WHITEPAPER SECURITY SERVICES
ACTIVIDENTIY Zorg dat alleen de juiste en bevoegde personen toegang krijgen tot uw informatiesystemen. Een beheeromgeving waarin token en unieke gebruiker-gegevens aan elkaar gekoppeld zijn.
ACTIVIDENTITY - Door flexibele werkplekken; het nieuw werken; de moderne inrichting van onze bedrijven,
komt steeds meer nadruk te liggen op beveiliging van de informatieomgeving en de identiteit van de gebruikers. De beschikbaarheid van informatie moet gewaarborgd zijn, uiteraard slechts voor de bevoegde personen. Er worden veel verschillende oplossingen aangeboden, met verschillende beveiligingsniveaus. maar wat is voor u de juiste keuze?
Bij remote werken ligt extra nadruk op de controle van de identiteit van de gebruikers. We willen zeker zijn dat de persoon die gebruik maakt van de Remote Access omgeving hiervoor werkelijk bevoegd is. De authenticatie oplossing zorgt ervoor dat alleen de gebruiker van een Token device én de bijbehorende PIN code kan inloggen op de omgeving. Beide componenten (Tokendevice en PIN code) zijn los van elkaar (zoals bij diefstal) niet te gebruiken en moeten bovendien gebruikt worden in combinatie met de juiste gebruikersnaam. Gebruikers kunnen dus niet elkaars Token device gebruiken. Een Token-beheeromgeving zorgt voor het koppelen van de tokens met de gebruikersaccounts uit bijvoorbeeld een Novell NDS of Microsoft AD database of een andere LDAP-compliant userdatabase. Met deze beheeromgeving worden ook situaties gemanaged zoals geblokkeerde tokendevices (bijvoorbeeld doordat de PIN code te vaak foutief is ingevoerd) of verloren tokendevices (waarbij de tokendevice moet worden geblokkeerd). Hieronder volgt een schema en korte toelichting van componenten die een rol spelen bij het authenticatie proces.
Fig. 1- Authenticatie proces
Bij het authenticatie proces spelen globaal 4 componenten een rol; het spreekt voor zich dat deze onderdelen goed op elkaar moeten zijn afgestemd: - de Network Access Services (NAS) zoals (delen van) een webserver waarvoor authenticatie is vereist of een SSLVPN gateway waarvoor gebruikers zich moeten authenticeren. - De Authenticatie, Authorizatie en Accounting Servers (AAA-servers), met diverse administratieve databases - User databases, bijvoorbeeld Novell NDS. - Web Services die de basis vormen voor Web enabled diensten als Beheer, Self Help portal en Soft Token gebruik.
1
ACTIVE IDENTIY PORTFOLIO 01012012-V1 ©Avensus Nederland bv – an Omnitech Group company
Aan de gebruikers kant kunnen diverse authenticatie middelen worden uitgedeeld: - Hardware OTP tokens in diverse formaten - Softwarematige tokens; beschikbaar voor Windows PC platform, diverse mobiele besturingssystemen en ook in WebToken variant. (zie figuur hieronder) - SMS authenticatie - Smart tokens (ook te gebruiken als Smartcard)
Fig. 2 - Keuze aan Software tokens
In geval van SMS authenticatie zijn geen hardware tokens van toepassing en is een extra fase ingebouwd waarbij de gebruiker de AAA server verzoekt om een OTP die even later naar het mobiele nummer van die gebruiker wordt verstuurd en vervolgens kan worden gelezen en gebruikt:
Fig. 3 – SMS Authenticatie
Bij toepasing van Soft token authenticatie is het hardware algoritme vervangen door een softwaremodule dat op de PC of Mobile device actief is. Het OTP wordt dus gegenereerd door de software op de PC / mobile device. Voor WebTokens geldt dat deze eerst wordt gecreëerd middels een activation code. Daarna kan het WebToken worden gebruikt (Java Runtime vereist) voor het genereren van een OTP dat samen met een PIN toegang geeft.
Fig. 4 – Web Tokens
2
ACTIVE IDENTIY PORTFOLIO 01012012-V1 ©Avensus Nederland bv – an Omnitech Group company
AANBOD HARDWARE TOKENS De hardware OTP tokens van ActivIdentity worden hieronder weergegeven:
ACTIVIDENTITY KEYCHAIN OTP TOKEN Het ActivIdentity Keychain OTP Token biedt een reeks aan authenticatie methodes. Door het compacte en robuuste formaat is dit een populair token voor medewerkers authenticatie.
