Progettazione di un sistema di Strong Authentication e Single Sign On

Transcript

1 Progettazione di un sistema di Strong Authentication e Single Sign On Milano Hacking Team S.r.l. Via della Moscova, 13 info@hackingteam.it MILANO (MI) - Italy Tel Fax Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 1 di 13

2 STORIA DEL DOCUMENTO Versione Data Modifiche Effettuate Maggio 2005 Emissione prima bozza Maggio 2005 Prima emissione definitiva Giugno 2005 Inserimento proposta di studio fattibilità INFORMAZIONI Data di Emissione 10 Giugno 2005 Versione 3.0 Tipologia Documento Allegato Tecnico Numero di Protocollo // Numero Pagine 13 Numero Allegati 0 Descrizione Allegati Redatto da Approvato da 1 // 2 // Rusudan Losaberidze (CA) Federico Guerrini (Hacking Team) Gianluca Vadruccio 2005 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 2 di 13

3 INDICE 1 Obiettivo Ambiente di riferimento Requisiti Descrizione della soluzione DESCRIZIONE ARCHITETTURALE E FUNZIONALE Sistema di Single Sign On PKI Strong Authentication Device Card Management System (CMS) IMPLEMENTAZIONE etrust SSO PKI CMS Strong Authentication Device Confronto fra le diverse implementazioni Approccio proposto Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 3 di 13

4 1 Obiettivo ISIDE ha richiesto di progettare un sistema per incrementare il livello di sicurezza delle procedure di accesso a dati ed applicazioni del proprio sistema informativo. Questo documento descrive la soluzione di single sign on e strong authentication proposta da Hacking Team, le cui principali caratteristiche sono di seguito sintetizzate. Strong Authentication: il sistema richiede, prima di consentire l accesso a dati ed applicazioni, che gli utenti eseguano con successo una procedura di autenticazione mediante certificato digitale memorizzato su smart card o token USB; i certificati digitali sono emessi e gestiti da una PKI aziendale compresa nella soluzione proposta. Single Sign On: dopo aver eseguito con successo l autenticazione, il sistema permette agli utenti l accesso automatico ad applicativi Web e ad applicativi basati su un interfaccia Windows GUI, eliminando la necessità di ulteriori procedure di autenticazione. I benefici della soluzione proposta sono i seguenti. Aumento del livello di sicurezza dei meccanismi di accesso alle risorse del sistema informativo: l uso di schemi di autenticazione basati su smart card decrementa in modo sostanziale la possibilità per soggetti non autorizzati di accedere a dati ed applicazioni. Aumento della produttività/soddisfazione dell utente finale: l attività degli utenti non subisce rallentamenti ed interferenze dovute a numerose richieste di autenticazione ed ai relativi inconvenienti (smarrimento delle password e conseguente ricorso ai servizi di help desk). Riduzione delle chiamate all help desk per il reset delle password: grazie al sistema di SSO, i problemi di autenticazione dovuti allo smarrimento e/o compromissione delle password vengono drasticamente ridotti. Implementazione graduale: la tecnologia di SSO scelta (etrust SSO di Computer Associates) non richiede alcuna modifica agli applicativi o ai processi operativi degli utenti: l accesso automatico avviene tramite gli script esterni. Per tale ragione, esso può essere implementato in modo graduale, su sottoinsiemi di applicazioni e/o di utenti, in conformità alle esigenze. Continuità del servizio: il sistema di SSO implementa meccanismi robusti di loadbalancing e hot/online backup che permettono di erogare un servizio continuo anche negli orari di punta o in caso di guasti Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 4 di 13

