Przewodnik technologii ActivCard

Transkrypt

1 PROFESJONALNE USŁUGI BEZPIECZEŃSTWA Przewodnik technologii ActivCard Część I. Instalacja i wstępna konfiguracja serwera ActivPack CLICO Centrum Oprogramowania Sp. z o.o., Al. 3-go Maja 7, Kraków; Tel: ; ; Fax: ; support@clico.pl, orders@clico.pl.; Ftp.clico.pl.;

2 Spis treści 1. WPROWADZENIE 3 2. PODSTAWOWE KOMPONENTY SYSTEMU 4 3. ARCHITEKTURA SYSTEMU 5 4. ZASADY DZIAŁANIA ACTIVPACK 6 5. INSTALACJA OPROGRAMOWANIA ACTIVPACK 7 6. WSTĘPNA KONFIGURACJA SERWERA ACTIVPACK 8 7. KONSOLA ZARZĄDZAJĄCA ACTIVPACK 9 8. PERSONEL ZARZĄDZANIA SYSTEMU KOMUNIKACJA Z SERWEREM UWIERZYTELNIANIA BIEŻĄCE OPERACJE ZARZĄDZANIA ACTIVPACK 13 W razie wystąpienia problemów technicznych, bądź wątpliwości dotyczących przedstawionych w dokumencie produktów prosimy o kontakt: support@clico.pl Copyright by CLICO Centrum Oprogramowania,

3 1. Wprowadzenie ActivPack to system identyfikacji cyfrowej przeznaczony do wiarygodnego uwierzytelniania tożsamości użytkowników systemów informatycznych, dedykowany do zastosowań korporacyjnych oraz systemów o podwyższonych wymaganiach bezpieczeństwa (m.in. systemy rządowe, wojskowe, bankowe, finansowe, e Commerce). Użytkownicy udowadniają swoja tożsamość w systemie informatycznym za pomocą haseł jednokrotnego użycia, generowanych w specjalnych urządzeniach (m.in.. tokenach typu "kalkulatorek" lub "breloczek", kartach inteligentnych Smart Card, tokenach USB, urządzeniach biometrycznych) lub za pomocą specjalnego oprogramowania desktop-owego (tzw. tokenów programowych). System uwierzytelnia ActivPack może także używać haseł statycznych oraz w razie potrzeby przekazywać zapytania do innych, istniejących w korporacji systemów uwierzytelnia m.in. logowanie w domenach Windows NT i Windows 2000, bazach LDAP i SQL oraz innych systemach RADIUS i TACACS+. ActivPack jest kompatybilny ze wszystkimi wiodącymi na rynku rozwiązaniami zabezpieczeń Firewall i VPN oraz urządzeniami sieci, m.in. Check Point VPN-1 SecuRemote, Check Point FireWall-1 (OPSEC Certified), Cisco Secure PIX Firewall, Cisco Secure VPN Concentrators, F-Secure VPN+, Nortel Contivity oraz Microsoft RAS. ActivPack to nowoczesna, stabilna technologia dostarczana przez renomowanego producenta (ActivCard, Nasdaq: ACTI, Nasdaq Europe: ACTI). Produkty ActivCard są bardzo atrakcyjne cenowo w porównaniu do tej klasy rozwiązań konkurencyjnych. W Polsce istnieje autoryzowany ośrodek dystrybucji wszystkich produktów ActivCard, świadczący poprzez certyfikowanych inżynierów zabezpieczeń profesjonalne usługi pomocy technicznej, konsultacji i szkoleń. Więcej informacji na ten temat można znaleźć na stronach Copyright by CLICO Centrum Oprogramowania,

4 2. Podstawowe komponenty systemu Oprogramowanie ActivPack: ActivPack Authentication Server (moduł serwera i stacji zarządzającej) wraz z graficzną konsolą administratora GUI, tokeny programowe (tzn. program do generowania haseł dynamicznych), moduły wspierające komunikację z serwerami iplanet i Microsoft IIS, oprogramowanie klienckie usprawniające wykorzystanie kart Smart Card dla systemów Check Point VPN-1/FireWall-1 i Microsoft Windows NT RAS (tzn. użytkownik logując się wkłada tylko kartę do czytnika i wprowadza swój kod PIN), oprogramowanie Simple Sign-On umożliwiające całkowite zautomatyzowanie procesu logowania użytkowników do różnych systemów i aplikacji (np. podczas odbioru poczty Simple Sign-On samodzielnie odczytuje hasło z karty Smart Card i wprowadza je do klienta poczty). Sprzętowe elementy ActivPack (podstawowe): ActivCard Token One: tokeny generujące hasła dynamiczne, ActivCard Gold: karty inteligentne Smart Card, generujące hasła dynamiczne, przechowujące hasła statyczne oraz wykonujące operacje PKI (m.in. generowanie kluczy kryptograficznych, tworzenie podpisów cyfrowych, szyfrowanie tajnego klucza sesji), ActivCard ActivKey: tokeny USB o funkcjonalności Smart Card (tzn. generujące hasła dynamiczne, przechowujące hasła statyczne oraz wykonujące operacje PKI). Uwaga: Przykłady zamieszczone w dalszej części dokumentu wykorzystują tokeny ActivCard Token One z uwagi na łatwość ich użycia przy poznawaniu produktu (m.in. nie ma potrzeby instalacji dodatkowych sterowników, ani też montowania czytnika Smart Card). Copyright by CLICO Centrum Oprogramowania,

