11-02-2024
SecurID (также RSA SecurID) – технология , разработанная компанией RSA, (впоследствии известная как RSA The Security Division of EMC) для предоставления двух-факторной аутентификации между пользователем и сетевыми устройствами. Двухфакторная аутентификация RSA SecurID® основывается на том, что Вы знаете (пароль или PIN-код) и у Вас есть ключ, таким образом обеспечивается гораздо более надежный уровень проверки подлинности пользователя по сравнению с многократно используемыми паролями. Данное решение является единственным решением, которое автоматически изменяет пароль каждые 60 секунд. RSA предлагает предприятиям широкий спектр возможностей аутентификации пользователей, которые помогают уверенно определять пользователей прежде, чем они смогут взаимодействовать с критически важными данными и приложениями через:
RSA SecurID влючает в себя три основных компонента
RSA Authentication Manager является стандартом гарантии подлинности личности. Данная система включает в себя все четыре функции, которые необходимы для обеспечения гарантии подлинности личности: управление учетными данными на основе политики проверки подлинности пользователей, аутентификация, авторизация и интеллектуальная обработка. Гарантия подлинности личности RSA имеет более расширенное понятие аутентификации — от отдельной защитной меры до целостной модели доверия к личности, определяющей, использование учетной записи и каковы её возможности. Применение доверенных учетных записей повышает уровень безопасности ежедневно осуществляемых операций и предоставляет поддержку для новых моделей бизнеса, гарантируя безопасный доступ сотрудникам компании, её клиентам и партнерам и сохраняя необходимый баланс между риском, стоимостью и удобством. Данное программное обеспечение выполняет следующие задачи:
Программное обеспечение RSA® Authentication Manager является управляющим компонентом системы RSA SecurID®. Блягодаря этому решению производится обработка запросов на проверку подлинности и осуществляется централизованное управление политикой проверки подлинности пользователей. Работая совместно с аутентификаторами RSA SecurID и программами RSA® Authentication Agent, данное решение обеспечивает двухфакторную проверку подлинности пользователей и защищенный доступ к большому количеству виртуальных частных сетей, беспроводных сетей, web-приложений, бизнес приложений и операционных систем.
RSA Authentication Manager обеспечивает высокую производительность и масштабируемость с такими функциями управления, как репликация базы данных, регистрация и отчетность, поддержка родного LDAP и web-интерфейс управления. Решение RSA Authentication Manager может удовлетворить потребности организаций любого размера. Созданное на основе мультипроцессорной архитектуры корпоративного класса, оно способно обеспечивать поддержку от двадцати пяти до нескольких миллионов пользователей на одном серверe, а также осуществлять сотни проверок подлинности в секунду. RSA Authentication Manager применяется во всем мире в правительственном секторе, в банковском секторе, секторе производства, розничной торговли, высоких технологий и здравоохранения, включая многие мелкие и средние компании. Имеется две версии данного решения: Base Edition (базовая версия) и Enterprise Edition (корпоративная версия).
Функция репликации базы данных RSA Authentication Manager обеспечивает повышенную гибкость конфигурации сети и балансировку нагрузки для повышения производительности, что в конечном итоге снижает затраты на управление. В базовой версии имеется один основной сервер и один сервер-реплика. На основном сервере производится управление учетными записям пользователей, а вся информация копируется на сервер-реплику. Запросы на проверку подлинности могут обрабатывать оба сервера; RSA Authentication Agent распределяет рабочую нагрузку между серверами, отслеживая время реакции и направляя запрос на соответствующий сервер в целях оптимизации производительности.Корпоративная версия, которая предназначена для средних и крупных компаний, имеет один основной сервер и до пятнадцати серверов-реплик в одной области (authentication realm), и может соединять до шести отдельных областей. Каждый из серверов в развернутой системе может быть группой из 4 машин, что повышает эффективность распределения нагрузки, связанной с задачами администрирования и проверки подлинности. Это позволяет администраторам отслеживать проверку подлинности пользователей в их системах в реальном времени, одновременно обновлять политику безопасности и разрабатывать глобальную топологию сетей для повышения их производительности.
RSA Authentication Manager ведет запись всех операций и действий пользователя, поэтому администраторы могут использовать его как инструмент аудита и отчетности, а также проводить проверки на соответствие предъявляемым требованиям. Он содержит шаблоны отчётов, которые можно адаптировать к задачам администрирования, в том числе отчеты о действиях, исключениях, инцидентах и использовании системы. Кроме функций отчетности, данный продукт также содержит монитор реального времени, который отображает все или выбранные администратором действия в глобальной развернутой системе.
