VASCO

1
VASCO

• SOLUCIONES DE AUTENTICACIÓN FUERTE

María Ramírez INGENIERO DE SISTEMAS ALBORA
SOLUCIONES Email mramirez_at_ingrammicro.es Teléfono
s 34 91 761 2005 34 607 06 51 64
2
INDICE

• Qué es VASCO dónde y cómo integrarlo.
• Familias de digipass
• Aplicaciones de autenticación y ejemplos.
• Sincronización tokens-middleware.
• VASCO Middleware (Vacman products)
• Escenario general de uso de VACMAN RADIUS
  MIDDLEWARE.
• Escenario con Pack para CITRIX WEB ACCESS.
• Formas de programar el Middleware ejemplos para
  CITRIX.

3
QUÉ ES VASCO
4
QUÉ ES VASCO?

• VASCO diseña, desarrolla, vende y patenta
  productos destinados a la autenticación fuerte
  para comercio y negocios electrónicos.
• El software de autenticación de VASCO es
  entregado a través de sus Digipass de uso
  particular para usuario final, o en formato
  software para teléfonos móviles, PCs u otros
  dispositivos portátiles.
• Para gestionar el acceso de los usuarios, los
  productos VACMAN de VASCO, garantizan que sólo
  los usuarios a los que se les adjudica un
  determinado Digipass tendrán acceso a ciertas
  aplicaciones.
• VASCO tiene su principal fuente de negocio en la
  autenticación frente a aplicaciones y sus cientos
  de millones de usuarios utilizan su sistema como
  solución de seguridad. (Líder en banca)
• El sistema de VASCO está basado en el tiempo se
  generará un One Time Password que cambia con cada
  uso y es virtualmente imposible de hackear o
  romper.
• Con 10 millones de Digipass vendidos VASCO se ha
  establecido como líder mundial en cuanto a
  solución de autenticación fuerte con 200
  instituciones financieras internacionales,
  aproximadamente 1000 corporates y gobiernos en
  más de 60 países.

5
EJEMPLO DE HACKING Y ALTERACIÓN DEL CONTENIDO
1. https//www.moncloa.es
Altera código html
Dado que las constraseñas son estáticas,
encuentra métodos de hacking (sniffer de puertos,
puertas traseras) con los que consigue capturar
dichas contraseñas.
Servidor web público
2. Introduce username y password que ha
conseguido crackear
6
SOLUCIÓN DE SEGURIDAD CON VASCO
1. https//www.moncloa.es
Dado que las constraseñas son DINÁMICAS y válidas
sólo una vez, no consigue entrar al servidor a
pesar de capturar una contraseña.
Servidor web público
2. Introduce username y password que ha
conseguido crackear
7
QUÉ ES VASCO?

• Vasco puede servir como solución de autenticación
  para cualquier tipo de aplicación/solución de
  conectividad, que ya esté funcionando.
  (autenticación de VPNs, Correo via web,
  Aplicaciones Lotus Notes, citrix). Se trata de
  añadir una capa más de seguridad a la ya
  existente.
• Para que estas soluciones sean efectivas, son
  necesarios dos elementos fundamentales
• Token con su semilla particular
• Middleware (software de backend)
• Ambos elementos (tokens-middleware) se comunican
  para llevar a cabo la autenticación fuerte de
  usuarios

8
FAMILIAS DE DIGIPASS
9
FAMILIAS DE DIGIPASS
DESK 300 DESK 850
Digipass for Windows
PRO 200 PRO 250 PRO 300 PRO 560
PRO 700 PRO 800
GO 10
GO 2
GO 1
GO 3
10
PRO 300
11
DIGIPASS PRO 300

• Manual
• Tamaño de bolsillo
• Fácil de utilizar
• ? 3 aplicaciones de autenticación posibles
• Seguridad ampliada
• Larga duración de la batería (el análisis
  demuestra que con una media de dos usos por día,
  puede llegar a durar de 5 a 10 años)

12
GO-1
13
DIGIPASS GO 1

• Contiene reloj en tiempo real
• (passwords siempre basados en el tiempo)
• Única y sencilla forma de funcionamiento
• Disponible en colores plateado y azul

14
DIGIPASS GO 1

• Programado de fábrica
• ONE TIME PASSWORDS
• Algoritmo Triple DES
• 6-Digits response (decimal)
• Disponible con ó sin pin estático
• Uso ltSPINgtltOTPgt
• Cambio de pin ltSPINgtltOTPgtltNPINgtltNPINgt
• Static PIN verificado y actualizado por el
  software backend (detrás de servidor vasco).

15
CONTENIDO DE LOS TOKENS

• Todos los tokens contienen internamente
• Reloj en tiempo real
• Clave personal (semilla)
• Algoritmo 3DES

16
APLICACIONES DE AUTENTICACIÓN Y EJEMPLOS
17
APLICACIONES DE AUTENTICACIÓN RESPONSE ONLY
APLICACIÓN Response Only
DES / 3DES
18
Ejemplo RESPONSE ONLY
Presionar el triángulo para encenderlo
El token pide al usuario que introduzca su PIN.
El usuario introduce su PIN (x digitos)
El dispositivo calcula el OTP y lo muestra por
display. El usuario lo mete en el espacio
adecuado.
19
APLICACIONES DE AUTENTICACIÓNCHALLENGE/RESPONSE
APLICACIÓN Challenge / Response
DES / 3DES
20
Ejemplo CHALLENGE/RESPONSE
Presionar triángulo para encender token
El dispositivo pide al usuario que introduzca el
PIN.
El usuario introduce el PIN (x dígitos)
El usuario introduce el CHALLENGE en el token
Challenge (x digits)
El dispositivo calcula el OTP basándose en el
challenge y lo muestra en el display.
21
APLICACIONES DE AUTENTICACIÓNMAC o E-SIGNATURES
APLICACIÓNMessage Authentication Code ( MAC )
DES / 3DES
22
Ejemplo MAC (e-Signature)
Pulsar triéngulo para actuvar el token
El token pide que el usuario teclee el código PIN
El usuario teclea su pin
Usuario introduce el campo de datos 1 en el token
Usuario introduce campo de datos 2 en el token
Usuario introduce el campo final de datos en el
token
El dispositivo calcula el OTP basándose en los
campos introducidos.
23
SINCRONIZACIÓN TOKENS-MIDDLEWARE
24
CONCEPTOS IMPORTANTES SINCRONIZACIÓN
Time synchronization
Tt Token time
Tc Current time
25
LA VENTANA DE TIEMPOS

• VACMAN MIDDLEWARE dispone de dos ventanas de
  tiempos que se pueden abrir y cerrar para
  efectuar las sincronizaciones con los tokens.
  Estas dos ventanas son
• 1. Ventana de sincronización inicial La
  usamos la primera vez que nos autenticamos con el
  token. El middleware toma referencias de dicho
  token y guarda esta información en la base de
  datos. Esta ventana, no se volverá a utilizar
  para este token, a no ser que reseteemos su
  información.
• 2. Ventana operacional Esta ventana conviene
  que sea más pequeña que la inicial. Utiliza
  información almacenada en la base de datos por la
  ventana de sincronización inicial.
• Ambas ventanas pueden ser modificadas en el
  fichero vrm.config.
• Estas ventanas, vienen con una configuración
  ajustada de fábrica.

26
VASCO MIDDLEWARE (VACMAN PRODUCTS)
27
VACMAN MIDDLEWARE

• VACMAN Middleware es el software de VASCO,
  out-of-the-box que permite la autenticación
  fuerte a las aplicaciones a través de los
  digipass. Existen versiones para RADIUS, CITRIX,
  OWA y LOTUS NOTES.
• VACMAN RADIUS Midlleware se inserta fácilmente en
  la red y conversa sin problemas con cualquier
  entonro RADIUS existente.
• Para el resto de soluciones (packs para CITRIX,
  OWA y LOTUS), se añaden filtros que se insertan
  en determinadas zonas de la arquitectura, para
  conseguir la adaptación a la aplicación
  específica.
• El núcleo de todas las versiones de middleware de
  VASCO, es VRM (Vacman Radius Middleware).

28
ESCENARIOS
29
ESCENARIO GENERAL
Servidor RADIUS maneja el proceso de
Autenticación y accounting.
Radius Server
Dial-up VPN
VACMAN Radius Middleware
Vacman Radius Middleware atrapa las peticiones de
autenticación procedentes de los tokens y fuerza
la autenticación fuerte. Interaccionará con el
radius existente para conseguir que el usuario
obtenga sus permisos necesarios de trabajo en
red.
Internet
30
ACCESO SEGURO A CITRIX WEB INTERFACE
Windows Domain
7
6
5
MetaFrame Farm
8
WWW
1
3
VS-Filter
2
4
VACMAN Middleware For Citrix WEB INTERFACE
WEB INTERFACE
Web-server
1 El usuario quiere acceder a aplicaciones
Metaframe a través de servidor WEB. 2 VACMAN
Middleware VS-Filter reenviará el username y
campo password al VACMAN Middleware para WEB
INTERFACE. 3/4 VACMAN Middleware para Citrix
Web Interface autenticará a los usuarios y
reenviará el username de WEB INTERFACE y password
al servidor web. 5 Citrix WEB INTERFACE hará
una solicitud de autenticación al servidor
Metaframe. 6 Metaframe server autenticará al
usuario en el dominio Windows. 7 El usuario
recibirá sus derechos de acceso a través de WEB
INTERFACE (aplicaciones)
31
FORMAS DE PROGRAMACIÓN DE VACMAN MIDDLEWARE
Ejemplos para Citrix
32
FORMAS DE PROGRAMACIÓN DEL MIDDLEWARE (Sintaxis)

• DUR (Autolearn passwords)
• VACMAN RADIUS MIDDLEWARE, aprende
  users/passwords del servidor de autenticación de
  backend.
• Self assign TOKENS
• Asociar un token a un usuario definido,
  cuando se autentica la primera vez con dicho
  token y utilizando el número de serie de dicho
  dispositivo.
• Auto-assign TOKENS
• Asignar un token a un usuario
  directamente, a través del token que se le
  entrega.

33
AUTOLEARN Ó DYNAMIC USER REGISTRATION (DUR)

• Es necesaria la existencia de un servidor de
  autenticación de backend para que tenga sentido.
• DUR permite la creación dinámica de usuarios en
  la base de datos de VACMAN WEB MIDDLEWARE.
• Cuando el usuario se autentica correctamente,
  utilizando su username y passowrd, se produce el
  almacenamiento de dicho usuario en la base de
  datos de VACMAN WEB MIDDLEWARE. A partir de este
  momento le puedo asignar tokens.
• El password estático se utiliza para hacer enviar
  la petición de autenticación al IIS a través de
  un filtro ISAPI de VASCO.

34
AUTOLEARN

• El password estático es aprendido automáticamente
  por VACMAN WEB Middleware
• Cuando el usuario se loga, el password estático
  es verificado en el backend.
• Si el password es verificado correctamente, VWM
  actualiza su base de datos para que los password
  estáticos sean sincronizados.
• Esta característica está disponible, marcando la
  opción DUR.

JDoe


MyDomain
Domain
35
SELFASSIGN

• Selfassign permite al usuario completar el
  proceso de asignación de tokens sin la
  intervención del administrador.
• Esta función es perfectamente combinable con DUR.

JDoe



MyDomain
Domain
36
AUTOASSIGN

• Autoassign, automáticamente, asigna un token a un
  usuario creado en la base de datos del VASCO WEB
  Middleware.
• Esta opción es interoperable con autenticación
  DUR ó creación manual de usuarios.
• Se enviará un e-mail al/los administradores de
  seguridad, indicándoles este evento.

37
ADMINISTRANDODesarrollo manual

• El administradorAdmin recive ficheros DPX,
  importa el Digipass en el VACMAN WEB MIDDLEWARE
  utilizando el Admin Gui.
• Proceso de desarrollo
• El administrador crea nuevos usuarios
• El administrador asigna un Digipass al usuario
  nuevo creado.
• El administrador entrega el Digipass al usuario
  final.

38
ADMINISTRANDODesarrollo semi-automático

• El Administrador recibe ficheros DPX, importa el
  Digipass en el VWM utilizando el Admin Gui.
• Se habilitan Grace Period, Dynamic User
  Registration y Auto Assign
• Nuevos usuarios son automáticamente creados a
  través de DUR, desde la primera autenticación
  estática correcta.
• El siguiente Digipass disponible (libre), es
  automáticamente asignado al nuevo usuario creado.
  
• El grace period es activado (podrá autenticarse
  en estático sin usar el token durante el tiempo
  indicado en el grace period).
• El administrador entrega el Digipass al usuario
  final.

39
ADMINISTRANDOAutomatic Deployment

• El administrador recibe ficheros DPX, importa el
  Digipass en el VWM utilizando el Admin Gui.
• Dynamic User Registration y Self Assign están
  activos.
• Proceso de desarrollo
• El administrador entrega el digipass al usuario
  final.
• Los nuevos usuarios son automáticamente creados a
  través de la primera autenticación correcta
  utilizando DUR.
• Utilizando la síntaxis Self Assign, el Digipass
  es automáticamente asociado al usuario.

40
PLATAFORMAS SOPORTADAS
41
PLATAFORMAS SOPORTADAS

• Lado del servidor
• Windows NT4 SP6 (MDAC 2.6)
• Windows 2000
• SUN Solaris 2.7 / 2.8
• Admin Audit console
• Java Runtime 1.2.2 required

42
Preguntas ??

• Muchas gracias!!