Uporabna dvofaktorska avtentikacija in oddaljeni dostop

Posted on 07/09/2011

0


V današnjem raznolikem internetnem okolju uporabniki zahtevajo vedno bolj preprost dostop do vsebin podjetja, skrbniki informacijskih sistemov pa zahtevamo in želimo predvsem varen dostop do teh vsebin. Namen tega članka je predstaviti možnosti varnega dostopa, ki ponujajo prijazno uporabniško izkušnjo ter hkrati zagotavljajo visoko stopnjo varnosti.

Dvofaktorska avtentikacija predstavlja cenovno dostopno alternativo sistemom dostopa, ki uporabljajo statična gesla. Najbolj razširjeni metodi uporabe dvofaktorske avtentikacije sta enkratna gesla ter digitalna potrdila na pametnih karticah. Obe ti metodi imata svoje značilnosti, prednosti ter omejitve. Bistvo dvofaktorske avtentikacije je predvsem v tem, da se uporabnik avtenticira z nečim, kar ve, ter z nečim, kar ima.

Pametne kartice in PKI

Pri avtentikaciji uporabnikov je prednost uporabe digitalnih potrdil na pametnih karticah nedvomno stopnja varnosti, ki jo zagotavljajo. Poleg tega jih je v okolju Windows mogoče uporabiti za prijavo v domeno in na samo delovno postajo. Vendar je za uporabo pametnih kartic potrebno na delovno postajo namestiti ustrezno programsko opremo za upravljanje in uporabo pametne kartice. Programska oprema, ki jo je potrebno namestiti, je odvisna od kartice, ki jo želimo uporabiti. Če naštejemo programsko opremo ponudnikov, ki so na našem trgu bolj prisotni, so to ActivClient, Nexus Personal ter Oberthur AuthentIC.

Operacijski sistem Windows 7 je vpeljal novosti na tem področju ter uvaja t. i. mini driver, kjer je za uporabo pametnih kartic na Windows 7 potrebno le naložiti gonilnik za pametno kartico preko Windows Update. Programska oprema za uporabo pametnih kartic je v operacijski sistem že vgrajena in je ni potrebno dodatno nameščati. Nabor proizvajalcev in pametnih kartic, ki podpirajo to funkcionalnost, je trenutno majhen, vendar se vztrajno povečuje.

Mogoče največja omejitev uporabe pametnih kartic je dejstvo,da je za uporabo potrebno namestiti dodatno programsko opremo za pametno kartico. Če želi uporabnik na primer uporabiti pametno kartico na računalniku, mora na ta računalnik namestiti ustrezno podporo, za kar pa večinoma potrebuje skrbniške pravice. V nekaterih primerih, kot so recimo javno deljeni računalniki, to seveda ni mogoče.

Enkratna gesla

predstavljajo za avtentikacijo uporabnikov bolj fleksibilno rešitev, kot so pametne kartice. Za uporabo enkratnih gesel moramo uporabniku predati žeton, ki generira gesla, ali pa enkratna gesla preprosto pošiljamo na njegov mobilni telefon v SMS sporočilu. To tudi pomeni manjši začetni strošek, ker ni potrebno kupiti avtentikacijskega žetona. Omejitev enkratnih gesel v primerjavi z digitalnim potrdilom na pametnih karticah je ta, da ponujajo nekoliko nižjo stopnjo varnosti in ne omogočajo elektronskega podpisovanja.

Osrednji del rešitve za uporabo enkratnih gesel predstavlja t.i. avtentikacijski strežnik, ki odgovarja na avtentikacijske poizvedbe preko protokolov RADIUS in TACACS. Oba protokola sta široko podprta standarda in ju podpira veliko različnih naprav in programskih rešitev, kot so strežniki VPN, brezžične dostopne točke ter povratni proxy strežniki, kot sta recimo rešitvi Microsoft ISA in TMG.

Primer uporabe enkratnih gesel v spletnih aplikacijah.

