SafeNet Authentication Manager - Двухфакторная аутентификация

Коваленко Дарья
Менеджер по продукту
ЗАО «Сертифицированные информационные системы»
SafeNet Authentication Manager
(SAM)
Комплексная система для управления
аутентификацией в масштабах предприятия
“СИС” © 2014 www.certsys.ru

Содержание
2“СИС” © 2014 www.certsys.ru
Часть I. Обзор средств аутентификации
(SafeNet Authenticators)
Часть II. Обзор продукта SAM
(SafeNet Authentication Manager)

Часть III. Установка и настройка SAM

Часть IV. Обзор SafeNet OTP
Часть V. Обзор SafeNet Network Logon

Часть I.
Обзор средств аутентификации

USB ключи (CBA) и SmartCard
 eToken 5100*/5105
 eToken 5200*/5205
*(form-фактор “mini” или“midi”)
 SafeNet eToken 4100 **
**(form-фактор такой же,
как у eToken PRO Smartcard)
 eToken PRO
eToken PRO Anywhere

eToken 5100/5105
9
Поддерживаемые возможности:
• двухфакторная аутентификация
• безопасный удаленный доступ
• безопасный вход в сеть
• цифровая подпись
• Pre-boot аутентификация
В использовании:
• не нужен дополнительный считыватель
• простой и удобный способ
• кастомизация
• комбинированный доступа
• интеграция со сторонними приложениями
Управление:
• SafeNet Authentication Manager

SafeNet eToken 5100 / 5105 Характеристики
10
Поддерживаемые ОС Windows Server 2003/R2, Windows Server 2008/R2, Windows 7,
Windows XP/Vista
Поддерживаемые
интерфейсы и стандарты
PKCS#11 версии 2.01,
Microsoft CryptoAPI
Размер памяти 72K
Аппаратно-реализованные
алгоритмы
RSA 1024-bit / 2048-bit, DES, 3DES (Triple DES), SHA1, SHA251
Размеры 5200 - 16.4mm*8.4mm*40.2mm
5205 – 16.4mm*8.4mm*53.6mm
Рабочая температура 0º C to 70º C (32º F to 158º F)
Температура хранения -40º C to 85º C (-40º F to 185º F)
Допустимая влажность 0-100% без конденсата
Водонепроницаемость IP X7 – IEC 529
USB USB тип A; поддержка USB 1.1 and 2.0 (полная и высокая скорость)
Корпус Выполнен из высокопрочного пластика
Хранение данных в памяти Около 10 лет
Перезапись памяти Около 500,000

eToken 5200/5205
11
• не оставляет следов после использования
• строгая аутентификация
• Cloud- приложения и веб-порталы , SSL VPNs
• не нужен дополнительный считыватель
• нет необходимости в установке дополнительного ПО

Как это работает?

SafeNet eToken 5200 / 5205 Характеристики
13
Поддерживаемые ОС Windows Server 2003/R2, Windows Server 2008/R2, Windows 7,
Windows XP/Vista (Mac OS и Linux с установленным SAC)
Поддерживаемые браузеры Internet Explorer, Firefox , Third Party Trusted Browsers
Microsoft CryptoAPI,
алгоритмы
Размеры 5200 - 16.4mm*8.4mm*40.2mm
5205 – 16.4mm*8.4mm*53.6mm

SafeNet eToken 4100;
eToken PRO Smartcard
14
• строгая двухфакторная аутентификация
• безопасный вход в корпоративную сеть
• интеграция со сторонними приложениями

15
Поддерживаемые ОС Windows Server 2003/R2, Windows Server 2008/ R2, Windows 7,
Windows XP/Vista, Mac OS X; Linux
Поддерживаемые интерфейсы и
стандарты
PKCS#11, Microsoft CAPI, PC/SC, X.509 v3 certificate storage, SSL v3,
IPSec/IKE
алгоритмы
Размеры 85.6mm x 54mm
SafeNet eToken 4100 Характеристики

eToken PRO
eToken PRO Anywhere
• безопасного доступа к Web-ресурсам
• не требует дополнительного ПО

Генераторы одноразовых паролей
(OTP)
 eToken PASS
 SafeNet Gold
 SafeNet eToken 3500

eToken PASS
SafeNet eToken 3400
• Не требует установки дополнительного клиентского ПО
• Не требует установки драйверов
• Работает без подключения к компьютеру
• Работа в любой операционной системе
• Возможность работы с мобильных устройств
• Одноразовый пароль действует только в течение одного
сеанса связи
• SafeNet Authentication Service (SAS)

