Что такое safenet authentication client
990x.top
Простой компьютерный блог для души)
SafeNet Authentication Client — что это за программа и нужна ли она?
Программное обеспечение для работы с аппаратными ключами eToken, IDPrime, iKey, также смарт-картами, которые позволяют установить защиту для цифровых данных, доступа к программе, электронной почты.
В основном ПО SafeNet Authentication Client используется на корпоративных компьютерах, рабочих станциях, серверах.
Приложение поддерживает новые операционки например Windows 10, Windows Server 2016.
Программа содержит в себе функции предыдущего ПО под названием eToken PKI Client и SafeNet Borderless Security (BSec), поэтому позволяет продолжать использовать ключи, которые раньше настраивались устаревшим софтом.
Основные функции программы
Подробная информация об аппаратном ключе:
Количество отображаемых данных зависит от версии ПО.
Установка нового пароля ключа:
Чтобы поставить новый пароль — нужно знать предыдущий, новый пароль должен состоять не менее 8 символов (сделано в целях безопасности). 
Приложение поддерживает импорт сертификатов — можно перемещать в защищенную память ключа сертификаты, которые сохранены в виде файла на жестком диске (HDD) или которые расположены в специальном хранилище сертификатов. 
Присутствуют настройки качества пароля. Можно выбрать насколько сложным будет пользовательский PIN-код, а также пароль администратора для аппаратных ключей eToken, iKey, Gemalto.
SafeNet Authentication Client — как удалить?
При ненадобности программы — можно деинсталлировать штатным способом:
SafeNet Authentication Service — система управления одноразовыми паролями
Примерно год назад, в статье «eToken жил, eToken жив, eToken будет жить» я упоминал такой продукт как Gemalto Safenet Authentcation Service, пришло время рассказать про него подробнее. Данная статья вводная, но будут и другие, более технические и думаю даже с реальными бизнес кейсами.
IT специалисты часто сталкиваются с вопросом об усилении безопасности того или иного сервиса. И вопрос идентификации пользователя с прохождением аутентификации так же играет ключевую роль в безопасности сервиса.
Допустим, при работе пользователь из недоверенной среды вводит свои пользовательские данные для идентификации и пароль для прохождения аутентификации, находясь за чужим компьютером, скажем в интернет-кафе. Тем временем, злоумышленники могут перехватить либо сетевые пакеты, либо вводимые данные с клавиатуры, что позволит им в дальнейшем использовать пользовательские данные. Так же вся вводимая пользователем информация в недоверенной среде может локально кэшироваться на компьютере, которым он воспользовался.
Разумеется, использование отчуждаемых носителей в виде смарт-карт или USB-токенов значительно надёжнее, чем использование паролей. Но что делать, когда наступает частный случай, когда пользователю необходимо в данный момент воспользоваться смарт-картой или USB-токеном вне офиса. Не говоря уже о том, что для каждого типа смарт-карт и USB-токенов необходимо наличие специализированного программного обеспечения (ПО) на компьютере. На что в публичной зоне, надеяться не приходится и мало вероятно удастся его установить. Так же нельзя исключать, необходимость наличия свободного USB порта, который может быть заблокирован для подключения USB-токенов или оборудования ПК со считывателем для работы смарт-карт. А с учётом возросшей популярности у пользователей работать за мобильными устройствами, вероятность использования на них отчуждаемых носителей существенно ниже.
Куда легче в использовании одноразовые пароли — OTP — One-Time Password для однократной процедуры аутентификации пользователя. Такой пароль проще и удобней в использовании. Одноразовый пароль нет смысла перехватывать с помощью кейлогера или опасаться, что он будет закэширован на компьютере. Бесполезно подглядывать одноразовый пароль или думать, что его могут перехватить в виде сетевых пакетов. На сегодняшний момент это единственный вид токенов, которые не требуют ни подключения к персональному компьютеру, ни наличия на нём специализированного ПО, работая с любой платформой в любой среде. А большой выбор модельного ряда в виде генераторов одноразовых паролей позволит предприятиям обеспечить усиленную безопасность в предоставлении доступа к корпоративным ресурсам, порталу (-ам) или личному кабинету пользователя, к которым сейчас со стороны бизнеса идет отдельное требование по безопасности.
