Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Sumario
La buena autentificacin sobre el buen puesto de trabajo La fuerte autenticacin: desde la contrasea hacia la autenticacin multi-factores, multi-soporte. Los 7 mtodos de autentificacin ms utilizados Un ejemplo de poltica de autenticacin El SSO de empresa integra la autenticacin fuerte en la poltica de seguridad
2008 Evidian La informacin contenida en este documento refleja la opinin de Evidian sobre las cuestiones abordadas en la fecha de publicacin. Debido a la evolucin constante de las condiciones de mercado a las cuales Evidian debe adaptarse, no representan sin embargo un compromiso por parte de Evidian que no puede garantizar la exactitud de esta informacin, ltima la fecha de publicacin. Este documento se proporciona con fines de informacin solamente. EVIDIAN NO HACE NINGUNA GARANTA IMPLCITA NI EXPLCITA EN EL PRESENTE DOCUMENTO. Se reconocen los derechos de los propietarios de las marcas citadas en esta publicacin.
Autentificacin fuerte
ndice
Advertencia ............................................ 5 La buena autentificacin sobre el buen puesto de trabajo 6
La autentificacin es la primera etapa del proceso de conexin de un usuario ..................................6 El nivel de seguridad ...................................7
Su Poltica de seguridad ............................... 7 Las leyes y reglamentaciones ........................... 7
(4) La Llave Confidencial Defensa ....................21 (5) La tarjeta inteligente con identificador y contrasea ...........................................21 (6) Las soluciones biomtricas .........................21
Las tres familias de solucin de biomtrica ............ 22 Las soluciones de biomtrica con servidor .............. 22 Las soluciones locales ................................ 22 Las soluciones de biomtrica con tarjeta inteligente. .. 22
39 E2 87LT Rev01
Autentificacin fuerte
Los elementos de una solucin de RFID Activo ........... 23
Un ejemplo de poltica de autenticacin ................ 24 El SSO de empresa integra la autenticacin fuerte en la poltica de seguridad............................ 25
39 E2 87LT Rev01
Autentificacin fuerte
Advertencia
Este documento es una introduccin a la problemtica de fuerte autenticacin y acceso a las aplicaciones objetivos. Presenta un estudio de los siete mtodos de autenticacin ms utilizados actualmente y describe sus mecanismos principales. Asocia las funciones principales de un motor de Single Sign-On (SSO). No considera la problemtica de los Servicios Web ni de la Federacin de identidad. Para ms informacin sobre un mtodo en particular, referirse a los documentos ms especializados.
39 E2 87LT Rev01
Autentificacin fuerte
39 E2 87LT Rev01
Autentificacin fuerte
El nivel de seguridad
Su Poltica de seguridad
Toda organizacin tiene, o debera tener, una poltica de seguridad relativa a la proteccin de los puestos de trabajo, de las aplicaciones, de los datos o tambin de los sistemas del SI. Esta poltica de seguridad puede definir niveles mnimos de autenticacin en funcin de la criticidad del recurso utilizado. Por ejemplo, es posible imaginar, como en muy buena pelcula de espionaje, que se coloca un puesto de trabajo crtico en una sala protegida por un acceso controlado por un cdigo confidencial, por la introduccin de una tarjeta inteligente y por una definicin biomtrica del ojo derecho. La proteccin es entonces a su mximo, ya que para registrar es necesario proporcionar un elemento que se sabe (el cdigo), que se posee (la tarjeta) y que es (el ojo). Este mecanismo permite efectivamente proteger un puesto de trabajo pero es costoso desde un punto de vista de la aplicacin (requiere una sala por PC as como los lectores adecuados) y de la explotacin (que pasa si un usuario olvida su cdigo, pierde su tarjeta y se devuelve tuerto del ojo derecho?).
La integracin con las aplicaciones o con el SSO de empresa, La formacin de los usuarios.
39 E2 87LT Rev01
Autentificacin fuerte
Para las operaciones de explotacin
La gestin de un recin llegado con la atribucin de sus distintos elementos, La gestin del olvido de un elemento lgico (olvido de la contrasea o del
identificador),
Estos esfuerzos deben percibirse como inversiones que van a permitir proteger los datos ms sensibles de la empresa y aplicar la poltica de seguridad correspondiente.
