SecurID
SecurID (также RSA SecurID) — технология, разработанная компанией RSA, (впоследствии известная как RSA The Security Division of EMC) для предоставления двухфакторной аутентификации между пользователем и сетевыми устройствами. Двухфакторная аутентификация RSA SecurID® основывается на том, что Вы знаете пароль (или PIN-код) и у Вас есть ключ, таким образом обеспечивается гораздо более надежный уровень проверки подлинности пользователя по сравнению с многократно используемыми паролями. Данное решение является единственным решением, которое автоматически изменяет пароль каждые 60 секунд. RSA предлагает предприятиям широкий спектр возможностей аутентификации пользователей, которые помогают уверенно определять пользователей прежде, чем они смогут взаимодействовать с критически важными данными и приложениями через различные сети и ресурсы.
RSA SecurID | |
---|---|
Отрасль | One Time Password |
Текущий владелец | RSA The Security Division of EMC |
Страна происхождения | США |
Посланники марки |
Рональд Ривест, Ади Шамир и Леонард Адлеман |
Слоган | "Имя, которому больше других доверяют в компьютерной безопасности" [1] |
Сайт | emc.com/security/… (англ.) |
Медиафайлы на Викискладе |
Структура RSA SecurID
RSA SecurID включает в себя три основных компонента
- RSA Authentication Manager
- RSA Authentication Agents
- RSA SecurID Authenticators
RSA Authentication Manager
RSA Authentication Manager является стандартом гарантии подлинности личности. Данная система включает в себя все четыре функции, которые необходимы для обеспечения гарантии подлинности личности: управление учетными данными на основе политики проверки подлинности пользователей, аутентификация, авторизация и интеллектуальная обработка. Гарантия подлинности личности RSA имеет более расширенное понятие аутентификации — от отдельной защитной меры до целостной модели доверия к личности, определяющей, использование учетной записи и каковы её возможности. Применение доверенных учетных записей повышает уровень безопасности ежедневно осуществляемых операций и предоставляет поддержку для новых моделей бизнеса, гарантируя безопасный доступ сотрудникам компании, её клиентам и партнерам и сохраняя необходимый баланс между риском, стоимостью и удобством. Данное программное обеспечение выполняет следующие задачи:
- хранит базу пользователей
- хранит журнал событий
- хранит список зарегистрированных токенов
- обрабатывает информацию, присылаемую агентами
Программное обеспечение RSA® Authentication Manager является управляющим компонентом системы RSA SecurID®. Благодаря этому решению производится обработка запросов на проверку подлинности и осуществляется централизованное управление политикой проверки подлинности пользователей. Работая совместно с аутентификаторами RSA SecurID и программами RSA® Authentication Agent, данное решение обеспечивает двухфакторную проверку подлинности пользователей и защищенный доступ к большому количеству виртуальных частных сетей, беспроводных сетей, web-приложений, бизнес приложений и операционных систем.
RSA Authentication Manager обеспечивает высокую производительность и масштабируемость с такими функциями управления, как репликация базы данных, регистрация и отчетность, поддержка родного LDAP и web-интерфейс управления. Решение RSA Authentication Manager может удовлетворить потребности организаций любого размера. Созданное на основе мультипроцессорной архитектуры корпоративного класса, оно способно обеспечивать поддержку от двадцати пяти до нескольких миллионов пользователей на одном серверe, а также осуществлять сотни проверок подлинности в секунду. RSA Authentication Manager применяется во всем мире в правительственном секторе, в банковском секторе, секторе производства, розничной торговли, высоких технологий и здравоохранения, включая многие мелкие и средние компании. Имеется две версии данного решения: Base Edition (базовая версия) и Enterprise Edition (корпоративная версия).
Функция репликации базы данных
Функция репликации базы данных RSA Authentication Manager обеспечивает повышенную гибкость конфигурации сети и балансировку нагрузки для повышения производительности, что в конечном итоге снижает затраты на управление. В базовой версии имеется один основной сервер и один сервер-реплика. На основном сервере производится управление учетными записям пользователей, а вся информация копируется на сервер-реплику. Запросы на проверку подлинности могут обрабатывать оба сервера; RSA Authentication Agent распределяет рабочую нагрузку между серверами, отслеживая время реакции и направляя запрос на соответствующий сервер в целях оптимизации производительности. Корпоративная версия, которая предназначена для средних и крупных компаний, имеет один основной сервер и до пятнадцати серверов-реплик в одной области (authentication realm), и может соединять до шести отдельных областей. Каждый из серверов в развернутой системе может быть группой из 4 машин, что повышает эффективность распределения нагрузки, связанной с задачами администрирования и проверки подлинности. Это позволяет администраторам отслеживать проверку подлинности пользователей в их системах в реальном времени, одновременно обновлять политику безопасности и разрабатывать глобальную топологию сетей для повышения их производительности.
