Средства строгой аутентификации на базе RSA SecurID

secur_26_11_2010

Проблематика разграничения доступа к важной, а порой и конфиденциальной, информации с использованием современных компьютерных технологий довольно широка, разнообразна и более чем актуальна для множества организаций.

Привычное для многих использование логина и пароля таит в себе множество подводных камней и, как правило, в системах с конфиденциальной информацией просто неприемлемо. Пароль можно перехватить при передаче по компьютерной сети, выкрасть с помощью программ шпионов, кейлогеров, да и банально увидеть во время набора. К указанному следует прибавить также и вполне осязаемую вероятность появления злоумышленников, желающих целенаправленно получить логин и пароль к определенной информационной системе с конфиденциальной информацией. Сверх того, множество компаний, работающих в самых разнообразных сферах деятельности, обязаны следовать специальным регулирующим документам в области информационной безопасности, которые заставляют их обезопасить аутентификацию доступа к важной информации. Все эти предпосылки заставляют многие организации использовать средства строгой аутентификации.

Что же такое строгая аутентификация? По сути, это процесс идентификации пользователя информационной системы, который позволяет с максимально высокой степенью избежать вероятности доступа в систему постороннего лица. В качестве средств идентификации используют многофакторную аутентификацию. Эта технология базируется на принципе проверки у пользователя двух или более идентификационных параметров. При этом все идентификационные параметры делят на три типа:
• что-то, что мы знаем;
• что-то, что мы имеем;
• что-то чем мы являемся.

Сочетание нескольких факторов из разных типов позволяет сделать процесс аутентификации максимально безошибочным. К первому типу идентификаторов относятся пароли, PIN-коды, наводящие вопросы и пр. Ко второму типу идентификаторов — сертификаты, смарткарты, OTP токены. К третьему типу идентификаторов — различные типы биометрической информации, такие как отпечатки пальцев, радужная оболочка глаза и др. Каждый из этих типов аутентификации по отдельности имеет свои сильные и слабые стороны. Используя же несколько факторов аутентификации пользователя одновременно, мы получаем надежный способ защиты доступа к информационной системе.

В данной статье мы сосредоточимся на описании средств двухфакторной аутентификации на базе технологии One Time Password (OTP), реализованных в продуктах компании RSA Security. Компания RSA Security специализируется на решениях в области информационной безопасности и является пионером в производстве OTP-токенов для многофакторной аутентификации. На сегодняшний день компания RSA Security является мировым лидером в области строгой аутентификации. Рассмотрение решения от лидера рынка позволит увидеть лучшие современные разработки в этом направлении.

Решение RSA SecurID представляет собой комплекс, состоящий из пользовательских токенов, агентов аутентификации и сервера аутентификации Authentication Manager. Весь комплекс легко интегрируется в различные типы IT-инфраструктуры, позволяя использовать многофакторную аутентификацию в различных типах приложений. В основе всего комплекса лежит технология генерации одноразового пароля на токенах, используемая в сочетании с PIN-кодом для аутентификации. Одноразовый пароль действителен в течение 60 секунд, после чего генерируется новый пароль. Одноразовый пароль генерируется на базе индивидуального seed-файла, а также текущего времени. Аналогичный seed-файл находится на сервере аутентификации, позволяя проверить правильность введенного пароля OTP пользователем. Правильная синхронизация времени на клиентских устройствах и сервере аутентификации критически важна для правильной работы всего комплекса.

Давайте рассмотрим сам процесс аутентификации с использованием RSA SecurID. При попытке доступа к ресурсу у пользователя запрашивается логин и пароль. В качестве пароля используются сложенные вместе PIN-код пользователя и OTP-пароль, сгенерированный токеном. Приложение, запросившее пароль, через специального агента отправляет полученные данные на сервер аутентификации Authentication Manager, который и проверяет правильность введенных данных. В случае их несовпадения пользователю отказывается в доступе к ресурсу. Приложение или устройство, проводящее данный тип аутентификации, может стыковаться с сервером аутентификации также и по протоколу RADIUS, Authentication Manager содержит в себе встроенный RAIDUS-сервер. Общая схема процесса аутентификации представлена на рис. 1.

secur_26_11_2010_1

Рис. 1. Процесс аутентификации с использованием технологии RSA SecurID.

Токены SecurID, генерирующие одноразовые пароли, представлены разными типами и модификациями. Токены можно подразделить на 2 типа — аппаратные, выполненные на материальном носителе, и программные, выполненные в виде программного кода для определенной операционной системы. Аппаратные токены на сегодняшний день представлены 3 моделями: SecurID 700, SecurID 800, SecurID 900. SecurID 700 представляет собой простой аппаратный OTP-токен, генерирующий OTP-пароли и показывающий их на ЖК-дисплее. SecurID 800 в дополнение к вышеперечисленному функционалу позволяет хранить в себе ключи и сертификаты X.509 и подключается к компьютеру через интерфейс USB. С помощью такого токена можно не только аутентифицироваться, но и использовать его при шифровании данных или для использования в качестве электронной подписи. SecurID 900, выполненный в формате смарт-карты, предназначен для подписи транзакций с помощью технологии OTP.

Программные токены выполнены в виде небольших программ для различных операционных систем Windows, Mac OS, в виде приложений для браузера, а также апплетов для смартфонов BlackBerry, iPhone, Windows Mobile, Symbian. Внешний вид различных моделей токенов представлен на рис. 2.

secur_26_11_2010_2

Рис. 2. Различные модификации токенов RSA SecurID, программные токены.

Отдельно стоит упомянуть о возможности аутентификации без использования самого токена, с помощью отправки OTP-пароля через SMS или электронную почту. Для этого пользователь, заходя на нужное приложение, вводит свой логин и PIN-код, после чего на заранее указанный номер мобильного телефона или почтовый ящик отправляется сгенерированный для него одноразовый пароль. После ввода данного пароля аутентификация считается пройденной.

Агенты аутентификации интегрируются в различные программные приложения и в оборудование и позволяют взаимодействовать этим приложениям и оборудованиям напрямую с сервером аутентификации RSA SecurID. Поддерживается интеграция более чем с 350 различными продуктами. Например, в оборудовании Cisco и CheckPoint встроенные агенты аутентификации используются для построения VPN-сетей и позволяют направлять запросы напрямую на сервер аутентификации RSA SecurID. Есть агенты аутентификации для веб-серверов Apache, Microsoft IIS, Oracle Application Server и пр. Если в организации используется некое специфичное приложение и для него нет агентов аутентификации, возможно написание своего кода для связи приложения через API c сервером аутентификации RSA SecurID.

Сердцем всего комплекса аутентификации является сервер Authentication Manager, который принимает решение о допуске или запрете допуска к информационной системе, исходя из хранимой информации о ее пользователях. ПО сервера аутентификации поддерживает современные технологии достижения высокой производительности и масштабируемости, такие как многопоточные вычисления, кластеризация и т.п. В его ядре используется встроенная СУБД Oracle. Authentication Manager способен поддерживать от нескольких пользователей до нескольких миллионов. Возможна интеграция с базами пользователей LDAP, такими как Microsoft Active Directory, SunOne Directory. Для обеспечения отказоустойчивости системы можно задействовать репликацию и распределение нагрузки между серверами с Authentication Manager. Управление сервером аутентификации производится через веб-интерфейс.

Каковы же возможные варианты использования системы строгой аутентификации RSA SecurID в наших условиях? В качестве первого примера рассмотрим ситуацию, когда у организации развернута сеть с операционными системами Microsoft Windows и контроллером домена на базе Microsoft Active Directory. В организации возникла необходимость усиления процесса аутентификации в связи с циркуляцией конфиденциальной информации между отдельными сотрудниками, а также опасениями того, что неавторизованные пользователи смогут получить доступ к информационным ресурсам. При внедрении в сеть технологии RSA SecurID пользователи смогут получать доступ к своим рабочим станциям под управлением Windows только после ввода логина и OTP-пароля вместе с PIN-кодом. Сам Authentication Manager интегрируется с базой пользователей Active Directory. При поступлении запроса на аутентификацию происходит определение полномочий запрашиваемого пользователя, исходя из данных Active Directory, после чего проверяется правильность введенного OTP-пароля и PIN-кода. Специальные агенты аутентификации, устанавливаемые на рабочие компьютеры сотрудников, позволяют проводить проверку подлинности как в режиме онлайн, так и без непосредственного подключения компьютера к корпоративной сети. При первой удачной аутентификации в режиме онлайн Authentication Manager пересылает в агенты на рабочей станции коды доступа на заранее определенное время.

Внедрение системы RSA SecurID выглядит абсолютно прозрачным для пользователей. Теперь при входе в Windows вместо обычного пароля они вводят OTP-пароль с PIN-кодом. При этом вся IT-инфраструктура предприятия не изменяется, в частности, остается неизменным использование сервисов Active Directory.

Второй пример возьмем из практики финансово-кредитных организаций, которые предоставляют удаленный доступ своим клиентам для проведения транзакций онлайн. Как правило, доступ к внутренним веб-серверам, через которые клиенты компании могут производить операции со своими счетами, организуется через VPN-концентраторы на базе протоколов SSL или IPSec. Зачастую, для усиления контроля за осуществлением операций через удаленный доступ, при непосредственном осуществлении онлайн-операций, используются различные виды подписи транзакций. Внедрение системы RSA SecurID позволяет клиентам данной организации предотвратить неавторизованный доступ к своим счетам, избежать проблем с кражей пароля или его взлома. Также RSA SecurID обеспечивает различные варианты подписи транзакций при их проведении. При использовании токена RSA SecurID 800 возможно подписывать транзакции с помощью ЭЦП, хранимой в защищенном хранилище на токене. В случае с RSA SecurID 900, подпись транзакции осуществляется через специальные коды, которые генерируются токеном пользователя на базе номера транзакции.

secur_26_11_2010_3

Рис. 3. Вид системы управления сервером аутентификации RSA SecurID.

Два приведенных примера показывают лишь типичные случаи использования средств строгой аутентификации. Эти средства на самом деле имеют весьма широкое применение. Тут можно говорить о решении вопросов повышения безопасности доступа к внутренней электронной почте, различным веб-приложениям, сетевому оборудованию и т.п.

Как показывает мировая практика, решения для обеспечения строгой аутентификации более всего востребованы в государственных организациях, где сотрудники работают с информацией, представляющей собой государственную тайну, либо иной конфиденциальной информацией, на промышленных предприятиях, разрабатывающих инновационные решения для рынка, в финансовых организациях, а также организациях здравоохранения, осуществляющих обработку данных о состоянии здоровья пациентов. Кроме того, во многих странах Запада действуют специальные регулирующие правила для организаций некоторых сфер деятельности, которые предписывают использовать средства строгой аутентификации для идентификации пользователей при получении конфиденциальной информации.

Развитие IT-технологий несомненно приведет к распространению средств строгой аутентификации и на рынке Узбекистана. Проблемы допуска «правильных пользователей» к информационным ресурсам являются одними из ключевых при обеспечении информационной безопасности любой организации. Изучение лучших мировых практик в этом направлении, в том числе и на примере RSA SecurID, позволит быть подготовленным при принятии решений о защите той или иной организации от киберугроз.


secur_26_11_2010_4

Автор данной статьи Андрей Усеинов, системный инженер Mars Solutions, специализируется на проектировании комплексных решений в области информационной безопасности. Компания Mars Solutions – системный интегратор, разрабатывающий и внедряющий интеллектуальные решения в сфере телекоммуникаций и информационных технологий. Защита информации и информационных потоков – одно из приоритетных направлений деятельности компании.

Orphus system