1. Kahefaktoriline autentimine – RSA SecurID
Hardy Viilup
Stallion AS

2. RSA Security’st
Faktid
• RSA algoritm saab järgmine aasta 30 aastaseks
• On autentimisturu liider 20+ aastat
• SecurID nimelised tooted turul olnud 15+ aastat
• Klientide poolt hinnatud klienditugi, saadaval 24 tundi
ööpäevas
• Osaleb aktiivselt uurimustöödes, selleks on loodud eraldi
ettevõte, RSA Laboratories
Kasutaja kasu
• Kasutaja rahulolu – teadmine et tegemist usaldusväärse
tootjaga, kes pingutab oma klientide heaolu nimel
• Kindlustunne - pika elueaga tooted

3. Sissejuhatus RSA SecurID juurde

4. Milleks keskenduda autentimisele?
• Autentimine on vajalik usaldatavate
äriprotsesside loomiseks
—Loob usalduse määrates tehingute
osapoolte identiteedid
—“Internetis ei tea keegi, et
sa oled koer”
Salgamise vääramine!

5. Source: RSAS, adapted from Frost & Sullivan
Tugeva autentimise vajadust mõjutavad
tegurid
• Laienev ligipääsu ring
— Mobiilsete ja kaugtöötajate
hulga kasv
— Ettevõtte ressursse kasutavad
kolmandad osapooled
• Kliendid
• Partnerid
• “Willy Sutton’i effekt”
— Kaugjuurdepääs tundlikule
infole
— Üha rohkem “phishing” ründeid
• Probleemid paroolidega
— Paroolid pakuvad nõrka kaitset
— Mitme parooli meelespidamine
tülikas
— Paroolid on üllatavalt kulukad

6. Kahefaktoriline autentimine
Enamlevinud näide
++
PINPIN

7. Autentimisvalikud
Suhteline tugevus
Nõrgem Tugevam
Password
Policy
+
PIN
+
PIN
Ühefaktoriline Kahefaktoriline
+
+
PIN
+
Kolmefakt.
Parool
Poliitika

8. Kasutajate autentimise hetkeolukord
• Paroolid domineerivad aga muutuvad üha nõrgemaks
• Vajadus tugeva autentimise järgi aina kasvab
— Üha enam ettevõtteid viib oma äri internetti
— Töötajate mobiilsus kasvab – vajadus informatsioonile juurdepääsuks igalt
pool, igal ajal
— “Phishing” ründed on viimase aastaga kõvasti kasvanud
(vt. www.antiphishing.org)
• Tugevate autentimislahenduste seas
— Populaarseimad on võtmehoidlad
— Kiipkaardid muutuvad aina võimekamateks
— Biomeetrilisi lahendusi surutakse peale, mõned suured lahendused

9. RSA SecurID
Tootepere

10. RSA SecurID tooted
• RSA SecurID Autentikaatorid
— Riistvaralised võtmehoidlad
— Tarkvaralised võtmehoidlad
— Kiipkaardid/USB võtmehoidlad
• RSA Authentication Manager
— RSA SecurID mootor
• RSA Authentication Agents RSA
— SecurID “valvurid”
• RSA Authentication Deployment Manager
— RSA SecurID volituste juurutamise lahendus
• RSA SecurID Select
— Co-branding teenus - oma logo peale kandmine
SID lahenduse 3
põhikomponenti

11. Kasutaja sisestab
pääsukoodi
(PIN + kood
võtmehoidlast)
KasutajaKasutaja
autenditudautenditud
Authentication
Manager
(Autentimis-
haldur)
Authentication
Agent
(Autentimis-
agent)
Arvutab
pääsukoodi
RSA SecurID autentimislahendus

12. RSA SecurID
Aja-sünkroonne kahefaktoriline autentimine
RSA
Authentication
Manager
RAS,
VPN,
veebiserver,
WiFi AP
jne.
RSA
Authentication
Agent
SeemeAeg
Algoritm
SeemeAeg
032848032848
Algoritm
Sama seemeSama seeme
Sama aegSama aeg

13. RSA SecurID
Ajasünkroonse autentimise
seadmed

14. RSA SecurID Autentikaatorid
• RSA SecurID riistvaralised
võtmehoidlad
— Võtmehoidja
— Pangakaardi kujuline
— Pangakaardi kujuline sõrmistikuga
— Hübriidvõtmehoidla
• RSA SecurID tarkvaralised
võtmehoidlad
— MS Windows PC
— MS Windows Mobile
— Palm pihuarvutid
— BlackBerry pihuarvutid
— Mobiiltelefonid

15. RSA SecurID SID700 autentikaator
•Paranenud kvaliteet ja vastupidavus
•Väiksemad mõõtmed, mugavam
kasutada
•Võimalik lisada oma logo
•Saadaval kohe

16. RSA SecurID SID800 autentikaator
Täiendavad omadused lisana SID700 omadustele:
• Ühtne konteiner mitmesugustele volitustele
— Dün. ühekordsed paroolid, sertifikaadid, paroolid
— Sega-autentimiskeskkonnad – ettevõtte sisevõrk,
kaugpöördus, veeb
— Digitaalallkirjad ja krüpteerimine
• Laiendatavus kaitseb klientide investeeringuid
— Dün. Ühekordsete paroolide juurutamine, hiljem selektiivselt
võimalik lisada täiendav funktsionaalsus
— JAVA tagab hilisema täiendavate rakenduste lisamise ja
parendamise võimaluse
• Lihtne kasutada
— Tarkvaraliste vahendistega võtmehoidla koodile ligipääs
vähendab kasutaja poolt teostatavate klaviatuurivajutuste arvu

17. RSA autentikaatori utiliit
SID800 kliendi tarkvara
• Klient tarkvara kasutatav kui SID800 ühendatud
• MSI ja SMS paigalduseks, tugi ja uuendused distantsilt
• Võtmehoidla koodi vaataja toetab “kopeeri ja kleebi” operatsioone
• Windows parooli muutmise sündmuse korral uuendatakse ka
võtmehoidlas olevat parooli
• Sertifikaatide ja kiipkaardi osa haldus
• Lokaliseerimine toetatud
• Platvormide tugi
— Win 2000, XP Home, Pro
— 2003 Enterprise Edition

18. RSA Authentication Manager
(Autentimishaldur)

19. RSA Authentication Manager
Süsteemi võtmekomponendid
• Andmebaas
—Kasutajad, võtmehoidlad ja klientide info
• Autentimismootor
—Autendib kasutaja vastavalt agendi edastatud andmetele
• Administreerimisliides
—Süsteemi haldus: sätete loomine ja muutmine, võtmehoidlate
omistamine & kasutajad, aruandlus jne.

20. RSA SecurID seade
Turvaline ja lihtne

21. Hoolduspakettide valim
Standart või laiendatud
3-aastased SID700
võtmehoidlad
Aastane riistvara
garantii
Auth Mgr baas-
litsents
RSA SecurID seade
• Skaleerub 10…250, eritellimusel
kuni 50,000 kasutajat
• Sobib nii suurele kui väiksele
• Kiirelt juurutatav
RSA SecurID seade
Kõik ühes seade

22. RSA SecurID seade
Omadused ja kasu
Kasu
• Madalad omamiskulud
• Kiire juurutamine
• Tugevam turvalisus
• Täis funktsionaalsus
• Lihtsalt hallatav
Omadused
• Kindla sihtotstarbega seade
• Tugevdatud Windows® Server 2003
— Sisseehitatud rakenduste tulemüür
— Mittevajalikud teenused ja komponendid blokeeritud
— Tugevdatud TCP/Stack
— Piiratud Group/User jagamisvõimalused
— Rakendused tugevdatud
• Täisfunktisonaalne Authentication
Manager v6.1
• Veebipõhine haldusliides
— Sisseehitatud veebiserver (IIS 6.0) + Authentication
Agent for Web 5.3
• Toetab enam kui 200 RSA SecurID partneri
tooteid

24. RSA Authentication Agents
(Autentimisagendid)

25. • “Turvamees” RSA Authentication Manager, kaitstud ressursi ja
kasutaja vahel
— Katkestab ressursi poole pöördumise ja sunnib kasutajaid end RSA
SecurID abil autentima
• Kastist välja ühilduvus üle 200 tootja – üle 300 sertifitseeritud
tootega
• RSA Authentication Agent SDK võimaldab SID ühildada kasutaja
ressurssidega
• RSA SecurID Ready programm tagab kolmanda osapoole
toodete, mis kasutavad RSA Authentication Agent’it, testimise
RSA Authentication Agents

26. Tugevad autentimislahendused kontrollivad kasutaja
identiteeti enne kui lubavad ressursile juurdepääsu
Admin
Sissehelist.
VPN
Citrix
SSL-VPN
OWA
Windows
Traadita
Veebi portaal
Traat + 802.1x
OS: Unix
OS: Linux
OS: Windows
süsteemid
Kaug-
töötaja
Töötaja
Äripartner
Veeb
Faks
Telefon
Individuaalne
klient
Veeb
Telefon
Kasutajad Ressursid KasutajadRessursid
PAM Agent
SID4Win
SecurID Ready
Veebi agendid
SID4Win
6.1 Server
Veebi agendid
OTPS
Veebi agendid
Isetehtud
Veebi agendid
Isetehtud