5 3. Architektura systemu System identyfikacji cyfrowej ActivPack składa się z serwerów uwierzytelniania (Authentication Servers), stacji do zarządzania (Administration Console), centralnej bazy danych (Administration Database) oraz lokalnych bazy danych serwerów (Server Database). Architektura systemu uwierzytelniania składa się z następujących obszarów: system uwierzytelniania ActivPack, użytkownicy wyposażeni w tokeny, karty Smart Card i inne urządzenia służącego do uwierzytelniania (m.in. urządzenia biometryczne), urządzenia dostępowe (m.in. Firewall, rutery, RAS, WWW), chronione zasoby systemu informatycznego. ActivPack to technologia identyfikacji cyfrowej, zaprojektowana pod kątem zaspokojenia potrzeb użytkownika korporacyjnego (m.in. rozproszenie geograficzne, stała dostępność HA) oraz systemów o podwyższonych wymaganiach bezpieczeństwa. System dostarcza wsparcie dla zapewniania stabilnej, niezakłóconej pracy zabezpieczeń (serwery Backup) oraz uwierzytelniania użytkowników często zmieniających miejsce pracy (User Roaming). Copyright by CLICO Centrum Oprogramowania,

6 4. Zasady działania ActivPack Proces uwierzytelniania użytkownika przebiega w następującej kolejności: 1. Użytkownik w czasie próby dostępu do aplikacji uwierzytelnia swoją tożsamość za pomocą identyfikatora oraz hasła dynamicznego wygenerowanego w tokenie. 2. Urządzenie dostępowe (np. Firewall, ruter, serwer RAS, serwer WWW) przekazuje dane użytkownika do zweryfikowania przez serwer ActivPack. 3. Serwer ActivPack weryfikuje dane identyfikacyjne użytkownika i informuje o tym urządzenie dostępowe. 4. Użytkownik uzyskuje dostęp do zasobów systemu informatycznego po pozytywnym uwierzytelnieniu swojej tożsamości i autoryzacji. Hasła dynamiczne w systemie ActivPack generowane są w dwóch trybach: Synchronizacji: token jest zsynchronizowany z serwerem (czas, licznik), Wyzwanie-Odpowiedź (Challenge-Response): hasło generowane jest na podstawie wpisanego do tokenu kodu, otrzymanego wcześniej od serwera. Więcej informacji na temat trybów generowania haseł dynamicznych znajduje się w rozdziale o tokenach ActivCard. Uwaga: Uwierzytelnienie użytkowników może odbywać się także za pomocą haseł statycznych oraz zawartych na ActivCard Gold (Smart Card) certyfikatów cyfrowych X.509. Copyright by CLICO Centrum Oprogramowania,

7 5. Instalacja oprogramowania ActivPack 1/ Uruchamiamy program instalacyjny ActivPack. 2/ Wybieramy komponenty do zainstalowania: ActivPack Administration Console: oprogramowanie stacji zarządzającej, ActivPack Server Configuration: oprogramowanie serwera uwierzytelniania, ActivCard CreateDB: skrypty do konfiguracji baz SQL (ODBC). Uwaga: Przed instalacja ActivPack na platformie Windows NT/2000 należy zainstalować Microsoft Data Access Components (MDAC) w wersji 2.5 lub nowszej. MDAC znajduje się na CD. Copyright by CLICO Centrum Oprogramowania,

8 6. Wstępna konfiguracja serwera ActivPack 1/ Uruchamiamy program konfiguracji serwera Programs ActivCard ActivPack ActivPack Server configuration 2/ Ustalamy identyfikator i hasło dostępu do serwera. Uwaga: Wprowadzone powyżej dane (tzn. identyfikator i hasło) są wykorzystywane do szyfrowania kluczy kryptograficznych (3DES), używanych do zabezpieczenia baz danych serwera ActivPack. Bazy danych serwerów i stacji zarządzającej ActivPack mogą być składowane w dowolnej relacyjnej bazie danych obsługującej operacje transakcji (m.in. Oracle, MS SQL, Sybase, Informix). Dostęp do baz SQL odbywa się poprzez ODBC. 3/ Ustalamy port TCP (Port) do komunikacji serwera ze stacją zarządzającą oraz klucz sesji (Secret) do ochrony tej komunikacji. W razi potrzeby można także zmodyfikować identyfikator i hasło dostępu do serwera (ActivPack User ID /Password) oraz identyfikator i hasło dostępu do bazy danych serwera (DSN ODBC User ID /Password). Uwaga: W konfiguracji stacji zarządzającej ActivPack należy ustalić taki sam port TCP oraz taką sama wartość klucza sesji. Po instalacji serwera na platformie Windows NT/2000 i wykonaniu jego wstępnej konfiguracji (Apply) zalecane jest przeładowanie komputera. Copyright by CLICO Centrum Oprogramowania,