Что делать, когда мы определились с методом прохождения пользователем аутентификации? Кому передать роль ответственного за управление и поддержку сервисом? Как управлять жизненным циклом OTP-токенов, которые раздали пользователям? Как отслеживать их статусы? Как повысить сервис поддержки пользователей? Эти, а также ещё множество вопросов может возникнуть перед IT менеджерами.
Ключевую роль в решении данных вопросов занимает выбор решения, которое будет справляться с задачей управления жизненным циклом OTP-токенов. Так как основная задача, после ввода токенов в эксплуатацию и передачу их в руки пользователям, — это оказание в максимально короткие сроки своевременного сервиса пользователям токенов. Конечно на рынке присутствует достаточное количество систем управления, но в первую очередь всё же стоит обращать внимание на моно-вендорность решений. Никто лучше, как вендор свои токены не знает.
Нельзя пройти и мимо решения компании Gemalto-SafeNet – SafeNet Authentication Service, которое ежегодно номинируется на «Лучшее решение по мульти-факторной аутентификации» авторитетными изданиями и исследовательскими компаниями.
 | | |
Выбор правильного решения для аутентификации имеет большое значение в снижение бизнес рисков. Разумеется, лучшие решения имеют самый большой ряд поддерживаемых моделей токенов, и могут защитить как облачные, так и локальные приложения, и сервисы, а также любой сетевой доступ с любого устройства. Но речь идет не только о безопасности, речь идет так же о том, как легко вы сможете развертывать, управлять и масштабировать решение аутентификации.
Что из себя представляет SafeNet Authentication Service.
SafeNet Authentication Service — это полностью автоматизированный сервис многофакторной аутентификации, целью которого является обслуживание пользователей с токенами. SafeNet Authentication Service распространяется в 2-х видах редакций. Локальная версия, которую можно самостоятельно развернуть в собственной инфраструктуре предприятии. А также в виде облачной редакции — такой сервис уже развернут и не надо задаваться вопросом: «где найти ресурсы на его разворачивание?». Управление SafeNet Authentication Service осуществляется в браузерной консоли администратора. В консоли оптимальные условия управления процессов: автоматическая подготовка пользователей и репозитария пользователей, скажем, если у вас за основу пользователей берётся LDAP-каталог или СУБД; настройка пользователей самообслуживания; широчайшие настройки механизмов проверки подлинности и защита для всех ваших самых ценных корпоративных ресурсов, как локальных, так и веб-ресурсов или ресурсов в «облаке».
SafeNet Authentication Service поддерживает следующие методы аутентификации и форм-факторы:
Аппаратные OTP-токены используются для создания высокозащищённых одноразовых паролей. Большой выбор модельного ряда аппаратных токенов eToken PASS, eToken GOLD, KT-4, RB-1 позволяет авторизовываться пользователям к критически важным приложениям и данным.
SafeNet Authentication Service использует Enterprise- стандарт RADIUS и SAML-протоколов, которые, по сути означают, что сервис может быть интегрирован в любую сеть и приложение, в том числе в решения от всех ведущих вендоров. С SafeNet Authentication Service можно будет защитить любой доступ к любому приложению.
|
SafeNet Authentication Service из «коробки» поддерживает VPN с усиленной аутентификацией, как IPSec, так и SSL VPN, другими словами идёт совместимость на уровне вендоров таких производителей, как Cisco, Checkpoint, Juniper, F5, Palo Alto, SonicWall, Citrix и WatchGuard. Расширение усиленной аутентификации в инфраструктуре виртуализации (VDI), позволят обеспечить надежность аутентификации на «тонких клиентах», мобильных терминалах и собственных устройств сотрудников (BYOD) в средах виртуализации от Citrix, VMware и AWS (Amazon Web Services).
|
Не так давно, официальный дистрибьютор решений Gemalto-SafeNet в России TESSIS (Technologies, Systems and Solutions for Information Security) объявил о том, что был продлён сертификат соответствия ФСТЭК №3070 до 27 января 2020 года. Решение можно использовать в информационных системах и систем обработки персональных данных для 3 и 4 класса защищенности с актуальной угрозой отсутствия не декларированных возможностей 3 типа.
Кейсы, когда и где может использовать решение SAS?
Финансовые организации и дистанционное банковское обслуживание:
Скачать бесплатно SafeNet Authentication Client 10.0.43
SafeNet Authentication Client – это программа для управления ключами eToken от компании SafeNet. Также включает в себя необходимый пакет драйверов.
eToken – это электронный ключ, который необходим для идентификации человека и подтверждения его личности. Токен может быть в виде смарткарты или USB-носителя, который подключается к компьютеру. SafeNet Authentication Client как раз проверяет подлинность такого ключа и устанавливает инструменты для его работы.
