5 - Arrow ECS

RSA – The Security Division of EMC
Soft-Tronik – Security konferencia
Bratislava 07.11.2006
Karol Piling
[email protected]
+421 905 856 352
RSA – The Security division of EMC
RSA je expert v ochrane on-line identít a transakcií
po internete
RSA stálo pri zrode bezpečnostných technológii pre
 2006 RSA Security Inc. All rights reserved — July 2006
internet a neustále pokračuje v inováciách už viac
ako 20 rokov
Od septembra 2006 súčasť EMC ako divízia
bezpečnosti
RSA Laboratories
RSA Conference
5
2
Agenda
•
RSA SecurID
— Authentifikačné zariadenia
— Authentication Manager &
SecurID Appliance
•
•
Sign – On – Manager
RSA Card Manager
5
RSA Authentication Solution
SecurID
Technológia RSA SecurID
Kombinácia niečoho čo viete a niečoho čo
máte
PIN:
“abc123”
+
5
Produkty riešenia RSA SecurID
RSA
Auth.Agent
RSA
Auth. Manager
•
RSA SecurID Authenticators
— Hardware Tokens
RAS,
VPN,
Web
Server,
etc.
— Software Tokens
Algorithm
— Smart Cards/USB Tokens
•
RSA Authentication Manager
— The engine of RSA SecurID
•
RSA Authentication Agents RSA
— SecurID “security guards”
5
Time
Seed
RSA SecurID – Súčasné verzie tokenov
•
RSA SecurID Hardware Tokens
— Key fob, Standard card, PinPad
— SID700, SID800
•
RSA SecurID Software Tokens
— Windows PC
— Microsoft PocketPC
— Palm Handhelds
— Blackberry Handhelds
— Mobile Phones
•
•
Smart Cards
USB Authenticators
5
RSA SID900 – C/R Signing Token
•
SD900 token s novým firmware a key-sheet
— SecurID OTP časovo -synchronná autentifikácia
— Chalange/Response autentifikácia
— Vylepšené tlačidlá pre lepšiu použiteľnosť
— Základná funkcionalita ako SID700
— NIE je to náhrada pre SD520
SID900
• Time-synchronous &
Challenge/Response
• Only works with SAE 2.2
5
SD520
• Time-synchronous only
• Works with Authentication
Manager
SecurID Toolbar Token
•
•
•
One-Time-Password software token v pohodlnom toolbare
Dostupné pre Mozilla Firefox® a Microsoft Internet Explorer
Ideálne riešenie pre ochranu prístupov pri použití SSL VPN,
Outlook Web Access a pre iné web-based aplikácie
— až 20 rôznych web aplikácií v jednom toolbare
•
Jednoduchá inštalácia a používanie
— .xpi file (Firefox) alebo .exe file (Internet Explorer) cez email alebo
https
5
Toolbar Token – Bezpečnostné prvky
•
Secure Remote Seeding
— CT-KIP protocol used to simultaneously generate seeds at client and server
— Seed record is never transmitted across the wire
•
Authorized activation
— Activation code is sent out of band to consumer preventing an unauthorized user
from activating a token
•
Seed record copy protection
— Seed records are encrypted with device-specific identifiers
— Code generation requires decryption with same device identifiers
•
Counter-phishing measures
— Codes are generated only when browser is at a trusted site
— Trust list hosted by RCAS or customer website
•
Anti-malware measures
— Autofill feature provides protection against keystroke loggers
5
Ďalšia Generácia RSA SecurID
•
RSA Credentials Everywhere
Flash Cards
USB Drives
Phone
PDA
mp3
Payment (Credit, Debit);
Smart card + OTP; Physical and Logical
Payment
Vending
Transit
5
Trusted Computing Platforms
ID
Badge
Network
Access
Building
Access
Autentication Manager a
SecurID Appliance
Server Platforms Support
•
Authentication Manager 6.1.1 s RSA Radius serverom
RSA Authentication
Manager 6.1
RSA RADIUS
Server
Windows: 2k, 2k3, 2k3 R2 Servers
UNIX: Solaris 9,10
UNIX: AIX, HP-UX *
Linux: Red Hat ES 3, Suse ES 9
5
* RSA RADIUS Server not supported on AIX or HP-UX
RSA SecurID Appliance
•
HW / OS
— Appliance Hardware – P4, 512MB, 20GB Disk
— Hardened Windows 2003 OS
— Intuitive Web GUI
•
Base alebo Enterprise License
— 1 Master, 1 Replica (Base license)
— 1 Master, 10 Replicas, 6 realms
•
Authentication Manager v6.1 Feature Set
— 802.1x-based security for wired and wireless