Аудит и отчетность
RSA Authentication Manager ведет запись всех операций и действий пользователя, поэтому администраторы могут использовать его как инструмент аудита и отчетности, а также проводить проверки на соответствие предъявляемым требованиям. Он содержит шаблоны отчётов, которые можно адаптировать к задачам администрирования, в том числе отчеты о действиях, исключениях, инцидентах и использовании системы. Кроме функций отчетности, данный продукт также содержит монитор реального времени, который отображает все или выбранные администратором действия в глобальной развернутой системе.
Совместимость
RSA Authentication Manager совместим с большинством крупнейших сетевых продуктов и операционных систем, — включая более чем 400 наименований продукции от более чем 200 производителей, обслуживая организации с максимумом гибкости и защиты инвестиций и предоставляя им максимальную гибкость и защиту капиталовложений. Встроенная поддержка RSA Authentication Manager предусмотрена ведущими производителями систем удаленного доступа, виртуальных частных сетей, систем защиты доступа, устройств беспроводной сети, web-серверов и бизнес-приложений.
Поддерживаются следующие операционные системы: Microsoft Windows Server 2003, Sun Solaris, Red Hat Linux, SuSE Linux Enterprise Server, HP-UX, IBM AIX.
Поддержка LDAP
Поддержка LDAP обеспечивает интеграцию с Sun One и Microsoft Active Directory, RSA Authentication Manager и не требует синхронизации. Веб-интерфейс администрирования RSA Authentication Manage не требует от клиента установки программного обеспечения и может управляться с любого компьютера с подключением к интернету и установленным браузером.
RSA Credential Manager
RSA Credential Manager жестко связан с интерфейсом управления RSA Authentication Manager, и не требует отдельной установки. Он предлагает такие функции, как самообслуживание, позволяя конечным пользователям запрашивать различные услуги, такие как получение пароля с токена по требованию для экстренного доступа или подготовка рабочего процесса резервирования(которая позволяет администраторам создавать процессы, посредством которых одобряются запросы и выдаются учётные данные.
RSA Authentication Agents
Основная задача — потребовать от пользователя ввод SecurID информации, отправить её на центральный сервер и, в зависимости от ответа, предоставить доступ или отказать в доступе. Агенты обеспечивают балансировку нагрузки путём определения времени отклика сервера-реплики и отвечают соответственно.
RSA Authentication Agent программное обеспечение, встроенное в серверы удаленного доступа (RAS), брандмауэры и виртуальные частные сети (VPN), что гарантирует что RSA SecurID технология будет работать без проблем в любой пользовательской среде. Кроме того, агенты позволяют обезопасить веб-страниц и приложения в интранете или экстранете, в то же время защищая критически важные серверные системы.
Агенты также могут обеспечить безопасный доступ к NT доменам и ресурсам, размещенных на серверах UNIX, мэйнфреймам, системам средней удаленности, а также к ряду устаревших узлов. Инструментарий программного обеспечение позволяет создавать пользовательские агенты для защиты других внутренних приложений, которые являются специфическими для конкретной организации.
Список ресурсов, которые могут быть защищены, огромен. В него входят Web-серверы, сетевые ресурсы, VPN и Dial-up серверы, почтовые серверы, рабочие станции, серверы удалённого доступа к приложениям. Полный список, а также инструкции по интеграции можно найти на сайте производителя. Если необходимого ресурса нет в списке, поддерживается аутентификация по RADIUS протоколу. Если этого недостаточно, существует API, который позволит написать необходимый агент самостоятельно.
RSA SecurID Authenticators
Один и тот же токен не может подходить для всех случаев, когда дело доходит до выбора правильного аутентификатора, чтобы сбалансировать безопасность вашей организации, совокупною стоимость предприятия и потребности конечных пользователей. С широким спектром простых в использовании форм-факторов, есть RSA SecurID аутентификаторы способные удовлетворить самые разнообразные требования организаций и приложений.