Поддерживаемые ОС Все
Размеры 60,54mm x 49mm x 0,45mm
Рабочая температура 10º C to 40º C
Температура хранения 10º C to 50º C
Время жизни Около 3 лет или 33,000 OTP значений на дисплее, или 9,000 OTP значений с удалением
после 30 секунд
Поддерживаемые решения Удалённый доступ (VPN)
Удалённый доступ к web приложениям

SafeNet Gold
20
• удаленный доступ к онлайн-банкинг порталам
• удаленный доступ к корпоративным сетям (VPN)
• удаленный доступ к веб-приложений
• Pre-boot аутентификация (при использовании с Check Point Full
Disk Encryption)

SafeNet eToken 3500
• подписание транзакций
• удаленный доступ к сети (VPN)
• удаленный доступ к веб-приложений
• удаленный доступ к приложениям SaaS
• поддерживает протокол RADIUS OTP
• Использует синхронизацию по времени
• Обеспечивает генерацию OTP-паролей от 4 до 10
знаков

Комбинированные USB-ключи
(Hybrid)
 eToken NG-OTP
 eToken NG-FLASH
 eToken NG-FLASH Anywhere

eToken NG-OTP
• Подсоединённый к USB-порту (смарт-карта)
• Автономный (только генерация OTP)

eToken NG-OTP Характеристики
Поддерживаемые ОС
Размеры 69,5mm x 28,5mm x 11,5mm
Время жизни 10 000 сгенерированных паролей или 5 лет
(заменяемая батарея)

eToken NG-Flash
• безопасный доступ к сетям и приложениям
• хранилище регистрационных данных (Credential storage)
• безопасное хранения, транспортировка и резервное
копирование данных (data storage).
• доверенной загрузки операционных систем

eToken NG-Flash Характеристики
Поддерживаемые ОС Microsoft Windows 2000/XP/Vista/7 (32- и 64-битные версии), Microsoft
Windows Server 2003/2008/2008 R2 (32- и 64-битные версии), Linux, MacOS
алгоритмы
RSA 1024 / 2048,
DES, Triple DES,
SHA-1
Поддерживаемые версии
комплекта разработчика
eToken SDK 4.5 и выше
PC/SC (команды APDU),
Сертификаты X.509 v3, SSL v3, IPSec/IKE,
Microsoft CCID, Minidriver
Объем Flash-памяти до 16 Гб
Объем защищенной памяти 72К

eToken NG-FLASH Anywhere
• безопасный доступ к сетям и приложениям
• хранилище регистрационных данных (Credential storage)
• простота и легкость использования
• строгая аутентификация

30

eToken NG-Flash Anywhere Характеристики
Поддерживаемые ОС Microsoft Windows 2000/XP/Vista/7 (32- и 64-битные версии),
Microsoft Windows Server 2003/2008/2008 R2 (32- и 64-битные версии), Linux,
MacOS
алгоритмы
RSA 1024 / 2048,
DES, Triple DES,
SHA-1
комплекта разработчика
eToken SDK 4.5 и выше
PC/SC (команды APDU),
Сертификаты X.509 v3, SSL v3, IPSec/IKE,
Microsoft CCID, Minidriver
Объем Flash-памяти до 16 Гб
Объем защищенной памяти 72К

SafeNet eToken 7300
• безопасный доступ к корпоративным ресурсам
• зашифрованная Flash-память
• Flash-память до 64 Гб
• Управление политиками PIN-а (восстановление пароля
администратором)

Поддерживаемые ОС
алгоритмы
Размеры Flash-памяти
Размер устройства

Программные аутентификаторы
(Software)
 MobilePASS 8.2
 eToken Virtual
MobilePASS Messaging

MobilePASS 8.2
• удобный контроль доступа для всех типов систем, таких как:
VPNs, Terminal Server, Citrix приложения, Outlook Web Access.
• online-сервисы (online-банкинг, образовательные порталы,
информационные сайты)
• простой и лёгкий способ
• поддерживает мобильные платформы BlackBerry,
iPhone, Java 2ME, Android, Windows Mobile, Windows
Phone 7
• Операционные системы Windows 7, Mac OS

eToken Virtual
• безопасный доступ к корпоративной сети
• без дополнительного аппаратного устройства
• экономия на аппаратных устройствах
• легко управлять

MobilePASS Messaging
• безопасный доступ к корпоративным ресурсам
• опция Out-Of-Band (OOB) аутентификация
• контакты из AD
• доставка пароля на e-mail (SMTP) и телефон
• срока действия пароля ограничен