environments
•
•
Otestované do 50,000 užívateľov
Podporované nasadenie
— Appliance Primary / Replica
— Auth Mgr Primary / Appliance Replica
5
RSA SecurID Appliance
Easy to Order Appliance Bundles
Appliance Bundles
Step 1
• Choose Bundle Option:
10, 25, 50, 100, 150 & 250 Users
Step 2
• Choose Maintenance Option
—
3-yr SID700 Tokens RSA SecurID Appliance
Base Software
License
1YR HW Warranty
Standard or Extended
5
Appliance comes with a 12-mo. hardware
warranty
Does not require purchase of hardware
maintenance for the first year
RSA SecurID Appliance
Ala Carte Pricing*
Step 1: Software License
Step 3: Choose Maintenance
— Select License type
— Standard or Extended
Base or Enterprise License
— Pick Number of Users
— Pick Number of Users
Step 2: Choose Appliance**
• Primary Server
• Replicas
** Includes 1YR HW Warranty
5
Step 4: Choose Token
Existing Authentication Manager wants to convert to
an Appliance solution
Appliance Conversion Kit
•
Existing Authentication Manager Customer:
— Wants to upgrade older version of RSA Authentication Manager
RSA Authentication Manager 5.1 is EOL since July, 2006
Good opportunity to suggest the Appliance Conversion kit
— Has old server hardware and is looking to replace the hardware component
— Wants to use appliance as replica to expand authentication infrastructure to remote
locations where IT staff is scarce
•
What to Purchase: Appliance Conversion Kit
— Appliance Conversion Kit will be offered to current software-based RSA SecurID
solution customers (only one Conversion Kit per customer required)
— Remaining software maintenance will be transferred to new license ! Opportunity
to co-terminate maintenance
5
RSA SecurID :
Typické nasadenie
RSA SecurID
Authentication in Action
VPN
Gateway
RSA Authentication
Manager
and
Appliance
5
RSA SecurID
Authentication in Action
VPN
Gateway
Web
Access
RSA Authentication
Manager
and
Appliance
5
Remote Access
Auth Agent for Web streamlines authentication to OWA
SecurID passcode
prompt replaces the
password
5
RSA SecurID
Authentication in Action
VPN
Gateway
Web
Access
Citrix
RSA Authentication
Manager
and
Appliance
5
Citrix – No Password Required!
5
RSA SecurID
Authentication in Action
Federated Identity
Management
VPN
Gateway
Web
Access
Web
SSO
Citrix
RSA Authentication
Manager
and
Wireless
Enterprise
SSO
Appliance
WAP/802.11
OS/Network
Devices
Administrative
Access
5
Data Encryption and
Boot Protection
Interoperable with over 300 solutions
•
•
•
•
Web applications and servers
•
Wireless
—
Oracle
—
Cisco
—
EMC Documentum
—
Microsoft
—
Sun Microsystems
—
Nokia
—
Apache
—
BEA
—
Aventail
—
IBM
—
Check Point Software
—
Microsoft
—
Cisco
•
Perimeter defense (Firewalls, VPNs and Intrusion Detection)
—
Citrix
—
Computer Associates
—
Juniper
—
IBM
—
Nortel
—
Thor Technologies
—
Nokia
—
BMC
—
Microsoft
—
Sun Microsystems
Provisioning
www.rsasecured.com
•
Email, workflow and office automation
Network and communications
—
Lucent
—
Cisco
—
Microsoft
—
Novell
—
Adobe
—
3COM
—
IBM
—
Funk Software
—
Cisco
—
Lucent
•
Remote Access
—
iPass
—
Citrix
—
Nortel
—
Symantec
5
Radius
Customer Benefit: Reduced time to market and lower deployment costs
Silné stránky riešenia RSA SecurID
— vysoká bezpečnosť a dôvera pri
online podnikaní
— rieši problémy s heslami ( help
desk, zmena hesiel, atd. )
— užívateľský komfort + vysoká
bezpečnosť
— nízke náklady na administráciu
5
— jednoduchá & rýchla
implementácia = nízke celkové
náklady
— široká škála autentifikačných
zariadení
— široká podpora
— nízke HW nároky
— návratnosť investícií
RSA Sign – On – Manager
SSO a Password management system
Zásady hesiel
•
•
Aspoň 8 znakov
Malé a veľké písmená,
číslice, znaky, interpunkčné
znamienka
•
Iné heslo do každej
aplikácie
•
Slovné spojenie namiesto
slova.
