Rozwiązania w zakresie uwierzytelnienia sprzętowego dla łączności VPN



Podobne dokumenty
Rozwiązania w zakresie autoryzacji OTP (One Time Password - hasła jednorazowe)

Rozwiązania w zakresie autoryzacji sprzętowej

Rozwiązania w zakresie autoryzacji sprzętowej

Rozwiązania w zakresie autoryzacji sprzętowej

CC Otwarte Systemy Komputerowe Sp. z o.o. Dr Grzegorz Blinowski

PRACA INŻYNIERSKA IMPLEMENTACJA MOBILNEGO KLIENTA BANKU ZABEZPIECZONEGO TOKENEM

Agenda CERB. Silne bezpieczeństwo w zasięgu telefonu. Paweł Jakub Dawidek

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

CC Otwarte Systemy Komputerowe Rozwiązania w zakresie komercyjnych systemów firewall

Podpis elektroniczny dla firm jako bezpieczna usługa w chmurze. mgr inż. Artur Grygoruk

Szczegółowy opis przedmiotu zamówienia:

Modele uwierzytelniania, autoryzacji i kontroli dostępu do systemów komputerowych.

Przewodnik technologii ActivCard

Profesjonalne Zarządzanie Drukiem

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Przewodnik technologii ActivCard

Instrukcja aktywacji tokena w usłudze BPTP

CC Otwarte Systemy Komputerowe Rozwiązania w zakresie komercyjnych systemów firewall

CC Otwarte Systemy Komputerowe Rozwiązania w zakresie komercyjnych systemów firewall

Kancelaria Prawna.WEB - POMOC

Bezpieczeństwo aplikacji typu software token. Mariusz Burdach, Prevenity. Agenda

PREMIUM BIZNES zł 110zł za 1 Mb/s Na czas nieokreślony Od 9 14 Mbit/s

INFORMACJE DLA STACJI KONTROLI POJAZDÓW

Infrastruktura klucza publicznego w sieci PIONIER

Praktyczne aspekty stosowania kryptografii w systemach komputerowych

Instrukcja dla studentów Politechniki Poznańskiej

Zastosowanie TI do wymiany informacji USENET. Technologia Informacyjna Lekcja 9

Metody uwierzytelniania klientów WLAN

Konfiguracja poczty IMO w programach Microsoft Outlook oraz Mozilla Thunderbird

ABC systemu Windows 2016 PL / Danuta Mendrala, Marcin Szeliga. Gliwice, cop Spis treści

3. Kolejne uruchomienie tokena W celu uruchomienia tokena VASCO DP280 należy przytrzymać przycisk Poweron/Power-off.

Szczegółowy opis przedmiotu zamówienia

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

System Kancelaris. Zdalny dostęp do danych

Serwery autentykacji w sieciach komputerowych

Dostosowanie środków dostępu użytkowanych w bankowości internetowej. do wymogów silnego uwierzytelniania (SCA)

Instrukcja logowania do systemu e-bank EBS

Wieloskładnikowe uwierzytelnianie bez tokenów

1. Witamy w pomocy do programu I-Bank!

WdroŜenie infrastruktury klucza publicznego w firmie Polkomtel S.A. Mateusz Kantecki. Polkomtel S.A.

OFERTA NA SYSTEM LIVE STREAMING

Załącznik nr 6 Uszczegółowienie przedmiotu zamówienia. Pakiet 1 (Gdańsk) Tabela 1. Komputer przenośny. Ilość 1 sztuka

PlantVisor_1.90PL Instrukcja instalacji, konfiguracji oraz obsługi

I. Uruchomić setup i postępować według instrukcji

Instrukcja Obsługi Tokena VASCO DP 280

AlphaLiftCallCenter Solution. System Autonomicznej Komunikacji Alarmowej dla dźwigów osobowych i towarowych

Instrukcja Obsługi Tokena VASCO DP 280

banking, insurance & capital markets Uwierzytelnianie i autoryzacja przy użyciu telefonu komórkowego Comarch Mobile Security

Yubico czyli jak chronić dostęp do naszych

Instrukcja użytkownika

Zdalne logowanie do serwerów

OSTATECZNE ROZWIĄZANIE PROBLEMU UWIERZYTELNIANIA

Biuletyn techniczny. CDN OPT!MA 12.0 Drukarki fiskalne w usługach terminalowych. Copyright 2007 COMARCH SA

Zastosowania PKI dla wirtualnych sieci prywatnych

Opis przedmiotu zamówienia. Część IV. Dostawa niewyłącznej, nieograniczonej czasowo licencji oprogramowania Microsoft Serwer 2012 R2 DataCenter x64.

