VASCO - PowerPoint PPT Presentation

1 / 42
About This Presentation
Title:

VASCO

Description:

Qu es VASCO: d nde y c mo integrarlo. Familias de digipass ... que con una media de dos usos por d a, puede llegar a durar de 5 a 10 a os) ... – PowerPoint PPT presentation

Number of Views:206
Avg rating:3.0/5.0
Slides: 43
Provided by: mariar96
Category:
Tags: vasco | durar | el | filtro

less

Transcript and Presenter's Notes

Title: VASCO


1
VASCO
  • SOLUCIONES DE AUTENTICACIÓN FUERTE

María Ramírez INGENIERO DE SISTEMAS ALBORA
SOLUCIONES Email mramirez_at_ingrammicro.es Teléfono
s 34 91 761 2005 34 607 06 51 64
2
INDICE
  • Qué es VASCO dónde y cómo integrarlo.
  • Familias de digipass
  • Aplicaciones de autenticación y ejemplos.
  • Sincronización tokens-middleware.
  • VASCO Middleware (Vacman products)
  • Escenario general de uso de VACMAN RADIUS
    MIDDLEWARE.
  • Escenario con Pack para CITRIX WEB ACCESS.
  • Formas de programar el Middleware ejemplos para
    CITRIX.

3
QUÉ ES VASCO
4
QUÉ ES VASCO?
  • VASCO diseña, desarrolla, vende y patenta
    productos destinados a la autenticación fuerte
    para comercio y negocios electrónicos.
  • El software de autenticación de VASCO es
    entregado a través de sus Digipass de uso
    particular para usuario final, o en formato
    software para teléfonos móviles, PCs u otros
    dispositivos portátiles.
  • Para gestionar el acceso de los usuarios, los
    productos VACMAN de VASCO, garantizan que sólo
    los usuarios a los que se les adjudica un
    determinado Digipass tendrán acceso a ciertas
    aplicaciones.
  • VASCO tiene su principal fuente de negocio en la
    autenticación frente a aplicaciones y sus cientos
    de millones de usuarios utilizan su sistema como
    solución de seguridad. (Líder en banca)
  • El sistema de VASCO está basado en el tiempo se
    generará un One Time Password que cambia con cada
    uso y es virtualmente imposible de hackear o
    romper.
  • Con 10 millones de Digipass vendidos VASCO se ha
    establecido como líder mundial en cuanto a
    solución de autenticación fuerte con 200
    instituciones financieras internacionales,
    aproximadamente 1000 corporates y gobiernos en
    más de 60 países.

5
EJEMPLO DE HACKING Y ALTERACIÓN DEL CONTENIDO
1. https//www.moncloa.es
Altera código html
Dado que las constraseñas son estáticas,
encuentra métodos de hacking (sniffer de puertos,
puertas traseras) con los que consigue capturar
dichas contraseñas.
Servidor web público
2. Introduce username y password que ha
conseguido crackear
6
SOLUCIÓN DE SEGURIDAD CON VASCO
1. https//www.moncloa.es
Dado que las constraseñas son DINÁMICAS y válidas
sólo una vez, no consigue entrar al servidor a
pesar de capturar una contraseña.
Servidor web público
2. Introduce username y password que ha
conseguido crackear
7
QUÉ ES VASCO?
  • Vasco puede servir como solución de autenticación
    para cualquier tipo de aplicación/solución de
    conectividad, que ya esté funcionando.
    (autenticación de VPNs, Correo via web,
    Aplicaciones Lotus Notes, citrix). Se trata de
    añadir una capa más de seguridad a la ya
    existente.
  • Para que estas soluciones sean efectivas, son
    necesarios dos elementos fundamentales
  • Token con su semilla particular
  • Middleware (software de backend)
  • Ambos elementos (tokens-middleware) se comunican
    para llevar a cabo la autenticación fuerte de
    usuarios

8
FAMILIAS DE DIGIPASS
9
FAMILIAS DE DIGIPASS
DESK 300 DESK 850
Digipass for Windows
PRO 200 PRO 250 PRO 300 PRO 560
PRO 700 PRO 800
GO 10
GO 2
GO 1
GO 3
10
PRO 300
11
DIGIPASS PRO 300
  • Manual
  • Tamaño de bolsillo
  • Fácil de utilizar
  • ? 3 aplicaciones de autenticación posibles
  • Seguridad ampliada
  • Larga duración de la batería (el análisis
    demuestra que con una media de dos usos por día,
    puede llegar a durar de 5 a 10 años)

12
GO-1
13
DIGIPASS GO 1
  • Contiene reloj en tiempo real
  • (passwords siempre basados en el tiempo)
  • Única y sencilla forma de funcionamiento
  • Disponible en colores plateado y azul

14
DIGIPASS GO 1
  • Programado de fábrica
  • ONE TIME PASSWORDS
  • Algoritmo Triple DES
  • 6-Digits response (decimal)
  • Disponible con ó sin pin estático
  • Uso ltSPINgtltOTPgt
  • Cambio de pin ltSPINgtltOTPgtltNPINgtltNPINgt
  • Static PIN verificado y actualizado por el
    software backend (detrás de servidor vasco).