9 7. Konsola zarządzająca ActivPack 1/ Uruchamiamy program konsoli zarządzającej Programs ActivCard ActivPack ActivPack Administration Console. 2/ Ustalamy identyfikator i hasło dostępu do stacji zarządzającej. Konsola zarządzająca ActivCard składa się z trzech panelów: 1. Menu, 2. Lista obiektów, 3. Parametry i ustawienia konfiguracyjne. Copyright by CLICO Centrum Oprogramowania,

10 8. Personel zarządzania systemu W zależności od polityki bezpieczeństwa instytucji zadania zarządzania systemem ActivPack spoczywają na następujących osobach: 1. Administrator: osoba posiadająca pełne prawa (np. oficer bezpieczeństwa). Do jego podstawowych zadań należy: definiowanie i konfigurowanie serwerów uwierzytelniania, definiowanie i konfigurowanie punktów dostępu do serwerów (tzw. Gates) tworzenie grup użytkowników tworzenie profili uwierzytelniania (Authentication), praw dostępu (Authorization) i rozliczania (Accounting), dostep do baz LDAP i SQL. 2. Help Desk: osoba odpowiadająca za udzielanie pomocy użytkownikom. Do jego podstawowych zadań należy: sprawdzanie stanu kont użytkowników (m.in. kto został zablokowany na skutek wielu niepoprawnych prób logowania), odblokowywanie użytkowników, których konta zostały zablokowanie na skutek wielu niepoprawnych prób logowania, przydzielanie dla użytkowników tymczasowych haseł statycznych, synchronizowanie tokenów, blokowanie kont użytkowników, zarządzanie grup użytkowników. 3. User Manager: osoba odpowiadająca za zarządzanie bazy użytkowników. Do jego podstawowych zadań należy: konfiguracja grup użytkowników, dodawanie i usuwanie użytkowników, inicjowanie i przydzielanie tokenów dla użytkowników, eksportowanie danych do innych systemów uwierzytelniania, wszystkie zadania "Help Desk". Copyright by CLICO Centrum Oprogramowania,

11 Definiowanie nowych administratorów ActivPack odbywa się w następujący sposób: 1/ W menu Company wybieramy z listy obiektów Security. 2/ Dodajemy nowych administratorów (Add). Copyright by CLICO Centrum Oprogramowania,

12 9. Komunikacja z serwerem uwierzytelniania Komunikacja sieciowa stacji zarządzającej ActivPack z serwerami uwierzytelniania jest zabezpieczona kryptograficznie (3DES). Port TCP do komunikacji stacji zarządzającej z serwerem oraz klucz sesji należy ustalić takie same jak wprowadzone wcześniej w konfiguracji serwera (ActivPack Server configuration). Na stacji zarządzającej ActivPack ustalamy parametry komunikacji z serwerem: 1/ W menu Company Servers wpisujemy port TCP do komunikacji stacji zarządzającej z serwerem (Administration port) oraz klucz sesji do ochrony tej komunikacji (Server shared secret). Copyright by CLICO Centrum Oprogramowania,

13 10. Bieżące operacje zarządzania ActivPack Po dokonaniu wstępnej konfiguracji serwera ActivPack można przystąpić do produkcyjnego wykorzystania systemu (m.in. świadczenie usług bezpieczeństwa, obsługa użytkowników i tokenów) oraz bieżącego zarządzania systemu. Do podstawowych operacji zarządzania systemu ActivPack można zaliczyć (patrz rysunek): zapisywanie konfiguracji na serwerach (m.in. instalowanie polityki bezpieczeństwa), odczyt i konsolidacja logów z serwerów, przeglądanie logu uwierzytelniania użytkowników, przeglądanie logu rozliczania użytkowników, przeszukiwanie bazy użytkowników. Konfiguracja dokonywana na stacji zarządzającej ActivPack jest na bieżąco zapisywana w bazie "Administration Database". Następnie, administrator ActivPack powinien wprowadzone zmiany konfiguracyjne zapisać na serwerach (w bazach Server Database ). Uwaga: Konieczność zapisania zmian konfiguracyjnych na serwerach ActivPack sygnalizowana jest przez migotanie przycisku: Copyright by CLICO Centrum Oprogramowania,