Przewodnik technologii ActivCard
Transkrypt
Przewodnik technologii ActivCard
PROFESJONALNE USŁUGI BEZPIECZEŃSTWA Przewodnik technologii ActivCard Część III. Zarządzanie użytkowników i tokenów ActivCard CLICO Centrum Oprogramowania Sp. z o.o., Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698; E-mail: [email protected], [email protected].; Ftp.clico.pl.; http://www.clico.pl Część III. Zarządzanie użytkowników i tokenów ActivCard Spis treści 1. REJESTRACJA TOKENÓW 3 2. TWORZENIE GRUP UŻYTKOWNIKÓW 5 3. DEFINIOWANIE UŻYTKOWNIKÓW 6 4. ZASADY DZIAŁANIA I OBSŁUGA TOKENÓW 7 Jak wygenerować hasło w tokenie? 8 Na czym polega tryb synchroniczny? 9 Na czym polega tryb „Wyzwanie-Odpowiedź”? 10 Jak odczytać stan tokenu? 11 5. DIAGNOSTYKA I USUWANIE PROBLEMÓW 12 Jak sprawdzić poprawność konfiguracji ActivPack? 12 Jak zsynchronizować token z serwerem? 15 Jak wykryć zablokowane konta użytkowników? 16 Jak odblokować konto użytkownika? 17 W razie wystąpienia problemów technicznych, bądź wątpliwości dotyczących przedstawionych w dokumencie produktów prosimy o kontakt: [email protected] Copyright by CLICO Centrum Oprogramowania, 1991-2001. 2 Część III. Zarządzanie użytkowników i tokenów ActivCard 1. Rejestracja tokenów Tokeny i inne urządzenia identyfikacyjne (m.in. karty Smart Card, urządzenia biometryczne) przed przekazaniem ich do użytkowników należy zarejestrować w bazie ActivPack. Tokeny ActivCard Token One mogą zostać zakupione w formie zainicjalizowanej przez producenta (tzn. klucze Master Key są w tokenach zaprogramowane), bądź w formie wymagającej inicjalizacji. Jeżeli tokeny zostały wcześniej zainicjalizowane należy je zaimportować do bazy serwera ActivPack: Tools | ActivCard Devices | Import | Browse (wskazujemy plik z opisem tokenów i wpisujemy klucz dostępu) | Import tokens Jeżeli tokeny nie zostały zainicjalizowane należy to zrobić za pomocą opcji Company | Tokens | New Token ActivCard Uwaga: − Do programowania tokenów ActivCard Token One służy specjalne urządzenie „ActivCoupler for Activcard Token One” (cena: 327 Euro). Proces inicjalizacji tokenu nie jest czasochłonny, ani też skomplikowany (tzn. trwa kilka sekund). W razie potrzeby token można też inicjalizować wielokrotnie. − W systemach o podwyższonych wymaganiach bezpieczeństwa zalecane jest, aby tokeny były programowane przez ich właściciela. Dla przykładu, w systemach rządowych i wojskowych jest niedopuszczalne, aby klucze Master Key, na podstawie których generowane są w tokenach hasła dynamiczne były programowane w fabryce producenta. Copyright by CLICO Centrum Oprogramowania, 1991-2001. 3 Część III. Zarządzanie użytkowników i tokenów ActivCard Po wykonaniu w/w operacji tokeny są zarejestrowane w bazy ActivPack i mogą być przydzielone użytkownikom. Token ActivCard Token One po przekazaniu do użytkownika posiada zaprogramowany kod dostępu PIN. Zalecane jest, aby użytkownik ustalił w tokenie swój własny kod PIN. Copyright by CLICO Centrum Oprogramowania, 1991-2001. 4 Część III. Zarządzanie użytkowników i tokenów ActivCard 2. Tworzenie grup użytkowników 1/ Tworzymy grupy użytkowników poddawanych kontroli przez serwer ActivCard: Company | Users | New Group Podczas definiowania grup użytkowników, którzy będą korzystali z tokenów ActivCard Token One należy ustalić parametr Authentication profie: Dual. Użytkownicy będą wtedy mogli korzystać z dwóch trybów generowania hasła tzn. w trybu synchronicznego oraz "Wyzwanie-Odpowiedz" (Challenge-Response). 