ACTIVIDENTITY POCKET TOKEN Het ActivIdentity Pocket OTP Token is een portable en robuust device voor sterke authenticatie. Het is het token bij uitstek voor de mobiele gebruiker.
ACTIVIDENTITY OTP TOKEN Het ActivIdentity OTP Token biedt een reeks aan authenticatie methodes en is een populair token voor medewerkers authenticatie. Met het keypad biedt het ondersteuning voor PIN unlock en challenge / response authenticatie.
ACTIVIDENTITY DESKTOP OTP TOKEN Het ActivIdentity Desktop OTP Token biedt een comfortabel en eenvoudig afleesbaar ontwerp. Het is geschikt voor gebruik zowel thuis als op kantoor. Het grotere format van de display en knoppen zorgen voor een makkelijker bediening.
ACTIVIDENTITY MINI OTP TOKEN Het ActivIdentity Mini OTP Token is speciaal ontworpen voor grote omgevingen voor zowel ‘consumer’ als ‘employee’ authenticatie. Het ActivIdentity Mini OTP Token is water bestendig en heeft mogelijkheden voor bedrijfslogos en aangepaste kleuren.
ACTIVIDENTITY SECURE LOGIN
Single Sign-On (SSO) moet in eerste instantie worden gezien als een oplossing die een betere gebruikerservaring realiseert bij het gebruik van wachtwoorden en toegangscodes. Veel gebruikers hebben de last van het moeten onthouden en invoeren van veel verschillende gebruikersnaam/wachtwoord combinaties. Hierdoor ontstaan een aantal problemen: - Er worden eenvoudige wachtwoorden gebruikt - Voor alle toepassingen wordt 1 wachtwoord gebruikt - Wachtwoorden worden opgeschreven (of erger: doorgegeven aan anderen) - Wachtwoorden worden vergeten - Het gedwongen veranderen van wachtwoorden, wordt als hinderlijk ervaren - Veel helpdesk calls bij wachtwoord problemen Al deze problemen kunnen worden opgelost met een goede SSO oplossing. Bovendien kan een SSO oplossing, aangevuld met een vorm van Sterke Authenticatie (bijvoorbeeld de toepassing van Smartcards) een heel krachtig en gebruiksvriendelijk security niveau realiseren.
3
ACTIVE IDENTIY PORTFOLIO 01012012-V1 ©Avensus Nederland bv – an Omnitech Group company
Door de combinatie van verbeterde gebruikerservaringen, minder helpdesk calls en verhoogd security niveau, kunnen deze oplossingen bijdragen een betere en meer kostenefficiënte bedrijfsvoering. SecureLogin is de Enterprise Single Sign-On oplossing van ActivIdentity en wordt algemeen gezien als een van de beste op de markt. SecureLogin integreert met Microsoft Active Directory, Novell eDir of elke andere LDAP compatible Directory. Bovendien hoeft bij deze SSO oplossing geen wijziging aan de applicatie te worden aangebracht; SecureLogin past zich aan, aan de applicatie in plaats van andersom. SecureLogin maakt gebruik van een agent op de werkplekken die herkent wanneer een applicatie een verzoek tot authenticatie doet. In plaats van de gebruiker te confronteren met dit verzoek zal de agent de gebruikersgegevens zonder tussenkomst van de gebruiker presenteren aan de applicatie. Hetzelfde geldt voor andere applicatie/gebruikers interactie zoals wachtwoord reset meldingen e.d. SecureLogin kent haar eigen security settings die kunnen afwijken van de instellingen die de applicatie origineel had; zo kan via SecureLogin een strenger wachtwoordbeleid worden afgedwongen waardoor een hogere graad van informatiebeveiliging wordt bereikt zónder de gebruiker te frustreren. Het complexere wachtwoord wordt immers niet door de gebruiker maar door de SecureLogin toepassing gepresenteerd aan de applicatie. De configuratie van de SSO-enabled applicaties gebeurt centraal op basis van scripting. Deze scripts en overige SSO configuratie parameters worden opgeslagen in de centrale LDAP directory. Het voordeel van deze methode is dat geen speciale SSO server hoeft worden ingericht en dat beschikbaarheid (dubbele uitvoering) automatisch is verzorgd (mits de LDAP omgeving uit meerdere servers bestaat). Grafisch ziet de werking en architectuur van de Single Sign-On toepassing er als volgt uit:
