View
567
Download
2
Category
Preview:
DESCRIPTION
Presentación impartida por Rames Sarwat de SmarAccess.es en la Gira up To Secure 2010.
Citation preview
Gira Up To Secure 2010
Portátiles a prueba de robos
Rames SarwatSMARTACCESS
www.smartaccess.es
¿ SmartAccess ?
Empresa española que desarrolla soluciones empresariales que evitan el Acceso no autorizado a los Sistemas de Información y la Suplantación de la Identidad.
www.smartaccess.es
¿Están seguros mis datos?
Hagámonos algunas preguntas…
La era de la información
Nuestra empresa u organismo público utiliza información para funcionar.
¿Qué datos? ¿Qué protejo?
Planos, diseños industriales y patentes
Informes Financieros
Información clínica de pacientes
Código fuente
Información de clientes, proveedores y empleados
Marca / Imagen / Marketing
La actitud habitual
¿Qué sucede si…?
Nos roban o perdemos un portátilPerdemos un dispositivo USB con datos
• A nivel empresarial Lo que menos valor tiene es el dispositivo o equipo Es mucho más valiosa la información que contiene Nos exponemos a que nuestra información caiga en
malas manos o incluso a sanciones económicas.
Cuando sucede lo imprevistolo lamentamos
Un caso real…
• Dos estudiantes del MIT compraron por Internet, en eBay, 150 discos duros de segunda mano.
• Aplicando técnicas y herramientas de análisis forense pudieron recuperar información crítica de la mayoría de ellos.– Datos personales, cuentas
corrientes, datos financieros, datos médicos, etc…
Proteger nuestra información¿Como proteger nuestra información cuando esta
traspasa constantemente los límites físicos de nuestra empresa u organismo?
Estrategia de protección propuesta
• Similar a cuando utilizamos una Caja Fuerte– Colocamos los objetos
valiosos dentro de un contenedor seguro.• CIFRADO
– Establecemos un mecanismos de acceso seguro• AUTENTICACIÓN FUERTE
La Formula
BL + BTG + (WBF or CNG) = Info Segura2
Tecnologías en Windows Vista/7• BL = BitLocker
– Cifrado completo de discos y particiones– Disponible sólo en versiones Ultímate y Enterprise
• BTG = BitLocker To Go (Nuevo)– Cifrado de discos externos extraíbles– Disponible sólo en versiones Ultímate y Enterprise
• WBF = Windows Biometric Framework (Nuevo)– Soporte de biometría integrada en el S.O. – Disponible en todas las versiones
• CNG = Cryptography API: Next Generation– Arquitectura de smart cards y criptografía– Disponible en todas las versiones
• EFS = Encrypting File System– Cifrado de carpetas y ficheros– Disponible en todas las versiones
El cifradoBitLocker utiliza el algoritmo AES
para cifrar los sectores de un disco o partición
¿Dónde guardo la clave?¿puedo recuperar la información si pierdo la clave?
BitLocker y BitLocker To Go
• Cifrar la información – BitLocker (BL)
• Discos y particiones en nuestro equipo• Asegurar la integridad del arranque• Disponible en Windows Vista, Windows 7 y Windows Server
2008
– BitLocker To Go (BTG)• Cifrar los dispositivos extraíbles (discos USB) que contienen
la información.• Disponible en Windows 7 y Windows Server 2008 R2• Se puede utilizar en versiones anteriores en modo lectura
Cifrar discos y particiones
• AES es un algoritmo de cifrado simétrico que requiere disponer de una clave de cifrado.– Para cifrar una partición o disco
secundario, almacenará la clave de forma segura en la partición o disco del sistema operativo.
– Para cifrar la partición o disco del sistema operativo, debemos disponer de:• Hardware externo para almacenar clave (chip
TPM o disco USB)• Una partición de arranque (100 Mb)
El chip TPM(Trusted Platform Module)
• Chip de almacenamiento seguro de pares de claves y credenciales PKI – Incluido en la placa base e integrado con el arranque del
equipo y el sistema operativo.
• Principales Fabricantes : – Atmel, Infineon, Intel, ST Microelectronics y otros
NO TODOS LOS EQUIPOS DISPONEN DE CHIP TPM
Se incorpora en portátiles desde el año 2006
Integrado con el Active Directory
Configuración centralizada de BitLocker y BitLocker To Go:• Definir algoritmos de cifrado• Forzar el uso de BitLocker en discos• Forzar el cifrado de discos extraíbles (BTG)• Backup de claves de recuperación y cifrado en AD• PIN de arranque. Configuración de arranque desde
unidad de sistema operativo cifrada.