38
Вопросы по Части I.
Обзор средств аутентификации
 Коваленко Дарья
 Менеджер по продукту

Часть II.
Обзор продукта SAM

Основные возможности SAM
 поддержка различных методов и средств
аутентификации
 централизованное управление
 Web-сайты для самостоятельного решения
пользователем проблем
 аудит использования средств
 централизованная установка клиентского ПО

Поддержка различных методов
и средств аутентификации
Context-based
аутентификация
OTP
аутентификаторы
OOB (SMS)
аутентификация
Software
USB
Smart Card
Комбинированные
ключи

Децентрализованное
управление
43
1. Новый
сотрудник
Active
Directory
2. Администратор
регистрирует
пользователя
3. Настройка и
установка
сертификата
для VPN
4. Установка
прав для
ERP-системы
5. Установка
прав для входа
в сеть
6. Назначение
средства
сотруднику
7. Сотрудник
получает eToken
8. Сотрудник
начинает работать

Централизованное управление
Политики
организации
SAM
1. Новый сотрудник получает
средство аутентификации
2. Администратор
регистрирует пользователя
VPN и remote
access
Network
Logon
Cloud -
приложения
…
3. Сотрудник начинает работать

Жизненный цикл средств
Назначение и использование
Сопровождение и отзыв

Особенности системы SAM
 интеграция со всеми ведущими приложениями
 поддержка различных решений

Особенности системы SAM
 возможности управления
 поддержка платформ
РОЛИ
Windows Server 2003/R2,
Windows Server 2008/R2
(32-bit and 64-bit)
Windows XP SP3 (32-bit and 64-bit)
Windows Vista SP1 (32-bit and 64-bit)
Windows 7 SP1 (32-bit and 64-bit)
Windows 8 (32-bit and 64-bit)
Microsoft Active Directory
ADAM
Novell eDirectory
OpenLDAP directory
IBM Lotus Domino
IBM Tivoli Directory Server
Microsoft SQL Server
2005/2008
USER

Архитектура SAM

SAM Server
 SAM Management Center – администратор, HD
(назначение, использование, сопровождение и отзыв )
 SAM Self Service Center - пользователь
(сайт самообслуживания)
 SAM Remote Service – пользователь
(сайт самообслуживания)
 TPO Management Web Service – администратор
(управление конфигурацией и настройками)
SAM Web Service API
SAM OTP Web Service (RADIUS и другие приложения)
SAM Desktop Agent (отчёты и уведомления)

Возможности центра управления
(SAMManage)

51
SAMManage
http://[server name или ip адрес]/SAMManage

Раздел HelpDesk

Раздел Deployment

Назначение eToken-а пользователю

Раздел Inventory

Раздел Reports

Раздел Downloads

Сервисы SAMService, SAMRescue,
SAM Agent
 SAM Self Service Center
http://<имя сервера или домена>/SAMService
SAM Rescue
http://<имя сервера>/SAMRescue
 SAM Agent

SAMService

SAMRescue

SAM Agent

Подведём итоги данной главы.
62
 Централизованное управление всеми решениями аутентификации в
одной системе
 Ввод в эксплуатацию и управления жизненным циклом
аутентификаторов в единой системе, на основе политик безопасности
 Снижение затрат ресурсов
 Комплексный аудит и создание отчётов
 Встроенная поддержка существующих хранилищ пользователей
 Система SAM обеспечивает гибкость в расширенные возможности при
поддержки новых приложений
Ваши вопросы?

Часть III.
Установка и настройка SAM
 ЗАО «Сертифицированные информационные
системы»

64
 Установка и настройка SAM
 Настройка конфигурации SAM
 Основные сценарии развёртывания SAM
 Схема лицензирования

Подготовка к установке
65
SAM Mangement Tools
SAM Client
Внешние порталы SAM
SAM Server

Требования для установки SAM Server
Поддерживаемые ОС Windows Server
2003 (32-bit, 64-bit)
Windows Server
2003 R2 (32-bit, 64-bit)
Windows Server
2008 (32-bit, 64-bit)
Windows Server
2008 R2 (64-bit)
SAM Management Tools:
Windows XP SP3
(32-bit, 64-bit)
Windows Vista SP1
(32-bit, 64-bit)
Windows 7 SP1 (32-bit, 64-bit)
Убедитесь, что на сервер установлены все
последние обновления, а так же для
установки SAM на Windows Server 2008 R2
необходимо производить установку
пользователем с правами администратора.
Дополнительное ПО*
* Не требуется, если
установку производить с
использованием SAMInstaller
Windows Installer 3.0 и выше
Windows Imaging Component (WIC)
Microsoft .NET Framework 4 и выше
Microsoft SQL Server 2005 / Microsoft SQL Server 2008
Java Runtime
Environment 1.5 и выше
WIC для Windows Server 2003, эта
компонента необходима до установки для
.NET Framework
JRE требуется для MobilePASS
Поддерживаемые хранилища
пользователей
Active Directory, функциональные уровни домена:
Windows Server 2003, 2008, 2008 R2
MS SQL Server 2005 или 2008
OpenLDAP версии 2.3.38 или выше
Novell eDirectory версии 8.7.3 или выше
Удаленные службы Active Directory
IBM Lotus Domino
Хранилище для SAM
Configuration
Microsoft Active
Directory или ADAM
Если выбирается ADAM, то его не надо
устанавливать отдельно,устанавливается во
время установки SAM.

Требования для SAM Management Tools
Поддерживаемые ОС Windows XP SP3 (32-bit), SP2 (64-bit)
Windows Vista SP2 (32/64-bit)
Windows 7 SP1 (32/64-bit)
Windows Server 2003 SP2 (32/64-bit)
Windows Server 2003 R2 SP2 (32/64-bit)
Windows Server 2008 SP2 (32/64-bit)
Windows Server 2008 R2 SP1
Windows Installer 3.0 и выше
Windows Imaging Component (WIC)
Microsoft .NET Framework 4 и выше
Microsoft SQL Server 2005 / Microsoft SQL Server 2008
Java Runtime
Environment 1.5 и выше
WIC для Windows Server 2003, эта
.NET Framework
браузеров Internet Explorer 6/7/8/9
Сайт SAM Management Center (Центр
управления SAM) должен быть добавлен в
список доверенных узлов интрасети.

Требования для установки SAM Client
Поддерживаемые ОС Windows XP SP3 (32-bit, 64-bit)
Windows Vista SP1 (32-bit, 64-bit)
Windows 7 SP1 (32-bit, 64-bit)
Windows Server 2003 SP2 (32-bit, 64-bit)
Windows Server 2003 R2 (32-bit, 64-bit)
Windows Server 2008 (32-bit, 64-bit)
Windows Server 2008 R2 SP1 (64-bit)
Windows 8 (32-bit, 64-bit)
Windows Installer 3.0 и выше WIC для Windows Server 2003, эта
.NET Framework
браузеров
Internet Explorer 6/7/8/9
Mozilla Firefox 9 и более поздней версии (только для
OTP)
Safari 5 (только для OTP)
Сайт SAM Self Service Center
(Центр самообслуживания SAM) должен
быть добавлен в список доверенных узлов.
браузеров
Internet Explorer 6/7/8/9
Firefox 9 и более поздней версии
Chrome 16 и более поздней версии
Safari 5 и более поздней версии (MAC)
Требования для отображения внешних порталов SAM

Установка SAM Server

Установка SAM Management Tools

Установка и обновление SAM Client

Настройка базовой конфигурации SAM

Выбор хранилища пользователей

Microsoft AD

Microsoft SQL

LDAP Directory Server

Автономное хранилище

Выбор хранилища служебной информации

Выбор учетной записи SAM

Завершение настройки

Сводная информация

Действия после установки
83
 Добавление административных шаблонов
 Настройка с помощью утилиты Configuration Manager
 Настройка ролей SAM
 Настройка объектов политики использования eToken (TPO)
 Настройка серверной службы Backend Service
 Настройка Desktop Agent
 Настройка уведомлений пользователей и администраторов о событиях
аудита и о событиях выпуска
 Настройка коннекторов
 Установка и настройка внешних порталов SAM
 Настройка аутентификации пользователей в “облачных” службах и
приложениях
 Настройка параметров регистрации мобильных устройств Apple на
платформе iOS

Добавление административных шаблонов

Утилиты Configuration Manager

Настройка ролей SAM

Объекты политики использования eToken
(TPO)

Редактирование TPO
88

Серверная служба Backend Service

Настройка Desktop Agent

Настройка аудита и уведомлений
о событиях

Настройка коннекторов

Настройка внешних порталов SAM

Настройка аутентификации в
“облачных” приложениях
94
 Настроить параметры облачного соединения в SAM
Configuration Manager
 Настроить параметры единого входа на странице
поставщика “облачных” служб
 Сделать предварительную настройку сопоставления
имен пользователей для доступа к “облачным”
приложениям.
 Настроить параметры аутентификации пользователей в
TPO.