39 E2 87LT Rev01
Autentificacin fuerte
su identificador que permite su definicin. uno o ms elementos que permiten garantizar la propia autenticacin.
Encontramos as estos elementos bajo distintas formas. Ah tienes el ms ampliamente utilizados: Tipo El identificador y la contrasea Descripcin El identificador y la contrasea son el par de autenticacin ms conocido. Simple, robusto, incluso rstico, su ms grande defecto es que el nivel de seguridad depende directamente de la complejidad de la contrasea. Contraseas simples son escasas, y contraseas demasiado complejas conducen a los usuarios a aplicar estrategias no siempre correctas para gestionarlas: Post-it , lista en un archivo Excel o en el SmartPhone, El OTP permite asegurar el uso de la contrasea en la red. En efecto, con un sistema OTP el usuario posee un calculador especializado que le proporciona bajo peticin una contrasea. Esta contrasea es vlida solo durante una duracin limitada, y para una nica utilizacin. Esta solucin se aplica en general para el proceso de autenticacin inicial para los accesos externos mediante IP/VPN
39 E2 87LT Rev01
Autentificacin fuerte
Los certificados PKI sobre tarjeta inteligente o token USB Los certificados X.509 aplican una tecnologa avanzada de codificacin que permite calcular o firmar mensajes sin tener que compartir de secreto. El identificador es un certificado pblico que es firmado y en consecuencia garantizado por una autoridad de certificacin reconocida. El usuario debe proporcionar un secreto para poder utilizar los distintos elementos criptogrficos: el cdigo PIN de su tarjeta o su tecla USB. Esta solucin se aplica en general para el proceso de autenticacin inicial o para las conexiones a las aplicaciones Red o de servicio de mensajera. Se trata de una declinacin particular del ejemplo anterior. Es en general una llave multifunciones: almacenamiento de certificado X.509, almacenamiento de datos, recurso criptogrfico etc El almacenamiento del identificador y la contrasea sobre una tarjeta inteligente permite suplementar la proteccin del proceso de autenticacin. La contrasea puede as ser muy compleja y cambiada regularmente de manera automtica y aleatoria. Sin la tarjeta, y sin su cdigo PIN, no se puede acceder a la contrasea. Esta solucin se aplica generalmente para el proceso de autenticacin inicial La autenticacin por biomtrica se basa en la verificacin de un elemento del cuerpo del usuario (generalmente la huella dactilar). Puede basarse en un distribuidor central, en la puesto de trabajo o en una tarjeta inteligente para almacenar los datos biomtricos del usuario. Esta solucin se aplica en general para el proceso de autenticacin inicial y/o para proteger el acceso a aplicaciones muy sensibles. El RFID es una tecnologa que hoy se despliega en los proyectos de Identificacin/Autenticacin. Un chip RFID es insertada en una tarjeta y lleva un nmero de identificacin. Este nmero se asocia a continuacin a un usuario en un sistema informtico. A la base es una tecnologa de Identificacin que puede, acoplado a una contrasea proporcionada por el usuario por ejemplo, utilizarse en procedimientos de autenticacin. Existe 2 declinaciones de esta tecnologa: El RFID pasivo o HID, que supone que la tarjeta no posee alimentacin propia. La tarjeta es abastecida en la lectura por un campo electromagntico generado por el lector. Este sistema se utiliza comnmente para el control de acceso fsico por tarjeta o el pago al restaurante de empresa. La detecta una tarjeta HID a algn centmetro. El RFID activo se basa en los protocolos de comunicacin RFID pero asocia a la carta una alimentacin propia. Esta alimentacin permite una deteccin de la tarjeta a ms largo alcance (por ejemplo a partir de la entrada en una sala o una
Biomtrica
39 E2 87LT Rev01
10
Autentificacin fuerte
oficina). El inters principal del RFID activo es permitir un acta de ausencia para los puestos de trabajo en zonas accesibles al pblico
La autenticacin multi-factores
Un factor de autenticacin es un elemento que se sabe (cdigo secreto), que se posee (apoyo fsico) o que es (biomtrica). En cuanto varios factores de autenticacin registran en juego, hablamos de autenticacin multi factores. Ejemplos de sistema de autenticacin a 1 factor:
Definicin sin contacto (elemento que se posee), Biomtrica o identificador + biomtrica (elemento
que es). Ejemplos de sistema de autenticacin a 2 factores:
Biomtrica + contrasea
(elemento que es Y que se sabe). Ejemplo de sistema de autenticacin a 3 factores:
La multiplicacin del nmero de factores de autenticacin aumenta el nivel de seguridad general, pero plantea los siguientes problemas:
La ergonoma de utilizacin puede volverse demasiado pesado para los usuarios, Se aaden los costes de los perifricos (tarjetas inteligentes, lectores, sensores
biomtricos). Adems, la carga del servicio de ayuda al usuario va a aumentar para administrar el conjunto de estos mtodos (desbloqueo de las contraseas y cdigos PIN, distribucin de las tarjetas, formacin de los usuarios a la biomtrica,).