Fig. 5 – Single Sign-On
Het beheer van de toepassing gebeurt vanuit een eigen Management applicatie. De gebruikersinstellingen en settings worden beheerd vanuit AD/LDAP en kunnen dus per “Organizational Unit (OU)” of AD/LDAP object worden bepaald. De gebruikersgegevens (de gebruikersIDs en wachtwoorden die een gebruiker bezit) kunnen op verschillende plaatsen worden opgeslagen, allen 3DES/AES versleuteld: - In de LDAP directory (b.v. Novell eDir of Microsoft Active Directory). De sleutel voor toegang tot de gegevens is de LDAP gebruikersnaam/wachtwoord combinatie of een digitaal certificaat. - Op de werkplek in een lokale cache. Deze dient voor off-line gebruik, bijvoorbeeld bij een laptop. De lokale cache wordt bij netwerkconnectie gesynchroniseerd met de centrale directory. De sleutel voor toegang tot de gegevens is de LDAP gebruikersnaam/wachtwoord combinatie. - Op een smartcard. De sleutel voor toegang tot de gegevens is een PIN code en een digitaal certificaat dat op de smartcard is geplaatst.
4
ACTIVE IDENTIY PORTFOLIO 01012012-V1 ©Avensus Nederland bv – an Omnitech Group company
SELFSERVICE PASSWORD RESET
Self Service Password Reset (SSPR) is software die gebruikers de mogelijkheid geeft om op een veilige manier hun Windows (AD) wachtwoord te veranderen. SSPR maakt daarbij gebruik van knowledge-based authenticatie (vraag en antwoord).
Fig. 6 – Self Service Password Reset
SSPR werkt op basis van web technologie waarbij web-software op een (bestaande) webserver moet worden geconfigureerd. SSPR is onderdeel van onze aanbieding.
SINGLE SIGN-ON EN SMARTCARDS
Smartcards worden gebruikt voor het veilig opslaan van digitaal sleutelmateriaal doorgaans verpakt in Digitale Certificaten. Deze certificaten kunnen vervolgens worden gebruikt voor diverse toepassingen waaronder: Gebruikers authenticatie (Logische toegangsbeveiliging) - Versleutelen van transacties (encryptie) - Ondertekening van e-mail of documenten (signing) Bij de combinatie van SecureLogin en Smartcards kunnen de gebruikerscredentials van alle SSO-enabled applicaties, op de Smartcard worden opgeslagen. Het materiaal dat op een Smartcard is opgelagen, wordt beschermd door speciale security protocollen, waardoor alleen toegang kan worden verkregen door middel van de juiste PIN code. De PIN geeft dus toegang tot het materiaal waarmee vervolgens kan worden ingelogd (of versleuteld, of gesigned). Bij de toepassing van zowel Smartcard technologie als Single Sign-On, ontstaat een krachtig authenticatie platform dat ook zorgt voor betere gebruikerservaringen. Smartcards zijn er in diverse soorten voor diverse toepassingen en wensen.
SMARTCARD MODELLEN VAN ACTIVIDENTITY: Alle Smartcards worden door ActivIdentity ActivClient middleware aangestuurd.
De traditionele Smartcard dat voldoet aan de hoogste security standaarden. Deze kaarten zijn desgewenst te voorzien van foto of andere teksten.
De Display Card, vergelijkbaar met het voorgaande model maar met een OTPdisplay voor gebruik bij Remote Access toepassingen.
ActivKey SIM, een smartcard in USB formaat. Geen extra Smartcard reader nodig maar kan niet met foto worden geleverd.
ActivKey Display, een smartcard in USB formaat met OTP display.