27. Ühilduv rohkem kui 300 lahendusega
• Veebirakenduseg ja serverid
— Oracle
— EMC Documentum
— Sun Microsystems
— Apache
— BEA
— IBM
— Microsoft
• Provisioning
— Computer Associates
— IBM
— Thor Technologies
— BMC
— Sun Microsystems
• E-post, töövoo ja kontori automatiseerimine
— Microsoft
— Novell
— Adobe
— IBM
• Kaugpöördus
— iPass
— Citrix
— Nortel
— Symantec
• Traadita
— Cisco
— Microsoft
— Nokia
• Perimeetri kaitse (Tulemüürid, VPN-id ja ründetuvastus)
— Aventail
— Check Point Software
— Cisco
— Citrix
— Juniper
— Nortel
— Nokia
— Microsoft
• Arvutivõrk ja kommunikatsioon
— Lucent
— Cisco
• Radius
— 3COM
— Funk Software
— Cisco
— Lucent
Kliendi kasu: Kiiremini lahendusega turule ja väiksemad juurutuskulud

28. RSA Authentication Deployment Manager
(Autentimise juurutamise haldur)

29. RSA Authentication Deployment Manager
Ülevaade
• Iseteenindav mudel – kasutajad saavad veebisirvija abi taotleda,
kasutusele võtta ja aktiveerida riistvaralisi ja tarkvaralisi võtmehoidlaid
• Automatiseerib väljaandmise ja kiirendab oluliselt RSA SecurID
riistvaraliste ja tarkvaraliste võtmehoidlate väljaandmiskiirust
• Iseteenindav funktsionaalsus, mis vähendab halduskulusid
— PIN koodi vahetud
— Asendusvõtmehoidla taotlemine
• Skaleerub nii suurele kui ka väiksele
• Paindlikult integreeritav teiste RSA Security toodetega või teie
olemasolevate ressurssidega

30. RSA Authentication Deployment Manager
Investeeringu tasuvus
Paberil
taotlus
Juhi
allkiri
Juht edastab
selle
ITO-le
ITO kogub
kasutajate
info
K. andmed
sisestatakse
ACE/Server
RSA Auth Deployment Manager
Käsitsi protsess
Tulemused:
• 7 sammu
• Palju viiteid
• Juurutamise aeg: päevi
• Suur ITO sekkumine
ITO omistab
SecurID
ITO väljast.
SecurID K-
le
X-osakond
väljastab
SecurID
K. esitab
taotluse läbi
ADM-i
K. aktiveerib
võtmehoidla
läbi ADM-i
Tulemused:
• 3 sammu
• Juurutamise aeg: < 1 päev
• ITO pole asjasse segatud,
Authentication Manager
tööd juhib automaatselt
Web Express

31. Iga kasutaja, ükskõik kus
• Automatiseeritus tagab kiire juurutamise
• Inimressursside piiratus ei takista enam RSA SecurID kasutusele
võttu
• Saadaval 24x7
• RSA Authentication Deployment Manager kasutaja ja kaitstavate
andmete baasil
— Ettevõte
— B2B
— B2C
— ASP
RSA Authentication
Deployment Manager

32. RSA SecurID üldlevinud rakendused

33. RSA SecurID
Autentimislahendus töös
RSA Authentication
Manager
ja seade
Veebi
ligipääs
Citrix
VPN lüüs
WAP/802.11Traadita
Admin ligipääs
OS/Võrgu
seadmed
Andmete krüpteerimine
ja alglaadimise kaitse
Ettevõtte
SSO
Veebi
SSO
Federated Identity
Management

34. Mida RSA Security kliendid ütlevad—
väljavõte hiljutisest The Info Pro küsitlusest
•“Tugev. Lihtsalt töötab. Kindel, korralik autentimislahendus.”
•“Tuntud, usaldusväärne.”
•“No. 1 autentimislahenduste tootja.”
•“Laialdane levik muudab toote tugiteenuse osutamise lihtsaks ja
usaldatavaks.”
•“Server on stabiilne. Skaleeritav ja hästi jälgitav.”
•“Meile suurepärane. On usaldusväärne ja töötab siis kui peab.”
•“Väga tugev ja usaldusväärne.”
•“RSA ja nende tooted avaldasid väga muljet. Suurepärane ettevõte, saan
alati vastused oma küsimustele. Nad on fantastilised.”
•“Nende klienditugi on klienditoe ja kvaliteedi mudeliks. Nad on parimad keda
näinud olen.”