15
CONTENIDO DE LOS TOKENS
  • Todos los tokens contienen internamente
  • Reloj en tiempo real
  • Clave personal (semilla)
  • Algoritmo 3DES

16
APLICACIONES DE AUTENTICACIÓN Y EJEMPLOS
17
APLICACIONES DE AUTENTICACIÓN RESPONSE ONLY
APLICACIÓN Response Only
DES / 3DES
18
Ejemplo RESPONSE ONLY
Presionar el triángulo para encenderlo
El token pide al usuario que introduzca su PIN.
El usuario introduce su PIN (x digitos)
El dispositivo calcula el OTP y lo muestra por
display. El usuario lo mete en el espacio
adecuado.
19
APLICACIONES DE AUTENTICACIÓNCHALLENGE/RESPONSE
APLICACIÓN Challenge / Response
DES / 3DES
20
Ejemplo CHALLENGE/RESPONSE
Presionar triángulo para encender token
El dispositivo pide al usuario que introduzca el
PIN.
El usuario introduce el PIN (x dígitos)
El usuario introduce el CHALLENGE en el token
Challenge (x digits)
El dispositivo calcula el OTP basándose en el
challenge y lo muestra en el display.
21
APLICACIONES DE AUTENTICACIÓNMAC o E-SIGNATURES
APLICACIÓNMessage Authentication Code ( MAC )
DES / 3DES
22
Ejemplo MAC (e-Signature)
Pulsar triéngulo para actuvar el token
El token pide que el usuario teclee el código PIN
El usuario teclea su pin
Usuario introduce el campo de datos 1 en el token
Usuario introduce campo de datos 2 en el token
Usuario introduce el campo final de datos en el
token
El dispositivo calcula el OTP basándose en los
campos introducidos.
23
SINCRONIZACIÓN TOKENS-MIDDLEWARE
24
CONCEPTOS IMPORTANTES SINCRONIZACIÓN
Time synchronization
Tt Token time
Tc Current time
25
LA VENTANA DE TIEMPOS
  • VACMAN MIDDLEWARE dispone de dos ventanas de
    tiempos que se pueden abrir y cerrar para
    efectuar las sincronizaciones con los tokens.
    Estas dos ventanas son
  • 1. Ventana de sincronización inicial La
    usamos la primera vez que nos autenticamos con el
    token. El middleware toma referencias de dicho
    token y guarda esta información en la base de
    datos. Esta ventana, no se volverá a utilizar
    para este token, a no ser que reseteemos su
    información.
  • 2. Ventana operacional Esta ventana conviene
    que sea más pequeña que la inicial. Utiliza
    información almacenada en la base de datos por la
    ventana de sincronización inicial.
  • Ambas ventanas pueden ser modificadas en el
    fichero vrm.config.
  • Estas ventanas, vienen con una configuración
    ajustada de fábrica.

26
VASCO MIDDLEWARE (VACMAN PRODUCTS)
27
VACMAN MIDDLEWARE
  • VACMAN Middleware es el software de VASCO,
    out-of-the-box que permite la autenticación
    fuerte a las aplicaciones a través de los
    digipass. Existen versiones para RADIUS, CITRIX,
    OWA y LOTUS NOTES.
  • VACMAN RADIUS Midlleware se inserta fácilmente en
    la red y conversa sin problemas con cualquier
    entonro RADIUS existente.
  • Para el resto de soluciones (packs para CITRIX,
    OWA y LOTUS), se añaden filtros que se insertan
    en determinadas zonas de la arquitectura, para
    conseguir la adaptación a la aplicación
    específica.
  • El núcleo de todas las versiones de middleware de
    VASCO, es VRM (Vacman Radius Middleware).

