Smetana Informatica Your security global partner

Transcript

1 Smetana Informatica Your security global partner Authentication, authorization, accounting un approccio integrato per l accesso ai servizi Andrea Paita a.paita@smetana.it Titolo! AAA un approccio integrato per l accesso ai servizi! Alcuni casi reali Operatore telefonico Accesso remoto dipendenti ( ) Operatore telefonico Accesso VPN SSL (2006) Operatore telefonico Autenticazione accessi GPRS tecnici sul territorio (2006) Società farmaceutica Accesso VPN informatori ( )! AAA Principi generali! Autenticazione Definizione e obiettivi Tipologie di autenticazione Metodi di autenticazione Autenticazione nel PPP! Autorizzazione Definizione e obiettivi Meccanismi di autorizzazione! Accounting Definizione e obiettivi Meccanismi di accounting Radius! ---- Intervallo---! Tecniche di strong authentication RSA Authentication Manager! Laboratorio RADIUS RSA Authentication Manager "

2 Alcuni casi reali! Operatore telefonico Accesso remoto dipendenti ( )! Operatore telefonico Accesso VPN SSL (2006)! Operatore telefonico Autenticazione accessi GPRS tecnici sul territorio (2006)! Società farmaceutica Accesso VPN informatori (2009) # Operatore Telco - Accesso remoto dipendenti! Obiettivo: Centralizzazione dei servizi di accesso remoto (dialup, vpn, GPRS/UMTS) Unico punto per il controllo degli accessi (verifica identità dell utente e verifica delle autorizzazioni) Unico punto per il monitoraggio! Progetto: Realizzazione di un infrastruttura centralizzata di accesso remoto Controllo centralizzato dei flussi di autenticazione (Radius) e del processo di autorizzazione Real Time Monitoring Strong authentication $

3 Operatore Telco - Accesso VPN SSL! Obiettivo: Realizzare un accesso VPN SSL verso la rete di servizio, per consentire gli interventi di manutenzione dei tecnici sui sistemi Controlli approfondito sui client che accedono e autenticazione forte Policy differenti per utenti/client interni o esterni! Progetto: Piattaforma di accesso VPN SSL con tecnologia F5 Networks posture assesment dei client pre-login control Accesso agevolato per i client riconosciuti come interni (riconosciuti tramite certificato macchina) Autenticazione Radius Strong Authenticationt Entrust Identity Guard Real Time Monitoring % Operatore Telco -Autenticazione accesso GPRS/UMTS! Obiettivo: Autenticazione degli accessi GPRS dei tecnici sul territorio Necessità di una modalità di autenticazione semplice ma che non sacrifichi la sicurezza! Progetto: Realizzazione di un infrastruttura di autenticazione Radius su host multipli bilanciati e ridondati Autenticazione utenti basata su username e password con verifica del numero chiamante (Caller ID) Real Time Monitoring &

4 Azienda farmaceutica Accesso VPN informatori! Obiettivo: Realizzare un accesso VPN SSL / IPSEC alla rete e ai servizi interni Controlli approfonditi sui client che accedono e autenticazione forte Policy differenti per le differenti tipologie di utenze e client! Progetto: Piattaforma di accesso VPN con tecnologia CISCO Accesso IPSEC dedicato al personale del settore IT Accesso VPN SSL con Posture Assesment per gli Informatori Scientifici del Farmaco Autenticazione Radius ' AAA - l utente è centrale per il servizio erogato! In tutti i progetti descritti il riconoscimento dell utente, l individuazione di quello che può fare nell ambito del servizio e il tracciamento dei suoi accessi sono elementi centrali.! AAA: Acronimo per Authentication Authorization Accounting! I tre aspetti dell AAA sono strettamente integrati (

