Authentisierung und Rechte-Management in modernen IT Systemen

Ingo Schubert, Security Consultant

ischubert@rsasecurity.com

Agenda

• Notwendigkeit der Authentisierung• Authentisierung alleine reicht nicht: Authorisierung• Formen der Authentisierung

— Token— Mobile— Zertifikate

• Rechtemanagement• Transaktionssicherheit

Authentisierung

• Authentisierung ist die Grundlage für e-business— Vertrauen in die gegenseitige Identität ist die Vorraussetzung

einer erfolgreichen Transaktion.• Ohne das Wissen wer am Ende der Leitung sitzt ist

— eine Zuteilung von Zugriffs- und Transaktionsrechten nicht möglich

— Vertrauen in eine digitale Signatur nicht möglich• In den meisten Fällen (wenn nicht immer) ist es sinnlos Daten

zu verschlüsseln, falls der Empfänger nicht authentisiert ist.

Authorisierung

• Sobald ein Benutzer authentisiert ist, stellt sich die Frage “Was darf der Benutzer?”

• Jedem richtigen Benutzer seine Ressource— Vergleich von Benutzerprofilen mit definierten Rollen— Zugriff wird gestattet oder verwehren basierend auf

• Statischen Kriterien (z.B. Stellenbeschreibung, Abteilung etc.) • Dynamischen Kriterien (z.B. Kontostand, Tageszeit etc.)

Formen der Authentisierung

• Je nach Art der Authentisierungsmethode kann einem Benutzer mehr oder weniger vertraut werden.

• Passwörter sind die gebräuchlichsten Formen der Authentisierung haben aber bekannte Nachteile.

• Stärkere Formen der Authentisierung sind— Hardware Tokens— Zertifikate (ggf. kombiniert mit Hardware Tokens)

• Starke Authentisierung benötigt einen Token und eine PIN.— Something you have and something you know.

RSA SecurID

RSA SecurID Produkte

• RSA ACE/Server

— Der Server der alles Verwaltet

• RSA ACE/Agent

— Das Sicherheitspersonal

— In vielen Produkten integriert u.a. Microsoft ISA Server

• RSA SecurID

— Hardware Tokens

— Software Tokens

— Smart Cards

PIN + TOKEN

RSA ACE/Server

Send Session Key

Send One Time Passcode

RSA ACE/Agent

RSA SecurID

RSA SecurIDZwei-Faktor Authentisierung

RSA SecurIDArchitektur

RSA ACE/Agents

Web Server

RSA ACE/AgentFirewall

VPN

DMZDMZ

Internet

RSA ACE/Server

(primary)

RSA ACE/Agents

NT/Unix

Novell

IntranetIntranetFirewall

RSA ACE/Server

(replica)

RAS

RSA ACE/Server 5.1 Highlights

• Einfacher, flexibler— Database replication— LDAP v3 Import und Synchronization— Quick Admin Web Help Desk

• Mehr Performance und Skalierbarkeit— Load Balancing und Database Replication

• Höhere Verfügbarkeit• Supports v5.x and legacy RSA ACE/Agents

RSA SecurID Authentication Devices

• Breites Angebot— Key fob— Card— Pin Pad— PC— Palm— Wireless phones

• Zero-Footprint— Keine Software notwendig (für

Hardware Token)• Leicht zu bedienen• Die am meisten eingesetzte starke

Authentisierungsmethode

• Flexible Smartcard Lösung— Software Client mit Leser und Karte

• Key Features:— Unterstützt alle gängigen CAs

• RSA Keon CA, Microsoft, VeriSign, Baltimore, Entrust— Natives Windows 2000 Logon— PC Logon (Windows NT, 98, 95)— Dual CSP (PKCS#11 und CAPI)

• Ermöglicht sicheres e-mail (S/MIME) und Web access (SSL)— Java Card (16K option)— PC/SC Leser Unterstützung

RSA SecurID Smart Card Solution RSA SecurID Passage

RSA Smart Cards

Building AccessProximity Mag-StripeBadging

RSA SecurID PassagePartners HID

& MiFare

PC AccessJava Platform

Credential Storage•Certificates

•Key sets•Passwords

Applet StorageSecurID Seed

Storage

RSA Mobile

RSA Mobile Authentisierung (I)

RSA Mobile Authentisierung (II)

RSA Mobile Authentisierung (III)

RSA Mobile Authentisierung (III)

RSA Mobile Authentisierung (IV)

RSA Mobile Authentisierung (V)

RSA Mobile - Features

• Innerhalb von GSM Netzwerken, Übertragung des Accesscode verschlüsselt A5

• Accesscode muss innerhalb der selben Browser Instanz eingegeben werden der den Code angefordert hat.