2/ Dla utworzonej grupy użytkowników ustalamy dodatkowe parametry (m.in. serwer, „Gate", profile AAA). Copyright by CLICO Centrum Oprogramowania, 1991-2001. 5 Część III. Zarządzanie użytkowników i tokenów ActivCard 3. Definiowanie użytkowników 1/ Dodajemy użytkowników do utworzonych wcześniej grup: Company | Users | <grupa użytkowników> | New User 2/ Zaznaczmy użytkownika na liście i wybieramy dla niego token: 3/ Potwierdzamy przydzielenie tokenu dla użytkownika (Assign). Uwaga: W sytuacjach wyjątkowych po przejściu do trybu zarządzania "Help Desk" można tymczasowo przydzielić użytkownikowi hasło statyczne (np. w razie zagubienia tokenu). Copyright by CLICO Centrum Oprogramowania, 1991-2001. 6 Część III. Zarządzanie użytkowników i tokenów ActivCard 4. Zasady działania i obsługa tokenów Koncepcja haseł dynamicznych polega na tym, że hasło użytkownika wykorzystywane w systemie kontroli dostępu (np. aplikacji, bazie danych, Firewall) jest za każdym razem inne. Eliminuje się w ten sposób zagrożenie, że nieupoważniona osoba podszyje się pod legalnego użytkownika (np. w razie podsłuchania lub odgadnięcia hasła). Hasła dynamiczne dla użytkowników generowane są w specjalnych urządzeniach tzw. tokenach. Użycie tokenu zwykle wymaga wprowadzenia do urządzenia kodu dostępu PIN. Kod ten jest ustalany przez użytkownika. Metoda uwierzytelniania użytkowników oparta na sprzętowych tokenach określana jest jako Two-Factor Authentication, ponieważ bezpieczeństwo i wiarygodność procesu identyfikacji użytkownika opiera się na dwóch składnikach: − urządzeniu generującym hasła (tokenie), − tajnym kodzie dostępu do urządzania (PIN). Każdy token, aby mógł generować dla użytkownika unikalne hasła posiada zaprogramowany tajny klucz Master Key (nazywany także ‘seed’). Klucz Master Key może być zaprogramowany przez producenta, bądź przez właściciela urządzeń (np. oficera bezpieczeństwa). Generowanie hasła w tokenie może odbywać się w dwóch trybach: − Synchronicznym: token użytkownika i serwer ActivPack są zsynchronizowane ze sobą i dzięki temu serwer wie jakie hasło powinien wygenerować token; hasła generowane są w oparciu o sprawdzone, „mocne” algorytmy kryptograficzne (3DES). − „Wyzwanie-Odpowiedź” (Challenge-Response): serwer przesyła do tokenu kod wejściowy (Challenge), na podstawie którego token oblicza hasło (Response); hasła generowane są zgodnie ze standardem ANSI X9.9. Zasady generowania haseł dynamicznych w tokenach ActivCard w obu w/w trybach są szczegółowo opisane w dalszej części dokumentu. Copyright by CLICO Centrum Oprogramowania, 1991-2001. 7 Część III. Zarządzanie użytkowników i tokenów ActivCard Jak wygenerować hasło w tokenie? ActivCard Token One to urządzenie o wielkości karty kredytowej wyposażone w klawiaturę i wyświetlacz. Służy do generowania haseł dynamicznych. Hasła mogą być generowane w trybie synchronizacji z serwerem ActivPack, bądź w trybie „WyzwanieOdpowiedź” (Challenge-Response). Czas życia tokenu wynosi 10 lat (posiada wymienne baterie). Cena urządzenia wynosi 42 Euro. Token posiada dwa przyciski funkcyjne: - opcje wyboru (MENU) - potwierdzenie wyboru (OK) Dostęp do tokenu chroniony jest za pomocą indywidualnego kodu użytkownika PIN (Personal Identification Number). Użytkownik po otrzymaniu tokenu powinien ustalić swój kod PIN. ActivCard Token One posiada elektroniczne zabezpieczenia uniemożliwiające