39 E2 87LT Rev01
11
Autentificacin fuerte
El Token
Una vez establecida la autenticacin inicial del usuario, es necesario transmitir el token a las aplicaciones. Una de las tcnicas utilizada es el token de autentificacin. Este token es un conjunto de datos que contienen los elementos que comprueban la identidad del usuario y que presenta a la aplicacin. La aplicacin debe poder recuperar este token, disponible sobre el puesto de trabajo, luego ir dirigido a un distribuidor especializado que confirmar la validez del token as como la identidad asociada. Los token ms comunes hoy son Kerberos y los token SAML. El token de tipo Kerberos Se aplican, por ejemplo, en el entorno Windows. El token de tipo SAML (tambin llamada asercin SAML) Se aplica en arquitecturas SOA/J2EE/Servicios Web. Los lmites del enfoque por token El enfoque por token requiere que las aplicaciones sean capaces de leer el token y de dialogar con el servidor de autenticacin. Desgraciadamente, las aplicaciones ya existentes (e incluso algunas nuevas aplicaciones) no pueden siempre adaptarse simplemente. El SSO de empresa permite hacer el vnculo entre la autenticacin inicial del usuario y las aplicaciones de la manera ms universal posible. El SSO de empresa interfaz directamente la ventana de demanda de identificador/contrasea de la aplicacin y no tiene necesidad de modificacin ninguna.
39 E2 87LT Rev01
12
Autentificacin fuerte
El SSO de empresa permite aplicar la autenticacin fuerte para controlar el acceso a todas las aplicaciones
El SSO de Empresa permite proporcionar automticamente a las aplicaciones los identificadores y contraseas que requieren a su ejecucin. El SSO de empresa permite aplicar una poltica a la gestin y a la utilizacin de estos elementos.
39 E2 87LT Rev01
13
Autentificacin fuerte
Re-autenticacin para acceso sensible En la ejecucin por el usuario de una aplicacin integrada al sistema de SSO, este ltimo puede pedir una re-autenticacin dicha primaria (la misma que la autenticacin inicial) con el fin de comprobar si el solicitante es el usuario corriente. Controlar el acceso a una aplicacin en funcin del puesto de trabajo El sistema de SSO puede limitar el acceso a las aplicaciones ms crticas a partir de un subconjunto dado de puesto de trabajo. Por ejemplo, las aplicaciones de I+D no pueden ser accesibles sino a partir de los puestos de trabajos de I+D. El acceso mediante un portal Red a partir de un navegador cualquiera en Internet Algunas aplicaciones deben poder ser accesibles mediante Internet a partir de cualquier puesto de trabajo. Es necesario mientras que los mecanismos de SSO puedan tambin aplicarse.
39 E2 87LT Rev01
14
Autentificacin fuerte
Crticas nivel superior Son aplicaciones cuya utilizacin se limita a una familia de usuarios. Sus accesos deben especialmente protegerse.
En la ejecucin de la aplicacin, el
usuario debe re-autentificarse
39 E2 87LT Rev01
15
Autentificacin fuerte El SSO de Empresa permite integrar la autenticacin fuerte en la poltica de seguridad
Con un SSO de Empresa, resulta posible integrar distintos mtodos de autenticaciones y aplicarlos en funcin del tipo de puesto de trabajo. Por ejemplo, es posible aplicar
Una autenticacin RFID Activo que permite administrar el acceso a los puestos de
trabajo compartidos
Una autenticacin por tarjeta inteligente X.509 para proteger los accesos Internet
Web sobre un navegador cualquiera.