CC Otwarte Systemy Komputerowe Bezpieczne sieci WiFi

E-PODPIS INSTRUKCJA AKTYWACJI PODPISU ELEKTRONICZNEGO W SYSTEMIE MILLENET DLA PRZEDSIĘBIORSTW

PODRĘCZNIK OBSŁUGI BUSINESSNET

Wdrożenie infrastruktury klucza publicznego (PKI) dla użytkowników sieci PIONIER

CALLNET - oprogramowanie

Centrum Certyfikacji Ministerstwa Spraw Wewnętrznych. Instrukcja zdalnej recertyfikacji oraz zdalnego odblokowania karty

AM_Student. Instrukcja konfiguracji połączenia do studenckiej sieci bezprzewodowej Akademii Morskiej w Szczecinie

Instrukcja Obsługi Tokena VASCO DP 280

Instrukcja logowania do systemu I-Bank

Dzień dobry Państwu, nazywam się Dariusz Kowal, jestem pracownikiem Śląskiego Centrum Społeczeństwa Informacyjnego, gdzie pełnię rolę inspektora ds.

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

DESlock+ szybki start

Bezpieczeństwo systemów informatycznych

Pierwsze logowanie do systemu I-Bank

Komunikacja przemysłowa zdalny dostęp.

Protokół Kerberos BSK_2003. Copyright by K. Trybicka-Francik 1. Bezpieczeństwo systemów komputerowych. Złożone systemy kryptograficzne

Sieciowe dyski wirtualne oraz VM platforma jako usługa. Bogusław Kaczałek Kon-dor GIS Konsulting

Cechy systemu X Window: otwartość niezależność od producentów i od sprzętu, dostępny kod źródłowy; architektura klient-serwer;

systemów intra- i internetowych Platformy softwarowe dla rozwoju Architektura Internetu (2) Plan prezentacji: Architektura Internetu (1)

1. System powinien pozwalać na bezpieczne korzystanie z aplikacji firmowych poza centralą jak i wewnątrz sieci Zamawiającego.

Mobilny Taktyczny System Łączności Bezprzewodowej

Elektroniczna Bankowość Online. Instrukcja konfiguracji metody autoryzacji etoken. Panel KLIENTA

I. Serwery 2 szt Specyfikacja techniczna

Wyzwania. Rozwiązanie

INFORMACJA O TREŚCI ZAPYTAŃ DOTYCZĄCYCH SIWZ WRAZ Z WYJAŚNIENIAMI ZAMAWIAJĄCEGO

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server

EPA Systemy Sp. z o.o. Przedstawiciel CTERA Networks Ltd w Polsce Tel gbi@profipc.pl CTERA

11. Autoryzacja użytkowników

Przewodnik użytkownika dla usługi CUI Klient indywidualny (CBP)

Sieci VPN SSL czy IPSec?

AGENDA. Projekt centralnie zarządzanej sieci WLAN dla dużej organizacji wieloodziałowej - studium przypadku

Next Generation Firewall (NGF) kontra Unfied Threat Management (UTM)

SZYFROWANIE POŁĄCZEŃ

Bezpieczeństwo w pracy zdalnej. pawel.krawczyk@hush.com

Konfigurowanie Windows 8

Protokół 802.1x. Środowisko IEEE 802.1x określa się za pomocą trzech elementów:

Jak się zalogować do Pocztowy24 Biznes

Elektroniczna Legitymacja Studencka jako narzędzie wielofunkcyjne Oberthur Technologies

VPN Host-LAN IPSec X.509 z wykorzystaniem DrayTek Smart VPN Client

INSTRUKCJA ZMIANY METODY AUTORYZACJI W SERWISIE KB24

Budowa infrastruktury PKI w oparciu o rozwiązania firm HP oraz MALKOM - prezentacja rozwiązania - Wiesław Krawczyński (Malkom)

Już we wrześniu inaczej zalogujesz się na swoje konto w Internecie

ZALETY KORZYSTANIA Z TRAKA TOUCH

Instrukcja użytkowania KB tokena

Oferta CyberTrick CarSharing

Transkrypt:

(c) CC Otwarte Systemy Komputerowe, 2009-2012 Rozwiązania w zakresie uwierzytelnienia sprzętowego dla łączności VPN Autoryzacja sprzętowa w systemach VPN Uwierzytelnienie sprzętowe bazuje na koncepcji identyfikacji użytkownika poprzez coś, co użytkownik ma w przeciwieństwie do tradycyjnego uwierzytelnienia opartego na hasłach - coś, co użytkownik wie. W systemach VPN bazujących na protokole IPsec lub SSL uwierzytelnienie sprzętowe zapewnia podwyższony poziom bezpieczeństwa autoryzacji użytkowników i w rezultacie podnosi bezpieczeństwo całości systemu zdalnego dostępu. Dostępne rozwiązania Uwierzytelnienie sprzętowe może wykorzystywać różne technologie, przy czym wybór właściwego rowiązania zdeterminowany jest przez takie czynniki jak: potrzeby w zakresie autoryzacji, rodzaj wykorzystywanego sprzętu sieciowego (koncentratora VPN), liczby użytkowników, dodatkowych potrzeb (np. integracjiz domeną Windows) i oczywiście ceny zakupu, wdrożenia oraz utrzymania. Dostępne na rynku i w naszej ofercie rozwiązania występują w następujących wariantach: tokeny USB i karty inteligentne (tzw.: Smart Cards - SC ) tokeny z wyświetlaczem LCD - typu breloczek tokeny softwarowe, w tym głównie instalowane na telefonach GSM autoryzacja poprzez SMS inne, np. tokeny HID Tokeny USB i karty inteligentne Rozwiązanie wykorzystuje kryptograficzny token realizujący funkcje sprzętowej kryptografii symetrycznej i asymetrycznej oraz bezpiecznego przechowania kluczy (klucze prywatne nigdy nie opuszczają pamięci tokena). W niektórych przypadkach token oferuje możliwość uruchamiania programów (np. appletów Java tzw. JavaCard). Token kryptograficzny wyglądem zewnętrznym łudząco przypomina pendrive, nie należy jednak utożsamiać go ze zwykłą pamięcią USB. Kryptograficzny token USB widoczny jest przez system operacyjny jako składnica certyfikatów cyfrowych zgodnych ze standardem X509v3 (PKI). Autoryzacja wykorzystuje więc kryptografię klucza publicznego. Dostęp do pamięci tokenu chroniony jest PIN-em, 1

który użytkownik musi podać po podłączeniu tokenu do komputera. (Token może też być wykorzystany jako składnica haseł statycznych jednak to rozwiązanie nie zapewnia takiego poziomu bezpieczeństwa, jak PKI). Wykorzystanie tokena wymaga drivera oraz programu integrujacego token ze składem certyfikatów systemu operacyjnego. Zaletą rozwiazania autoryzacji bazującej na certyfikatach i PKI jest brak konieczności stosowania serwera uwierzytelniajacego dostępnego on-line uwierzytelneinie odbywa się na podstawie hierarchii zaufania certyfikatów. Dokładniej wady i zalety rozwiązania przedstawiono w tabelce dalej. SmartCard to rozwiązanie funkcjonalnie równoważne tokenom USB i bazujace zazwyczaj na tych samych chipach. Jedyna istotna różnica tkwi w sprzęcie: w przypadku tokenu USB karta i czytnik zintegrowane zostały w jednym urządzeniu, zaś w przypadku kart czytnik USB jest zewnętrznym urządzeniem. Karta jest rozwiązaniem mniej wygodnym niż token, pozwala jednak na umieszczenie dodatkowej informacji: zdjęcia użytkownika, nadruku, kodu paskowego, itp. Tokeny z wyświetlaczem Systemy te generują hasła jednorazowe OTP (OTP One Time Password). Hasło jest pseudo-losowe i bazuje na aktualnym czasie (time based) lub na poprzednio wygenerowanej sekwencji (event based). Wielką zaletą tokenów OTP jest możliwość wykorzystania w każdych warunkach, gdyż nie są one fizycznie podłączane do komputera. Dostępne są też od niedawna tokeny hybrydowe łączące cechy tokena USB oraz OTP. Hasło jednorazowe generowane przez token może być używane zamiast lub w połączeniu z tradycyjnym hasłem statycznym. Autoryzacja OTP wymaga serwera uwierzytelniającego dostępnego on-line (typowo jest to serwer RADIUS). Serwer ten może być autonomiczny lub współpracować z innym serwisem autoryzacji np. z Microsoft AD. Dokładniej wady i zalety rozwiązania przedstawiono w tabelce ponizej. Dostępne są też tokeny zaopatrzone w klawiaturę (tzw. token kalkulator lub pin-pad ) działające na zasadzie Challenge-Response (hasło-odzew). Typowo nie wykorzystuje się ich jednak w autoryzacji VPN. Tokeny wirtualne SMS Token SMS to wirtualny token realizowany wyłącznie po stronie serwerowej, autoryzacja sprowadza się do przesłania SMS-a z systemu autoryzacji na telefon użytkownika. Kod przesłany SMS-em powinien być przez użytkownika zwrotnie wprowadzony do aplikacji celem weryfikacji. Sprzętowy czynnik autoryzacji to fakt posiadania przez użytkownika telefonu o określonym numerze. Integracja systemu uwierzytelnienia SMS z infrastruturą VPN odbywa się podobnie do integracji z systemem OTP wymagany jest serwer uwierzytelniający dostępny on-line, najczęsciej jest to serwer zgodny z protokołem RADIUS. Dodatkowo konieczne jest wysyłanie SMS funkcję tę realizować można bezpośrednio np. poprzez modem GSM lub za pośrednictwem bramki Web-owej (usługa dostępna w abonamencie). 2