28
ESCENARIOS
29
ESCENARIO GENERAL
Servidor RADIUS maneja el proceso de
Autenticación y accounting.
Radius Server
Dial-up VPN
VACMAN Radius Middleware
Vacman Radius Middleware atrapa las peticiones de
autenticación procedentes de los tokens y fuerza
la autenticación fuerte. Interaccionará con el
radius existente para conseguir que el usuario
obtenga sus permisos necesarios de trabajo en
red.
Internet
30
ACCESO SEGURO A CITRIX WEB INTERFACE
Windows Domain
7
6
5
MetaFrame Farm
8
WWW
1
3
VS-Filter
2
4
VACMAN Middleware For Citrix WEB INTERFACE
WEB INTERFACE
Web-server
1 El usuario quiere acceder a aplicaciones
Metaframe a través de servidor WEB. 2 VACMAN
Middleware VS-Filter reenviará el username y
campo password al VACMAN Middleware para WEB
INTERFACE. 3/4 VACMAN Middleware para Citrix
Web Interface autenticará a los usuarios y
reenviará el username de WEB INTERFACE y password
al servidor web. 5 Citrix WEB INTERFACE hará
una solicitud de autenticación al servidor
Metaframe. 6 Metaframe server autenticará al
usuario en el dominio Windows. 7 El usuario
recibirá sus derechos de acceso a través de WEB
INTERFACE (aplicaciones)
31
FORMAS DE PROGRAMACIÓN DE VACMAN MIDDLEWARE
Ejemplos para Citrix
32
FORMAS DE PROGRAMACIÓN DEL MIDDLEWARE (Sintaxis)
  • DUR (Autolearn passwords)
  • VACMAN RADIUS MIDDLEWARE, aprende
    users/passwords del servidor de autenticación de
    backend.
  • Self assign TOKENS
  • Asociar un token a un usuario definido,
    cuando se autentica la primera vez con dicho
    token y utilizando el número de serie de dicho
    dispositivo.
  • Auto-assign TOKENS
  • Asignar un token a un usuario
    directamente, a través del token que se le
    entrega.

33
AUTOLEARN Ó DYNAMIC USER REGISTRATION (DUR)
  • Es necesaria la existencia de un servidor de
    autenticación de backend para que tenga sentido.
  • DUR permite la creación dinámica de usuarios en
    la base de datos de VACMAN WEB MIDDLEWARE.
  • Cuando el usuario se autentica correctamente,
    utilizando su username y passowrd, se produce el
    almacenamiento de dicho usuario en la base de
    datos de VACMAN WEB MIDDLEWARE. A partir de este
    momento le puedo asignar tokens.
  • El password estático se utiliza para hacer enviar
    la petición de autenticación al IIS a través de
    un filtro ISAPI de VASCO.

34
AUTOLEARN
  • El password estático es aprendido automáticamente
    por VACMAN WEB Middleware
  • Cuando el usuario se loga, el password estático
    es verificado en el backend.
  • Si el password es verificado correctamente, VWM
    actualiza su base de datos para que los password
    estáticos sean sincronizados.
  • Esta característica está disponible, marcando la
    opción DUR.

JDoe


MyDomain
Domain
35
SELFASSIGN
  • Selfassign permite al usuario completar el
    proceso de asignación de tokens sin la
    intervención del administrador.
  • Esta función es perfectamente combinable con DUR.

JDoe



MyDomain
Domain
36
AUTOASSIGN
  • Autoassign, automáticamente, asigna un token a un
    usuario creado en la base de datos del VASCO WEB
    Middleware.
  • Esta opción es interoperable con autenticación
    DUR ó creación manual de usuarios.
  • Se enviará un e-mail al/los administradores de
    seguridad, indicándoles este evento.

37
ADMINISTRANDODesarrollo manual
  • El administradorAdmin recive ficheros DPX,
    importa el Digipass en el VACMAN WEB MIDDLEWARE
    utilizando el Admin Gui.
  • Proceso de desarrollo
  • El administrador crea nuevos usuarios
  • El administrador asigna un Digipass al usuario
    nuevo creado.
  • El administrador entrega el Digipass al usuario
    final.

38
ADMINISTRANDODesarrollo semi-automático
  • El Administrador recibe ficheros DPX, importa el
    Digipass en el VWM utilizando el Admin Gui.
  • Se habilitan Grace Period, Dynamic User
    Registration y Auto Assign
  • Nuevos usuarios son automáticamente creados a
    través de DUR, desde la primera autenticación
    estática correcta.
  • El siguiente Digipass disponible (libre), es
    automáticamente asignado al nuevo usuario creado.
  • El grace period es activado (podrá autenticarse
    en estático sin usar el token durante el tiempo
    indicado en el grace period).
  • El administrador entrega el Digipass al usuario
    final.

39
ADMINISTRANDOAutomatic Deployment
  • El administrador recibe ficheros DPX, importa el
    Digipass en el VWM utilizando el Admin Gui.
  • Dynamic User Registration y Self Assign están
    activos.
  • Proceso de desarrollo
  • El administrador entrega el digipass al usuario
    final.
  • Los nuevos usuarios son automáticamente creados a
    través de la primera autenticación correcta
    utilizando DUR.
  • Utilizando la síntaxis Self Assign, el Digipass
    es automáticamente asociado al usuario.

40
PLATAFORMAS SOPORTADAS
41
PLATAFORMAS SOPORTADAS
  • Lado del servidor
  • Windows NT4 SP6 (MDAC 2.6)
  • Windows 2000
  • SUN Solaris 2.7 / 2.8
  • Admin Audit console
  • Java Runtime 1.2.2 required

42
Preguntas ??
  • Muchas gracias!!
Write a Comment
User Comments (0)
About PowerShow.com