RSA SecurID Hardware Token
RSA SecurID аппаратные токены производятся с гарантией, что вы не столкнетесь со скрытыми расходами, связанными с бракованными токенами. При выборе RSA SecurID токенов, которые поставляются с пожизненной гарантией, организации могут снизить накладные расходы на распространение замены жетонов и снизить общие затраты на безопасность, обеспечивая целостность и простоту в использовании аутентификации опыт для конечных пользователей. The RSA SecurID аппаратные токен поставляются в виде различных удобных моделей, генерирующие и отображающие новые коды каждые 60 секунд.
Токены RSA SecurID в виде брелоков
Модели RSA SecurID SD600[2] и SID700[3] представляют собой небольшие брелоки, которые можно прикрепить к связке ключей и помещаются в карман пользователя или небольшой футляр для переноски, они обеспечивают высокую долговечность в надежной и портативной форме.
Новейшая модель в этой линейке — это устройство RSA SecurID SID800[4]. Оно обеспечивает функцию одноразового пароля, так же как другие модели, плюс дополнительные функции, благодаря встроенному разъему USB и интеллектуальному чипу. Это устройство может быть использовано для генерации кодов однократного применения, а также для хранения имен пользователей, паролей учетных данных ОС Windows и цифровых сертификатов, создающих мастер-ключи для нескольких методов аутентификации. Кроме того при подключении RSA SecurID 800 включается автоматический ввод кода жетона, позволяя программным приложениям токена вводить коды непосредственно с устройства и устраняя необходимость пользователю вводить коды самому с клавиатуры.
Токены RSA SecurID в виде смарт-карт
Базовый аппаратный токен аутентификации RSA SecurID, представлен моделью RSA SD200. Это устройство размером с кредитную карту, обеспечивающее превосходные рабочие характеристики, впрочем гарантированные для каждого устройства аутентификации RSA SecurID. Он выполнен из металла и имеет толщину порядка 5 мм.
Токен RSA SecurID SD 520 аналогичен SD200, но имеет дополнительную цифровую панель. Пин-код пользователя набирается на этой панели. В результате токен отображает не просто токен-код, а комбинацию пин-кода и токен-кода, которая вводится при аутентификации. Данный токен имеет преимущество перед предыдущей моделью в том что, позволяет обеспечить сохранность пин-кода, даже если записываются нажатия клавиш.
Software Authenticators
RSA SecurID Software Authenticators — программные токены используют тот же алгоритм, что и RSA SecurID Hardware(аппаратные токены компании RSA) токены, устраняя необходимость для пользователей следить за аппаратными устройствами. Вместо того, чтобы хранить в аппаратной части RSA SecurID, симметричный ключ хранится с гарантией безопасности на компьютере пользователя или смартфоне. RSA SecurID программные аутентификаторы помогают более эффективно управлять стоимостью при одновременном сокращении количество элементов, необходимых для получения доступа к сети или корпоративным активам, и устраняя необходимость в замене жетонов в случае кто-то покидает компанию или потери маркера.
Программные токены RSA SecurID для смартфонов
Программные токены RSA SecurID доступны для различных мобильных платформ, включая BlackBerry, iPhone, Windows Mobile, Java ™ ME, Palm OS и Symbian OS UIQ устройств. Интеграция токенов RSA SecurID со смартфонами облегчается работу с ними для сотрудников компании.[5]
RSA SecurID Token for Windows и RSA SecurID Token for Mac OS X
The RSA SecurID Token for Windows and RSA SecurID Token for Mac OS X удобные форм-факторы установленные на ваш компьютер, предоставляющие автоматическую интеграцию с ведущими клиентами посредством удаленного доступа.
RSA SecurID Toolbar Token
RSA SecurID Toolbar Token, встроенный в браузер токен, позволяет автоматически заполнять формы веб-приложений, уделяя внимание безопасности используя анти-фишинг механизмы.
RSA SecurID On-demand Authenticator
RSA SecurID On-demand Authenticator позволяет пользователям получить одноразовый пароль в виде SMS-сообщение с доставкой на мобильный телефон или по электронной почте. Пользователи запрашивают одноразовый пароль с помощью интуитивно понятного самообслуживания веб-модуля, введя свой PIN-код. RSA SecurID On-demand Authenticator не требует аппаратного или программного токена. Это отличный выбор для пользователей, которым не нужно часто обращаться к сети удаленно.
