Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Authentisierung und Rechte-Management in modernen IT Systemen Ingo Schubert, Security Consultant

Ähnliche Präsentationen


Präsentation zum Thema: "Authentisierung und Rechte-Management in modernen IT Systemen Ingo Schubert, Security Consultant"—  Präsentation transkript:

1 Authentisierung und Rechte-Management in modernen IT Systemen Ingo Schubert, Security Consultant

2 Agenda Notwendigkeit der Authentisierung Authentisierung alleine reicht nicht: Authorisierung Formen der Authentisierung Token Mobile Zertifikate Rechtemanagement Transaktionssicherheit

3 Authentisierung Authentisierung ist die Grundlage für e-business Vertrauen in die gegenseitige Identität ist die Vorraussetzung einer erfolgreichen Transaktion. Ohne das Wissen wer am Ende der Leitung sitzt ist eine Zuteilung von Zugriffs- und Transaktionsrechten nicht möglich Vertrauen in eine digitale Signatur nicht möglich In den meisten Fällen (wenn nicht immer) ist es sinnlos Daten zu verschlüsseln, falls der Empfänger nicht authentisiert ist.

4 Authorisierung Sobald ein Benutzer authentisiert ist, stellt sich die Frage Was darf der Benutzer? Jedem richtigen Benutzer seine Ressource Vergleich von Benutzerprofilen mit definierten Rollen Zugriff wird gestattet oder verwehren basierend auf Statischen Kriterien (z.B. Stellenbeschreibung, Abteilung etc.) Dynamischen Kriterien (z.B. Kontostand, Tageszeit etc.)

5 Formen der Authentisierung Je nach Art der Authentisierungsmethode kann einem Benutzer mehr oder weniger vertraut werden. Passwörter sind die gebräuchlichsten Formen der Authentisierung haben aber bekannte Nachteile. Stärkere Formen der Authentisierung sind Hardware Tokens Zertifikate (ggf. kombiniert mit Hardware Tokens) Starke Authentisierung benötigt einen Token und eine PIN. Something you have and something you know.

6 RSA SecurID

7 RSA SecurID Produkte RSA ACE/Server Der Server der alles Verwaltet RSA ACE/Agent Das Sicherheitspersonal In vielen Produkten integriert u.a. Microsoft ISA Server RSA SecurID Hardware Tokens Software Tokens Smart Cards

8 PIN + TOKEN RSA ACE/Server Send Session Key Send One Time Passcode RSA ACE/Agent RSA SecurID RSA SecurID Zwei-Faktor Authentisierung

9 RSA SecurID Architektur RSA ACE/Agents Web Server RSA ACE/Agent Firewall VPN DMZ Internet RSA ACE/Server (primary) RSA ACE/Agents NT/Unix Novell Intranet Firewall RSA ACE/Server (replica) RAS

10 RSA ACE/Server 5.1 Highlights Einfacher, flexibler Database replication LDAP v3 Import und Synchronization Quick Admin Web Help Desk Mehr Performance und Skalierbarkeit Load Balancing und Database Replication Höhere Verfügbarkeit Supports v5.x and legacy RSA ACE/Agents

11 RSA SecurID Authentication Devices Breites Angebot Key fob Card Pin Pad PC Palm Wireless phones Zero-Footprint Keine Software notwendig (für Hardware Token) Leicht zu bedienen Die am meisten eingesetzte starke Authentisierungsmethode

12 Flexible Smartcard Lösung Software Client mit Leser und Karte Key Features: Unterstützt alle gängigen CAs RSA Keon CA, Microsoft, VeriSign, Baltimore, Entrust Natives Windows 2000 Logon PC Logon (Windows NT, 98, 95) Dual CSP (PKCS#11 und CAPI) Ermöglicht sicheres (S/MIME) und Web access (SSL) Java Card (16K option) PC/SC Leser Unterstützung RSA SecurID Smart Card Solution RSA SecurID Passage

13 RSA Smart Cards Building Access Proximity Mag-Stripe Badging RSA SecurID Passage Partners HID & MiFare PC Access Java Platform Credential Storage Certificates Key sets Passwords Applet Storage SecurID Seed Storage

14 RSA Mobile

15 RSA Mobile Authentisierung (I)

16 RSA Mobile Authentisierung (II)

17 RSA Mobile Authentisierung (III)

18

19 RSA Mobile Authentisierung (IV)

20 RSA Mobile Authentisierung (V)

21 RSA Mobile - Features Innerhalb von GSM Netzwerken, Übertragung des Accesscode verschlüsselt A5 Accesscode muss innerhalb der selben Browser Instanz eingegeben werden der den Code angefordert hat. RSA Mobile plug-ins ermöglichen Anbindung an Telco Infrastruktur Wireless modem, SMTP, Direkt zum Telko via SMPP Verbindung zu SMS Services via HTTP und SMPP Managed service (Red Message, Dialogue) Zusätzliche Plug-ins können leicht erstellt werden High performance / Availability Basierend auf J2EE BEA WebLogic Application Server SAML / Web Service Unterstützung.