Oddaljeni dostop do intranetnih storitev

Oddaljeni dostop do internih storitev podjetja lahko zagotovimo na več načinov:

– z uporabo rešitve, ki temelji na navideznih zasebnih omrežjih,

– z neposrednim dostopom do storitev preko javnega omrežja.

Ko govorimo o uporabi rešitev VPN, je mišljeno, da je mrežni promet usmerjen skozi šifriran tunel med uporabnikom in zalednim sistemom. Uporabniku to predstavlja podobno uporabniško izkušnjo pri dostopu do internih virov, kot če bi bil v podjetju. Pred tem mora le vzpostaviti tunel VPN s svojim podjetjem. Dvofaktorsko avtentikacijo tukaj uporabimo predvsem pri avtentikaciji uporabnikov VPN. Nadaljnjo prijavo v interne storitve pa uporabnik izvede na enak način, kot če bi bil v podjetju. Omejitev pri uporabi tehnologije VPN je predvsem v tem, da moramo namestiti odjemalca VPN ali pa operacijski sistem pripraviti na povezavo VPN – če uporabljamo Microsoft VPN rešitev. Za takšen poseg potrebujemo skrbniške pravice na delovni postaji. Med drugim zaradi tega odjemalcev VPN ne moremo uporabiti na javnih deljenih računalnikih, uporaba odjemalcev VPN na takšnih računalnikih pa je pogosto prepovedana zaradi varnostne politike podjetja. Prednost glede na druge načine dostopa je tudi ta, da skoraj ni omejitve, do katerih zalednih aplikacij lahko dostopamo.

Pri neposrednem dostopu do storitev se najpogosteje odločamo za omogočanje dostopa do storitev HTTP oz. HTTPS, ki jih gostimo v našem okolju. Razlog je predvsem ta, da za dostop do njih potrebujemo le spletni brskalnik.

Tukaj mislimo predvsem na storitve, kot so Microsoft Outlook Web Access, Sharepoint, CRM Dynamics, Jira in druge, ki uporabljajo protokole HTTP in HTTPS. Storitve, ki so objavljene na takšen način, so prav tako dostopne na javno deljenih računalnikih. Pri objavi takšnih storitev je tako z vidika varnosti kot z vidika uporabnosti smiselno uporabiti neko rešitev, ki te storitve dodatno varuje. Primer takšnih rešitev sta Microsoftovi rešitvi ISA Internet Security and Acceleration Server in njen naslednik TMG – Threat Management Gateway.

Zunanji dostop do internih storitev HTTP oz. HTTPS je mogoče omogočiti na več načinov, najbolj preprost je ta, da ves internetni promet, namenjen na nek naš zunanji IP, preprosto usmerimo proti zalednemu strežniku, ki gosti neko storitev. To prinese več posledic, ena od pomembnejših je ta, da moramo zaledni strežnik ločiti v posebnem omrežju in varnostno utrditi. V primeru velikega števila aplikacij pa tudi zelo hitro porabimo večje število zunanjih številk IP.

Naprednejši in boljši način je ta, da uporabnike zunanji strežnik ISA oz. strežnik TMG avtenticira in do zalednih strežnikov prepusti le tisti promet, ki smo ga že avtenticirali. Vmesni strežnik promet prav tako filtrira in preprečuje zahteve HTTP, ki so zlonamerne. Na ta način zelo zmanjšamo raven prometa, ki pride do zalednega strežnika, ter izboljšamo varnost infrastrukture.

