NASK proponuje rozwiązania tokenowe SecurID firmy RSA (RSA Security Inc.) ( www.rsasecurity.com) – uznanego producenta światowego. RSA SecurID jest rozwiązaniem zapewniającym wiarygodne uwierzytelnienie użytkownika oparte na dwóch elementach: na tym, co użytkownik zna (PIN-kod – będący odpowiednikiem statycznego hasła) oraz na tym, co posiada (token generujący zmienną część jednorazowego hasła).
Rozwiązanie składa się z trzech głównych elementów:
Ogólna zasada działania Systemu RSA SecurID
System został zaprojektowany w oparciu o typową dla aplikacji sieciowych architekturę klinet-serwer.
Centralne miejsce i kluczową rolę w systemie uwierzytelniania zajmuje Authentication Manager. Klientami (agentami) tego serwera mogą być rozmaite systemy i urządzenia sieciowe od serwerów kont użytkowników, serwerów baz danych, zapór typu firewall, superkomputerów poprzez routery, serwery komunikacyjnye (obsługujące różne warianty protokołu TACACS lub RADIUS), aż po rozmaite aplikacje dostępne poprzez sieć. Warunkiem włączenia urządzenia, systemu bądź aplikacji do systemu uwierzytelnienia RSA Authentication Manager z dynamicznym identyfikatorem SecurID jest zapewneinie możliwości współpracy oprogramowania systemowego danego urządzenia z oprogramowaniem agenta (lub danej aplikacji), które będzie potrafiło porozumieć się z Authentication Managerem w procesie uwierzytelnienia użytkownika. Efekt taki można uzyskać albo poprzez wykorzystanie istniejącego oprogramowania agenta danego systemu czy aplikacji, bądź też poprzez wykorzystanie API (ang. Application Programming Interface) dostarczanego z pakietem RSA Authentication Manager. Użytkownik korzystając z dowolnego terminala, na którym zainstalowano oprogramowanie agenta, w czasie procesu logowania do systemu podaje swój identyfikator (PIN) oraz hasło wygenerowane przez token. Żądanie zostaje przesłane poprzez sieć od maszyny agenta stamtąd do serwera uwierzytelniania, który to serwer posiadając centralną bazę użytkowników i przypisanych im praw wydaje decyzję o odrzuceniu lub zaakceptowaniu żądania. Decyzja ta jest zwracana do agenta (router, stacja robocza, serwer kont użytkowników, itp.), a następnie na terminal użytkownika.
Architektura i ogólna zasada działania systemu została zilustrowana poniżej.
Proces uwierzytelniania użytkownika
W czasie pierwszej sesji użytkownika generowany jest jego PIN (PIN może zostać wybrany przez użytkownika lub zostać wygenerowany przez system). W czasie sesji użytkownika (np. telnet, ftp, ssh lub inne wspierające SecurID) z urządzeniem objętym systemem uwierzytelniania użytkownik podaje swój identyfikator (username). Jeśli agentem jest komputer sprawdza on w swej konfiguracji czy dany użytkownik jest objęty systemem haseł jednorazowych, a następnie wystawia użytkownikowi zaproszenie w postaci np. „Enter PASSCODE:”. Następnie oprogramowanie agenta wysyła zapytanie (username wraz z podanym przez użytkownika hasłem jednorazowym) poprzez sieć do Authentication Manager-a, który porównuje ciągi cyfr (PASSCODE – czyli PIN + TOKENCODE oraz ciąg wygenerowany przez ACE Server dla danego użytkownika). Authentication Manager zwraca do agenta wynik takiego porównania. Algorytm generacji TOKENCODE na karcie SecurID i proces dedykowany danemu tokenowi na Authentication Manager-e są zsynchronizowane.
Korzyści dla Klienta
Zalety techniczne rozwiązania RSA:
- otwarta platforma umożliwia integrację z aplikacjami innych producentów
- RSA SecurID jest w stanie chronić większość aplikacji oraz sieci
- rozwiązanie RSA jest zgodne z większością standardów branżowch
Standardowo w skład kompleksowej usługi oferowanej przez NASK wchodzą:
- konsulting przedwdrożeniowy,
- instalacja i wdrożenie systemu mocnego uwierzytelniania,
- integracja z systemami funkcjonującymi w firmie Klienta,
- szkolenie z obsługi administracyjnej,
- opieka techniczna oraz wsparcie dla rozwoju systemu,
- zarządzanie rozwiązaniem.
Rozwiązania OTP firmy ActivIdentity
Rozwiązania firmy ActivIdentity w zakresie systemów silnego uwierzytelniania oparte są następujące komponenty:
- 4TRESS AAA Server – serwer uwierzytelniający oraz zarządzający
- Tokeny sprzętowe lub programowe i karty mikroprocesorowe – klienckie urządzenia lub oprogramowanie niezbędne do realizacji funkcji silnego uwierzytelniania.
4TRESS AAA Server
Rozwiązanie to realizuje funkcje serwera uwierzytelniającego RADIUS lub TACACS+ zapewniając użytkownikom usługi uwierzytelniania, autoryzacji oraz rozliczalności (AAA). Rozwiązanie to jest szczególnie dedykowane do obsługi użytkowników zdalnych oraz w zastosowaniach w sieciach bezprzewodowych, zapewniając funkcje dwu-składnikowego silnego uwierzytelniania. Obecnie jest to jedno z nielicznych rozwiązań integrujących się z funkcjami zabezpieczającymi zaimplementowanymi w systemach sieci bezprzewodowych.
Bezpieczeństwo
- lokalna inicjalizacja tokenów i kart mikroprocesorowych zapewniająca bezpieczne generowanie kluczy
- hasła jednorazowe są generowane w oparciu o patentowany algorytm oraz trzy zmienne: czas, licznik zdarzeń oraz klucz kryptograficzny. Rozwiązanie takie zapewnia wyższy poziom bezpieczeństwa niż inne rozwiązania konkurencyjne oparte o dwie zmienne.
- pełna integracja z mechanizmami uwierzytelniania wbudowanymi w sieci bezprzewodowe używające protokołu WPA
Proste wdrożenie i administracja
- integracja z usługami katalogowymi LDAP oraz bazami opartymi na SQL
- system zaprojektowany dla łatwej instalacji i wdrożenia
Bezpieczny dial-up i vpn
- współpraca ze wszystkimi najpopularniejszymi serwerami dostępu do sieci, ruterami oraz urządzeniami realizującymi IPSEC VPN oraz SSL VPN korzystającymi z RADIUS lub TACACS+
Bezpieczny dostęp do serwerów www
- zapewnia funkcje silnego uwierzytelniania dla każdej usługi opartej o serwer Microsoft IIS, Sun Java System jak również Microsoft Outlook Web Access.
Bezpieczne sieci bezprzewodowe
- zapewnia mechanizmy silnego uwierzytelniania integrując się z EAP (Extensible Authentication Protocol) kompatybilnym z WPA i WPA2
Bezpieczne usługi terminalowe
- zapewnia bezpieczne logowanie do Citrix Presentation Server
|
