Przewodnik technologii ActivCard

Transkrypt

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA
Przewodnik technologii ActivCard
Część III. Zarządzanie użytkowników i tokenów ActivCard
CLICO Centrum Oprogramowania Sp. z o.o., Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698;
E-mail: [email protected], [email protected].; Ftp.clico.pl.; http://www.clico.pl
Spis treści
1. REJESTRACJA TOKENÓW
3
2. TWORZENIE GRUP UŻYTKOWNIKÓW
5
3. DEFINIOWANIE UŻYTKOWNIKÓW
6
4. ZASADY DZIAŁANIA I OBSŁUGA TOKENÓW
7
Jak wygenerować hasło w tokenie?
8
Na czym polega tryb synchroniczny?
9
Na czym polega tryb „Wyzwanie-Odpowiedź”?
10
Jak odczytać stan tokenu?
11
5. DIAGNOSTYKA I USUWANIE PROBLEMÓW
12
Jak sprawdzić poprawność konfiguracji ActivPack?
12
Jak zsynchronizować token z serwerem?
15
Jak wykryć zablokowane konta użytkowników?
16
Jak odblokować konto użytkownika?
17
W razie wystąpienia problemów technicznych, bądź wątpliwości dotyczących przedstawionych w
dokumencie produktów prosimy o kontakt: [email protected]
 Copyright by CLICO Centrum Oprogramowania, 1991-2001.
2
1. Rejestracja tokenów
Tokeny i inne urządzenia identyfikacyjne (m.in. karty Smart Card, urządzenia
biometryczne) przed przekazaniem ich do użytkowników należy zarejestrować w bazie
ActivPack. Tokeny ActivCard Token One mogą zostać zakupione w formie zainicjalizowanej
przez producenta (tzn. klucze Master Key są w tokenach zaprogramowane), bądź w formie
wymagającej inicjalizacji.
Jeżeli tokeny zostały wcześniej zainicjalizowane należy je zaimportować do bazy
serwera ActivPack: Tools | ActivCard Devices | Import | Browse (wskazujemy plik z opisem
tokenów i wpisujemy klucz dostępu) | Import tokens
Jeżeli tokeny nie zostały zainicjalizowane należy to zrobić za pomocą opcji Company |
Tokens | New Token ActivCard
Uwaga:
− Do programowania tokenów ActivCard Token One służy specjalne urządzenie „ActivCoupler
for Activcard Token One” (cena: 327 Euro). Proces inicjalizacji tokenu nie jest czasochłonny,
ani też skomplikowany (tzn. trwa kilka sekund). W razie potrzeby token można też
inicjalizować wielokrotnie.
− W systemach o podwyższonych wymaganiach bezpieczeństwa zalecane jest, aby tokeny
były programowane przez ich właściciela. Dla przykładu, w systemach rządowych
i wojskowych jest niedopuszczalne, aby klucze Master Key, na podstawie których
generowane są w tokenach hasła dynamiczne były programowane w fabryce producenta.
3
Po wykonaniu w/w operacji tokeny są zarejestrowane w bazy ActivPack i mogą być
przydzielone użytkownikom.
Token ActivCard Token One po przekazaniu do użytkownika posiada zaprogramowany
kod dostępu PIN. Zalecane jest, aby użytkownik ustalił w tokenie swój własny kod PIN.
4
2. Tworzenie grup użytkowników
1/ Tworzymy grupy użytkowników poddawanych kontroli przez serwer ActivCard: Company |
Users | New Group
Podczas definiowania grup użytkowników, którzy będą korzystali z tokenów ActivCard
Token One należy ustalić parametr Authentication profie: Dual. Użytkownicy będą wtedy
mogli korzystać z dwóch trybów generowania hasła tzn. w trybu synchronicznego oraz
"Wyzwanie-Odpowiedz" (Challenge-Response).
2/ Dla utworzonej grupy użytkowników ustalamy dodatkowe parametry (m.in. serwer, „Gate",
profile AAA).
5
3. Definiowanie użytkowników
1/ Dodajemy użytkowników do utworzonych wcześniej grup: Company | Users | <grupa
użytkowników> | New User
2/ Zaznaczmy użytkownika na liście i wybieramy dla niego token:
3/ Potwierdzamy przydzielenie tokenu dla użytkownika (Assign).
Uwaga:
W sytuacjach wyjątkowych po przejściu do trybu zarządzania "Help Desk" można tymczasowo
przydzielić użytkownikowi hasło statyczne (np. w razie zagubienia tokenu).
6
4. Zasady działania i obsługa tokenów
Koncepcja haseł dynamicznych polega na tym, że hasło użytkownika wykorzystywane w
systemie kontroli dostępu (np. aplikacji, bazie danych, Firewall) jest za każdym razem inne.
Eliminuje się w ten sposób zagrożenie, że nieupoważniona osoba podszyje się pod legalnego
użytkownika (np. w razie podsłuchania lub odgadnięcia hasła). Hasła dynamiczne dla
użytkowników generowane są w specjalnych urządzeniach tzw. tokenach. Użycie tokenu zwykle
wymaga wprowadzenia do urządzenia kodu dostępu PIN. Kod ten jest ustalany przez
użytkownika.
Metoda uwierzytelniania użytkowników oparta na sprzętowych tokenach określana jest
jako Two-Factor Authentication, ponieważ bezpieczeństwo i wiarygodność procesu
identyfikacji użytkownika opiera się na dwóch składnikach:
− urządzeniu generującym hasła (tokenie),
− tajnym kodzie dostępu do urządzania (PIN).
Każdy token, aby mógł generować dla użytkownika unikalne hasła posiada
zaprogramowany tajny klucz Master Key (nazywany także ‘seed’). Klucz Master Key może być
zaprogramowany przez producenta, bądź przez właściciela urządzeń (np. oficera
bezpieczeństwa).
Generowanie hasła w tokenie może odbywać się w dwóch trybach:
− Synchronicznym: token użytkownika i serwer ActivPack są zsynchronizowane ze
sobą i dzięki temu serwer wie jakie hasło powinien wygenerować token; hasła
generowane są w oparciu o sprawdzone, „mocne” algorytmy kryptograficzne (3DES).
− „Wyzwanie-Odpowiedź” (Challenge-Response): serwer przesyła do tokenu kod
wejściowy (Challenge), na podstawie którego token oblicza hasło (Response); hasła
generowane są zgodnie ze standardem ANSI X9.9.
Zasady generowania haseł dynamicznych w tokenach ActivCard w obu w/w trybach są
szczegółowo opisane w dalszej części dokumentu.
7
Jak wygenerować hasło w tokenie?
ActivCard Token One to urządzenie o wielkości karty kredytowej wyposażone w
klawiaturę i wyświetlacz. Służy do generowania haseł dynamicznych. Hasła mogą być
generowane w trybie synchronizacji z serwerem ActivPack, bądź w trybie „WyzwanieOdpowiedź” (Challenge-Response). Czas życia tokenu wynosi 10 lat (posiada wymienne
baterie). Cena urządzenia wynosi 42 Euro.
Token posiada dwa przyciski funkcyjne:
- opcje wyboru (MENU)
- potwierdzenie wyboru (OK)
Dostęp do tokenu chroniony jest za pomocą indywidualnego kodu użytkownika PIN
(Personal Identification Number). Użytkownik po otrzymaniu tokenu powinien ustalić swój kod
PIN. ActivCard Token One posiada elektroniczne zabezpieczenia uniemożliwiające odczyt
zaprogramowanego w tokenie kodu PIN i klucza Master Key (np. w razie dostępu do tokenu
przez osoby nieupoważnione). Token może być programowany wielokrotnie.
Proces generowania hasła w trybie synchronicznym przebiega w następującej
kolejności:
1. Wciskamy przycisk <OK>
2. Wpisujemy kod PIN
Token wyświetla hasło użytkownika
Proces generowania hasła w trybie „Wyzwanie-Odpowiedź” przebiega w
następującej kolejności:
2. Wpisujemy kod PIN
3. Wpisujemy do tokenu kod odczytany z ekranu komputera (tzw. kod „Wyzwanie”
wysłany przez serwer ActivPack)
Token wyświetla hasło użytkownika (tzw. kod „Response”)
8
Na czym polega tryb synchroniczny?
Hasło w tokenie ActivCard Token One w trybie synchronicznym generowanie jest na
podstawie następujących danych:
− tajnego klucza „Master Key”, zaprogramowanego w tokenie w czasie inicjalizacji
urządzenia (w fabryce ActivCard lub przez właściciela urządzeń),
− licznika zdarzeń,
− czasu systemowego.
Warunkiem koniecznym do przeprowadzenia kontroli użytkownika na serwerze ActivPack
jest synchronizacja tokenu użytkownika z serwem. Serwer powinien wygenerować dokładnie
takie samo hasło jak token użytkownika. Aby tego dokonać serwer ActivPack musi posiadać
zapisany w swojej bazie klucz „Master Key” tokenu oraz znać jego aktualny stan licznika
zdarzeń i czasu systemowego.
Technicznie, uwierzytelnianie użytkownika w trybie synchronicznym przebiega w
następującej kolejności (patrz rysunek):
1. Użytkownik poprzez urządzenie dostępowe (np. Firewall, ruter, RAS, serwer WWW)
zamierza uzyskać dostęp do zasobów systemu informatycznego.
2. Urządzenie dostępowe wysyła do użytkownika zapytanie o uwierzytelnienie (tzn.
podanie swojego identyfikatora i hasła).
3. Użytkownik generuje za pomocą tokenu hasło. Hasło generowane jest na podstawie
zaprogramowanego w tokenie unikalnego klucza „Master Key” oraz aktualnego stanu
tokenu (czasu systemowego i licznika zdarzeń).
4. Użytkownik w komunikacji z urządzeniem dostępowym podaje swój identyfikator
(username) oraz odczytane z tokenu hasło.
5. Urządzenie dostępowe przekazuje dane od użytkownika (identyfikator i hasło) do
serwera ActivPack.
9
6. Serwer ActivPack na podstawie klucza "Master Key", czasu systemowego oraz
licznika zdarzeń tokenu (zapisanych w bazie serwera) generuje hasło i porównuje je
z kodem otrzymanym od użytkownika.
7. Serwer ActivPack informuje urządzenie dostępowe o wyniku uwierzytelnienia
użytkownika.
8. Urządzenie dostępowe sprawdza, czy użytkownik ma prawo dostępu do żądanego
zasobu systemu informatycznego (tzn. dokonuje autoryzacji użytkownika)
9. Po pozytywnej autoryzacji użytkownik uzyskuje dostęp do zasobów systemu
informatycznego.
Na czym polega tryb „Wyzwanie-Odpowiedź”?
Technicznie, uwierzytelnianie użytkownika w trybie "Wyzwanie-Odpowiedź" (ChallengeResponse) przebiega w następującej kolejności (patrz rysunek):
1. Użytkownik poprzez urządzenie dostępowe (np. Firewall, ruter, RAS, serwer WWW)
zamierza uzyskać dostęp do zasobów systemu informatycznego.
2. Urządzenie dostępowe wysyła do użytkownika zapytanie o uwierzytelnienie (tzn.
podanie swojego identyfikatora i hasła).
3. Użytkownik w komunikacji z urządzeniem dostępowym podaje swój identyfikator oraz
ustala tryb uwierzytelniania na "Wyzwanie-Odpowiedz" (tzn. zamiast hasła wpisuje
umowny znak np. literę ‘w’).
4. Urządzenie dostępowe informuje serwer ActivPack o wyborze przez użytkownika
trybu "Wyzwanie-Odpowiedz".
5. Serwer ActivPack generuje dla użytkownika kod wejściowy (tzw. kod "Wyzwanie").
6. Serwer ActivPack przekazuje wygenerowany kod "Wyzwanie" do urządzenia
dostępowego.
10
7. Urządzenie dostępowe wysyła do użytkownika kod "Wyzwanie" otrzymany od
serwera ActivPack.
8. Użytkownik wpisuje kod "Wyzwanie" do tokenu.
9. Token na podstawie kodu "Wyzwanie" i tajnego klucza "Master Key"
(zaprogramowanego w tokenie) generuje hasło dynamiczne (tzw. kod "Response").
10. Użytkownik przekazuje odczytany z tokenu kod "Response" (hasło) do urządzenia
dostępowego.
11. Urządzenie dostępowe przekazuje dane od użytkownika (hasło) do serwera
ActivPack.
12. Serwer na podstawie tego samego kodu "Wyzwanie" i klucza "Master Key" tokenu
(zapisanego w bazie serwera) oblicza kod "Response" i porównuje go z kodem
otrzymanym od użytkownika.
13. Serwer ActivPack informuje urządzenie dostępowe o wyniku uwierzytelnienia
użytkownika.
14. Urządzenie dostępowe sprawdza, czy użytkownik ma prawo dostępu do żądanego
zasobu systemu informatycznego (tzn. dokonuje autoryzacji użytkownika)
15. Po pozytywnej autoryzacji użytkownik uzyskuje dostęp do zasobów systemu
informatycznego.
Przedstawiony powyżej proces generowania hasła w trybie „Wyzwanie-Odpowiedź” jest
bardzo prosty dla użytkownika (właściciela tokenu). Jest tylko nieznacznie bardziej złożony od
trybu synchronicznego, gwarantuje jednak, że nawet w razie niewłaściwej obsługi token nie
zostanie rozsynchronizowany.
Jak odczytać stan tokenu?
Znajomość aktualnego stanu tokenu (m.in. zegara systemowego i licznika zdarzeń) jest
potrzebna do ręcznego zsynchronizowania tokenu z serwerem ActivCard. Rozsynchronizowanie
tokenu może nastąpić, w przypadku, gdy użytkownik (np. bawiąc się urządzeniem) wygeneruje
po kolei 10 haseł nie podając ich do sprawdzenia serwerowi. Po rozsynchronizowaniu tokenu
użytkownik może dalej z niego korzystać, jednak tylko w trybie uwierzytelniania „WyzwanieOdpowiedź” (Challenge-Response).
Po wygenerowaniu hasła za pomocą przycisku MENU można wejść w tryb konfiguracji
i odczytu stanu tokenu:
»
CHANGE PIN – zmiana kodu PIN,
»
VIEW SN – odczyt numeru urządzenia,
»
VIEW CLOCK – odczyt aktualnego ustawienia zegara,
»
VIEW COUNT – odczyt aktualnego stanu licznika.
11
5. Diagnostyka i usuwanie problemów
Jak sprawdzić poprawność konfiguracji ActivPack?
Po zainstalowaniu i skonfigurowaniu serwera ActivPack i tokenów można w szybki
sposób zweryfikować poprawność ich współdziałania za pomocą specjalnego programu
ActivPack Test Client.
1/ Uruchamiamy program instalacyjny ActivPack Client.
2/ Wybieramy do zainstalowania aplikacje ActivPack Test Client.
12
3/ Uruchamiamy program testujący Programs | ActivCard | ActivPack Client | ActivPack Test
Client
4/ W panelu Options wpisujemy adres IP serwera ActivPack (Server), numer portu (Port) oraz
klucz dostępu (Secret) do serwera RADIUS.
5/ Zapisujemy konfiguracje <OK> i zamykamy aplikacje.