Strežnika ISA oziroma TMG omogočata uporabo različnih metod predavtentikacije, uporabnike je mogoče avtenticirati preko aktivnega imenika, imenika LDAP, strežnikov RADIUS in digitalnih potrdil. Pri uporabi poverilnic iz aktivnega imenika se lahko uporabi tudi mehanizem delegacije poverilnic, pri čemer se uporabnik najprej prijavi na strežnik ISA/TMG, avtentikacija se izvede s t. i. »Basic« avtentikacijo, ki je zaščitena s povezavo SSL, da zagotovi zasebnost prometa. Z uporabo delegacije poverilnic potem ISA/TMG poskrbi za prijavo uporabnika v zaledni sistem. Uporabniška izkušnja je, da uporabnik odpre brskalnik, v spletni obrazec vpiše poverilnice, strežnik TMG pa ga samodejno prijavi v zaledni strežnik.

Primer uporabe preproste delegacije poverilnic in statičnih gesel

Delegacija poverilnic z dvofaktorsko avtentikacijo je bolj zapletena, saj enkratnih gesel, ki jih je uporabnik vpisal za predavtentikacijo, ne moremo posredovati, ker jih spletni strežniki Windows ne bodo znali uporabiti.

Brez uporabe delegacije poverilnic bo uporabniška izkušnja taka, da bo uporabnik v obrazec vpisal enkratno geslo in uporabniško ime. Strežnik ISA/TMG to prijavo preveri na avtentikacijskem strežniku RADIUS in če je geslo pravilno, uporabniku dovoli dostop do želene storitve. Uporabnik mora potem na zalednem strežniku ponovno vpisati svoje poverilnice iz aktivnega imenika.

Možnost za izboljšanje uporabniške izkušnje z dvofaktorsko avtentikacijo je uporaba mehanizma delegacije poverilnic s protokolom Kerberos. Kerberos je v infrastrukturah, ki temeljijo na aktivnem imeniku, že vključen. Sama vzpostavitev je bolj zapletena kot uporaba t. i. »basic« delegacije, vendar zagotavlja višjo raven varnosti, saj statično – domensko geslo ni nikoli izpostavljeno zunanjemu svetu. Vtem primeru uporabnik v brskalniku odpre spletni obrazec na strežniku TMG, po vpisu pravilnega uporabniškega imena in enkratnega gesla ga strežnik TMG samodejno prijavi v zaledni sistem, ne da bi uporabnik še vpisal domensko geslo.

Primer uporabe delegacije Kerberos in enkratnih gesel

Zgornji scenarij je prav tako mogoče povezati z digitalnimi potrdili na pametnih karticah. Dobra novica je, da za to ne potrebujemo postavitve lastne infrastrukture PKI, javne ključe uporabnikov le povežemo z njihovimi uporabniški imeni v aktivnem imeniku. Zavedati pa se moramo, da to ne bo omogočilo domenske prijave in prijave na delovno postajo s pametno kartico. Za to še vedno potrebujemo lastno infrastrukturo PKI.

Oddaljeni dostop in prihodnost

V prihodnosti se nam pri povezavah VPN obetajo novi premiki, predvsem z novimi pristopi, kot je recimo Microsoft Direct Access. Bistvo Direct Access je v tem, da se v okolje poveže delovna postaja Windows 7, in ne uporabnik. Ta način omogoča še nekatere druge scenarije, kot je možnost oddaljenega upravljanja delovnih postaj, in prinaša povsem transparenten dostop do korporativnega okolja za uporabnike.

Še bolj napredna možnost dostopa do spletnih vsebin podjetja je uporaba aplikativnih portalov, ki so del rešitve UAG – Unified Access Gateway. Ta rešitev vsebuje aplikativno požarno pregrado, VPN preko SSL in omogoča varnostno preverjanje odjemalskih delovnih postaj. Z uporabo te rešitve je oddaljenim uporabnikom lahko omogočen varen oddaljeni dostop ne samo do spletnih, temveč tudi do drugih storitev. Uporabnikom preko portala lahko ponudimo enotno točko, preko katere imajo omogočen preprost dostop do storitev.

Kot vidimo, lahko oddaljeni dostop zagotovimo na različne načine, hkrati pa lahko zagotovimo tudi, da je oddaljeni dostop varen in uporabniku prijazen.

Simon Simčič