Описание процесса аутентификации
При запросе пользователя доступа к ресурсу, будь то Web-портал, рабочая станция, сетевое хранилище, VPN или Dial-up сервер. Вместо стандартного приглашения на ввод логина и пароля запрашивается логин и кодовая фраза (passcode). Кодовая фраза представляется в виде особой комбинации пин-кода (4 цифры, которые пользователь помнит) и токен-кода (6 цифр, которые в данный момент высвечиваются на токене). Пользователю необходимо просто последовательно ввести эти 2 числа.
Предоставленную пользователем информацию агент передает на сервер в зашифрованном виде. В сервере хранится пин-коды пользователей и программные копии всех зарегистрированных токенов, соответственно он может проверить предоставленную пользователем информацию.
В зависимости от результата проверки агент либо предоставляет пользователю доступ к ресурсу, либо отказывает ему в доступе.
Описание алгоритма получения токен-кода
Каждому токену соответствует 128-битное случайное число — начальный вектор генерации (seed). Также в каждый токен встроены часы. Токен-код — результат работы запатентованного компанией RSA алгоритма, который в качестве параметров берёт текущее время, и начальный вектор генерации. По токен-коду невозможно восстановить начальный вектор генерации, так как алгоритм работает в одну сторону.[6]
Токен-код действителен в течение одной минуты (меняется раз в минуту и только один раз). Так как на сервере хранится соответствующие токенам начальные вектора генерации, то он в любой момент времени может по тому же самому алгоритму восстановить текущий токен-код. Для случая если часы у сервера и токена расходятся, предусмотрена автоматическая синхронизация. То есть В случае если например часы у токена убежали вперёд, то сервер заносит в базу величину сдвига соответствующую конкретному токену. Это достигается благодаря тому, что сервер вычисляет пароль не только для текущей минуты, но так же прошлой и будущей минут. Таким образом, если PIN, введеный пользователем верен, а токен-код соответствует соседним минутам, то рассинхронизация учитывается для дальнейших операций.[7]
Уязвимости технологии
Теоретические уязвимости
SecurID не защищен от атак вида человек посередине (man-in-the-middle). Злоумышленник может блокировать для пользователя доступ и подключиться к серверу, пока не будет сгенерирован следующий токен-пароль.
Другой проблемой является случайный подбор пароля. SecurID пытается решить эту проблему с помощью ограничения количества запросов на аутентификацию в течение временного промежутка, на котором пароль не сгенерирован заново.
Самой опасной и почти неустранимой уязвимостью является потеря или кража токенов.
Нарушение системы безопасности в 2011 году
План атаки на SecurID:
- Несколько пользователей ориентированы на две фишинг-атаки, один из пользователей открывают неизвестную вредоносную программу
- Poison Ivy получает удаленный доступ к компьютеру пользователя
- Злоумышленник получает доступ к учетным записям пользователей и администраторов, а также к важным службам системы
- Данные получены из серверов, на которые была нацелена атака, и выставлены на раздачу
- Данные передаются на хостинг провайдера злоумышленника с помощью защищенного файла через ftp
17 марта 2011, RSA объявили, что они стали жертвами «чрезвычайно сложного кибер-нападения». Хотя и компания уверена, что извлеченная информация не позволяла успешных прямых атак на любого из клиентов RSA SecurID, она опасалась, что эта информация могла бы быть использована для снижения эффективности текущей реализации двухфакторной аутентификации, как часть более широкой атаки. На устранение бреши в системе EMC (материнской компании RSA) потратила 66.3 миллиона долларов для расследования атаки, улучшения своей IT-системы и мониторинга операций корпоративных клиентов, в соответствии с решением исполнительного вице-президента и главного финансового директора EMC Дэвида Гульдена, в ходе телефонной конференции с аналитиками.
Злоумышленник в течение двух дней посылал два различных фишинговых письма, которые были направлены на две небольшие группы сотрудников. Письма назывались «2011 Recruitment Plan». Электронные письма были обработаны достаточно хорошо, чтобы обмануть одного из сотрудников, чтобы извлечь его из спама, и открыть вложенный файл Excel. Это была таблица под названием «2011 plan.xls». Таблица содержала вредоносную программу, которая устанавливает бэкдор программу через уязвимость Adobe Flash[8]. Как примечание стороны, теперь Adobe выпустила патч для этой вредоносной программы, так что она больше не может быть использована для введения вредоносного ПО на пропатченные машины. Следующим шагом как и в случае любой расширенной постоянной угрозы (Advanced persistent threat APT), это установить какое-то средство удаленного администрирования, которое позволяло бы злоумышленникам управлять машиной. В этом случае излюбленным оружием является вариант Poison Ivy расположенный в обратном режиме подключения, что делало бы более трудным его обнаружение. Подобные методы были зарегистрированы во многих прошлых АСТ, в том числе GhostNet. После установления удаленного доступа злоумышленник как и в любом типичном APT начинает незаметно анализировать, для того чтобы установить роль работников и уровень их доступа. Если этого не достаточно для целей нападавших, они будут искать учетные записи пользователей с более высокими привилегиями. Данные отфильтровываются через зашифрованные файлы по FTP от скомпрометированной машины к злоумышленникам.