Программа также является менеджером USB-ключей и смарткарт. В главном окне вы увидите список подключенных устройств и возможные операции с ключами. Например, вы можете переименовать ключ, изменить пароль, просмотреть или удалить содержимое eToken. Также можно отключить SafeNet eToken Virtual.
В настройках вы можете установить различные параметры. Например, задать минимальную и максимальную длину пароля, период его действия, скопировать сертификаты пользователя в локальное хранилище и т. д.
Особенности программы
• Управление подключёнными USB-ключами и смарт-картами.
• Автоматически устанавливает драйвера, необходимые для работы eToken.
• Выполнение некоторых операций с ключами: переименование, изменение пароля, удаление содержимого и т. д.
• Интерфейс на русском языке.
• Поддержка Windows XP и выше.
SafeNet Authentication Client можно скачать бесплатно и пользоваться ею в течение ограниченного срока. Затем программу нужно активировать.
SafeNet Authentication Client
Для того, чтобы прикладные приложения могли работать с токенами (зашифровать и расшифровывать данные, вычислять хэши и цифровые подписи, генерировать и хранить ключи и цифровые сертификаты) необходимо промежуточное программное обеспечение, включающее в себя криптопровайдеры, драйверы оборудования, а также интерфейс пользователя для обслуживания токенов (например, смены PIN-кода). В качестве промежуточного ПО для аппаратных токенов Thales можно использовать либо базовый минидрайвер для встроенного в Windows криптопровайдера, либо полнофункциональный клиент SafeNet Authentication Client.
Программный пакет SafeNet Authentication Client (SAC) – это набор драйверов и дополнительных утилит для работы с USB-ключами и смарт-картами производства компании Thales. Он предоставляет приложениям интерфейсы Microsoft CAPI и PKCS#11, тем самым обеспечивая прозрачный доступ любых стандартных приложений безопасности на основе сертификатов к ключам eToken и смарт-картам. Собственный криптопровайдер SafeNet Authentication Client позволяет генерировать и хранить закрытые ключи непосредственно в аппаратных токенах, что снижает риск компрометации секретов. Поддержка виртуальной клавиатуры позволяет отказаться от ввода PIN-кода на физической клавиатуре, обеспечивая защиту от кейлоггеров.
SafeNet Authentication Client сохраняет полную обратную совместимость и функциональность своих предыдущих версий, поддерживает все актуальные и недавно снятые с производства модели USB-ключей eToken и смарт-карт IDPrime, а также ряда сторонних устройств. С его помощью можно обеспечить одновременную поддержу различных механизмов информационной безопасности, включая создание и проверку цифровых подписей, доверенную загрузку компьютера, шифрование дисков и электронной почты. На базе SAC можно построить систему строгой двухфакторной аутентификации на основе цифровых сертификатов и использовать аппаратные токены для защиты входа на локальные компьютеры, удаленного доступа в корпоративную сеть, доступа к прикладным программам и веб-ресурсам.
SafeNet Authentication Client поддерживает платформы Windows, Linux и macOS в едином пользовательском интерфейсе, что позволяет реализовать единую непрерывную среду для приложений на основе инфраструктуры открытых ключей. SAC включает в себя необходимый набор инструментов для локального администрирования, благодаря которому пользователи могут сами управлять своими токенами и цифровыми сертификатами, снижая тем самым нагрузку на администраторов.
Обзор SafeNet Authentication Service, системы для внедрения корпоративного сервиса двухфакторной аутентификации
SafeNet Authentication Service — программный комплекс, позволяющий реализовать двухфакторную аутентификацию для доступа к корпоративным ресурсам с помощью одноразовых паролей, доставляемых пользователю большим количеством способов. Наряду с этим он поддерживает лёгкую масштабируемость, управление рисками и полноценный аудит. Также система обеспечивает полностью автоматизированную аутентификацию с гибкими возможностями для настройки токенов, адаптированными к потребностям конкретной организации, что существенно снижает общую стоимость эксплуатации. Программный комплекс предназначен для локальной установки, тогда как те же функции в облаке предоставляет сервис SafeNet Trusted Access.