RSA Authentication Manager совместим с большинством крупнейших сетевых продуктов и операционных систем, - включая более чем 400 наименований продукции от более чем 200 производителей, обслуживая организации с максимумом гибкости и защиты инвестиций и предоставляя им максимальную гибкость и защиту капиталовложений. Встроенная поддержка RSA Authentication Manager предусмотрена ведущими производителями систем удаленного доступа, виртуальных частных сетей, систем защиты доступа, устройств беспроводной сети, web-серверов и бизнес-приложений.
Поддерживаются следующие операционные системы: Microsoft Windows Server 2003, Sun Solaris, Red Hat Linux, SuSE Linux Enterprise Server, HP-UX, IBM AIX.
Поддержка родного LDAP поддерживает интеграцию с Sun One и Microsoft Active Directory, RSA Authentication Manager не требует синхронизации. Веб-интерфейс администрирования RSA Authentication Manage не требует от клиента установки программного обеспечения и может управляться с любого компьютера с подключением к интернету и установленным браузером.
RSA Credential Manager жестко связан с интерфейсом управления RSA Authentication Manager, и не требует отдельной установки. Он предлагает такие функции, как самообслуживание, позволяя конечным пользователям запрашивать различные услуги, такие как получение пароля с токена по требованию для экстренного доступа или подготовка рабочего процесса резервирования( которая позволяет администраторам создавать процессы, посредством которых одобряются запросы и выдаются учетныe данных.
Основная задача – потребовать от пользователя ввод SecurID информации, отправить её на центральный сервер и, в зависимости от ответа, предоставить доступ или отказать в доступе. Агенты обеспечивают балансировку нагрузки путем определения времени отклика сервера-реплики и отвечают соответственно.
RSA Authentication Agent программное обеспечение, встроенное в серверы удаленного доступа (RAS), брадмауэры и виртуальные частные сети (VPN), что гарантирует что RSA SecurID технология будет работать без проблем в любой пользовательской среде. Кроме того, агенты позволяют обезопасить веб-страниц и приложения в интранете или экстранете, в то же время защищая критически важные серверные системы.
Агенты также могут обеспечить безопасный доступ к NT доменам и ресурсам, размещенных на серверах UNIX, мэйнфреймам, системам средней удаленности, а также к ряду устаревших узлов. Инструментарий программного обеспечение позволяет создавать пользовательские агенты для защиты других внутренних приложений, которые являются специфическими для конкретной организации.
Список ресурсов, которые могут быть защищены, огромен. В него входят Web-серверы, сетевые ресурсы, VPN и Dial-up серверы, почтовые серверы, рабочие станции, серверы удалённого доступа к приложениям. Полный список, а так же инструкции по интеграции можно найти на сайте производителя. Если необходимого ресурса нет в списке, поддерживается аутентификация по RADIUS протоколу. Если этого недостаточно, существует API, который позволит написать необходимый агент самостоятельно.
Один и тот же токен не может подходит для всех случаев, когда дело доходит до выбора правильного аутентификатора, чтобы сбалансировать безопасность вашей организации, совокупною стоимость предприятия и потребности конечных пользователей. С широким спектром простых в использовании форм-факторов, есть RSA SecurID аутентификаторы способные удовлетворить самые разнообразные требования организаций и приложений.
RSA SecurID аппаратные токены разработаны противостоять самым худшим мыслимым условиям, гарантируя, что вы не столкнетесь с скрытыми расходами, связанными с бракованными токенами. При выборе RSA SecurID токенов, которые поставляются с пожизненной гарантией, организации могут снизить накладные расходы на распространение замены жетонов и снизить общие затраты на безопасность, обеспечивая целостность и простоту в использовании аутентификации опыт для конечных пользователей. The RSA SecurID аппаратные токен поставляются в виде различных удобных моделей, генерирующие и отображающие новые коды каждые 60 секунд.
Модели RSA SecurID SD600 и SID700 представляют собой небольшие брелки, которые можно прикрепить к любой связке ключей и легко помещаются в карман пользователя или небольшой футляр для переноски, обеспечивающие высочайшую долговечность в надежной и портативной форме.
Новейшая модель в этой линейке - это устройство RSA SecurID SID800. Оно обеспечивает функцию одноразового пароля, так же как другие модели, плюс дополнительные функции, благодаря встроенному разъему USB и интеллектуальному чипу. Это устройство может быть использовано для генерации кодов однократного применения, а также для хранения имен пользователей, паролей учетных данных ОС Windows и цифровых сертификатов, создающих мастер-ключи для нескольких методов аутентификации. Кроме того при подключении RSA SecurID 800 включается автоматический ввод кода жетона, позволяя программным приложениям токена вводить коды непосредственно с устройства и устраняя необходимость пользователю вводить коды самому с клавиатуры.
Базовый аппаратный токен аутентификации RSA SecurID, представлен моделью RSA SD200. Это устройство размером с кредитную карту, обеспечивающее превосходные рабочие характеристики, впрочем гарантированные для каждого устройства аутентификации RSA SecurID. Он выполнен из металла и имеет толщину порядка 5 мм.