Настройка параметров регистрации
мобильных устройств Apple

Основные сценарии для SAM
96
Хранилище служебной
информации
Хранилище
пользователей
Active Directory ADAM (AD LDS)
Active Directory
ADAM (AD LDS)
MS SQL Server 2005 / 2008
Novell eDirectory 8.7.3 или выше
OpenLDAP 2.3.38 или выше
Удаленные службы Active
Directory
IBM Lotus Domino

Схема лицензирования
97
 Демонстрационная лицензия
 Коммерческая лицензия

Демонстрационная лицензия *
Ограничения:
 Срок действия – 90 дней
10 пользователей – все коннекторы
10 пользователей:
MobilePASS
eToken Virtual
 10 пользователей:
Коннектор Network Logon
* Входит в комплект поставки

Коммерческая лицензия **
Действует в пределах леса Microsoft AD
Приобретаются по количеству пользователей
Имеют срок действия: 1, 2, 3 года
Право на использование всех коннекторов
 Отдельные лицензии для:
- MobilePASS
- eToken Virtual
- Коннектор Network Logon
Инкрементальная лицензия
** Приобретается дополнительно

Часть IV.
Обзор SafeNet OTP
101

Коннектор OTP

Выпуск токена c OTP

HelpDesk

Пример использования OTP

Как можно применить?
107
Аутентификация
на RADIUS-клиенте
Пользователь предоставляет значение OTP RADIUS-клиенту
(клиентскому приложению).
Данный сценарий подразумевает установку на сервере
IAS/NPS модуля поддержки OTP из состава SAM.
в Microsoft OWA
Пользователь предоставляет значение OTP для доступа к
Microsoft Outlook Web Access/Outlook Web App (OWA).
Данный сценарий подразумевает установку на сервере
модуля поддержки OTP для IAS/NPS и модуля поддержки
OTP для Microsoft OWA из состава SAM.
для доступа к ресурсам
на сервере IIS
Пользователь предоставляет значение OTP для доступа к
веб-приложению на сервере IIS.
Данный сценарий подразумевает установку модуля
поддержки OTP для IIS из состава SAM.
для входа в домен Windows
Пользователь предоставляет значение OTP для входа в
корпоративную сеть (домен Windows).
Данный сценарий подразумевает установку на клиентских
компьютерах ПО Network Logon, которое не входит в
поставку SAM.

108
Вопросы по Части IV.
Обзор SafeNet OTP

Часть V.
SafeNet Network Logon
109

Что такое SafeNet Network Logon?

Возможности SafeNet Network Logon
111
 Решение проблемы "слабых" паролей
 Усиление безопасности при использовании
паролей
 Простой переход к аутентификации с
использованием цифровых сертификатов
 Автоматическая блокировка рабочей станции
 Настройка продукта в соответствии с
требованиями политики безопасности
организации
 Настройка методов аутентификации

Требования к программному обеспечению
112
 Поддерживаемые ОС:
• Windows Server 2003/R2 (32/64-bit)
• Windows Server 2008/R2 (32/64-bit)
• Windows 7 (32- and 64-bit)
• Windows XP/Vista (32- and 64-bit)
• Windows Server 2012
• Windows 8
 Дополнительное ПО:
SafeNet Authentication Client
 Поддерживаемые ключи:
• Все электронные ключи SafeNet

113
Часть V.
SafeNet Network Logon

Сертифицированные продукты
114
 SafeNet Authentication Manager (SAM)
Решение для управления инфраструктурой аутентификации в
масштабах предприятия
СЗИ от НСД и НДВ - АС до 1Г включительно
ИСПДн - УЗ-4
Сертификат ФСТЭК России – № 2769
 SafeNet Network Logon
Решение для входа на рабочую станцию и в домен Microsoft
Windows с использованием электронных ключей eToken
СЗИ от НСД и НДВ - ОУД 2; НДВ 4 (АС до 1Г включительно)
ИСПДн - УЗ-1
Сертификат ФСТЭК России №1961

116
Ваши вопросы?

Спасибо за внимание!
Коваленко Дарья
Менеджер по продукту

SafeNet Authentication Manager - Двухфакторная аутентификация

More Related Content

What's hot (20)

Similar to SafeNet Authentication Manager - Двухфакторная аутентификация (12)

More from Daria Kovalenko (7)

SafeNet Authentication Manager - Двухфакторная аутентификация