•
Zmeniť heslo aspoň raz za
3 mesiace
5
•
Nepoužívať osobné informácie
ako meno, dátum, meno psa, atď.
(aadmin, nbuser1...)
Hacker ich vyskúša ako prvé
•
•
Nepoužívať slová zo slovníkov.
•
Vyvarovať sa použitiu 3
rovnakých alebo po sebe idúcich
znakov v hesle
•
Neprezradiť heslo nikomu
Nepoužiť heslo ktoré už bolo
použite za posledných 9
mesiacov
RSA Sign-On Manager - Funkcie
Single Sign-On do aplikácií
Integrácia silnej autentifikácie
•Web, Windows, Mainframe, Citrix, a Java
•Podporuje Biometric, Smart Karty, Digitálne
Certifikáty, SecurID token a USB token
•Používa živé otázky na zaistenie
Bezpečný Self recovery
service pomocou IntelliAccess
on-line a
off-line dostupnosti SSO a prístupu na
desktop
Využitie existujúcej LDAP
infraštruktúry
•Centrálna správa prístupových hesiel v
existujúcich LDAP infraštruktúrach
Smart Card management
• Schopnosť zabezpečiť, prispôsobiť a
spravovať Smart Karty
Centrálna Web-based
administrácia
5
•Správa SSO, Emergency Access, politík a
nastavení pre silnú autentifikáciu
Architektúra riešenia SOM
SSL
Web-deployed
administrative
user interface
389 or 636
443
RSA Sign-On
Manager (server)
SSL
5
(User and SSO Data Store)
* Schema Extension required
7002
RSA Sign-On
Manager (client)
LDAP
Ako to funguje
LDAP
(SSO Data Store)
Užívateľské politiky sú skontrolované na
strane Sign-On Manager Servera
1
5
2
3
Užívateľské politiky a SSO aplikácie sú
aktualizované
Užívateľ sa autentifikuje
na strane klienta
4
Užívateľ sa prihlasuje do aplikácií bez
nutnosti zadávania hesiel
RSA Sign-On Manager
Flexibilita v autentifikácií
*******
or
+
or
*******
Login/
Heslo
Certifikát
SOM Enabled
Win-Desktop
+
+
or
or
5
Cred
Store
Automatické SSO
Prihlásenie
Win
MF
*******
Web
Java
SoftID
Token
Web
Win
SecurId
Agent
Autentifikácia do
Windows
Domain
Controller
RSA Sign-On Manager
Fyzický a logický prístup
Logical Access
•Windows logon & network access
•Single sign-on
•IntelliAccess™ emergency access
•VPN access
•Digital signing & encryption
•Biometric credential storage
Physical Access Applications
•HID and MiFare partnership
Custom Applications
•Deployment and support for
additional applets
5
RSA Sign-On Manager
SID 800 Authenticator Support
•
SID 800, SSO a Smart Card aplikácie
— Ako smart karta
• Podpora dvoj faktorovej autentifikácie (PIN +windows
heslo alebo PIN + certifikát)
• SSO kľúč na zabezpečenie prístupu k SSO credentials
• Kľúč pre Hard Disk Encryption
— Ako SecurID autentikátor
• Automatické vyplnenie Passcode pre aplikácie
využívajúce riešenie SecurID
• Jednoduchší prístup do VPN
5
• Digitálný Certifikát pre secure e-mail, signing, a file
encryption
Application Learning Wizard
•
Jednoduché step by
step nastavenie
aplikácií pre SSO
•
Nie je potreba
ďalšieho kódovania
•
Nastaviteľné
administrátorom
systému
5
SSO In Action
5
SSO In Action
5
Úloha SOM servera
•
•
•
•
Aplikácie a SSO politiky
Správa hesiel a politík pre heslá
Správa Smart-kariet a appletov
Synchronizácia:
— Aktualizácia klienta s novými aplikáciami a nastaveniami pre
užívateľa, ktoré sú nastavené na strane servera
— Aktualizácia servera so zmenami na strane klienta ( heslá do
aplikácií)
•
Roamingový užívatelia môžu si stiahnuť svoje SSO údaje zo
servera.