Сертификат AM Test Lab
Номер сертификата: 313
Дата выдачи: 26.10.2020
Срок действия: 26.10.2025
Введение
Пользовательские учётные данные являются значимой информацией, при этом абсолютно неважно, в какой точке инфраструктуры они могут быть получены злоумышленником. При отсутствии грамотно выстроенной системы аутентификации этап «горизонтального продвижения» (процесс, при котором киберпреступник распространяет своё влияние по сети жертвы) может завершиться успехом даже в том случае, если имеется несанкционированный доступ лишь к одной пользовательской или сервисной учётной записи.
Более того, атаки, направленные на получение учётных данных, входят в число самых распространённых в мире киберпреступности. Методы злоумышленников здесь могут быть самыми изощрёнными: от взлома веб-ресурсов (с последующей кражей баз учётных данных) и фишинговых рассылок до заражения вредоносными программами или подбора реквизитов для подключения к службам, доступным на сетевых периметрах организаций.
В случае если сервисы организации защищены с помощью различных механизмов двухфакторной аутентификации (2-Factor Authentication, 2FA), реализовать вышеописанные атаки злоумышленнику становится гораздо сложнее. Иными словами, когда он получает доступ к учётным данным, он не сможет успешно авторизоваться на каком-либо сервисе, т. к. у него нет доступа ко второму фактору аутентификации. Напомним, что двухфакторная аутентификация — это система доступа, основанная на двух элементах: один вы запоминаете (логин и пароль), а другим владеете (например, телефон, на который приходит SMS-сообщение с кодом). Аппаратное или программное обеспечение, отвечающее за второй фактор, в этом контексте называют токеном или аутентификатором.
При выборе продукта для 2FA необходимо учитывать такие критерии, как автоматизация синхронизации пользователей, составления отчётов, назначения и отзыва токенов, а также гибкость настройки, простота внедрения и управления. Соответствующие показатели эффективно сочетаются в программном комплексе SafeNet Authentication Service 3.11 (далее — «SAS») от компании Thales (до 2019 года SAS выпускала компания Gemalto), позволяющем защитить с помощью 2FA корпоративные приложения и сети, доступ к которым может осуществляться с любых устройств.
SAS включает в себя широкий набор аутентификаторов и позволяет автоматизировать процесс их назначения и отзыва исходя из того, какой пользовательской группе они принадлежат. Кроме того, программный комплекс обеспечивает лёгкую масштабируемость (поддерживается неограниченное количество пользователей без дополнительных затрат на инфраструктуру), быструю миграцию с существующих средств аутентификации и быстрое внедрение, а также управление рисками и аудит. В частности, SAS даёт возможность реализовать требуемое количество факторов аутентификации в зависимости от уровня секретности данных в защищаемом приложении, т. е. позволяет управлять доступом к электронным данным в зависимости от их бизнес-ценности. При всех этих преимуществах программный комплекс нетребователен к расходам на обслуживание, так что совокупная стоимость владения им снижается.
Видение SAS заключается в том, чтобы автоматизировать и свести к минимуму сложные и рутинные операции, связанные с двухфакторной аутентификацией пользователей. Это достигается благодаря:
Процесс настройки SAS гибок и одновременно сложен, но на выходе организация получает полноценную систему аутентификации на любых пользовательских устройствах, которая не зависит от аппаратных или программных платформ и не требует использовать считыватели смарт-карт или USB-порты, необходимые для аппаратных токенов. Кроме того, программный комплекс позволяет масштабировать систему аутентификации до неограниченного числа пользователей, при этом не снижая, а усиливая функции аутентификации при организации доступа к корпоративным ресурсам.
Далее для краткости и простоты будем называть любую корпоративную программу или любой корпоративный сервис / портал / ресурс / удалённый рабочий стол, на которых планируется реализация двухфакторной аутентификации, просто «приложением».
Функциональные возможности SafeNet Authentication Service
SAS представляет собой программный комплекс для организации двухфакторной (многофакторной) аутентификации с помощью одноразовых паролей (One-Time Password, OTP). Одноразовые пароли применяются самостоятельно, заменяя при этом статические, либо могут использоваться совместно с последними для усиления защиты.
Программный комплекс поддерживает 4 типа аутентификаторов:
1. Аппаратные, характеризующиеся защищённой от внешних воздействий средой. Такие генераторы одноразовых паролей могут быть дополнительно защищены с помощью PIN-кода, однако имеют несколько недостатков: требуют непосредственной передачи пользователю и постоянного наличия при себе, а также могут быть подвергнуты физическому воздействию (при отсутствии PIN-кода генератор будет скомпрометирован, если попадёт в руки злоумышленника).