21 марта 2011 рассылкой по электронной и в открытом письме главы компании сообщила[9], что информация украденная из внутренней сети компании может быть использована для взлома систем, защищенных SecurID. a в мае 2011 года послe попытки взлом производителя военной техники Lockheed Martin[10], оказалось, что опасения оказались небеспочвенные. Также шли слухи о том, что в апреле была атакована компания L-3 Communications. Глава RSA Security Арт Ковьелло признался, что RSA не выступила с заявлением раньше, потому что опасалась подсказать хакерам пути для дальнейших атак. Однако теперь очевидно, что хакеры, организовавшие атаку на Lockheed Martin, имели информацию о том, как обойти технологии RSA и таким образом получилось, что компания лишь дезинформировала клиентов о безопасности своих продуктов и рисках, с которыми они могли бы столкнуться. 6 июня 2011 компания RSA пообещала, что она бесплатно заменит все токены SecurID, которые используются более чем 30000 предприятиями и государственными организациями по всему миру.
Рынок OTP
По данным аналитической компании Frost & Sullivan за 2008 год, объём мирового рынка разовых паролей (One Time Password, OTP) оценивался в 430 млн долл. К 2015 году он может составить 690,4 млн долл., среднегодовой рост за этот период составил 7,8 %. И по оценкам экспертов, этот рынок остается развивающимся. Главным стимулом его развития является усиливающаяся тенденция замены устройств аппаратной аутентификации смарт-картами и усилением спроса на ПО для средств OTP корпоративного и розничного применения.
В 2008 г. компания Frost & Sullivan провела опрос 20 производителей аппаратной аутентификации. Результаты показали, что укоренившиеся на рынке игроки, в частности RSA Security и VASCO Data Security International, Inc., продолжали быть лидерами, сохраняя за собой около 80 % рынка, при этом надо отметить, что 62 % рынка принадлежали RSA. Основными конкурентами лидирующих компания являются производители смарт-карт.
Так как со временем потребности клиентов растут, то такие компании как, к примеру, RSA, Vasco, Aladdin Knowledge Systems и ActivIdentity, для удовлетворения специфических запросов создают новые решения, которые опираются не только на устройства аутентификации, но объединяют несколько решений для аутентификации. Многие производители добавили к своим продуктам USB-токены, смарт-карты, ПО для OTP и системы управления аутентификацией.[11]
Бесплатная версия
Существует пробная версия, распространяемая бесплатно. Также в это предложение включена серверная лицензия с ограниченным сроком жизни, и ограничением на двух пользователей, а также два токена SID700. Данная версия обладает полным функционалом, что позволяет перейти к коммерческому использованию без каких-либо дополнительных настроек.[12]
См. также
- Токен
- Авторизация
- TOTP
- RSA Security
- RSA
Примечания
- Взломан сайт самой уважаемой компании по компьютерной безопасности Архивировано 4 марта 2016 года. (рус.)
- Информация о RSA SecurID SD 600 (англ.)
- Информация о RSA SecurID SID 700 (англ.)
- Информация о RSA SecurID SID 800 (англ.)
- RSA Security to enable ubiquitous authentication as RSA SecurID(r) technology reaches everyday devices and software;. — M2 Presswire | HighBeam Research: Online Press Releases
- TOTP: Time-based One-time Password Algorithm
- A Comprehensive Introduction to RSA SecurID® User Authentication (недоступная ссылка) (англ.)
- CVE-2011-0609
- Open Letter to RSA Customers (англ.)
- Корпоративные ресурсы Lockheed Martin атакованы неизвестными хакерами (рус.)
- Современное состояние рынка разовых паролей Архивировано 4 марта 2016 года. (рус.)
- Двухфакторная аутентификация на основе технологии RSA SecurID (рус.)