Токен RSA SecurID SD 520 аналогичен SD200, но имеет дополнительную цифровую панель. Пин-код пользователя набирается на этой панели. В результате токен отображает не просто токен-код, а комбинацию пин-кода и токен-кода, которая вводится при аутентификации. Данный токен имеет преимущество перед предыдущей моделью в том что, позволяет обеспечить сохранность пин-кода, даже если записываются нажатия клавиш.
RSA SecurID Software Authenticators – программные токены используют тот же алгоритм, что и RSA SecurID Hardware(аппаратные токены компании RSA) токены, устраняя необходимость для пользователей следить за аппаратными устройствами. Вместо того, чтобы хранить в аппаратной части RSA SecurID, симметричный ключ хранится с гарантией безопасности на компьютере пользователя или смартфоне. RSA SecurID программные аутентификаторы помогают более эффективно управлять стоимостью при одновременном сокращении количество элементов, необходимых для получения доступа к сети или корпоративным активам, и устраняя необходимость в замене жетонов в случае кто-то покидает компанию или потери маркера.
RSA SecurID жетоны программного обеспечения доступны для различных платформ смартфонов, включая BlackBerry, iPhone, Windows Mobile, Java ™ ME, Palm OS и Symbian OS UIQ устройств. Интеграция RSA SecurID токенов на смартфоны облегчается работу с ними для сотрудников компании.
The RSA SecurID Token for Windows and RSA SecurID Token for Mac OS X удобные форм-факторы установленные на ваш компьютер, предоставляющие автоматическую интеграцию с ведущими клиентами посредством удаленного доступа.
RSA SecurID Toolbar Token, встроенный в браузер токен, позволяет автоматически заполнять формы веб-приложений, уделяя внимание безопасности используя анти-фишинг механизмы.
RSA SecurID On-demand Authenticator позволяет пользователям получить одноразовый пароль в виде SMS-сообщение с доставкой на мобильный телефон или по электронной почте. Пользователи запрашивают одноразовый пароль с помощью интуитивно понятного самообслуживания веб-модуля, введя свой PIN-код. RSA SecurID On-demand Authenticator не требует аппаратного или программного токена. Это отличный выбор для пользователей, которым не нужно часто обращаться к сети удаленно.
При запросе пользователя доступа к ресурсу, будь то Web-портал, рабочая станция, сетевое хранилище, VNP или Dial-up сервер, вместо стандартного приглашения на ввод логина и пароля запрашивается логин и кодовая фраза (passcode).
Пользователь запрашивает доступ к ресурсу, Вместо стандартного приглашения на ввод логина и пароля запрашивается логин и кодовая фраза (passcode). Кодовая фраза представляется в виде особой комбинацию пин-кода (4 цифры, которые пользователь помнит) и токен-кода (6 цифр, которые в данный момент высвечиваются на токене). Пользователь необходимо просто последовательно ввести эти 2 числа.
Предоставленную пользователем информацию агент передает на сервер в зашифрованном виде. В серверу хранится пин-коды пользователей и программные копии всех зарегистрированных токенов, соответственно он может проверить предоставленную пользователем информацию.
В зависимости от результата проверки агент либо предоставляет пользователю доступ к ресурсу, либо отказывает ему в доступе.
Каждому токену соответствует 128-ми битное случайное число – начальный вектор генерации (seed). Также в каждый токен встроены часы. Токен-код - результат работы запатентованного компанией RSA алгоритма, который в качестве параметров берёт текущее время, и начальный Вектор инициализации (англ.) генерации. По токен-коду невозможно восстановить начальный вектор генерации, так как алгоритм работает в одну сторону.
Токен-код действителен в течение одной минуты (меняется раз в минуту и только один раз). Так как на сервере хранится соответствующие токенам начальные вектора генерации, то он в любой момент времени может по тому же самому алгоритму восстановить текущий токен-код. Для случая если часы у сервера и токена расходятся, предусмотрена автоматическая синхронизация. Т.е. В случае если например часы у токена убежали вперёд, то сервер заносит в базу величину сдвига соответствующую конкретному токену.
SecurID не защищен от атак вида человек-по-середине(man-in-the-middle). Злоумышленник может блокировать для пользователя доступ и подключиться к серверу, пока не будет сгенерирован следующий токен-пароль. Другой проблемой является случайный подбор пароля. SecurID пытается решить эту проблему с помощью проверки одновременных запросов в течение одного временного участка генерации пароля. Самой опасной и и почти неустранимой уязвимостью является потеря или кража токенов.