Рисунок 1. Аппаратные генераторы одноразовых паролей
2. Программные с поддержкой технологии PUSH OTP, представляющие собой приложения, которые могут быть установлены на рабочую станцию или мобильное устройство. Когда пользователю поступает пуш-уведомление, он может ответить непосредственно в нём или нажать на него, чтобы загрузить дополнительные сведения о запросе в приложении MobilePASS+ и уже затем отреагировать. Чтобы исключить несанкционированный доступ при автоматической отправке одноразового пароля, приложение необходимо разблокировать — с помощью либо статического PIN-кода, либо биометрии (отпечатка пальца или FaceID). Принятие уведомления автоматически генерирует одноразовый пароль и отправляет его в SAS. После подтверждения аутентификации по OTP со стороны SAS доступ к запрашиваемому приложению предоставляется автоматически.
Рисунок 2. Программные генераторы одноразовых паролей
3. SMS / SMTP. Данная технология имеет как преимущества, заключающиеся в простоте для конечного пользователя, так и недостатки: уязвимый протокол SS7, который позволяет перехватить SMS-сообщения пользователей, а также возможность компрометации почтового ящика со стороны злоумышленника.
4. Графические. Принцип их работы состоит в следующем: активируя аутентификатор, пользователь видит графическую матрицу (каждая ячейка содержит уникальный символ), где он самостоятельно назначает и запоминает некую траекторию. В дальнейшем при подтверждении личности пользователю демонстрируется аналогичная матрица, содержащая повторяющиеся символы, и на основании траектории, которая была определена во время активации токена, пользователь самостоятельно формирует значение одноразового пароля.
Рисунок 3. Графический генератор одноразовых паролей
SAS позволяет выполнить интеграцию с корпоративными приложениями одним из следующих способов:
Программный комплекс предоставляет единый инструментарий для управления аутентификацией и может применяться при работе с любыми приложениями — как от Microsoft, так и от других производителей.
SAS позволяет автоматизировать назначение и отзыв аутентификаторов за счёт синхронизации с внешними источниками (Active Directory / LDAP / СУБД), а также процесс работы с отчётами, в том числе их выгрузку во внешние системы SIEM.
Все виды активности пользователей протоколируются в базе данных для выдачи предупреждений об изменениях уровня безопасности в режиме реального времени. Для соблюдения стандартов по борьбе с угрозами (SOX, PCI, HIPAA) в программном комплексе существует возможность автоматизировать аудит системы и составление отчётов о её соответствии предъявляемым к ней требованиям.
Работа с SAS со стороны администратора осуществляется из консоли управления, а со стороны пользователя — из портала самообслуживания. Ниже описаны основные возможности консоли управления SAS.
Описание возможностей консоли управления SafeNet Authentication Service
Консоль управления SAS содержит панель инструментов, через которую можно администрировать пользовательские сервисы и учётные записи, виртуальные серверы аутентификации, настройки безопасности, метрики аутентификации и оповещения.
Управление пользовательскими сервисами осуществляется через модуль «Сервисы» на вкладке «On-Boarding», где можно активировать и заблокировать учётную запись, определить её тип («service provider» или «subscriber») и вариант предоставляемого сервиса, а также сроки службы последнего.
Метрики отражают факты некорректного ввода пароля и общее количество результатов аутентификации на текущий день, неделю, предыдущую неделю, месяц и т. д.
Виртуальный сервер аутентификации работает на той же установке SAS, но настраивается независимо и управляется автономно. В SAS существует 2 типа виртуальных серверов:
На рисунке 5 представлены панель инструментов (обозначена цифрой 1) и элементы управления для конкретного виртуального сервера (обозначены цифрой 2).
Вкладка «Virtual Servers» предназначена для управления учётными записями виртуального сервера и пользователей, обеспечения пользователей токенами, гибкого конфигурирования учётных записей с точки зрения безопасности, формирования отчётов, настройки резервирования данных и многого другого.
Рисунок 4. Интерфейс консоли управления SafeNet Authentication Service
Ниже изображён интерфейс виртуального сервера SAS.
