authentisierung und rechte-management in modernen it systemen ingo schubert, security consultant...
TRANSCRIPT
Authentisierung und Rechte-Management in modernen IT Systemen
Ingo Schubert, Security Consultant
Agenda
• Notwendigkeit der Authentisierung• Authentisierung alleine reicht nicht: Authorisierung• Formen der Authentisierung
— Token— Mobile— Zertifikate
• Rechtemanagement• Transaktionssicherheit
Authentisierung
• Authentisierung ist die Grundlage für e-business— Vertrauen in die gegenseitige Identität ist die Vorraussetzung
einer erfolgreichen Transaktion.• Ohne das Wissen wer am Ende der Leitung sitzt ist
— eine Zuteilung von Zugriffs- und Transaktionsrechten nicht möglich
— Vertrauen in eine digitale Signatur nicht möglich• In den meisten Fällen (wenn nicht immer) ist es sinnlos Daten
zu verschlüsseln, falls der Empfänger nicht authentisiert ist.
Authorisierung
• Sobald ein Benutzer authentisiert ist, stellt sich die Frage “Was darf der Benutzer?”
• Jedem richtigen Benutzer seine Ressource— Vergleich von Benutzerprofilen mit definierten Rollen— Zugriff wird gestattet oder verwehren basierend auf
• Statischen Kriterien (z.B. Stellenbeschreibung, Abteilung etc.) • Dynamischen Kriterien (z.B. Kontostand, Tageszeit etc.)
Formen der Authentisierung
• Je nach Art der Authentisierungsmethode kann einem Benutzer mehr oder weniger vertraut werden.
• Passwörter sind die gebräuchlichsten Formen der Authentisierung haben aber bekannte Nachteile.
• Stärkere Formen der Authentisierung sind— Hardware Tokens— Zertifikate (ggf. kombiniert mit Hardware Tokens)
• Starke Authentisierung benötigt einen Token und eine PIN.— Something you have and something you know.
RSA SecurID
RSA SecurID Produkte
• RSA ACE/Server
— Der Server der alles Verwaltet
• RSA ACE/Agent
— Das Sicherheitspersonal
— In vielen Produkten integriert u.a. Microsoft ISA Server
• RSA SecurID
— Hardware Tokens
— Software Tokens
— Smart Cards
PIN + TOKEN
RSA ACE/Server
Send Session Key
Send One Time Passcode
RSA ACE/Agent
RSA SecurID
RSA SecurIDZwei-Faktor Authentisierung
RSA SecurIDArchitektur
RSA ACE/Agents
Web Server
RSA ACE/AgentFirewall
VPN
DMZDMZ
Internet
RSA ACE/Server
(primary)
RSA ACE/Agents
NT/Unix
Novell
IntranetIntranetFirewall
RSA ACE/Server
(replica)
RAS
RSA ACE/Server 5.1 Highlights
• Einfacher, flexibler— Database replication— LDAP v3 Import und Synchronization— Quick Admin Web Help Desk
• Mehr Performance und Skalierbarkeit— Load Balancing und Database Replication
• Höhere Verfügbarkeit• Supports v5.x and legacy RSA ACE/Agents
RSA SecurID Authentication Devices
• Breites Angebot— Key fob— Card— Pin Pad— PC— Palm— Wireless phones
• Zero-Footprint— Keine Software notwendig (für
Hardware Token)• Leicht zu bedienen• Die am meisten eingesetzte starke
Authentisierungsmethode
• Flexible Smartcard Lösung— Software Client mit Leser und Karte
• Key Features:— Unterstützt alle gängigen CAs
• RSA Keon CA, Microsoft, VeriSign, Baltimore, Entrust— Natives Windows 2000 Logon— PC Logon (Windows NT, 98, 95)— Dual CSP (PKCS#11 und CAPI)
• Ermöglicht sicheres e-mail (S/MIME) und Web access (SSL)— Java Card (16K option)— PC/SC Leser Unterstützung
RSA SecurID Smart Card Solution RSA SecurID Passage
RSA Smart Cards
Building AccessProximity Mag-StripeBadging
RSA SecurID PassagePartners HID
& MiFare
PC AccessJava Platform
Credential Storage•Certificates
•Key sets•Passwords
Applet StorageSecurID Seed
Storage
RSA Mobile
RSA Mobile Authentisierung (I)
RSA Mobile Authentisierung (II)
RSA Mobile Authentisierung (III)
RSA Mobile Authentisierung (III)
RSA Mobile Authentisierung (IV)
RSA Mobile Authentisierung (V)
RSA Mobile - Features
• Innerhalb von GSM Netzwerken, Übertragung des Accesscode verschlüsselt A5
• Accesscode muss innerhalb der selben Browser Instanz eingegeben werden der den Code angefordert hat.
• RSA Mobile plug-ins ermöglichen Anbindung an Telco Infrastruktur— Wireless modem, SMTP, Direkt zum Telko via SMPP— Verbindung zu SMS Services via HTTP und SMPP
— Managed service (Red Message, Dialogue) — Zusätzliche Plug-ins können leicht erstellt werden
• High performance / Availability— Basierend auf J2EE BEA WebLogic Application Server
• SAML / Web Service Unterstützung.
RSA Mobile
Web Browser
Web Server
RSA MobileAgent
RSA MobileServer
SMS or EmailServer
MobileNetwork
Userid + PIN
Access code+ Phone #
Access code294836
Access code294836 SMS or Text Message
Access code294836
Userid + PIN
Userid + PIN
RSA Keon
Certificate Management Solutions
• RSA Keon Certificate Authority — Stellt Zertifikate aus und verwaltet diese— Zertifiziert nach CC EAL 4— Unterstützt Web browser, Smartcard und RSA Keon Web
PassPort Credential Storage
• RSA Keon Root Signing Service — SubCA bei Kunden unterhalb der RSA Public Root CA— Ermöglicht Vertrauen in SSL Zertifikate, E-mail etc.
• RSA Keon Web PassPort — Software Container, Virtual Smartcard— Roaming credentials
RSA KeonCertificate Management Components
UserRSA Keon
Certificate Authority& Registration Authority (RA can be distributed)
RSA Keon Key Recovery Module
RSA Keon Root Signing Service
RSA Keon WebPassport
Web Server
RSA Keon Certificate Authority
• Die Certificate Authority stellt Zertifikate aus, verwaltet und validiert diese.
• Verwaltet Trust Relationships• Getestet mit bis zu 8 Millionen Zertifikaten• Features u.a.:
— Keon OneStep— Real-time OCSP
RSA Keon Web PassPort
• Roaming Credentials ermöglichen Benutzern jederzeit den Zugriff auf ihre Schlüssel
• Zertifikate und Private Schlüssel können jederzeit über die MS-CAPI und Netscape benützt werden:
— Browsers— Mail Clients (S/MIME)— VPNs— …
• Benutzer Schlüssel sind in einem LDAP Verzeichnis Active Directory gespeichert
• Unobtrusive Software Small footprint Keine Treiber Einfache Installation Kein Reboot
FormsSigning
OnlinePayments ID
OnlineApplications
AuthenticationEngines Certificate
Authorities
MaintainedDirectories
Security Infrastructure
RSA Keon Web PassPort
User receives encrypted virtual cardsRSA Keon Web PassPort Browser Plug-in downloads
and immediately activates
RSA ClearTrust
Was ist RSA ClearTrust?
• RSA ClearTrust ist eine Access Management Lösung die sich in bestehende Infrastrukturen einbinden läßt.
• RSA ClearTrust ermöglicht die Absicherung von Applikationen, Web sites, und anderen Web-basierenden Ressourcen via Intranets, Extranets, B2B und B2C Infrastrukturen
• RSA ClearTrust unterstützt SAML und wird die Liberty Alliance Spezifikationen unterstützen.
ProblemWie verwaltet man die Identitäten einer wachsenden Benutzerbasis…
Partner
Kunden
Angestellte
Access Channels: Intranet, Extranet, Portal, Wireless
Problem
“Silo”AccessMgmt.
“Silo”AccessMgmt.
“Silo”AccessMgmt.
“Silo”AccessMgmt.
“Silo”AccessMgmt.
EmployeesCustomers Partners
HR, Financial Mgmt.
e-CRM Supply Chain Mgmt.
Industry Specific
e-Commerce
…und deren sicheren Zugriff auf Web Resourcen?
Access Channels: Intranet, Extranet, Portal, Wireless
Lösung
Web Access ManagementSolution
EmployeesCustomers Partners
HR, Financial Mgmt.
e-CRM Supply Chain Mgmt.
Industry Specific
e-Commerce
SSO
Authentisierung
• Jeder Ressource die passende Authentisierung…• Authentisierung
— Flexible Unterstützung von mehreren Verfahren out-of-the-box
• ID/password• X.509 (z.B: RSA Keon)• RSA SecurID• Windows NT Logon• LDAP Authentication
— APIs zur Einbindung weiterer Authentisierungsverfahren — Verkettung möglich
Web Access Management“Was ist erlaubt?”
• Zugriff basierend auf Benutzer Rollen und dynamischen Regeln (SmartRules)
• SmartRules ermöglichen Entscheidungen basierend auf externen Daten (z.B. Kontostand) zu treffen und ensprechend den Zugriff zu ermöglichen oder zu verweigern.
AuthorisierungSicherer Zugriff auf Ressourcen
• Web Servers— Web Pages, CGIs, Directories, GIF & JPG files, etc.
• J2EE Application Servers— EJBs, JSPs, Java Servlets— Method-Level Schutz
• Andere Applikationen— Mit Hilfe von APIs können Applikationen eingebunden
werden die nicht direkt von ClearTrust unterstützt werden.
Delegated Administration
Intranet Extranet
Super User
Group Administrators
Business Unit Business Unit Customer Partner
Users
VBU VBU VBU VBU
Delegated Administration
• Verhindert die umständliche zentrale Administration grosser Benutzerbestände
• Delegation von Benutzer und Rechteverwaltung
• Eingeteilt in Virtual Business Units (VBUs)
• Abgestufte Zuteilung von Rechten
EncryptedSessionCookie
RSA ClearTrust Runtime Architecture
Web & App Servers
ClearTrustAuthorization
Servers
EntitlementsData Store
Any WebBrowser
ClearTrustAgents
DCOMRT APIClientC
RT APIClientJava
RT APIClient
Skalierbarkeit
• Lineare Performance-Steigerung durch zusätzliche Authorisation Servers
• Cache— Mehr RAM für mehr
Leistung• Breite Palette and
Möglichkeiten zur weiteren Optimierung
Web Server Farm
ClearTrust Authorization
Servers
ReplicatedLDAP Directories
RSA ClearTrustSkalierbarkeit
• Verteilte Authorization Server— Verteilt auf mehrere Server— “Round robin” fail-over— Webserver plug-in benützt Pool von
Authorization Servern— Minimale Network Latency
• Redundante Dispatcher/Key Servers• Redundante Entitlement Servers
Cookie Cache
Cross-Domain SSO (SAML)www.partner-1.com
WebBrowser
AuthenticationAuthority
www.partner-2.com
2 – Request Ticket
5 – Request Access
1 – Request Access
3 – Authenticate
7 – Process Ticket
4 – Process Ticket
6 – Request Ticket
Ticket encoded in redirect URL
and set on
response www.mycompany.com
ClearTrust APIs• Administrative API (Java, C, DCOM)
— Erzeugt/Ändert Benutzer Accounts und setzt Zugriffsregeln• Runtime API (Java, C, DCOM)
— Authentisierung und Authorisierung für Applikationen die nicht direkt von ClearTrust unterstützt werden.
• Plug-in Extension (C only)— Erlaubt die Erweiterung existierender Webserver Plug-ins
• Custom Authentication Adapters— Für neue Authentisierungsverfahren (Biometrie, RACF/ACF2,
etc…)
RSA eSign
Absichern von Transaktionen
• SSL alleine genügt oft nicht— Die Daten einer Transaktion sind nur während der Übertragung
geschützt.— Auf dem Server angekommen fehlt die Möglichkeit die Transaktion
später zu verifizieren. • Wird die Transaktion dagegen auf dem Client signiert, kann
jederzeit überprüft werden ob z.B. die Daten verändert wurden.
• eSign ermöglicht es HTML Forms auf dem Client zu signieren, verifizieren und optional zu verschlüsseln.
• Der Server überprüft vor dem weiteren Verarbeiten die Signatur
Die Technik
• Client Applet — Kompatibel mit Netscape 6, 7 und IE 5 – 6— Zugriff auf internen Key/Certificate Store des Browsers (Netscape)
bzw. von Windows (IE)— Unterstützung von SmartCards (via CSP)— Einmaliger Download (ca. 300k)
• Server— Java Klassen via ASP, JSP oder Servlets ansprechbar— Verifizieren von Signaturen möglich— OCSP, CRL werden unterstützt
RSA Keon e-Sign in Action
RSA Keon e-Sign in Action
RSA Keon e-Sign in Action
Beispiel
RSA BSAFE Entwicklertools Einfachere Bereitstellung sicherer Lösungen
Broadband
SSL-JSSL-C
WTLS-CIPSec-C
SSL Micro Edition
Algorithms,Math Libraries
Crypto-C Crypto-J
Crypto-C Micro Edition
Cert-C
Cert-J
Cert Micro Edition
Algorithms,Math Libraries
Crypto-C Crypto-J
Crypto-C Micro Edition
Cert-C
Cert-J
Cert Micro Edition
Algorithms,Math Libraries
Crypto-C Crypto-J
Crypto-C Micro Edition
Algorithms,Math Libraries
RSA BSAFE Anwendungsbeispiele
• integriert in Internet Explorer, Siemens Handy, etc.
• RSA Enterprise Produkten
• RSA Sure File— Verschlüsselung— Signierung— Komprimierung (PKZIP)
Fragen?
The Most Trusted Name in e-Security