Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Web Single Sign-On Nutzen eines optimalen Zusammenspiels von Authentisierung und WAF Marc Bu ̈ tikofer Senior Security Engineer Kryptologie & Security.

Ähnliche Präsentationen


Präsentation zum Thema: "Web Single Sign-On Nutzen eines optimalen Zusammenspiels von Authentisierung und WAF Marc Bu ̈ tikofer Senior Security Engineer Kryptologie & Security."—  Präsentation transkript:

1 Web Single Sign-On Nutzen eines optimalen Zusammenspiels von Authentisierung und WAF Marc Bu ̈ tikofer Senior Security Engineer Kryptologie & Security Experte Ergon Informatik AG

2 Facts & Figures Ergon Informatik AG Gegründet Mitarbeitende 90% mit Hochschulabschluss 29.6 Mio CHF Umsatz (2011) In Mitarbeiterbesitz Standort Zürich Aufteilung des Umsatzes nach Branchen 32% Industry/Pharma 25% Finance 14% Public Sector 29% Telecommunications Prix Egalité 2011

3 Kompetenz in IT Security: Airlock und Medusa WAF: Airlock (500 Installationen bei 200 Kunden) Authentisierung: Medusa (70 Kunden) 25 Mitarbeiter im Thema WAF / Authentisierung

4 Übersicht Typische Ausgangslage Zielarchitektur mit WAF und Authentisierung Warum eine WAF? Warum separate Authentisierung? Möglichkeiten aus Zusammenspiel WAF + Authentisierung, Single Sign-On, Identity Propagation Starke Authentisierung auf Mobiltelefonen

5 geschützte Applikationen Externe Applikation Login mit Credential-Set C Firmennetzwerk ABC D Typische Ausgangslage Login mit Credential-Set A Login mit Credential-Set B Kein oder direkter Zugriff auf aus dem Internet auf Webapplikationen Schwache Authentisierung in Applikationen Verschiedene Identitäten/Credential-Sets

6 WAF Authentisierung geschützte ApplikationenExterne Applikation Cross Domain SSO Firmennetzwerk ABCD WAF und vorgelagerte Authentisierung

7 Weshalb eine Web Application Firewall?

8 Schlüsselkriterien für Webapplikationssicherheit WER? WAS Wer greift zu? Was wird geschickt? Zugriffskontrolle Filterung

9 Wichtige Themen Webapplikationssicherheit

10 Warum vorgelagerte und zentrale Authentisierung? Höchste Anforderungen Exponiert und mächtig Keine Kommunikation mit geschützten Applikationen vor der Authentisierung Komplexe Workflows Integrationskosten Flexibilität bezüglich Token Policies zentral umsetzbar Kostenersparnisse

11 Vielzahl von Authentisierungsmittel

12 SAML SP Mobile TAN Airlock Client Certificate Mobile ID Medusa Kerberos/ Smart Card Geschützte ApplikationenExterne Applikation PKIDatabase/ Directory Mobile OTP Mobile TAN Radius Client Password Management/ Transaction Signing Cross Domain SSO with SAML Firmennetzwerk ABCD Möglichkeiten dank WAF und zentraler Authentisierung

13 SAML SP Mobile TAN Airlock Client Certificate Mobile ID Medusa Kerberos/ Smart Card Geschützte ApplikationenExterne Applikation PKIDatabase/ Directory Mobile OTP Mobile TAN Radius Client Password Management/ Transaction Signing Cross Domain SSO with SAML Firmen- netzwerk ABCD Single Sign-On und Identity-Propagation Domänenübergreifender SSO Interner SSO

14 SAML SP Mobile TAN Airlock Client Certificate Mobile ID Medusa Kerberos/ Smart Card Geschützte ApplikationenExterne Applikation PKIDatabase/ Directory Mobile OTP Mobile TAN Radius Client Password Management/ Transaction Signing Cross Domain SSO with SAML Corporate Network ABCD Unabhängigkeit von Authentisierung und Identity Propagation

15 Starke Authentisierung auf Mobiltelefonen

16 Mobile Trojaner sind Realität ZitMo and SpitMo (Zeus/SpyEye in the Mobile) –Fangen SMS (mTAN) ab –ZitMo wurde sogar während kurzer Zeit im offiziellen Android Market als Security Tool angeboten © Trusteer 2011

17 Zu welchem Preis? SMS/MTAN geht nicht mehr! Wenig Schnittstellen Kandidaten: - Mobile Signature Service (Mobile ID)? - Flickering / Barcode? - HW OTP? Starke Authentisierung auf Mobiltelefonen

18 Starke Authentisierung und Transaktionssignierung auf Mobiltelefonen Benötigte zweiten unabhängigen Kommunikationskanal Automatisierte Anrufe Separates Token mTAN (SMS) ?

19 Mobile Signature Services (MSS) – Die Lösung? SIM Karte mit SmartCard Chip Zertifikat und privaten Schlüsseln Authentisierungsapplikation (in SIM!) Direkter Bildschirm/Tastaturzugriff Please enter your PIN: ****** MSS Provider 1. Application request (UMTS) 2. Check 2nd factor 3. 2nd factor OK? (SMS) 4. Challenge user 5. Yes/no 6. Yes/no

20 Mobile Banking is read-only, but… My personal E-Banking 1.is a web application (no mobile app available) 2.verifies transactions with SMS TANs 3.is accessible from browser of mobile phone! No protection against session hijacking! No protection against password theft! No transaction restrictions!

21 WAF und vorgelagerte zentrale Authentisierung bieten hohe Sicherheit und viele Anwendungsmöglichkeiten. Starke Authentisierung auf Mobil- telefonen ist nicht trivial. Erste Lösungen zeichnen sich ab.


Herunterladen ppt "Web Single Sign-On Nutzen eines optimalen Zusammenspiels von Authentisierung und WAF Marc Bu ̈ tikofer Senior Security Engineer Kryptologie & Security."

Ähnliche Präsentationen


Google-Anzeigen