• RSA Mobile plug-ins ermöglichen Anbindung an Telco Infrastruktur— Wireless modem, SMTP, Direkt zum Telko via SMPP— Verbindung zu SMS Services via HTTP und SMPP

— Managed service (Red Message, Dialogue) — Zusätzliche Plug-ins können leicht erstellt werden

• High performance / Availability— Basierend auf J2EE BEA WebLogic Application Server

• SAML / Web Service Unterstützung.

RSA Mobile

Web Browser

Web Server

RSA MobileAgent

RSA MobileServer

SMS or EmailServer

MobileNetwork

Userid + PIN

Access code+ Phone #

Access code294836

Access code294836 SMS or Text Message

Access code294836

Userid + PIN

Userid + PIN

RSA Keon

Certificate Management Solutions

• RSA Keon Certificate Authority — Stellt Zertifikate aus und verwaltet diese— Zertifiziert nach CC EAL 4— Unterstützt Web browser, Smartcard und RSA Keon Web

PassPort Credential Storage

• RSA Keon Root Signing Service — SubCA bei Kunden unterhalb der RSA Public Root CA— Ermöglicht Vertrauen in SSL Zertifikate, E-mail etc.

• RSA Keon Web PassPort — Software Container, Virtual Smartcard— Roaming credentials

RSA KeonCertificate Management Components

UserRSA Keon

Certificate Authority& Registration Authority (RA can be distributed)

RSA Keon Key Recovery Module

RSA Keon Root Signing Service

RSA Keon WebPassport

Web Server

RSA Keon Certificate Authority

• Die Certificate Authority stellt Zertifikate aus, verwaltet und validiert diese.

• Verwaltet Trust Relationships• Getestet mit bis zu 8 Millionen Zertifikaten• Features u.a.:

— Keon OneStep— Real-time OCSP

RSA Keon Web PassPort

• Roaming Credentials ermöglichen Benutzern jederzeit den Zugriff auf ihre Schlüssel

• Zertifikate und Private Schlüssel können jederzeit über die MS-CAPI und Netscape benützt werden:

— Browsers— Mail Clients (S/MIME)— VPNs— …

• Benutzer Schlüssel sind in einem LDAP Verzeichnis Active Directory gespeichert

• Unobtrusive Software Small footprint Keine Treiber Einfache Installation Kein Reboot

FormsSigning

OnlinePayments ID

OnlineApplications

AuthenticationEngines Certificate

Authorities

MaintainedDirectories

Security Infrastructure

RSA Keon Web PassPort

User receives encrypted virtual cardsRSA Keon Web PassPort Browser Plug-in downloads

and immediately activates

RSA ClearTrust

Was ist RSA ClearTrust?

• RSA ClearTrust ist eine Access Management Lösung die sich in bestehende Infrastrukturen einbinden läßt.

• RSA ClearTrust ermöglicht die Absicherung von Applikationen, Web sites, und anderen Web-basierenden Ressourcen via Intranets, Extranets, B2B und B2C Infrastrukturen

• RSA ClearTrust unterstützt SAML und wird die Liberty Alliance Spezifikationen unterstützen.

ProblemWie verwaltet man die Identitäten einer wachsenden Benutzerbasis…

Partner

Kunden

Angestellte

Access Channels: Intranet, Extranet, Portal, Wireless

Problem

“Silo”AccessMgmt.

“Silo”AccessMgmt.

“Silo”AccessMgmt.

“Silo”AccessMgmt.

“Silo”AccessMgmt.

EmployeesCustomers Partners

HR, Financial Mgmt.

e-CRM Supply Chain Mgmt.

Industry Specific

e-Commerce

…und deren sicheren Zugriff auf Web Resourcen?

Access Channels: Intranet, Extranet, Portal, Wireless

Lösung

Web Access ManagementSolution

EmployeesCustomers Partners

HR, Financial Mgmt.

e-CRM Supply Chain Mgmt.

Industry Specific

e-Commerce

SSO

Authentisierung

• Jeder Ressource die passende Authentisierung…• Authentisierung

— Flexible Unterstützung von mehreren Verfahren out-of-the-box

• ID/password• X.509 (z.B: RSA Keon)• RSA SecurID• Windows NT Logon• LDAP Authentication

— APIs zur Einbindung weiterer Authentisierungsverfahren — Verkettung möglich

Web Access Management“Was ist erlaubt?”

• Zugriff basierend auf Benutzer Rollen und dynamischen Regeln (SmartRules)

• SmartRules ermöglichen Entscheidungen basierend auf externen Daten (z.B. Kontostand) zu treffen und ensprechend den Zugriff zu ermöglichen oder zu verweigern.