22 RSA Mobile Web Browser Web Server RSA Mobile Agent RSA Mobile Server SMS or Server Mobile Network Userid + PIN Access code + Phone # Access code Access code SMS or Text Message Access code Userid + PIN

23 RSA Keon

24 Certificate Management Solutions RSA Keon Certificate Authority Stellt Zertifikate aus und verwaltet diese Zertifiziert nach CC EAL 4 Unterstützt Web browser, Smartcard und RSA Keon Web PassPort Credential Storage RSA Keon Root Signing Service SubCA bei Kunden unterhalb der RSA Public Root CA Ermöglicht Vertrauen in SSL Zertifikate, etc. RSA Keon Web PassPort Software Container, Virtual Smartcard Roaming credentials

25 RSA Keon Certificate Management Components User RSA Keon Certificate Authority & Registration Authority (RA can be distributed) RSA Keon Key Recovery Module RSA Keon Root Signing Service RSA Keon WebPassport Web Server

26 RSA Keon Certificate Authority Die Certificate Authority stellt Zertifikate aus, verwaltet und validiert diese. Verwaltet Trust Relationships Getestet mit bis zu 8 Millionen Zertifikaten Features u.a.: Keon OneStep Real-time OCSP

27 RSA Keon Certificate Authority Easy of Use RSA Keon OneStep External Authentication Database Authentication Successful: Certificate Granted Authentication Denied: Certificate Rejected OneStep CGI YourAuth.dll Authenticate User Populate Certificate Fields

28 RSA Keon Web PassPort Roaming Credentials ermöglichen Benutzern jederzeit den Zugriff auf ihre Schlüssel Zertifikate und Private Schlüssel können jederzeit über die MS-CAPI und Netscape benützt werden: Browsers Mail Clients (S/MIME) VPNs … Benutzer Schlüssel sind in einem LDAP Verzeichnis Active Directory gespeichert Unobtrusive Software Small footprint Keine Treiber Einfache Installation Kein Reboot

29 Forms Signing Online Payments ID Online Applications Authentication Engines Certificate Authorities Maintained Directories Security Infrastructure RSA Keon Web PassPort User receives encrypted virtual cardsRSA Keon Web PassPort Browser Plug-in downloads and immediately activates

30 RSA ClearTrust

31 Was ist RSA ClearTrust? RSA ClearTrust ist eine Access Management Lösung die sich in bestehende Infrastrukturen einbinden läßt. RSA ClearTrust ermöglicht die Absicherung von Applikationen, Web sites, und anderen Web-basierenden Ressourcen via Intranets, Extranets, B2B und B2C Infrastrukturen RSA ClearTrust unterstützt SAML und wird die Liberty Alliance Spezifikationen unterstützen.

32 Problem Wie verwaltet man die Identitäten einer wachsenden Benutzerbasis… Partner Kunden Angestellte

33 Access Channels: Intranet, Extranet, Portal, Wireless Problem Silo Access Mgmt. Silo Access Mgmt. Silo Access Mgmt. Silo Access Mgmt. Silo Access Mgmt. EmployeesCustomersPartners HR, Financial Mgmt. e-CRM Supply Chain Mgmt. Industry Specific e-Commerce …und deren sicheren Zugriff auf Web Resourcen?

34 Access Channels: Intranet, Extranet, Portal, Wireless Lösung Web Access Management Solution EmployeesCustomersPartners HR, Financial Mgmt. e-CRM Supply Chain Mgmt. Industry Specific e-Commerce SSO

35 Authentisierung Jeder Ressource die passende Authentisierung… Authentisierung Flexible Unterstützung von mehreren Verfahren out-of-the- box ID/password X.509 (z.B: RSA Keon) RSA SecurID Windows NT Logon LDAP Authentication APIs zur Einbindung weiterer Authentisierungsverfahren Verkettung möglich

36 Web Access Management Was ist erlaubt? Zugriff basierend auf Benutzer Rollen und dynamischen Regeln (SmartRules) SmartRules ermöglichen Entscheidungen basierend auf externen Daten (z.B. Kontostand) zu treffen und ensprechend den Zugriff zu ermöglichen oder zu verweigern.