17 марта 2011, RSA объявили, что они стали жертвами "чрезвычайно сложного кибер-нападения". Хотя и компания уверена, что извлеченная информация не позволяла успешных прямых атак на любого из клиентов RSA SecurID, она опасалась, что эта информация могла бы быть использована для снижения эффективности текущей реализации двухфакторной аутентификации, как часть более широкой атаки. На устранение бреши в системе EMC (материнской компании RSA) потратила 66.3 миллиона долларов для расследования атаки, улучшения своей IT-системы и мониторинга операций корпоративных клиентов, в соответствии с решением исполнительного вице-президента и главного финансового директора EMC Дэвид Гульдена, в ходе телефонной конференции с аналитиками.
Злоумышленник в течение двух дней посылал два различных фишинговых письма, которые были направлены на две небольшие группы сотрудников. Письма назывались “2011 Recruitment Plan”. Электронные письма были обработаны достаточно хорошо, чтобы обмануть одного из сотрудников, чтобы извлечь его из спама, и открыть вложенный файл Excel. Это была таблица под названием "2011 plan.xls". Таблица содержала вредоносную программу, которая устанавливает бэкдор программу через уязвимость Adobe Flash (CVE-2011-0609). Как примечание стороны, теперь Adobe выпустила патч для этой вредоносной программы, так что она больше не может быть использована для введения вредоносного ПО на пропатченные машины. Следующим шагом как и в случае любой расширенной постоянной угрозы (Advanced persistent threat APT), это установить какое-то средство удаленного администрирования, которое позволяло бы злоумышленникам управлять машиной. В этом случае излюбленным оружием является вариант Poison Ivy расположенный в обратном режиме подключения, что делало бы более трудным его обнаружение. Подобные методы были зарегистрированы во многих прошлых АСТ, в том числе GhostNet. После установления удаленного доступа злоумышленник как и в любом типичном APT начинает незаметно анализировать, для того чтобы установить роль работников и уровень их доступа. Если этого не достаточно для целей нападавших, они будут искать учетные записи пользователей с более высокими привилегиями. Данные отфильтровываются через зашифрованные файлы по FTP от скомпрометированной машины к к злоумышленникам. 21 марта 2011 рассылкой по электронной и в открытом письме главы компании сообщила, что информация украденная из внутренней сети компании может быть использована для взлома систем, защищенных SecurID. a в мае 2011 года послe попытки взлом производителя военной техники Lockheed Martin оказалось, что опасения оказались небеспочвенные. Также шли слухи о том, что в апреле была атакована компания L-3 Communications. Глава RSA Security Арт Ковьелло признался, что RSA не выступила с заявлением раньше, потому что опасалась подсказать хакерам пути для дальнейших атак. Однако теперь очевидно, что хакеры, организовавшие атаку на Lockheed Martin, имели информацию о том, как обойти технологии RSA и таким образом получилось, что компания лишь дезинформировала клиентов о безопасности своих продуктов и рисках, с которыми они могли бы столкнуться. 6 июня 2011 компания RSA пообещала, что она бесплатно заменит все токены SecurID, которые используются более чем 30000 предприятии и государственными организациями по всему миру.
По данным аналитической компании Frost & Sullivan за 2008 год, объём мирового рынка разовых паролей (One Time Password, OTP) оценивался в 430 млн долл. К 2015 году он может составить 690,4 млн долл., среднегодовой рост за этот период составил 7,8%. И по оценкам экспертов, этот рынок остается развивающимся. Главным стимулом его развития является усиливающаяся тенденция замены устройств аппаратной аутентификации смарт-картами и усилением спроса на ПО для средств OTP корпоративного и розничного применения.
В 2008 г. компания Frost & Sullivan провела опрос 20 производителей аппаратной аутентификации. Результаты показали, что укоренившиеся на рынке игроки, в частности RSA ruen и Vasco ruen, продолжали быть лидерами, сохраняя за собой около 80% рынка, при этом надо отметить, что 62% рынка принадлежали RSA. Основными конкурентами лидирующих компания являются производители смарт-карт.
Так как со временем потребности клиентов растут, то такие компании как, к примеру, RSA, Vasco, Aladdin Knowledge Systems (англ.)русск. и ActivIdentity, для удовлетворения специфических запросов создают новые решения, которые опираются не только на устройства аутентификации, но объединяют несколько решений для аутентификации. Многие производители добавили к своим продуктам USB-токены, смарт-карты, ПО для OTP и системы управления аутентификацией.
Существует пробная версия, распространяемая бесплатно. В неё включена серверная лицензия с ограниченным сроком жизни на двух пользователей и два токена SID700. Данная версия обладает полным функционалом, что позволяет перейти к коммерческому использованию без каких-либо дополнительных настроек.
http://www.rsa.com/products/securid/sb/10695_SIDTFA_SB_0210.pdf
http://www.rsa.com/node.aspx?id=3878
http://www.rsa.com/node.aspx?id=3891
http://www.aladdin-rd.ru/company/pressroom/articles/26141/?print=Y