5
ACTIVE IDENTIY PORTFOLIO 01012012-V1 ©Avensus Nederland bv – an Omnitech Group company
CARD MANAGEMENT SYSTEM Een smartcardmanagement systeem (CMS) vormt de brug tussen de LDAP directory enerzijds en het materiaal op de Smartcard anderzijds. Het systeem wordt gebruikt als hulpmiddel voor: - Uitgifte van smartcards met daarop digitale certificaten, PIN codes, etc. - Beheer van smartcards (wie heeft welke kaart, wanneer zijn deze verlopen, etc.) - Helpdesktooling t.b.v.: - Kaarten verwijderen uit het systeem - Kaarten vervangen - Kaarten blokkeren - Achteraf applicaties of certificaten toevoegen aan kaarten - PIN codes veranderen - PIN codes unlocken - Selfhelp middelen bij smartcard uitgifte en gebruik waarmee gebruikers bovenstaande activiteiten voor een groot deel zelf kunnen uitvoeren via een webapplicatie - Auditingdoeleinden
ACTIVIDENTITY ACTIVCLIENT De ActivIdentity ActivClient software vormt de brug tussen het besturingssysteem en de smartcard. De software voldoet aan de volgende specificaties: -
Smartcards: ISO 7816 -1,-2,-3,-4 Smartcard Operating System: Java™ Card 2.1 and 2.2 Smartcard Readers: PC/SC Public Key Mechanisms: 1024- and 2048-bit RSA, X.509 certificates v3 Public Key Cryptography (PKI): PKCS #7, 10, 11 and 12; Microsoft CAPI 2.0, SSL; S/MIME Symmetric Key Cryptography (SKI): DES, triple DES, ANSI X9.9 U.S. Government Smartcard Interoperability Specifications GSC-IS 2.1 U.S. General Services Administration(GSA) Basic Services Interface (BSI) Credential Encryption: AES Card Management: GlobalPlatform Biometrics: BioAPI 1.1 Section 508 compliant
Schematisch ziet de werking er als volgt uit:
Common Off-the-Shelf Applications Standard API-aware App
Legacy App
(IE, NS, WinXP Login…)
(WinNT Login, Dialup, Login to any app…)
Standard Crypto API (CSP, PKCS#11, BSI)
Smart Card “Drivers”
ActivCard ActivClient
Application Middleware
ActivCard Applications
Smart Card Applets Smart Card
De ActivClient software werkt tevens samen met de Secure Logon agent en zorgt dat deze de gebruikers credentials opslaat op de smartcard.
6
ACTIVE IDENTIY PORTFOLIO 01012012-V1 ©Avensus Nederland bv – an Omnitech Group company
FYSIEKE TOEGANG Het smartcardmanagement systeem van ActivIdentity is te koppelen met verschillende cardmanagement systemen voor fysieke toegang. Vaak kan dan in één “run” een kaart worden aangemaakt waarmee de gebruiker zowel gebouwtoegang krijgt als toegang tot het bedrijfsnetwerk en zijn of haar applicaties. De smartcard’s moeten dan wel voorzien zijn van en een chip voor logische toegang een een chip voor fysieke toegang (b.v. Myfair of HiD) en een antenne-ring voor contactloze toegang tot gebouwen.
WAAROM ACTIVIDENTITY? Bij de keuze van oplossingen SSO, Smartcards en Remote Access authenticatie (one time passwords), is het van belang dat een goede integratie en compatibiliteit is gegarandeerd. Juist daarom heeft Avensus gekozen voor ActivIdentity als leverancier voor Identity Assurance oplossingen. ActivIdentity heeft voor elk van de 3 genoemde gebieden (SSO, Smartcards en Remote Access authenticatie) individueel krachtige oplossingen maar zorgt er ook voor uitgekiende integratie daarvan.
OVER AVENSUS Avensus streeft met haar ICT-oplossingen naar totale controle en beheersbaarheid. Wij zijn een Secure IT bedrijf dat zich specialiseert in Managed Services en van daaruit als transformationeel partner voor haar klanten fungeert op het terrein van Cloud, Virtualisatie, Storage en Application Services. Als flexibele Europese speler, bieden wij onze klanten interne offshoring naar India en leveren daarmee een waardevolle bijdrage aan Groei, Efficiency en Kostenbesparing van uw onderneming. De oplossingen van ActivIdentity zijn uitstekend te integreren met andere platformen en oplossingen die Avensus levert, zoals: - Windows Active Directory - Citrix - Juniper Network Access Control oplossingen - Juniper Remote Access SSLVPN oplossingen - Aruba Networks draadloze netwerken Voor meer informatie www.avensus.eu
7
ACTIVE IDENTIY PORTFOLIO 01012012-V1 ©Avensus Nederland bv – an Omnitech Group company