39 E2 87LT Rev01
16
Autentificacin fuerte
El directorio de los usuarios que puede ser un Directorio Activo. La infraestructura Microsoft PKI que permite gestionar los certificados X.509.
Adems, cuando se establecen lectores especficos (biomtrica, tarjeta inteligente,) es necesario instalar sobre Windows los componentes (los drivers) que permitirn gestionar el dilogo con estos elementos.
39 E2 87LT Rev01
17
Autentificacin fuerte
Figura 1: Mecanismos OTP
Servidor de autentificacin
Uno de los usos principales de este sistema por las organizaciones es la proteccin de los accesos sobre IP/VPN a partir de los PC situados fuera de la oficina.
39 E2 87LT Rev01
18
) que requieren un lector. Permiten integrar otras tecnologas para otros usos, como, por ejemplo: una antena sin contacto (acceso fsico), o una pista magntica (cantina, gestin del tiempo).
La infraestructura de PKI
Una infraestructura a llave pblica por regla general est formada por tres entidades distintas: La autoridad de registro (S.A.). Esta entidad se encarga de las operaciones administrativas como la verificacin de la identidad del usuario o el seguimiento de las solicitudes. La autoridad de certificacin (CA). Esta entidad se encarga de las tareas de creacin de certificados o firma de las listas de revocacin. La autoridad de depsito (AD). Esta entidad se encarga de la conservacin en seguridad de los certificados.
Puesta en lista negra (blacklist) de una tarjeta perdida (o retirada de la lista negra si
se encuentra)
El mdulo de autentificacin
El mdulo de autentificacin del puesto debe autentificar al usuario: 1. Pide el identificador y el cdigo PIN de la tarjeta 2. Comprueba ante el CMS que la tarjeta no est en la lista negra de las tarjetas
39 E2 87LT Rev01
19
Autentificacin fuerte
3. 4. Recupera el certificado pblico en la tarjeta, comprueba su firma y comprueba que no se publica en la lista negra Pide a la carta firmar un desafo y comprueba (o hace comprobar por un servidor) que la firma corresponde bien al certificado pblico
En caso de validacin de los elementos, este mdulo autoriza el acceso al puesto de trabajo bajo la identidad requerida. Debe tambin gestionar otros acontecimientos:
El reseteo a distancia del cdigo PIN de una tarjeta por el help desk. La proteccin del puesto de trabajo cuando se quita la tarjeta del lector: cierre de la
sesin Windows, o bloqueo simple.
E-SSO
39 E2 87LT Rev01
20
Autentificacin fuerte
el key logger es un cdigo malware que se instala sobre el PC que registra las teclas usadas por el usuario y enviadas a un servidor.
39 E2 87LT Rev01
21
Un servidor central, Un mdulo de alta de las firmas biomtricas, Un mdulo de autentificacin especfico para gestionar la autentificacin. Las soluciones locales
Estas soluciones evitan el almacenamiento centralizado de las firmas biomtricas almacenando todo dato sensible sobre el puesto de trabajo del usuario. Si esta solucin es ms aceptable desde un punto de vista legal en numerosos pases, plantea el problema de la movilidad de los usuarios en la empresa.
39 E2 87LT Rev01
22
Autentificacin fuerte
Los elementos fsicos como las tarjetas de los usuarios y la antena para cada PC El mdulo de autenticacin que debe instalarse sobre el PC El sistema de gestin de las tarjetas que, adems de las tareas de gestin
corrientes, dialoga con el mdulo de autenticacin de los puestos para la definicin de las tarjetas, y la gestin de los identificadores y contraseas de apertura de sesin.
39 E2 87LT Rev01
23
Autentificacin fuerte
39 E2 87LT Rev01
24
Autentificacin fuerte
Gestin y proteccin de los accesos a las aplicaciones Filtrado de las aplicaciones en funcin del PC y el mtodo de autenticacin
asociado
Evidian puede ayudarles a establecer un proyecto de autentificacin de sus usuarios y control de acceso a sus aplicaciones. Para ms informacin, pueden contactar: http://www.evidian.com/evidian/contacts.php&c=lbstrauth
39 E2 87LT Rev01
25