Uwaga:
Numer portu (Port) oraz klucz dostępu (Secret) wprowadzone w programie ActivPack Test
Client powinny być takie same jak dane wpisane w konfiguracji serwera ActivPack.
13
6/ Uruchamiamy program testujący Programs | ActivCard | ActivPack Client | ActivPack Test
Client i wciskamy przycisk <OK>
7/ Wpisujemy identyfikator użytkownika oraz hasło odczytane z tokenu.
W razie problemów z komunikacją z serwerem ActivPack należy zwrócić uwagę na
następujące ustawienia:
1. Czy w konfiguracji serwera ActivPack (Company | Servers | <serwer> | <gate> |
Authorized remote names and IP addresses) jest dozwolony adres IP
komputera, na którym uruchamiamy program ActivPack Test Client?
2. Czy wprowadzony w konfiguracji programu ActivPack Test Client adres IP
(Server), numer portu (Port) i klucz dostępu (Secret) dla protokołu RADIUS są w
zgodności z konfiguracją serwera ActivPack?
3. Czy istniejące w sieci urządzenia Firewall zezwalają na komunikację RADIUS
(1812/udp) do serwera ActivPack?
14
Jak zsynchronizować token z serwerem?
W razie potrzeby można sprawnie dokonać resynchronizacji tokenu użytkownika.
Sytuacja rozsynchronizowania tokenu z serwerem ActivPack może zdarzyć się np. gdy
użytkownik wygeneruje w tokenie po kolei 10 haseł i żadnego z nich nie prześle do weryfikacji
do serwera (tzn. rzeczywisty stan tokenu będzie inny jak stan zapamiętany w bazie serwera).
Wtedy użytkownik będzie mógł uwierzytelniać się w trybie „Wyzwanie-Odpowiedź” (nie wymaga
synchronizacji tokenu z serwerem ActivPack), bądź przekazać swój token do resynchronizacji.
1/ Z listy Company | Users | <grupa> wybieramy użytkownika, który rozsynchronizował token.
2/ Przechodzimy w tryb "Help Desk":
3/ Uruchamiamy opcje resynchronizacji tokenu:
4/ Podajemy odczytane z tokenu wartości czasu systemowego i licznika zdarzeń: CLOCK
i COUNT.
5/ Powracamy do normalnego trybu zarządzania ActivPack:
15
Jak wykryć zablokowane konta użytkowników?
W razie zablokowania konta użytkownika na serwerze ActivCard na skutek
przekroczenia dopuszczalnej liczby nieudanych prób logowania, po pouczeniu użytkownika
administrator może odblokować jego konto.
1/ Na konsoli ActivPack wykonujemy import logów z serwerów:
2/ Wykonujemy konsolidację zaimportowanych logów:
3/ Otwieramy log uwierzytelniania (Authentication Log):
4/ Dokonujemy wyboru przedziału czasowego, z którego zostaną odczytane logi:
5/ Otwieramy log w oknie Authentication Log (przycisk w prawym, górnym rogu okna) :
6/ W logu sprawdzamy, czy istnieją zablokowane konta użytkowników.
16
Jak odblokować konto użytkownika?
1/ Zaznaczamy użytkownika, który został zablokowany Company | Users | <grupa> |
<użytkownik>
2/ Wchodzimy w tryb zarządzania "Help Desk":
3/ Odświeżamy wyświetlane na ekranie dane:
4/ Odblokowujemy konto użytkownika: Unlock and reset num. of tries
17

Przewodnik technologii ActivCard

Transkrypt

Podobne dokumenty

SecureVisio

Chronimy przed złośliwością

Zadomowieni w sieci

Seria PA-4000

Serwer poczty przychodzącej i wychodzącej: poczta.uw.edu.pl POP3

PA-500 - Clico

Jak stworzyć silne hasło? – kilka prostych kroków 1. Weź cytat np. z