Рисунок 5. Интерфейс виртуального сервера в консоли управления SafeNet Authentication Service
На вкладке «Dashboard» представлены модули, которые позволяют управлять учётными записями, оповещениями и метриками, а также просматривать общую информацию.
Рисунок 6. Интерфейс вкладки «Dashboard» в консоли управления SafeNet Authentication Service
На вкладке «Assignment» осуществляется управление всеми пользователями, их аутентификаторами и метриками. Поддерживаются ограничение доступа, добавление в группы общего и индивидуального назначения.
Рисунок 7. Интерфейс вкладки «Assignment» консоли управления SafeNet Authentication Service
Рисунок 8. Интерфейс модуля «Tokens» в консоли управления SafeNet Authentication Service
Вкладка «On-Boarding» позволяет создавать виртуальные серверы аутентификации, определять тип предоставляемого сервиса, размещать токены, а также добавлять операторов и узлы аутентификации (любое из корпоративных устройств / сервисов / приложений), которые отправляют запросы в SAS и контакты учётной записи.
Рисунок 9. Интерфейс вкладки «On-Boarding» в консоли управления SafeNet Authentication Service
Вкладка «Administration» поддерживает функциональность по управлению группами учётных записей, ролями, событиями и отчётами.
Рисунок 10. Интерфейс вкладки «Administration» в консоли управления SafeNet Authentication Service
Как было сказано выше, SAS позволяет автоматизировать процесс создания и синхронизации пользователей.
Создать учётные записи можно с помощью модуля «Create User Shortcut» или посредством импорта из текстового файла.
Рисунок 11. Интерфейс вкладки «Create User Shortcut» в консоли управления SafeNet Authentication Service
Процесс создания пользователей автоматизируется за счёт синхронизации или интеграции с Active Directory / LDAP / СУБД (схемы представлены ниже).
Рисунок 12. Синхронизация SafeNet Authentication Service с LDAP с помощью агента
Рисунок 13. Интеграция SafeNet Authentication Service с LDAP
Также, как мы отмечали ранее, в SAS автоматизирован процесс ведения отчётности. Отчёты могут формироваться по расписанию и доставляться без участия человека; доступна также возможность просматривать и скачивать их через пользовательский интерфейс.
Рисунок 14. Добавление получателя для формирования отчёта о событии
Архитектура SafeNet Authentication Service
SAS поддерживает все типы генераторов одноразовых паролей: с синхронизацией по событию (формируется одноразовый пароль, который может использоваться один раз), по времени (формируется одноразовый пароль, который можно использовать только один раз и только в течение короткого промежутка времени), а также по технологии «запрос — ответ» (сервер формирует последовательность на основании идентификатора, предоставленного пользователю перед аутентификацией; сотрудник вводит эту последовательность («запрос») в генераторе одноразовых паролей, который в свою очередь формирует некий «ответ», который и будет выступать динамическим паролем для аутентификации).
Для интеграции в SAS применяются либо протоколы RADIUS / SAML, либо специализированные агенты — на тот случай, если приложения или устройства не поддерживают протокольный сценарий. В Linux / UNIX-системах интеграция реализована посредством агента, поддерживающего все аутентификаторы, либо через RADIUS-протокол, для чего выполняется установка соответствующего агента в операционной системе и в настройках PAM указывается требование о выполнении процедуры аутентификации через RADIUS-сервер.
Таким образом, SAS можно интегрировать в большинство современных инфраструктур или приложений.
Главными преимуществами архитектуры SAS являются:
Рисунок 15. Архитектура SafeNet Authentication Service
Системные требования SafeNet Authentication Service
Ниже представлены системные требования к локальной установке SAS.
Таблица 1. Системные требования к серверной части SafeNet Authentication Service
Сценарии использования SafeNet Authentication Service
Как уже было сказано ранее, двухфакторная аутентификация может быть реализована совместно со стандартной процедурой подтверждения личности в корпоративном приложении (использование статического логина и пароля), к которому пользователь пытается получить доступ. При этом корпоративное приложение интегрируется со службой ADFS, к которой уже подключается SAS. В таком случае процесс выглядит следующим образом: пользователь заходит, например, на корпоративную почту и перенаправляется на панель входа SAS через ADFS, после чего генерирует одноразовый пароль при помощи мобильного приложения, аппаратного токена или графической матрицы, вводит основные логин и пароль от корпоративной почты, а также сгенерированный OTP. В случае успешной проверки одноразового пароля со стороны SAS сотрудник получает доступ к запрашиваемому приложению. Кроме того, SAS позволяет аутентифицироваться через мобильное приложение в режиме офлайн, но при условии, что пользователь хотя бы один раз проходил этот этап через сервер аутентификации.