5 Allo scopo di verificare l adeguatezza della soluzione proposta alle esigenze del Committente, verrà svolto un progetto pilota mirato all implementazione di una versione prototipale. Gli obiettivi e i limiti del progetto pilota sono descritti nel seguito del presente documento. 2 Ambiente di riferimento Il progetto pilota prevede l integrazione di un sistema di strong authentication basato su smart card o token USB; un sistema di Single Sign On a cui si accede previa autenticazione mediante smart card o token USB; nel sistema informativo di ISIDE, di cui sono di seguito elencate le caratteristiche rilevanti ai fini delle attività da svolgere: il progetto pilota riguarderà 100 utenti. le postazioni client da essi utilizzate sono attualmente basate su sistema operativo Windows XP / 2000; si prevede di mantenere lo stesso sistema operativo per i desktop nel futuro; il repository delle utenze è costituito della directory LDAP di Top Secret. 3 Requisiti La soluzione di strong authentication e SSO proposta deve soddisfare i seguenti requisiti. Accesso semplificato e automatico ai seguenti applicativi del Committente: o il sistema di SSO sviluppato internamente (che autentica gli utenti in base a un utenza / password di CA etrust Top Secret); o Emulatore 3270 per l accesso a Mainframe. Supporto per meccanismi di autenticazione ad almeno due fattori. Utilizzo della directory LDAP di Top Secret come repository delle identità che hanno accesso al sistema si SSO. Indipendenza da Microsoft Active Directory. 4 Descrizione della soluzione La soluzione proposta è costituita, dal punto di vista architetturale, dai seguenti moduli. Sistema di SSO; PKI; 2005 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 5 di 13

6 Strong Authentication Device (smart card o token USB); Card Management System (CMS). Il paragrafo 4.1 descrive questi moduli dal punto di vista funzionale. Il successivo paragrafo 4.2 descrive le tecnologie che sono state scelte (o le possibili opzioni) per implementare le funzionalità di ogni modulo. 4.1 Descrizione architetturale e funzionale Sistema di Single Sign On Il sistema di SSO semplifica le procedure di accesso ai dati ed agli applicativi, permettendo agli utenti di effettuare una unica operazione di logon all inizio della sessione di lavoro. L autenticazione richiesta durante la fase di logon può essere basata su differenti metodi di autenticazione robusta quali certificati digitali, smart-card, one-time password (SecurID, SafeWord, SmartPassport) e sistemi di autenticazione biometrica. In conformità ai requisiti definiti nel paragrafo 3, il sistema di SSO utilizzeà la directory LDAP di CA etrust Top Secret per: verificare delle credenziali fornite; ricavare il profilo autorizzativo per l utente (informazioni di appartenenza ai gruppi) PKI Il processo di autenticazione iniziale per effettuare il logon ad etrust SSO utilizza certificati digitali X.509v3. L emissione di tali certificati richiede l implementazione di una PKI aziendale. Le componenti architetturali di una PKI sono i seguenti: Registration Authority: implementa le funzionalità di validazione delle identità per le quali possono essere emessi certificati digitali; Certification Authority: implementa le funzionalità di emissione e gestione dei certificati. La gestione dei certificati comprende la revoca, il rinnovo e la pubblicazione delle CRL (Certificate Revocation List). Le principali implementazioni di PKI (sia commerciali, sia open source) comprendono sia le funzionalità di registration authority, sia quelle di certification authority. Solitamente, una PKI insiste su una directory LDAP contenente le identità per le quali possono essere emessi i certificati Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 6 di 13

7 4.1.3 Strong Authentication Device Ogni utente deve essere dotato di un token USB per effettuare il logon alla propria workstation ed al sistema di SSO. Un token USB è un dispositivo che permette di generare e conservare in modo sicuro la chiave privata associata al certificato digitale dell utente. Prima di consentire l accesso alla chiave privata, il token deve essere sbloccato dell utente inserendo un codice personale, solitamente indicato come PIN. Il logon avviene inserendo il token nell apposito connettore (porta USB) e digitando il PIN. Gli schemi di autenticazione che fanno uso di smartcard o token USB sono considerati robusti, in quanto basati su due fattori: il possesso del token USB; la conoscenza del relativo PIN Card Management System (CMS) Il card management system è lo strumento che consente la gestione centralizzata delle smart card o token USB emessi e delle credenziali su di essi presenti. Le diverse soluzioni presenti sul mercato offrono le seguenti funzionalità: emissione e revoca di smart card e token USB; emissione, rinnovo e revoca dei certificati digitali presenti su smart card e token USB, mediante interfacciamento con la certification authority; definizione dei profili (insiemi di credenziali) di smart card e token USB per le diverse tipologie di utenza presenti nell organizzazione; funzionalità di help desk per la risoluzione dei problemi legati all utilizzo delle smart card e token USB: o blocco del dispositivo in seguito alla digitazione di PIN errati per un numero di volte (consecutive) superiore al massimo consentito; o emissione di smart card o token USB sostituitivi, in seguito a smarrimento, danneggiamento o temporanea indisponibilità del dispositivo originale; o funzionalità di self-service per gli utenti finali (richiesta di sblocco automatico del dispositivo, richiesta di rinnovo certificati, ecc.). La presenza di un modulo CMS non è strettamente indispensabile per il corretto funzionamento dell infrastruttura di strong authentication; le funzionalità che esso implementa possono essere infatti sostituite da procedure manuali e dall impiego, da parte degli amministratori di sistema, dei tool di gestione della certification authority e dei dispositivi crittografici. Tuttavia, l adozione di un 2005 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 7 di 13