37 Authorisierung Sicherer Zugriff auf Ressourcen Web Servers Web Pages, CGIs, Directories, GIF & JPG files, etc. J2EE Application Servers EJBs, JSPs, Java Servlets Method-Level Schutz Andere Applikationen Mit Hilfe von APIs können Applikationen eingebunden werden die nicht direkt von ClearTrust unterstützt werden.

38 Delegated Administration IntranetExtranet Super User Group Administrators Business Unit Customer Partner Users VBU

39 Delegated Administration Verhindert die umständliche zentrale Administration grosser Benutzerbestände Delegation von Benutzer und Rechteverwaltung Eingeteilt in Virtual Business Units (VBUs) Abgestufte Zuteilung von Rechten

40 Encrypted Session Cookie RSA ClearTrust Runtime Architecture Web & App Servers ClearTrust Authorization Servers Entitlements Data Store Any Web Browser ClearTrust Agents DCOM RT API Client C RT API Client Java RT API Client

41 Skalierbarkeit Lineare Performance- Steigerung durch zusätzliche Authorisation Servers Cache Mehr RAM für mehr Leistung Breite Palette and Möglichkeiten zur weiteren Optimierung Web Server Farm ClearTrust Authorization Servers Replicated LDAP Directories

42 RSA ClearTrust Skalierbarkeit Verteilte Authorization Server Verteilt auf mehrere Server Round robin fail-over Webserver plug-in benützt Pool von Authorization Servern Minimale Network Latency Redundante Dispatcher/Key Servers Redundante Entitlement Servers

43 Cookie Cache Cross-Domain SSO (SAML) Web Browser Authentication Authority 2 – Request Ticket 5 – Request Access 1 – Request Access 3 – Authenticate 7 – Process Ticket 4 – Process Ticket 6 – Request Ticket Ticket encoded in redirect URL and set on response

44 ClearTrust APIs Administrative API (Java, C, DCOM) Erzeugt/Ändert Benutzer Accounts und setzt Zugriffsregeln Runtime API (Java, C, DCOM) Authentisierung und Authorisierung für Applikationen die nicht direkt von ClearTrust unterstützt werden. Plug-in Extension (C only) Erlaubt die Erweiterung existierender Webserver Plug-ins Custom Authentication Adapters Für neue Authentisierungsverfahren (Biometrie, RACF/ACF2, etc…)

45 RSA eSign

46 Absichern von Transaktionen SSL alleine genügt oft nicht Die Daten einer Transaktion sind nur während der Übertragung geschützt. Auf dem Server angekommen fehlt die Möglichkeit die Transaktion später zu verifizieren. Wird die Transaktion dagegen auf dem Client signiert, kann jederzeit überprüft werden ob z.B. die Daten verändert wurden. eSign ermöglicht es HTML Forms auf dem Client zu signieren, verifizieren und optional zu verschlüsseln. Der Server überprüft vor dem weiteren Verarbeiten die Signatur

47 Die Technik Client Applet Kompatibel mit Netscape 6, 7 und IE 5 – 6 Zugriff auf internen Key/Certificate Store des Browsers (Netscape) bzw. von Windows (IE) Unterstützung von SmartCards (via CSP) Einmaliger Download (ca. 300k) Server Java Klassen via ASP, JSP oder Servlets ansprechbar Verifizieren von Signaturen möglich OCSP, CRL werden unterstützt

48 RSA Keon e-Sign in Action

49

50

51 Beispiel

52 RSA BSAFE Entwicklertools Einfachere Bereitstellung sicherer Lösungen Broadband SSL-JSSL- C WTLS-CIPSec-C SSL Micro Edition Algorithms, Math Libraries Crypto-CCrypto-J Crypto-C Micro Edition Cert- C Cert-J Cert Micro Edition Algorithms, Math Libraries Crypto-CCrypto-J Crypto-C Micro Edition Cert- C Cert-J Cert Micro Edition Algorithms, Math Libraries Crypto-CCrypto-J Crypto-C Micro Edition Algorithms, Math Libraries

53 RSA BSAFE Anwendungsbeispiele integriert in Internet Explorer, Siemens Handy, etc. RSA Enterprise Produkten RSA Sure File Verschlüsselung Signierung Komprimierung (PKZIP)

54 Fragen?

55 The Most Trusted Name in e-Security


Herunterladen ppt "Authentisierung und Rechte-Management in modernen IT Systemen Ingo Schubert, Security Consultant"

Ähnliche Präsentationen


Google-Anzeigen