5
RSA Sign-On Manger - prínosy riešenia
Zníženie nákladov
na administráciu
hesiel
Zvýšenie
bezpečnosti
Zvýšenie
spokojnosti
uživateľov
Využitie
existujúcich
investícií
5
RSA Card Manager
Credential Consolidation – Smart Cards &
USB Tokens
NT Login
rparris
letmein
SAP
richardp
x4Lo19b
ab Finance
C. Schw
rr
a
RP1
richp
2
echo1
o
h
ec
Applets
PKI Certificates
Passwords
Barcode & Magnetic
Swipe encoding
Physical & Logical
Access Controls
5
Biometric credentials
OTP (Onetime
Passcodes)
Photos
The Identity Landscape
Password
?
People
Directories
Certificates
HR Systems
Biometrics
Smart cards
Networks
USB Token
Certificate
Authorities
OTP Tokens
OTP
Servers
Work
1135624
Provisioning /
Metadirectory
5
OTP
Photo
Cameras
Physical
Access
Printers
Single
Sign On
RSA Card Manager: Credential Issuance
Identity Validation
Services
Credential Issuance
Physical Access
Control
Bind
Credentials
Verify
Identity
Enroll User
Request
Credentials
RSA Card Manager
Bind
Credentials
Issue
Credentials
Logical Access Control
5
RSA Card Manager: Credential Management
Identity Validation
Services
Credential Issuance
Physical Access
Control
Credential Validation
Card
Replacement
Certificate
Renewal
RSA Card Manager
PIN
Management
Self
Service
Logical Access Control
5
RSA Card Manager: Credential Revocation
Identity Validation
Services
Credential Issuance
Physical Access
Control
Credential Validation
Revoke
Credentials
Revoke
Credentials
RSA Card Manager
Revoke
Credentials
Revoke
Credentials
Logical Access Control
5
RSA Identity & Access Management solutions:
Leveraging smart card-based credentials
Identity Validation
Services
Credential Issuance
RSA Certificate Manager
Physical Access
Control
Credential Validation
RSA Validation Manager
RSA Card Manager
Digital Credentials
RSA Smart Cards
RSA SID 800
RSA Soft Tokens
Logical Access Control
Middleware
RSA Authentication Utility
RSA Sign-On Manager
FIPS 201 Middleware
5
RSA Authentication Manager
RSA Sign-On Manager
RSA Access Manager
RSA Federated Identity Mgr
RSA Card Manager Solution Benefits Interoperability
•
Zariadenia / Smart karty: Axalto/Schlumberger, RSA SecurID
Athena, Datakey, G&D, Gemplus, Oberthur, ActivCard Rainbow,,
Siemens, ,Thales a ďalšie
•
•
•
Biometrics Templates: Labcal, Precise Biometrics.
•
Directories: Critical Path, Lotus Domino LDAP Server,
Microsoft Active Directory, NEXOR, Sun iPlanet.
•
HSMs: nCipher, Thales, Chrysalis.
Tlačiarne : Datacard, Fargo.
Certifikačné Autority: RSA Security, Betrusted, Entrust, Global
Sign, Microsoft, VeriSign.
5
RSA Card Manager - Product Strategy
•
Prináša vedúce riešenie pre riadenie životného cyklu smart
kariet a USB tokenov.
" Schopnosť spravovať informácie na smart kartách
• Externé: Fotka, logo, meno, atď.
• Interné: Digitalný certifikát, login, heslo, bio templates, atd.
• Oprávnenie na fyzický prístup do budov
" Rozšíriteľnosť a jednoduchá administrácia
• Podpora velkého počtu užívateľov
• Delegovaná web-based administrácia
• Samoobslužna funkcia pre užívateľov
• Logovanie
" Integrovatelné so širokou škálou produktov
" Spĺňa priemyselné štandardy
• Global Platform
• FIPS 201
5
Vaše otázky?
5
s
5