DemostraciónAcceso a partición cifrada con smartcard
Cifrado de datos en disco USB
Alternativas
• Otras opciones– Microsoft EFS
• Comerciales– McAfee Enpoint Encryption (antes Safeboot)– Utimaco SafeGuard Products (grupo Sophos)– Check Point Full Disk Encryption– PGP Whole Disk Encryption
• Open Source– TrueCrypt
Cryptography API: Next GenerationAcceso con smart card con certificado digital:
DNI electrónico y otras
Las passwords Frecuentemente :
Se escriben en un papel e incluso se pegan en la pantalla o bajo el teclado
Se comparten con colegas o compañeros
Son utilizadas por más de una persona
Son vulnerables a ataques por ser simples y fáciles de adivinar
Son difíciles de recordar para cada usuario, por su complejidad y alto número
Son necesarios sistemas que garanticen su identidad pero sin dejar de lado la usabilidad de la solución.
¿Que necesito?
Software acceso• Asequible• Bajo TCO• Amplio soporte
de smart cards, lectores y sistemas operativos.
Lector smartcard• Compatible
norma PC/SC• Drivers
específicos o mejor si es CCID
Smartcard • DNI electrónico• Otras
• Siemens• Gemalto• G&D• Oberthur• Infineon• FNMT
• Middleware de la smartcard
Tipos de lectores de smartcard
USB Integrados en Teclado
PCMCIA o ExpressCard/54
De bahía Tokens USB
Bajo coste Mayor integración
Orientado a dispositivo portátil
Integrado en equipo de sobremesa
No requiere adquisición de lector.
Software de Acceso
• IDOne Professional– Mejorar la seguridad de acceso a un coste
asequible y sin complicadas instalaciones– Dos versiones
• Smartcard y tarjetas/tags RFID• Biométrico
– Adaptado a cada empresa• Standalone• Workgroup• Active Directory• LDAP
– Licencia única por puesto– Soporte y mantenimiento– Disponible desde Windows 2000 hasta Windows 7
(plataformas 32bits y 64bits)– SDK para integración
Beneficios
• Mejora de la seguridad y el control de acceso.
• Protege el acceso a la información crítica de la empresa.
• Ayuda al cumplimiento de normativas de protección de datos (LOPD).
• Facilita la integración de la seguridad física y lógica.
• Acelera la adopción de la firma digital en la empresa.
DemostraciónAcceso al equipo con smartcard
con certificado
Windows Biometric FrameworkLa biometría al alcance de todos
¿Qué es WBF?
• Un marco para simplificar y homogeneizar el desarrollo de aplicaciones que hagan uso de la biometría y la experiencia del usuario y del desarrollador.
¿Por qué hacía falta?
• Crecimiento espectacular de la biometría– Reconocimiento de la huella dactilar
(fingerprint)– Durante 2009 se han vendido 61
millones de sensores de huella– Entre 2003 y 2009 se han distribuido en
total más de 300 millones de unidades– Previsión para el 2011, 188 millones de
unidades
• Mala y desigual, la experiencia de usuarios y desarrolladores.
• Funciones no integradas en el S.O.
6600tán28a5660
6600tán19a5660
6600tán10a5660
6600tán1a5660
6600tán21a5660
WBF: Arquitectura
Provided by:
Microsoft
ISV/IHV
OEM
IHV/ISV
Windows Biometric Service
Fingerprint Biometric Service Provider
Biometric API
Windows Biometric Driver Interface
Integration Points Logon/UAC
Fingerprint Management Application and Third Party Apps
(e.g., FUS, Enrollment, Web SSO,
Time and Attendance)
Sensor Adapter
Engine Adapter
Storage Adapter
WDM DriverKMDF DriverUMDF Driver
Soporte de WBF
• Ha recibido el soporte de los principales fabricantes de sensores de huella dactilar y de empresas del sector.– Upek– Authentec– digitalPersona– Validity
• Con el tiempo, fabricantes de otros dispositivos biométricos (facial, iris, vascular, voz, etc.) se irán uniendo.
WBF: Fácil de activarPanel de control
Usos
• Ejemplos de uso de la biometría– Logon local– Logon en dominio– UAC (User Access Control)– Acceso a equipos remotos (TS/Citrix)– Compartición de equipos (modo kiosco)– Cifrado de ficheros– Single Sign-On en aplicaciones– Autenticación Web / Web SSO– Control de presencia / fichaje en el puesto– Identificación de pacientes / visitas / clientes– Etc…
DemostraciónDemostraciónAcceso a equipo mediante reconocimiento de
huella dactilar
Cambio rápido de usuario
Si quieres probarlo…
• Descarga la versión de evaluación de IDOne Professional - Smartcard Edition de la zona de descargas de la web de SmartAccess (www.smartaccess.es/descargas)
• Nnecesitas además:– Un DNI electrónico u otra smartcard soportada– Un lector de smartcard (cualquiera te vale).
Te regalamos el software
• Envía un e-mail con tus datos y el código de inscripción a UpToSecure@smartaccess.es y te enviaremos un código de activación de licencia.
• Te pedimos que después de probarlo, nos envíes un e-mail con tu opinión a la misma dirección de e-mail.
Muchas GraciasSi quieres enviar
algún comentario o preguntapuedes escribirme a:
Rames Sarwatrames@smartaccess.es
Recommended