника в офис –TMS предлагает несколько методов для использования eToken Virtual в зависимости от требований безопасности и схем использования

Восстановление доступа с использованием виртуального eToken Когда используется виртуальный eToken? –Решение в случае утери eToken –Особенно полезно в ситуации, когда сотрудник находится вне офиса Содержимое виртуального токена определяется через eToken TMS (коннекторы): –Например, Windows Logon (профиль или сертификат) Как виртуальный eToken загружается на клиентскую рабочую станцию? –Вручную пользователем через веб-сайт TMS –Автоматически через TMS Client (возможность устанавливается администратором) Виртуальный eToken создаётся заново каждый раз, как происходят изменения в оригинальном eToken (выпуск, обновление данных и др.)

Восстановление доступа с использованием виртуального eToken Срок действия и отзыв виртуального eToken : –При выпуске виртуального eToken определяется период времени, в течение которого он будет действовать (до возвращения пользователя в офис) –По истечении данного периода виртуальный eToken отзывается По возвращении в офис – выпуск нового аппаратного eToken для пользователя : –Выпуск нового eToken приведёт к автоматическому отзыву виртуального eToken.

Коннекторы TMS TMS управляет приложениями ИБ с использованием механизма TMS connectors Коннектор отвечает за взаимодействие с определённым приложением Коннекторы добавляются и конфигурируются отдельно для каждого ОП Коннекторы конфигурируются через настройки TPO. Настройки также могут применяться на уровне пользователя / группы пользователей.

Возможности коннекторов Коннекторы TMS обеспечивают: –Прямой выпуск или выпуск через веб-интерфейс (т.е. Веб-сайт самообслуживания пользователя) данных приложений (профили, ключи и др.) на eToken –Конфигурация и настройка параметров приложений –Безопасное централизованное хранение пользовательских данных –Отзыв токенов и профилей данных –Резервное копирование и восстановление при отработке сценариев «потерянный eToken» и «вышедший из строя Token» –Предоставление данных для аудита и построения отчётов

eToken TMS Connector SDK Набор APIs и примеров кода для создания новых коннекторов Простейший коннектор может поддерживать только операцию выпуска Более сложный коннектор обеспечивает: Конфигурацию и настройку приложения, предоставление данных для системы построения отчётов, отзыв, резервное копирование и восстановление данных SDK включает: Пример кода коннектора (с комментариями), который сохраняет введённый пароль в памяти eToken Полную документацию

Линейка решений на eToken Успешный проект от одного вендора

Партнерские решения

Спасибо за внимание! Дмитрий Снопченко