Token softwarowy zainstalowany na telefonie Token softwarowy jest emulacją tokena OTP na telefonie komórkowym; posiada wszystkie cechy standardowego sprzętowego tokena: sekret i możliwość zabezpieczenia PIN-em. Podobnie jak w przypadku sprzętowego tokena nie ma fizycznego połączenia pomiędzy telefonem, a serwerem autoryzacyjnym, weryfikacja następuje po przepisaniu hasła OTP z telefonu do okienka aplikacji. Dystrybucja tokenów i ich danych inicjalizacyjnych odbywać się może na kilka sposób np. poprzez WWW lub WAP-push. Tokeny HID Tokeny HID (Human Interface Device) stanowią specyficzną grupę rozwiązań oferowanych obecnie tylko przez jednego producenta. Zasada działanie tokena HID stanowi połaczenie koncepcji tokena USB z tokenem OTP. Token HID generuje hasło jednorazowe w podobny sposób jak token OTP z wyświetlaczem, tj. hasło generowane jest jak funkcja tajnego klucza, liczby losowej, znacznika czasu lub licznika zdarzeń i kilku dodatkowych parametrów. Ponieważ token funkcjonuje w systemie jako urządzenie typu klawiatura to generowane hasło pojawia się w aktualnie wybranym polu aktywnego formularza nie ma konieczności przepisywania hasła, co jest znaczącym ułatwieniem w stosunku do tokena OTP. Wielką zaletą tokena HID jest to, że nie wymaga on żadnych sterowników. Rysunek 1 system VPN z autoryzacją tokenową (dotyczy autoryzacji przy pomocy: tokenów OTP, tokenów HID, haseł SMS oraz tokenów instalowanych na telefonach). 3

Podsumowanie i porównanie parametrów Cecha / rozwiązanie sposób autoryzacji wymagany software na końcówce Wymagny serwer on-line Wymagany dodatkowy software Tokeny USB i karty Tokeny OTP (z wyświetlaczem) Hasła SMS tokeny na telefonie certyfikat hasło jednorazowe hasło jednorazowe hasło jednorazowe driver & klient - - - - tak, typowo serwer lub middleware RADIUS System wystawiania certyfikatow: np. MS CA, openssl lub xca dla większych serwer OCSP oraz system zarzadzania tokenami Zalety proste wdrożenie wiele innych zastosowań: np. szyfrowanie dysków i dokumentów, autoryzacja SSL,... Wady wymaga dostępu do portu USB użytkownika wyamga oprogramowani a na końcówce dla większej liczby użytkowników (>100) zarządzanie może się komplikować tak, typowo terwer lub middleware RADIUS - bramka SMS (np. poprzez serwis webowy) nie wymaga oprogramow ania na końcówkach Wymaga serwera online ograniczone zastosowanie do innych celów niż autoryzacja VPN nie wymaga oprogramowani a na końcówkach Wymaga serwera on-line ograniczone zastosowanie do innych celów niż autoryzacja VPN koszt wysłania SMS tak, typowo terwer lub middleware RADIUS system dystrybucji na telefony (zintegrowany z serwerem autoryzacji) nie wymaga oprogramow ania na końcówkach niskie koszty eksploatacji Wymaga serwera online ograniczone zastosowanie do innych celów niż autoryzacja VPN 4

