dnie en tu active directory
DESCRIPTION
Charla impartida por Rames Sarwat, de Smart Access, en el evento Asegúr@IT 6, que tuvo lugar el día 18 de Junio de 2009 en Getafe, Madrid.TRANSCRIPT
PUBLIC Página 2
Imaginemos el siguiente escenario…
Una empresa u organismo público con unos cientos de empleados
Los puestos tienen Windows
Directorio Activo instalado
Los usuarios tienen todos una cuenta en AD
PUBLIC Página 3
¿ Es perfecto?
Casi, pero :
• los usuarios comparten sus contraseñas,
• las apuntan
•utilizan contraseñas como: password o 1234
Las aplicaciones no están integradas a nivel de seguridad y vuelven a pedirnos de nuevo usuario y contraseña.
PUBLIC Página 4
¿Que deberíamos hacer?
Implementar un mecanismo más seguro de las contraseñas para que los usuarios accedan a sus puestos y a sus aplicaciones.
Implementar un mecanismo de acceso único a todos los sistemas y aplicaciones (Single Sign-On)
PUBLIC Página 5
Y, ¿qué opciones tengo?
De menor a mayor nivel de seguridad
•Usar sistemas de passwords de un solo uso
OTP : One Time Password
•Usar algún sistema biométrico
•Usar smartcards con certificados digitales
Todos estos sistemas requieren cierta inversión en hardware y por supuesto en software.
PUBLIC Página 6
Vale, pero ¿que hago?
No todo el mundo necesita el mayor nivel de seguridad. Depende de lo que protegemos
Las smartcards con certificado nos ayudan a introducir la firma electrónica en la organización.
Además, el DNIe nos puede evitar la adquisición de smartcards y la emisión de certificados digitales.
PUBLIC Página 7
Logon con smartcard
¿Lo hemos inventado nosotros?
•NO, existe desde hace mas de 9 años.
•Con validación con AD existe desde el lanzamiento de Windows 2000.
Necesito:
•una smartcard con "driver" (middleware) para Windows que contenga un certificado digital con ciertas características.
PUBLIC Página 8
¿Que es eso del middleware?
Es un software asociado a una smartcard o tarjeta criptográfica que contiene:
• Un API y driver para aplicaciones Windows, llamado CSP
• Otro API para sistemas no Windows, llamado PKCS#11
• Utilidades de gestión de la tarjeta: inicialización, cambio de PIN, desboqueo, carga de certificados, aviso de caducidad, etc.
En las tarjetas comerciales suele tener un coste aparte. En el DNIe y las tarjetas de la FNMT se descarga gartuitamente.
PUBLIC Página 9
Para hacer logon con el DNIe, ¿qué hace falta?Que mi sistema operativo sepa comunicarse
con el DNIe. Instalación del "driver" (mejor llamado middleware)
Poder relacionar de alguna forma los certificados del DNIe con la cuenta del usuario en el Directorio Activo
Poder comprobar que el certificado no ha sido revocado. Esto se hace mediante una conexión con un servicio prporcionado por el emisor del certificado, accesible por Internet.
PUBLIC Página 10
Dos posibilidades tecnicas:
Verificación de credencial y envío de usuario/contraseña.
Autenticación mediante firma digital.
PUBLIC Página 11
Verificación de credenciales y …
Inyección de usuario y contraseña
•Un usuario presenta su DNIe y su PIN ante la aplicación
•La aplicación recupera el usuario y contraseña guardadas de forma segura
•Se envía el usuario y contraseña al sistema.
Ventaja: mayor simplicidad y compatibilidad
Desventajas: Afectado por caducidad de contraseñas, bloqueos, etc.
.
PUBLIC Página 12
Autenticación mediante firma
• El servidor envía un desafío aleatorio y el cliente lo firma con su clave privada (si el certicado no está caducado).
• El cliente envía al servidor la firma y la parte pública del certificado
• El servidor valida la firma y comprueba que el certificado no ha sido revocado
• El servidor requiere de un certificado para autenticarse y cifrar la comunicación
• Si todo va bien, el servidor emite un ticket kerberos.
• El protocolo de autenticación es na extensión de Kerberos para smartcardllamada PKINIT. Propuesto para su estandarización.
• El usuario y contraseña no afectan en todo el proceso. Se requiere conocer previamente el dominio y el login name del usuario. Bien porque está incluido en el certificado, bién porque soy capaz de establecer reglas de asociación.
PUBLIC Página 13
¿Cuál utiliza SmartAccess?
Implementamos ambas técnicas en 2 diferentes productos
•SmartID Corporate Logon - Autenticación mediante firma
• IDOne Professional – Verificación de credenciales y envío de usuario/contraseña
Ambos se integran con Active Directory, sin realizar ningún cambio en su estructura.
Cualquier AD sirve.
PUBLIC Página 14
SmartID Corporate Logon
Funciona con cualquier smartcard, cualquier certificado digital y cualquier lector.Condiciones:
• Smartcard - disponer de CSP "driver"
• Certificado Digital - cumplir el estandar X509v3
• Lector smartcard - cumplir la especificación PC/SC
No modifica la GINA (2000, XP) ni modificar el esquema del Active Directory
Requiere instalar software en todos los clientes que requieran realizar logon y en todos los servidores controladores de dominio de un site o un forest.
Se instala en un par de horas.
PUBLIC Página 15
IDOne Professional
Amplía la GINA (2000, XP) mediante un wrapper. • En Vista y Windos 7 es un Credential Provider.
Arquitectura cliente/servidor
Múltiples repositorios de credenciales: local, master , AD, LDAP , BBDD
Menores requisitos técnicos que SmartID CoporateLogon
• No necesito certificados de servidor
• No requiere certificados en la smartcard
Soporta también reconocimiento biométrico de la huella dactilar y elementos de proximidad RFID (tarjetas, pulseras, llaveros, etc.)
PUBLIC Página 16
Pero tiene más usos…
Autenticación
• Acceso al puesto remoto (TS/Citrix/VDI)
• Teletrabajo seguro (VPN)
• Colaboración con clientes y proveedores (Web)
Mejorar el servicio al público
Navegación segura por Internet
Verificación de la identidad
PUBLIC Página 17
PUBLIC Página 18
Si quieres probarlo…
No te molestamos. Te lo descargas de la web sin compromiso ni registro en:
•www.smartaccess.es (Descargas)
Pero si quieres consultarnos algo:
•Tlf: 902.907.365 / 915.560.042
PUBLIC Página 19
PUBLIC Página 20
MUCHAS GRACIAS…
Si te ha gustado, o no te ha gustado puedes escribirmey contarmelo.
Me gusta mejorar …