odczyt zaprogramowanego w tokenie kodu PIN i klucza Master Key (np. w razie dostępu do tokenu przez osoby nieupoważnione). Token może być programowany wielokrotnie. Proces generowania hasła w trybie synchronicznym przebiega w następującej kolejności: 1. Wciskamy przycisk <OK> 2. Wpisujemy kod PIN 3. Wciskamy przycisk <OK> Token wyświetla hasło użytkownika Proces generowania hasła w trybie „Wyzwanie-Odpowiedź” przebiega w następującej kolejności: 1. Wciskamy przycisk <OK> 2. Wpisujemy kod PIN 3. Wpisujemy do tokenu kod odczytany z ekranu komputera (tzw. kod „Wyzwanie” wysłany przez serwer ActivPack) 4. Wciskamy przycisk <OK> Token wyświetla hasło użytkownika (tzw. kod „Response”) Copyright by CLICO Centrum Oprogramowania, 1991-2001. 8 Część III. Zarządzanie użytkowników i tokenów ActivCard Na czym polega tryb synchroniczny? Hasło w tokenie ActivCard Token One w trybie synchronicznym generowanie jest na podstawie następujących danych: − tajnego klucza „Master Key”, zaprogramowanego w tokenie w czasie inicjalizacji urządzenia (w fabryce ActivCard lub przez właściciela urządzeń), − licznika zdarzeń, − czasu systemowego. Warunkiem koniecznym do przeprowadzenia kontroli użytkownika na serwerze ActivPack jest synchronizacja tokenu użytkownika z serwem. Serwer powinien wygenerować dokładnie takie samo hasło jak token użytkownika. Aby tego dokonać serwer ActivPack musi posiadać zapisany w swojej bazie klucz „Master Key” tokenu oraz znać jego aktualny stan licznika zdarzeń i czasu systemowego. Technicznie, uwierzytelnianie użytkownika w trybie synchronicznym przebiega w następującej kolejności (patrz rysunek): 1. Użytkownik poprzez urządzenie dostępowe (np. Firewall, ruter, RAS, serwer WWW) zamierza uzyskać dostęp do zasobów systemu informatycznego. 2. Urządzenie dostępowe wysyła do użytkownika zapytanie o uwierzytelnienie (tzn. podanie swojego identyfikatora i hasła). 3. Użytkownik generuje za pomocą tokenu hasło. Hasło generowane jest na podstawie zaprogramowanego w tokenie unikalnego klucza „Master Key” oraz aktualnego stanu tokenu (czasu systemowego i licznika zdarzeń). 4. Użytkownik w komunikacji z urządzeniem dostępowym podaje swój identyfikator (username) oraz odczytane z tokenu hasło. 5. Urządzenie dostępowe przekazuje dane od użytkownika (identyfikator i hasło) do serwera ActivPack. Copyright by CLICO Centrum Oprogramowania, 1991-2001. 9 Część III. Zarządzanie użytkowników i tokenów ActivCard 6. Serwer ActivPack na podstawie klucza "Master Key", czasu systemowego oraz licznika zdarzeń tokenu (zapisanych w bazie serwera) generuje hasło i porównuje je z kodem otrzymanym od użytkownika. 7. Serwer ActivPack informuje urządzenie dostępowe o wyniku uwierzytelnienia użytkownika. 8. Urządzenie dostępowe sprawdza, czy użytkownik ma prawo dostępu do żądanego zasobu systemu informatycznego (tzn. dokonuje autoryzacji użytkownika) 9. Po pozytywnej autoryzacji użytkownik uzyskuje dostęp do zasobów systemu informatycznego. Na czym polega tryb „Wyzwanie-Odpowiedź”? Technicznie, uwierzytelnianie użytkownika w trybie "Wyzwanie-Odpowiedź" (ChallengeResponse) przebiega w następującej kolejności (patrz rysunek): 1. Użytkownik poprzez urządzenie dostępowe (np. Firewall, ruter, RAS, serwer WWW) zamierza uzyskać dostęp do zasobów systemu informatycznego. 2. Urządzenie dostępowe wysyła do użytkownika zapytanie o uwierzytelnienie (tzn. podanie swojego identyfikatora i hasła). 