Przegląd rozwiązań: W zakresie systemów autoryzacji sprzętowej oferujemy rozwiązania następujących producentów: SafeNet (d. Aladdin) ActivIdentity DataKey Vasco YubiCo Wheel Systems Poniżej podsumowaliśmy najważniejsze cechy oferowanych przez nas rozwiązań. Należy zaznaczyć, że podsumowanie to ma charakter ogólny i poglądowy, gdyż producenci oferują zazwyczaj produkty o bardzo dużej rozpiętości funkcji oraz cen: Producent SafeNet (Aladdin) Cechy Tokeny USB, wszechstrona autoryzacja do zasobów lokalnych i sieciowych, w tym VPN, serwery WWW i inne. Dostępne są tokeny zintegrowane z dyskiem flash (1 GB, 2 GB, 4 GB ) oraz zaopatrzone w opcje bezprzewodowe: HID, RFID i inne. Oprogramowanie do integracji z serwerami sieciowymi (ActivDirectory i inne) oraz do zarządzania tokenami. Vasco Lider rozwiązań OTP. Tokeny autonomiczne OTP typu breloczek i pin-pad, b. szeroka gama tokenów i software-u autoryzacyjnego. Wheel CERB: systemy dla telefonów komórkowych: tokeny SMS i tokeny na telefon ActivIdentity Wszechstrona autoryzacja do zasobów lokalnych i sieciowych, w tym VPN. Oprogramowanie do integracji z serwerami sieciowymi (ActiveDirectory). Także rozwiązania typu tokeny OTP i kalkulator. Sprzęt OEM, przeznaczony głównie do rozwiązań dużej skali. YubiCo Tokeny HID z interfejsem USB symulujące wpisanie hasła jednorazowego z klawiatury 5

Co oferujemy? Na wdrożenie systemu autoryzacji składa się: określenie założeń technicznych i biznesowych, wybór producenta i rozwiązania, dostarczenie licencji, sformułowanie polityki bezpieczeństwa, instalacja, konfiguracja, testowanie (audyt bezpieczeństwa) oraz szkolenia. Jesteśmy gotowi do współpracy w każdym z tych obszarów, dysponujemy wiedzą, doświadczeniem oraz odpowiednio przeszkoloną kadrą. Szeroki wybór oferowanych przez nas rozwiązań gwarantuje, że system przez nas zaproponowany będzie nie tylko bezpieczny, wydajny i funkcjonalny, ale także optymalnie dostosowany do Państwa potrzeb - zapraszamy do współpracy! Wybrane referencje CC w zakresie rozwiązań ochrony danych: Auchan Polska sp. z o.o., CA IB S.A. Urząd M.st. Warszawa Ursynów, Coffee Heaven Intl. Sp. z o.o. Sodexho Pass Polska Sp z o.o. FM Polska Sp z o.o. (FM Logistic) Metropolitan Life Ubezpieczenia na Życie S.A., Krajowe Biuro Wyborcze Narodowe Centrum Badań Jądrowych w Świerku Nestle Polska S.A. Sodexo Pass Polska Sp. z o.o. PZU-CL Agent Transferowy S.A., BRE Corporate Finance S.A., WestLB Bank Polska S.A., Poczta Polska S.A. - Centrum Badawczo Szkoleniowe, Provident Polska S.A., RockWool Polska S.A., Opera TFI Biuro Trybunału Konstytucyjnego Uniwersytet Warszawski, Wydział Chemii Teva Kutno S.A. Więcej informacji o firmie znajdziecie Państwo w Internecie, na stronach: http://www.cc.com.pl/ Osoby kontaktowe: Dział Techniczny: Dział Handlowy: tech@cc.com.pl sales@cc.com.pl 6

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres