web single sign-on nutzen eines optimalen zusammenspiels von authentisierung und waf marc bu ̈...
TRANSCRIPT
Web Single Sign-OnNutzen eines optimalen Zusammenspiels von Authentisierung und WAF Marc ButikoferSenior Security EngineerKryptologie & Security ExperteErgon Informatik AG
Facts & Figures Ergon Informatik AG
Gegrundet 1984
160 Mitarbeitende
90% mit Hochschulabschluss
29.6 Mio CHF Umsatz (2011)
In Mitarbeiterbesitz
Standort Zurich
Aufteilung des Umsatzes nach Branchen
32% Industry/Pharma
25% Finance
14% Public Sector
29% Telecommunications
Prix Egalité2011
Kompetenz in IT Security: Airlock und Medusa
WAF: Airlock (500 Installationen bei 200 Kunden)
Authentisierung: Medusa (70 Kunden)
25 Mitarbeiter im Thema WAF / Authentisierung
Übersicht
Typische Ausgangslage
Zielarchitektur mit WAF und Authentisierung
Warum eine WAF?
Warum separate Authentisierung?
Möglichkeiten aus Zusammenspiel WAF + Authentisierung, Single Sign-On, Identity Propagation
Starke Authentisierung auf Mobiltelefonen
geschutzte Applikationen ExterneApplikation
Login mitCredential-Set C
Firmennetzwerk
A B C D
Typische Ausgangslage
Login
mit
Cre
denti
al-
Set
A
Login
mit
Cre
denti
al-
Set
B
Kein oder direkter Zugriff auf aus dem Internet auf Webapplikationen
Schwache Authentisierung in Applikationen
Verschiedene Identitäten/Credential-Sets
WAF
Authentisierung
geschutzte Applikationen ExterneApplikation
Cross DomainSSO
Firmennetzwerk
A B C D
WAF und vorgelagerte Authentisierung
Weshalb eine Web Application Firewall?
Schlusselkriterien fur Webapplikationssicherheit
WER?
WAS
Wer greift zu?
Was wird geschickt?
Zugriffskontrolle
Filterung
Wichtige Themen Webapplikationssicherheit
Warum vorgelagerte und zentrale Authentisierung?Höchste Anforderungen Exponiert und mächtig
Keine Kommunikation mit geschutzten Applikationen vor der Authentisierung
Komplexe Workflows
Integrationskosten
Flexibilität bezuglich Token
Policies zentral umsetzbar
Kostenersparnisse
SAML SP
Mob
ile TAN
Airlock
Client
Cer
tifica
te
Mob
ile ID
Medusa
Kerberos/Smart Card
Geschutzte Applikationen ExterneApplikation
PKIDatabase/Directory
MobileOTP
MobileTAN
Radius Client
Password Management/Transaction Signing
Cross DomainSSO with SAML
Firmennetzwerk
A B C D
Möglichkeiten dank WAF undzentraler Authentisierung
SAML SP
Mob
ile TAN
Airlock
Client
Cer
tifica
te
Mob
ile ID
Medusa
Kerberos/Smart Card
Geschutzte Applikationen ExterneApplikation
PKIDatabase/Directory
MobileOTP
MobileTAN
Radius Client
Password Management/Transaction Signing
Cross DomainSSO with SAML
Firmen-netzwerk
A B C D
Single Sign-On und Identity-Propagation
Domänenubergreifender SSO
Domänenubergreifender SSO
Interner SSO
Starke Authentisierung auf Mobiltelefonen
Mobile Trojaner sind Realität
ZitMo and SpitMo (Zeus/SpyEye in the Mobile)– Fangen SMS (mTAN) ab
– ZitMo wurde sogar während kurzer Zeit im offiziellen „Android Market“ als Security Tool angeboten
© Trusteer 2011
Zu welchem “Preis”?
SMS/MTAN geht nicht mehr!
Wenig Schnittstellen
Kandidaten:
- Mobile Signature Service (“Mobile ID”)?
- Flickering / Barcode?
- HW OTP?
Starke Authentisierungauf Mobiltelefonen
Starke Authentisierung und Transaktionssignierungauf MobiltelefonenBenötigte zweiten unabhängigen Kommunikationskanal
Automatisierte Anrufe
Separates Token
mTAN (SMS)
?
Mobile Signature Services (MSS) – Die Lösung?
SIM Karte mit• SmartCard Chip• Zertifikat und privaten Schlusseln• Authentisierungsapplikation (in SIM!)• Direkter Bildschirm/Tastaturzugriff
Please enter your PIN:
******
MSSProvider
1. Application request (UMTS) 2. Check 2nd factor
3. 2nd factor OK?(SMS)4. Challenge
user
5. Yes/no
6. Yes/no
WAF und vorgelagerte zentrale Authentisierung bieten hohe Sicherheit und viele Anwendungsmöglichkeiten.
Starke Authentisierung auf Mobil-telefonen ist nicht trivial. Erste Lösungen zeichnen sich ab.