AuthorisierungSicherer Zugriff auf Ressourcen

• Web Servers— Web Pages, CGIs, Directories, GIF & JPG files, etc.

• J2EE Application Servers— EJBs, JSPs, Java Servlets— Method-Level Schutz

• Andere Applikationen— Mit Hilfe von APIs können Applikationen eingebunden

werden die nicht direkt von ClearTrust unterstützt werden.

Delegated Administration

Intranet Extranet

Super User

Group Administrators

Business Unit Business Unit Customer Partner

Users

VBU VBU VBU VBU

Delegated Administration

• Verhindert die umständliche zentrale Administration grosser Benutzerbestände

• Delegation von Benutzer und Rechteverwaltung

• Eingeteilt in Virtual Business Units (VBUs)

• Abgestufte Zuteilung von Rechten

EncryptedSessionCookie

RSA ClearTrust Runtime Architecture

Web & App Servers

ClearTrustAuthorization

Servers

EntitlementsData Store

Any WebBrowser

ClearTrustAgents

DCOMRT APIClientC

RT APIClientJava

RT APIClient

Skalierbarkeit

• Lineare Performance-Steigerung durch zusätzliche Authorisation Servers

• Cache— Mehr RAM für mehr

Leistung• Breite Palette and

Möglichkeiten zur weiteren Optimierung

Web Server Farm

ClearTrust Authorization

Servers

ReplicatedLDAP Directories

RSA ClearTrustSkalierbarkeit

• Verteilte Authorization Server— Verteilt auf mehrere Server— “Round robin” fail-over— Webserver plug-in benützt Pool von

Authorization Servern— Minimale Network Latency

• Redundante Dispatcher/Key Servers• Redundante Entitlement Servers

Cookie Cache

Cross-Domain SSO (SAML)www.partner-1.com

WebBrowser

AuthenticationAuthority

www.partner-2.com

2 – Request Ticket

5 – Request Access

1 – Request Access

3 – Authenticate

7 – Process Ticket

4 – Process Ticket

6 – Request Ticket

Ticket encoded in redirect URL

and set on

response www.mycompany.com

ClearTrust APIs• Administrative API (Java, C, DCOM)

— Erzeugt/Ändert Benutzer Accounts und setzt Zugriffsregeln• Runtime API (Java, C, DCOM)

— Authentisierung und Authorisierung für Applikationen die nicht direkt von ClearTrust unterstützt werden.

• Plug-in Extension (C only)— Erlaubt die Erweiterung existierender Webserver Plug-ins

• Custom Authentication Adapters— Für neue Authentisierungsverfahren (Biometrie, RACF/ACF2,

etc…)

RSA eSign

Absichern von Transaktionen

• SSL alleine genügt oft nicht— Die Daten einer Transaktion sind nur während der Übertragung

geschützt.— Auf dem Server angekommen fehlt die Möglichkeit die Transaktion

später zu verifizieren. • Wird die Transaktion dagegen auf dem Client signiert, kann

jederzeit überprüft werden ob z.B. die Daten verändert wurden.

• eSign ermöglicht es HTML Forms auf dem Client zu signieren, verifizieren und optional zu verschlüsseln.

• Der Server überprüft vor dem weiteren Verarbeiten die Signatur

Die Technik

• Client Applet — Kompatibel mit Netscape 6, 7 und IE 5 – 6— Zugriff auf internen Key/Certificate Store des Browsers (Netscape)

bzw. von Windows (IE)— Unterstützung von SmartCards (via CSP)— Einmaliger Download (ca. 300k)

• Server— Java Klassen via ASP, JSP oder Servlets ansprechbar— Verifizieren von Signaturen möglich— OCSP, CRL werden unterstützt

RSA Keon e-Sign in Action

RSA Keon e-Sign in Action

RSA Keon e-Sign in Action

Beispiel

RSA BSAFE Entwicklertools Einfachere Bereitstellung sicherer Lösungen

Broadband

SSL-JSSL-C

WTLS-CIPSec-C

SSL Micro Edition

Algorithms,Math Libraries

Crypto-C Crypto-J

Crypto-C Micro Edition

Cert-C

Cert-J

Cert Micro Edition

Algorithms,Math Libraries

Crypto-C Crypto-J

Crypto-C Micro Edition

Cert-C

Cert-J

Cert Micro Edition

Algorithms,Math Libraries

Crypto-C Crypto-J

Crypto-C Micro Edition

Algorithms,Math Libraries

RSA BSAFE Anwendungsbeispiele

• integriert in Internet Explorer, Siemens Handy, etc.

• RSA Enterprise Produkten

• RSA Sure File— Verschlüsselung— Signierung— Komprimierung (PKZIP)

Fragen?

The Most Trusted Name in e-Security