В случае если приложение не предоставляет стандартной аутентификации, SAS позволяет выставить PIN-код. В данном случае пароль будет представлять собой конкатенацию PIN-кода, известного только сотруднику, и динамического значения одноразового пароля, который можно сформировать только при наличии пользовательского генератора OTP.
Рассмотрим каждый аутентификатор по отдельности. Для примера продемонстрируем процесс удалённого входа на рабочую станцию и сервер IIS, а также покажем принцип работы RADIUS-сервера через утилиту, позволяющую вручную формировать запросы к нему и анализировать соответствующие ответы (эмулятор RADIUS-клиента под названием NTRadPing).
Двухфакторная аутентификация с помощью аппаратного генератора одноразовых паролей
Как было сказано выше, аппаратные генераторы одноразовых паролей бывают трёх типов: с синхронизацией по событию и по времени, а также на основе технологии «запрос — ответ». Рассмотрим первые два варианта на примере со входом на сервер IIS.
Независимо от типа аутентификатора принцип работы одинаков: пользователь вводит логин и пароль от приложения, выбирает нужный тип из списка (выделено красным на рисунке 16), инициирует генерацию OTP и вводит результат в соответствующее поле.
Рассмотрим процедуру получения OTP с помощью аппаратных генераторов одноразовых паролей.
Рисунок 16. Панель входа на сервер IIS с помощью аппаратного токена с синхронизацией по событию
Сервер аутентификации SAS проверяет доступ и разрешает вход в запрашиваемое приложение (рис. 17).
Рисунок 17. Успешное прохождение двухфакторной аутентификации с помощью SAS
Внешний вид аппаратного генератора одноразовых паролей с синхронизацией по событию (Gemalto OTP Display Card), выполненного в виде смарт-карты с дисплеем, представлен на рисунке 18.
Рисунок 18. Аппаратный генератор одноразовых паролей с синхронизацией по событию в виде смарт-карты с дисплеем
Другая разновидность аппаратного генератора одноразовых паролей с синхронизацией по событию (eToken PASS) в виде пластмассового брелка представлена на рисунке 19.
Рисунок 19. Аппаратный генератор одноразовых паролей с синхронизацией по событию в виде пластмассового брелка
Рисунок 20. Панель входа на сервер IIS с помощью аппаратного токена с синхронизацией по событию
Внешний вид аппаратного генератора одноразовых паролей eToken Pass с синхронизацией по времени представлен на рисунке 21.
Рисунок 21. Аппаратный генератор одноразовых паролей с синхронизацией по времени в виде пластмассового брелка
Двухфакторная аутентификация с помощью программного генератора одноразовых паролей
Рассмотрим на примере процедуру двухфакторной аутентификации на сервере IIS (с помощью приложения MobilePASS от компании Thales) и на удалённом компьютере (посредством программы MobilePASS+, работающей через пуш-уведомления как в онлайн-, так и в офлайн-режиме). Для входа на сервер IIS дополнительно воспользуемся утилитой NTRadPing, которая позволяет вручную формировать запросы к RADIUS-серверу и анализировать полученные ответы.
Итак, в приложении MobilePASS генерируем OTP (рис. 22) и вставляем его в соответствующее поле в NTRadPing (рис. 23), после чего отправляем запрос на проверку подлинности.
Рисунок 22. Интерфейс программного обеспечения MobilePASS
Рисунок 23. Интерфейс программного обеспечения NTRadPing в связке с MobilePASS
После получения доступа от сервера аутентификации SAS необходимо сформировать новый OTP в MobilePASS и вставить его в форму (рис. 19).
Рисунок 24. Панель входа на сервер IIS с помощью программы MobilePASS
Далее рассмотрим процесс двухфакторной аутентификации на удалённой рабочей станции с помощью приложения MobilePASS+, где в качестве аутентификатора выступает мобильное устройство. При инициировании входа мы получаем пуш-уведомление, а после разблокировки и нажатия на кнопку «Approve» (рис. 25) сервер аутентификации SAS проверяет подлинность и автоматически разрешает доступ к компьютеру.