5 AAA - Authentication! Autenticazione: processo di identificazione e verifica dell autenticità di un soggetto che cerca di accedere a dati critici o risorse! L autenticazione è tipicamente basata su Qualcosa che il soggetto conosce (password, chiave, ecc ) Qualcosa che il soggetto possiede (token, smart card, ecc..) Sulle caratteristiche biometriche del soggetto Su più di uno dei fattori precedenti (multi factor authentication ) AAA - Authorization! Autorizzazione: con tale termine si indica la gestione dei permessi di accesso alle risorse considerate critiche in termini di sicurezza.! L autorizzazione è Strettamente legata all autenticazione Efficace se si concede ad ogni utente i privilegi minimi di cui ha bisogno per lavorare!*

6 AAA - Accounting! Accounting: con questo termine si indicano tutte le attività necessarie per tenere traccia delle operazioni effettuate da un utente quando accede a delle risorse critiche!! Autenticazione Definizione e obiettivi! Autenticazione: processo di identificazione e verifica dell autenticità di un soggetto che cerca di accedere a dati critici o risorse! L identificazione, tipicamente ottenuta con uno username è supportata da un ulteriore prova di autenticità dell identità Si pensi al caso di una patente o di una carta di identità, che identificano un utente: l autenticità è data dalla foto o dai segni particolari! Forza dell autenticazione debolezza e vantaggi del meccanismo username e password meccanismi per ottenere la strong authentication!"

7 L autenticazione nel PPP! Il PPP (Point to Point Protocol) è il protocollo tipicamente utilizzato nelle connessioni dial-up (modem 56K, ADSL,...)! In queste connessioni il provider deve riconoscere l utente per controllare che sia autorizzato a collegarsi! I protocolli tipicamente utilizzati per l autenticazione sono PAP CHAP MS-CHAP MS-CHAPv2 EAP Pc dell utente Network Access Server!# PAP Password Access Protocol DATABASE ID Password Dante Alighieri Router ADSL domestico Dante 1 Richiesta di autenticazione Network Access Server ( sono dante e la mia password è alighieri ) 2 Confronta ID e password con quelle memorizzate ACK ( Ok, sei accettato ) 3!$

8 PAP Password Access Protocol Nel protocollo PAP le password sono inviate in chiaro, ossia sono leggibili all interno del pacchetto! Esempio: pacchetto PPP contenente la richiesta di autenticazione PAP: c 07 ac d CC.3..E f9 a f 12 8c 0a 0a 31 3d 0a 0a.8.../...1= e b a ff c e c 69.#...d ante.ali ghieri!% CHAP Challenge Authentication Protocol CHAP Challenge Authentication Protocol! Protocollo nato per ovviare alla necessità di far passare in chiaro la password! Si basa su una funzione di hashing, comune ai due sistemi coinvolti nell autenticazione:! Essa fornisce un risultato univocamente legato alla password (detta secret) e a un numero detto challenge! Dati il risultato e il challenge è impossibile risalire al secret. Secret Challenge Funzione di hashing risultato!&

9 CHAP Challenge Authentication Protocol Router casalingo dante 2 Calcola la risposta alighieri 42 Funzio ne di hashin g 3 NAS verdi Messaggio di sfida (challenge message) ( Sono verdi e ti dico 42 ) Risposta ( sono dante e rispondo ) 1 Nome dante DATABASE Secret alighieri 4 alighieri 42 Funzio ne di hashin g Calcola la risposta ACK ( Ok, accettato ) 5!' CHAP Challenge Authentication Protocol! Il secret non passa mai sul canale. Esempio di pacchetto di risposta, con evidenziato il valore di hash: c 07 ac d CC.3..E b f fb ef 0a 0a 31 3d 0a 0a.B.;.../...1= e b 00 1e 03 b ff 03 c a 10 4b 2a 28 f3 ee...#.....k*( cd b4 d6 26 5e ce e & ^.bdante! Anche intercettando molte coppie challenge/response è impossibile risalire al secret!! Infine, CHAP supporta l autenticazione mutua tra client e server!(

10 MS-CHAP / MS-CHAPv2! Il protocollo CHAP necessita che i secret siano memorizzati in chiaro nei database di client e server.! MS-CHAP è una variante di CHAP sviluppata da Microsoft che ovvia a questo problema.! Si basa sempre sul meccanismo challenge/response.! Fa uso di una funzione di hashing che accetta anche secret cifrate.! Il NAS, per autenticare il client, non ha bisogno di conoscere direttamente il secret ma gli basta la sua versione cifrata.! Anche accedendo al NAS, al server di autenticazione o al suo database non si possono scoprire i secret.! MS-CHAP v2 è una versione più nuova e migliorata di MS- CHAP!) Esempio: il client dial-up di Windows "*

11 Autorizzazione: Definizione e obiettivi! Definizione Il processo di autorizzazione è quel processo, strettamente legato all autenticazione, che consente di determinare i diritti e privilegi di un utente.! Obiettivo consentire all utente di potere accedere alle sole risorse (reti, fileserver, web interno, ecc ) di sua competenza e non ad altre "! Policy! Il processo di autorizzazione segue quello di autenticazione ed è tipicamente basato sull individuazione di policy ben definite! Una policy è un insieme di regole sulla base delle quali viene stabilito cosa l utente può fare! Il risultato del processo di autorizzazione è un permesso o un insieme di permessi che l utente ottiene al momento dell accesso.! Tali permessi sono tipicamente raggruppati in profili che semplificano la gestione dell autorizzazione ""

12 Autorizzazione: la visione dell IETF! PDP (Policy Decision Point): è l elemento cui è affidata la decisione delle regole da applicare a un accesso! PEP (Policy Enforcement Point): è l elemento cui è affidata l applicazione delle policy! Policy repository: è l elemento in cui le policy sono memorizzate "# Un esempio [1] Server Stipendi NO Server Mail OK AAA Server Directory Server Remote Access Server? E Mario. Può Entrare Profilo Dipendenti Mario: Dipendente Giancarlo: Direttore Personale "$

13 Un esempio [2] Server Stipendi OK Server Mail OK AAA Server Directory Server Remote Access Server? E GIANCARLO!!!. Può Entrare Profilo SUPERi Mario: Dipendente Giancarlo: Direttore Personale "% Un esempio [3] Server Stipendi Server Mail PDP Policy Decision Point PEP PEP AAA Server Directory Server PEP Policy Enforcement Point Remote Access Server PEP PDP Policy Repository Mario: Dipendente Giancarlo: Direttore Personale "&

14 Metodi per l autorizzazione! rule based, per poter accedere devono essere soddisfatte delle regole di accesso in base alle quali verranno verificati determinati requisiti per ogni utente o per gruppi di utenti;! role based, in questo caso i diritti di accesso sono aggregati in ruoli, agli utenti viene poi assegnato un ruolo;! user based, è il caso in cui i diritti di accesso sono assegnati direttamente ad un utente o ad un gruppo di utenti solitamente tramite ACL (Access Control List). "' Policy Repository! Il repository delle policy può essere Un Radius server Un Directory Server LDAP Un sistema dedicato basato su DB! Directory Server LDAP: può contenere grosse quantità di dati tipo credenziali di login, elenchi del telefono o altro. visione statica dei dati più operazioni di lettura che di scrittura ottimizzato per accesso in lettura aggiornamenti semplici (operazioni senza transazioni) limitato nei tipi di dato che possono esser memorizzati "(

15 Accounting - Definizione! Per Accounting si intende la raccolta e la memorizzazione di informazioni relative all utilizzo di risorse da parte degli utenti.! Un dato di accounting riporta: L indicazione della risorsa acceduta L utente che ha effettuato l accesso La data e l ora in cui ciò è avvenuto Eventuali misure dell attività (durata della connessione, byte trasferiti, banda impegnata, eccetera). ") Scopo! I dati di accounting possono essere utilizzati per vari scopi: Analisi statistica sull utilizzo delle risorse Quali sono le tendenze? Chi usa di più le risorse? Quali sono le risorse più usate? Analisi dei costi Quanto costa l utilizzo di una risorsa? Pianificazione della capacità Quali risorse vanno potenziate e quanto? Fatturazione Quanto deve pagare ogni utente per il suo utilizzo? Sicurezza Chi ha fatto cosa? #*

16 Esempio: accounting di una risorsa di rete Data e ora Jun 22 09:12:00.422: RADIUS: authenticator D6 F C2 24 AF - 5D F B 15 Jun 22 09:12:00.422: RADIUS: Acct-Session-Id [44] 10 " F" Jun 22 09:12:00.422: RADIUS: Framed-Protocol [7] 6 PPP [1] Jun 22 09:12:00.426: RADIUS: Acct-Authentic [45] 6 RADIUS [1] Jun 22 09:12:00.426: RADIUS: Ascend-Connection-Pr[196] 6 LAN Ses Up [60] Jun 22 09:12:00.426: RADIUS: Vendor, Cisco [26] 35 Jun 22 09:12:00.426: RADIUS: Cisco AVpair [1] 29 "connect-progress=lan Ses Up" Jun 22 09:12:00.426: RADIUS: Acct-Session-Time [46] Jun 22 09:12:00.426: RADIUS: Acct-Input-Octets [42] Jun 22 09:12:00.426: RADIUS: Acct-Output-Octets [43] Jun 22 09:12:00.426: RADIUS: Ascend-Presession-Oc[190] Jun 22 09:12:00.426: RADIUS: Ascend-Presession-Oc[191] 6 0 Jun 22 09:12:00.426: RADIUS: Acct-Input-Packets [47] Jun 22 09:12:00.426: RADIUS: Acct-Output-Packets [48] Jun 22 09:12:00.426: RADIUS: Ascend-Presession-Pa[192] 6 6 Jun 22 09:12:00.426: RADIUS: Ascend-Presession-Pa[193] 6 0 Jun 22 09:12:00.426: RADIUS: Acct-Terminate-Cause[49] 6 idle-timeout [4] Jun 22 09:12:00.426: RADIUS: Vendor, Cisco [26] 35 Jun 22 09:12:00.426: RADIUS: Cisco AVpair [1] 29 "disc-cause-ext=idle Timeout" Jun 22 09:12:00.426: RADIUS: Acct-Status-Type [40] 6 Stop [2] Jun 22 09:12:00.426: RADIUS: User-Name [1] 10 "eunt0223" Jun 22 09:12:00.426: RADIUS: Acct-Link-Count [51] 6 1 Jun 22 09:12:00.426: RADIUS: Framed-IP-Address [8] Jun 22 09:12:00.426: RADIUS: Vendor, Cisco [26] 19 Jun 22 09:12:00.426: RADIUS: cisco-nas-port [2] 13 "Serial0/8:9" Jun 22 09:12:00.426: RADIUS: NAS-Port [5] Jun 22 09:12:00.426: RADIUS: NAS-Port-Type [61] 6 ISDN [2] Misure dell utilizzo della risorsa Utente Jun 22 09:12:00.426: RADIUS: Calling-Station-Id [31] 11 " " Jun 22 09:12:00.426: RADIUS: Connect-Info [77] 12 "64000 HDLC" Risorsa Jun 22 09:12:00.426: RADIUS: Called-Station-Id [30] 11 " " Jun 22 09:12:00.426: RADIUS: Class [25] 32 Jun 22 09:12:00.426: RADIUS: F A AD 72 C8 01 C6 [GW?????7????r???] Jun 22 09:12:00.426: RADIUS: 7E 3E 14 0F EA [~>??1?????????] Jun 22 09:12:00.426: RADIUS: Service-Type [6] 6 Framed [2] Jun 22 09:12:00.426: RADIUS: NAS-IP-Address [4] Jun 22 09:12:00.426: RADIUS: Acct-Delay-Time [41] 6 0 #! RADIUS! Remote Access Dial In User Service! Standard la cui nascita risale agli anni 90 RFC 2138, 2139, 2865, 2866! E il protocollo normalmente utilizzato per le connessioni dial-up, gprs, umts, VPN, wired, WiFi #"

17 Schema logico e fisico RADIUS Server Network Access Server VPN Client Wireless Access Point Dial-up Client Wireless Client ## RADIUS: nozioni principali RADIUS Server Network Access Server Wireless Access Point! Il modello di riferimento è di tipo client/server un NAS opera come un client per il RADIUS un access point WiFi opera come un client per il RADIUS #$

18 RADIUS: nozioni principali RADIUS Server Network Access Server Wireless Access Point! Un RADIUS server: Riceve le richieste, autentica gli utenti, e restituisce le informazioni al client affinché rilasci il servizo all utente. Può agire da proxy nei confronti di altri RADIUS server #% Radius: nozioni principali! La sicurezza Le transazioni tra il client e il RADIUS server sono protette attraverso l uso di una password condivisa, una secret. Tutte le password degli utenti vengono trasmesse cifrate #&

19 Radius: nozioni principali! Quali meccanismi vengono utilizzati per autenticare gli utenti? meccanismi di autenticazione flessibili i RADIUS server supportano una grande varietà di metodi per autenticare gli utenti (PPP PAP/CHAP, UNIX login ecc.) I RADIUS server possono chiedere a entità terze la correttezza delle credenziali (DB, LDAP, file testo, CA, HLR, ecc.) User,pwd User,pwd #' RADIUS: nozioni principali! Limiti? UDP Evoluzione TCP " DIAMETER! Il protocollo invecchia? è datato? Extensible Protocol Nuovi attributi possono essere aggiunti nelle transazioni. #(

20 RADIUS: formato standard del pacchetto Code (1 octet=8 bits) Identifier (1 octet) Length (2 octets) Authenticator (4 lines of 4 octets each = 16 octets) Attributes! Code: identifica il tipo di pacchetto RADIUS Access-Request, Access-Accept, Access-Reject, Access-Challenge! Identifier: aiuta a ricostruire le richieste e le risposte! Length! Authenticator: usato per autenticare la risposta dal RADIUS server, serve per la costruzione dell algoritmo di cifratura Per es. MD5(Code+ID+Length+RequestAuth+Attributes+Secr et)! Attributes: contiene in sé informazioni di dettaglio e anche di configurazione sia per l autenticazione, che per l autorizzazione che per l accounting #) Autenticazione a più fattori! L autenticazione è tipicamente basata su alcuni fattori tipici Qualcosa che il soggetto conosce (password, chiave, ecc ) Qualcosa che il soggetto possiede (token, smart card, ecc..) Sulle caratteristiche biometriche del soggetto! Per aumentare la forza di un autenticazione si uniscono più fattori Se a un token si aggiunge un pin abbiamo un autenticazione a due fattori Se aggiungiamo anche il controllo dell impronta digitale abbiamo un autenticazione a tre fattori $*

21 Username e Password! Caratteristiche Autenticazione a un solo fattore, di larga diffusione e poco costoso basato sulla conoscenza di una stringa alfanumerica Robustezza fortemente legata alla scelta della password e alla sua modalità di conservazione e trasmissione L autenticazione può essere resa più forte inserendo meccanismi di scadenza della password! Vulnerabilità Sniffing Replay attack Password cracking Social Engineering..! Contromisure Challenge-Response One Time Password $! One Time Password: Token! La password usa e getta è generata con l ausilio di un autenticatore esterno! Normalmente l autenticazione è a due fattori dipendendo Da un codice, il tokencode, fornito dall autenticatore posseduto unicamente dall utente Da un pin noto solo all utente! Il tokencode è calcolato in modo differente a seconda del produttore (nel caso di RSA la sua generazione dipende dal tempo) + PASSCODE: PIN: 1234 = $"

22 Altre tecniche di autenticazione! OTP basate su SIM La generazione della password usa e getta avviene su un sistema dedicato La password viene inviata via SMS all utente L utente inserisce la password ricevuta insieme alla propria password: autenticazione a due fattori $# Altre tecniche di autenticazione [2]! Challenge con griglia (Entrust) All accesso viene richiesto all utente un challenge mediante delle coordinate $$

23 RSA SecurID Autenticazione Forte! Per autenticazione forte si intende la capacità di autenticare un utente legando l identità digitale alla identità reale.! Come applicazione di autenticazione forte, RSA SecurID si avvale della two-factor-authentication.! L autenticazione dell utente avviene immettendo una PASSCODE costituita da: un codice Pin personale una one-time password generata da un token. $% RSA SecurID Token! Genera automaticamente il codice di accesso: la sicurezza fisica dei token è garantita dalle caratteristiche costruttive di tamper-proof. Devono essere sostituiti ogni due, tre, quattro o cinque anni.! Ogni RSA SecurID token contiene Un microprocessore Una batteria Un clock Un unico token seed record (assimilabile ad un seriale) $&

24 Rsa SecurID - One-Time Password! La generazione della One-Time Password sul token avviene con il meccanismo time-synchronous e algoritmo proprietario. Ogni intervallo temporale (di default 60 sec) i token calcolano un codice o tokencode, basandosi su Il token seed record L UTC (Universal Time Coordinated) Token seed ALGORITHM TOKENCODE $' RSA SecurID - One-Time Password Time synchronous! Il RSA Authentication Manager e il SecurID token generano tokencode indipendentemente tramite lo stesso algoritmo.! L Authentication Manager, nel suo database, ha tutti i token seed record dei token in uso.! I tokencode calcolati in ogni istante sono corrispondenti poiché si basano entrambi sullo stesso token seed record e il valore del tempo UTC Time Seed Same Time Same Seed Rsa SecurID TOken Unique seed Algorithm Clock synchronized to UCT Same Algorithm Rsa Authentication Server $(

25 Rsa SecurID - autenticazione! RSA Authentication Manager compara il tokencode che l utente ha digitato, come parte del PASSOCODE inserito, al tokencode che ha generato.! Se i tokencode sono i medesimi e il PIN è verificato, l acceso è consentito. Internet- Intranet RSA ACE/Server Token code: Changes every 60 seconds userid: jsmith PIN: kwj57 TOKENCODE: : PASSCODE:kwj PASSCODE = PIN + Time Algorithm TOKENCODE Unique seed Seed userid: jsmith PIN: kwj57 TOKENCODE: : PASSCODE:kwj Same Time Same Algorithm Same Seed $) RSA SecurID - derive temporali e time sinchronization! Meccanismo di compensazione automatica, l utente non ne è al corrente. Per un range di tokencode (+-1) qualsiasi tokencode è ritenuto valido TOKENCODE TOKENCODE TOKENCODE :23 Token # seed xxxxxxxx Offset 60sec Token # TOKENCODE A 16:21 TOKENCODE B TOKENCODE C 16:22 16: :2 2 %*

26 RSA SecurID - derive temporali e time sinchronization! Se il token è fuori range di ulteriori +- 2 tokencode, il server riconosce che il tokencode è valido ma l utente è chiamato ad inserire anche il successivo tokencode! I token possono essere risincronizzati manualmente %! RSA SecurID Strong Authentication - Architettura! Non è necessario alcun software sui pc utente.! Le componenti da installare sono RSA Authentication Manager, responsabile delle autenticazioni La componente RSA Authentication Agent sui punti di accesso ala rete RSA Authentication Manager RSA SecurID RSA Authentication Agent Send PIN + TOKEN Send One Time Passcode Send Session Key %"

27 RSA SecurID Strong Authentication - Applicazioni! Le caratteristiche di sicurezza della soluzione e gli algoritmi utilizzati rendono vane le possibili tattiche di social engineering, attacchi a dizionario o network sniffing, anche quando l accesso all applicazione avvenga da internet. RSA ACE/Agent or embedded APIs RSA ACE/Server Token code: Changes every 60 seconds userid: jsmith PIN: kwj57 TOKENCODE: : PASSCODE:kwj PASSCODE = PIN + Algorithm TOKENCODE Unique seed Clock synchronized to UCT RAS, VPN, SSL-VPN WLAN Web and more userid: jsmith PIN: kwj57 TOKENCODE: : PASSCODE:kwj Same Time Same Algorithm Same Seed Time Seed %#