3. Użytkownik w komunikacji z urządzeniem dostępowym podaje swój identyfikator oraz ustala tryb uwierzytelniania na "Wyzwanie-Odpowiedz" (tzn. zamiast hasła wpisuje umowny znak np. literę ‘w’). 4. Urządzenie dostępowe informuje serwer ActivPack o wyborze przez użytkownika trybu "Wyzwanie-Odpowiedz". 5. Serwer ActivPack generuje dla użytkownika kod wejściowy (tzw. kod "Wyzwanie"). 6. Serwer ActivPack przekazuje wygenerowany kod "Wyzwanie" do urządzenia dostępowego. Copyright by CLICO Centrum Oprogramowania, 1991-2001. 10 Część III. Zarządzanie użytkowników i tokenów ActivCard 7. Urządzenie dostępowe wysyła do użytkownika kod "Wyzwanie" otrzymany od serwera ActivPack. 8. Użytkownik wpisuje kod "Wyzwanie" do tokenu. 9. Token na podstawie kodu "Wyzwanie" i tajnego klucza "Master Key" (zaprogramowanego w tokenie) generuje hasło dynamiczne (tzw. kod "Response"). 10. Użytkownik przekazuje odczytany z tokenu kod "Response" (hasło) do urządzenia dostępowego. 11. Urządzenie dostępowe przekazuje dane od użytkownika (hasło) do serwera ActivPack. 12. Serwer na podstawie tego samego kodu "Wyzwanie" i klucza "Master Key" tokenu (zapisanego w bazie serwera) oblicza kod "Response" i porównuje go z kodem otrzymanym od użytkownika. 13. Serwer ActivPack informuje urządzenie dostępowe o wyniku uwierzytelnienia użytkownika. 14. Urządzenie dostępowe sprawdza, czy użytkownik ma prawo dostępu do żądanego zasobu systemu informatycznego (tzn. dokonuje autoryzacji użytkownika) 15. Po pozytywnej autoryzacji użytkownik uzyskuje dostęp do zasobów systemu informatycznego. Przedstawiony powyżej proces generowania hasła w trybie „Wyzwanie-Odpowiedź” jest bardzo prosty dla użytkownika (właściciela tokenu). Jest tylko nieznacznie bardziej złożony od trybu synchronicznego, gwarantuje jednak, że nawet w razie niewłaściwej obsługi token nie zostanie rozsynchronizowany. Jak odczytać stan tokenu? Znajomość aktualnego stanu tokenu (m.in. zegara systemowego i licznika zdarzeń) jest potrzebna do ręcznego zsynchronizowania tokenu z serwerem ActivCard. Rozsynchronizowanie tokenu może nastąpić, w przypadku, gdy użytkownik (np. bawiąc się urządzeniem) wygeneruje po kolei 10 haseł nie podając ich do sprawdzenia serwerowi. Po rozsynchronizowaniu tokenu użytkownik może dalej z niego korzystać, jednak tylko w trybie uwierzytelniania „WyzwanieOdpowiedź” (Challenge-Response). Po wygenerowaniu hasła za pomocą przycisku MENU można wejść w tryb konfiguracji i odczytu stanu tokenu: » CHANGE PIN – zmiana kodu PIN, » VIEW SN – odczyt numeru urządzenia, » VIEW CLOCK – odczyt aktualnego ustawienia zegara, » VIEW COUNT – odczyt aktualnego stanu licznika. Copyright by CLICO Centrum Oprogramowania, 1991-2001. 11 Część III. Zarządzanie użytkowników i tokenów ActivCard 5. Diagnostyka i usuwanie problemów Jak sprawdzić poprawność konfiguracji ActivPack? Po zainstalowaniu i skonfigurowaniu serwera ActivPack i tokenów można w szybki sposób zweryfikować poprawność ich współdziałania za pomocą specjalnego programu ActivPack Test Client. 1/ Uruchamiamy program instalacyjny ActivPack Client. 2/ Wybieramy do zainstalowania aplikacje ActivPack Test Client. Copyright by CLICO Centrum Oprogramowania, 1991-2001. 12 Część III. Zarządzanie użytkowników i tokenów ActivCard 3/ Uruchamiamy program testujący Programs | ActivCard | ActivPack Client | ActivPack Test Client 4/ W panelu Options wpisujemy adres IP serwera ActivPack (Server), numer portu (Port) oraz klucz dostępu (Secret) do serwera RADIUS. 