Рисунок 25. Внешний вид программного генератора одноразового пароля с технологией PUSH OTP
Рисунок 26. Процедура двухфакторной аутентификации на удалённой рабочей станции с помощью технологии PUSH OTP
Как было сказано ранее, мобильное приложение MobilePASS+ позволяет работать с ним даже в том случае, если интернет недоступен. Пользователю достаточно разблокировать приложение, сформировать OTP и использовать его для аутентификации.
Рисунок 27. Генерация OTP с помощью мобильного приложения MobilePASS+ в офлайн-режиме
Полученный OTP внесём в соответствующее поле в NTRadPing для проверки подлинности. После разрешения доступа (рис. 28) необходимо повторно сгенерировать OTP и пройти двухфакторную аутентификацию на сервере IIS.
Рисунок 28. Интерфейс программного обеспечения NTRadPing в связке с MobilePASS+
Двухфакторная аутентификация с помощью генератора одноразовых паролей через почтовые или SMS-сообщения
Рассмотрим вход на сервер IIS с помощью OTP, полученного в почтовом сообщении, для чего потребуется почтовый клиент. Процедура отправки такого запроса на прохождение двухфакторной аутентификации изображена на рисунке 29.
Рисунок 29. Процедура двухфакторной аутентификации на сервере IIS с помощью почтового сообщения
OTP в данном случае находится в теле почтового сообщения (рис. 30).
Рисунок 30. Приём OTP от сервера аутентификации SafeNet Authentication Service с помощью почтового клиента
Рисунок 31. Процедура ввода OTP для прохождения аутентификации по второму фактору
Двухфакторная аутентификация с помощью графического генератора одноразовых паролей
Одним из самых простых аутентификаторов является именно графический, т. к. он не требует установки и его нельзя повредить. Пользователю необходимо только запомнить траекторию в матрице.
Рисунок 32. Процедура двухфакторной аутентификации на сервере IIS с помощью графического генератора одноразовых паролей
Рисунок 33. Процедура ввода OTP по графической матрице
Выводы
Программный комплекс SafeNet Authentication Service 3.11 предоставляет гибкий во всех отношениях механизм двухфакторной (многофакторной) аутентификации. Для интеграции с корпоративными приложениями или решениями ведущих вендоров используются готовые агенты либо протоколы RADIUS / SAML.
SafeNet Authentication Service отличается простотой использования, администрирования и интеграции, автоматизирует процесс присвоения генератора OTP, что позволяет инициировать определённый тип токенов для всех новых пользователей или группы сотрудников при помощи одного правила.
Поддержка множества разновидностей генераторов OTP в SafeNet Authentication Service позволяет выбирать конкретные их типы для индивидуальных нужд. Программный комплекс также поддерживает генераторы OTP сторонних производителей, за счёт чего возможна миграция на новую платформу с использованием приобретённых ранее аутентификаторов. Более того, он способен работать совместно с существующей системой аутентификации, что позволяет сохранить текущие вложения в неё, а также обеспечить единое представление об удостоверении личностей сотрудников во всех приложениях.
Исходя из вышесказанного, программный комплекс может быть использован во многих прикладных областях, таких как дистанционное банковское обслуживание (усиленная аутентификация при проверке авторизованного пользователя и обеспечение целостности транзакций), телекоммуникации (обеспечение необходимого уровня оперативности и доступности без ущерба для безопасности, контроль доступа авторизованных пользователей к биллинговой системе), медицина и фармация (обеспечение необходимого уровня безопасности при доступе к электронной картотеке пациентов / базе данных учёта препаратов), корпоративная безопасность (обеспечение защиты сервисов удалённого доступа, виртуальных частных сетей, корпоративных сетей и порталов) и множество прочих.
SAS делает аутентификацию простой и экономичной в реализации и управлении, устраняя многие традиционные «болевые точки» при построении системы подтверждения личности. В частности, SafeNet Authentication Service без труда закрывает вопросы синхронизации пользователей, назначения и отзыва токенов, составления отчётов, автоматического оповещения в случае нарушения безопасности, делегирования полномочий и многие другие, снижая при этом общие эксплуатационные расходы.
Хотя стоимость SAS можно назвать высокой, этот программный комплекс самодостаточен, т. е. не потребует дополнительных затрат и вложений. При этом в конечном итоге организация получает продукт масштаба предприятия без ограничений по функциональным возможностям, способный создать дополнительный эшелон защиты в виде многофакторной аутентификации.
Достоинства:
Недостатки: