4. Wykorzystanie kart Smart Card
Transkrypt
4. Wykorzystanie kart Smart Card
PROFESJONALNE USŁUGI BEZPIECZEŃSTWA Przewodnik technologii ActivCard Część VIII. Wykorzystanie kart Smart Card w systemie identyfikacji cyfrowej ActivPack CLICO Sp. z o.o., Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698; E-mail: [email protected], [email protected].; Ftp.clico.pl.; http://www.clico.pl Część VIII. Wykorzystanie kart Smart Card w systemie identyfikacji cyfrowej ActivPack Spis treści 1. WPROWADZENIE 3 2. INSTALACJA ACTIVCARD GOLD I STEROWNIKÓW ACTIVKEY 4 3. REJESTRACJA TOKENU ACTIVKEY NA SERWERZE ACTIVPACK 5 4. WYKORZYSTANIE KART SMART CARD 8 W razie wystąpienia problemów technicznych, bądź wątpliwości dotyczących przedstawionych w dokumencie produktów prosimy o kontakt: [email protected] Copyright by CLICO, 1991-2002. 2 Część VIII. Wykorzystanie kart Smart Card w systemie identyfikacji cyfrowej ActivPack 1. Wprowadzenie Dostarczane przez ActivCard karty Smart Card posiadają możliwości generowania haseł dynamicznych wewnątrz karty. Karty Smart Card wraz z oprogramowaniem desktop-owym ActivCard Gold mogą zostać użyte także do innych celów m.in. zabezpieczenie dostępu do stacji PC, bezpieczne składowanie haseł dostępu do aplikacji systemu informatycznego (MS Windows, WWW), składowanie numerów kart kredytowych, obsługa i wykonywanie operacji PKI. W pakiecie ActivPack Demo Kit znajduje się urządzenie ActivKey (USB smart card). Jest to karta Smart Card wykonana w postaci tokenu USB. Do użycia ActivKey nie jest wymagany czytnik kart Smart Card. Należy jednak zainstalować sterowniki urządzenia oraz oprogramowanie ActivCard Gold (do obsługi Smart Card). Instalację należy wykonać na każdym komputerze, gdzie będą wykorzystywane tokeny (tzn. sterowniki ActivKey i oprogramowanie ActivCard Gold należy zainstalować na konsoli serwera ActivPack oraz na stacjach użytkowników, którzy będą wykorzystywali tokeny ActivKey). Osoby zainteresowane produktami ActivCard Gold (klasyczne karty Smart Card z czytnikami) mogą zakupić pakiet „ActivCard Demonstration Kit for Microsoft® Networks”. Informacje na ten temat znajdują się na stronie: http://www.clico.pl/software/activcard/html/pakiety_promocyjne.html Copyright by CLICO, 1991-2002. 3 Część VIII. Wykorzystanie kart Smart Card w systemie identyfikacji cyfrowej ActivPack 2. Instalacja ActivCard Gold i sterowników ActivKey Sterowniki ActivKey i oprogramowanie ActivCard Gold należy zainstalować na konsoli serwera ActivPack oraz na stacjach użytkowników, którzy będą wykorzystywali tokeny ActivKey. Instalacja sterowników ActivKey odbywa się za pomocą pliku ActivKey.exe zawartego w katalogu drivers na CD. Po uruchomieniu ActivKey.exe i przeładowaniu komputera należy kontynuować instalację sterownika. Po zainstalowaniu sterownika token ActivKey wkładamy do portu USB komputera. Token po dołączeniu do komputera powinien zacząć świecić na zielono. Oprogramowanie ActivCard Gold instalujemy w pierwszej kolejności na konsoli zarządzającej serwera ActivPack. W trakcie instalacji wybieramy tryb "Custom" i wskazujemy ActivCard Gold Base Services. Pozostałe komponenty ActivCard Gold instalujemy w zależności od potrzeb. Poprawnie zainstalowany pakiet ActivCard Gold wskazuje ikona w prawym dolnym rogu ekranu. Uwaga: Najnowsze wersje sterowników dostępne są na stronach http://www.activcard.com. Copyright by CLICO, 1991-2002. 4 Część VIII. Wykorzystanie kart Smart Card w systemie identyfikacji cyfrowej ActivPack 3. Rejestracja tokenu ActivKey na serwerze ActivPack Rejestracja i wstępne zaprogramowanie tokenu ActivKey odbywa się z konsoli serwera ActivPack: Company | Tokens | New token ActivCard Wybieramy typ tokenu ActivCard Gold, liczbę dopuszczalnych wpisów nieprawidłowego kodu PIN oraz wstępny kod PIN. Copyright by CLICO, 1991-2002. 5 Część VIII. Wykorzystanie kart Smart Card w systemie identyfikacji cyfrowej ActivPack Podajemy kod dostępu zaprogramowany przez producenta: 1254. Podajemy kod PIN. Usuwamy dane z karty Smart Card. Copyright by CLICO, 1991-2002. 6 Część VIII. Wykorzystanie kart Smart Card w systemie identyfikacji cyfrowej ActivPack Zarejestrowany token ActivKey powinien być widoczny na konsoli serwera ActivPack. Token po zarejestrowaniu może być przydzielony do użytkownika. Copyright by CLICO, 1991-2002. 7 Część VIII. Wykorzystanie kart Smart Card w systemie identyfikacji cyfrowej ActivPack 4. Wykorzystanie kart Smart Card Karty Smart Card dostarczane przez ActivCard (Gold, ActivKey) zwykle wykorzystywane są metodą „Drag & Drop” (tzn. użytkownik za pomocą myszki przenosi ikonę ActivCard Gold na okno logowania aplikacji). Istnieje możliwość jeszcze większego uproszczenia pracy użytkowników. W tym celu należy zainstalować na stacjach PC klientów ActivPack. Logowanie użytkownika do stacji PC, VPN, Firewall, czy aplikacji systemu informatycznego sprowadza się wtedy jedynie do włożenia Smart Card i podania prawidłowego kodu PIN (tzn. proces uwierzytelniania użytkownika jest automatyczny). Aplikacje klienta ActivPack dostępne są na CD w katalogu Clients. W trakcie instalacji należy wybrać odpowiednie aplikacje, m.in.: • klient Microsoft RAS (ActivPack RAS Client), • klient Check Point VPN-1 (ActivPack VPN-1 Client), • klient Check Point FireWall-1 (ActivPack FW-1 Client), • klient dowolnej aplikacji Windows (ActivPack Simple Sign on Pilot). Copyright by CLICO, 1991-2002. 8 Część VIII. Wykorzystanie kart Smart Card w systemie identyfikacji cyfrowej ActivPack Po zainstalowaniu aplikacji desktop-owych i przeładowaniu komputera uruchamiamy panel konfiguracyjny ActivPack VPN-1 Configuration i wprowadzamy odpowiednie ustawienia (patrz rysunek). Po skonfigurowaniu klienta ActivPack VPN-1 cały proces uwierzytelniania użytkownika przebiega w następujący sposób: Copyright by CLICO, 1991-2002. 9 Część VIII. Wykorzystanie kart Smart Card w systemie identyfikacji cyfrowej ActivPack Bardzo wygodny sposób uwierzytelniania oferuje ActivPack FW-1. Za jego pomocą użytkownik w sprawny sposób uwierzytelnia swoją tożsamość w systemie zabezpieczeń Check Point FireWall-1 za pomocą hasła dynamicznego (metoda Client Authentication). Copyright by CLICO, 1991-2002. 10 Część VIII. Wykorzystanie kart Smart Card w systemie identyfikacji cyfrowej ActivPack Karta Smart Card dla użytkownika może także służyć jako bezpieczne repozytorium statycznych haseł dostępu do aplikacji, a także numerów kart kredytowych (przy wykonywaniu operacji e-commerce). Zasady wykorzystania kart Smart Card jako repozytorium haseł zostaną pokazane na przykładzie uwierzytelniania administratora Check Point VPN-1/FireWall-1. W Check Point VPN-1/FireWall-1 v4.1 uwierzytelnianie administratorów odbywa się za pomocą haseł statycznych. Hasło administratora można bezpiecznie zapisać na karcie ActivCard Gold (także ActivKey): Copyright by CLICO, 1991-2002. 11 Część VIII. Wykorzystanie kart Smart Card w systemie identyfikacji cyfrowej ActivPack Proces uwierzytelniania administratora VPN-1/FireWall-1 polega na wprowadzeniu hasła bezpośrednio z karty Smart Card za pomocą myszki metodą "drag & drop". Za pomocą ActivPack Simple Sign On Pilot można dodatkowo zautomatyzować proces uwierzytelniania użytkowników za pomocą Smart Card do aplikacji systemu informatycznego. Uwierzytelnianie użytkowników za pomocą haseł dynamicznych, bądź statycznych odbywa się automatycznie po otwarciu okna aplikacji. Dużą zaletą korzystania z kart Smart Card jest także zabezpieczenie samej stacji PC (m.in. logowanie do komputera za pomocą karty, po wyjęciu karty następuje automatyczne blokowanie konsoli, itp.). Więcej informacji nt. systemów zabezpieczeń Check Point i ActivCard można znaleźć na stronach http://www.clico.pl. Copyright by CLICO, 1991-2002. 12