5/ Zapisujemy konfiguracje <OK> i zamykamy aplikacje. Uwaga: Numer portu (Port) oraz klucz dostępu (Secret) wprowadzone w programie ActivPack Test Client powinny być takie same jak dane wpisane w konfiguracji serwera ActivPack. Copyright by CLICO Centrum Oprogramowania, 1991-2001. 13 Część III. Zarządzanie użytkowników i tokenów ActivCard 6/ Uruchamiamy program testujący Programs | ActivCard | ActivPack Client | ActivPack Test Client i wciskamy przycisk <OK> 7/ Wpisujemy identyfikator użytkownika oraz hasło odczytane z tokenu. W razie problemów z komunikacją z serwerem ActivPack należy zwrócić uwagę na następujące ustawienia: 1. Czy w konfiguracji serwera ActivPack (Company | Servers | <serwer> | <gate> | Authorized remote names and IP addresses) jest dozwolony adres IP komputera, na którym uruchamiamy program ActivPack Test Client? 2. Czy wprowadzony w konfiguracji programu ActivPack Test Client adres IP (Server), numer portu (Port) i klucz dostępu (Secret) dla protokołu RADIUS są w zgodności z konfiguracją serwera ActivPack? 3. Czy istniejące w sieci urządzenia Firewall zezwalają na komunikację RADIUS (1812/udp) do serwera ActivPack? Copyright by CLICO Centrum Oprogramowania, 1991-2001. 14 Część III. Zarządzanie użytkowników i tokenów ActivCard Jak zsynchronizować token z serwerem? W razie potrzeby można sprawnie dokonać resynchronizacji tokenu użytkownika. Sytuacja rozsynchronizowania tokenu z serwerem ActivPack może zdarzyć się np. gdy użytkownik wygeneruje w tokenie po kolei 10 haseł i żadnego z nich nie prześle do weryfikacji do serwera (tzn. rzeczywisty stan tokenu będzie inny jak stan zapamiętany w bazie serwera). Wtedy użytkownik będzie mógł uwierzytelniać się w trybie „Wyzwanie-Odpowiedź” (nie wymaga synchronizacji tokenu z serwerem ActivPack), bądź przekazać swój token do resynchronizacji. 1/ Z listy Company | Users | <grupa> wybieramy użytkownika, który rozsynchronizował token. 2/ Przechodzimy w tryb "Help Desk": 3/ Uruchamiamy opcje resynchronizacji tokenu: 4/ Podajemy odczytane z tokenu wartości czasu systemowego i licznika zdarzeń: CLOCK i COUNT. 5/ Powracamy do normalnego trybu zarządzania ActivPack: Copyright by CLICO Centrum Oprogramowania, 1991-2001. 15 Część III. Zarządzanie użytkowników i tokenów ActivCard Jak wykryć zablokowane konta użytkowników? W razie zablokowania konta użytkownika na serwerze ActivCard na skutek przekroczenia dopuszczalnej liczby nieudanych prób logowania, po pouczeniu użytkownika administrator może odblokować jego konto. 1/ Na konsoli ActivPack wykonujemy import logów z serwerów: 2/ Wykonujemy konsolidację zaimportowanych logów: 3/ Otwieramy log uwierzytelniania (Authentication Log): 4/ Dokonujemy wyboru przedziału czasowego, z którego zostaną odczytane logi: 5/ Otwieramy log w oknie Authentication Log (przycisk w prawym, górnym rogu okna) : 6/ W logu sprawdzamy, czy istnieją zablokowane konta użytkowników. Copyright by CLICO Centrum Oprogramowania, 1991-2001. 16 Część III. Zarządzanie użytkowników i tokenów ActivCard Jak odblokować konto użytkownika? 1/ Zaznaczamy użytkownika, który został zablokowany Company | Users | <grupa> | <użytkownik> 2/ Wchodzimy w tryb zarządzania "Help Desk": 3/ Odświeżamy wyświetlane na ekranie dane: 4/ Odblokowujemy konto użytkownika: Unlock and reset num. of tries Copyright by CLICO Centrum Oprogramowania, 1991-2001. 17