8 CMS permette di ridurre la quantità di risorse necessarie per l amministrazione della soluzione; in particolare, l uso di un CMS è fortemente consigliato nelle realtà geograficamente distribuite, in cui è necessario disporre di procedure di help desk per utenti remoti (ovvero nei casi in cui la smart card o il token USB per cui è richiesto supporto siano fisicamente distanti dalla postazione di lavoro degli amministratori). 4.2 Implementazione etrust SSO etrust SSO è un sistema di Single Sign On sviluppato da Computer Associates. Sulla base dei requisiti descritti nel paragrafo 3, esso sarà installato e configurato come mostrato nella Figura 1 e descritto di seguito. Il sistema utilizzerà uno o più Policy Server. Un Policy Server include il DB di regole di accesso/autorizzazioni basato su etrust Access Control e un repository degli utenti basato su etrust Directory. Ambedue fanno parte della licenza di SSO. Il sistema prevede l installazione di almeno un Policy Manager per la gestione di etrust SSO tramite un interfaccia Windows GUI. Il sistema prevede l installazione di etrust SSO Client su tutte le postazioni degli utenti che usufruiranno di servizi di etrust SSO. Sarà installato un SSO Certificate Authentication Agent per l autenticazione degli utenti per mezzo di certificati digitali. Sarà installato un agente Web SSO per permettere l accesso automatico agli applicativi Web. Il processo di autenticazione ed accesso alle risorse in modalità SSO avviene come descritto di seguito. etrust SSO chiede all utente di autenticarsi inserendo la smart card o il token USB. L agente di autenticazione SSO verifica le credenziali dell utente e crea un ticket di autenticazione per etrust SSO. A questo punto, l utente può accedere a tutti gli applicativi autorizzati a lui in etrust SSO, in automatico per tutta la durata del ticket Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 8 di 13

9 Figura 1. Flusso di Single Sign On. Quando l'utente seleziona un applicativo dalla sua lista SSO, l'sso Client manda il Ticket con l'identificativo dell'applicativo all'sso Server il quale controlla la validità del Ticket e restituisce all'sso Client il Logon Dialog con le credenziali necessarie per il logon automatico all'applicativo. Tutte le comunicazioni tra le varie componenti di SSO sono cifrate usando 3-DES e Elgamal. Le credenziali non viaggiano mai in chiaro. L'SSO Client esegue il corrispondente Login Dialog (script), avvia l'applicativo e si autentica all'applicativo per l'utente. Se l'utente esegue l'applicativo per la prima volta in modalità single sign-on e l'opzione di Learn Mode è abilitata, allora etrust SSO chiede all'utente di fornire le sue credenziali per l'accesso all'applicativo. L'utente deve fornire le sue credenziali a SSO per ogni applicativo una sola volta; per tutti i successivi accessi etrustsso può gestire le password in maniera automatica; è tuttavia previsto che anche un amministratore di etrust SSO possa inserire le credenziali di accesso agli applicativi applicative per gli utenti utilizzando la console di amministrazione. In questo modo, SSO non chiederà mai all utente la sua password iniziale per l accesso all applicativo PKI Sono state identificate due tecnologie che, mediante opportuna integrazione, possono essere utilizzate per l implementazione delle funzionalità di PKI della soluzione proposta. OpenCA: è un implementazione open source di una certification authority conforme ai principali standard e protocolli connessi alla generazione e all utilizzo di certificati digitali X.509v3. L integrazione di OpenCa nel sistema informativo aziendale permette di realizzare 2005 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 9 di 13

10 una PKI (infrastruttura a chiave pubblica) completamente autonoma, sia nelle funzioni di emissione dei certificati, sia in quelle di registrazione degli utenti. Dal punto di vista architetturale, OpenCa si compone di tre elementi: o un front end web-based che implementa le funzionalità di registrazione ed amministrazione; o un layer crittografico basato sulla libreria OpenSSL; o un repository accessibile mediante protocollo LDAP; in ambienti dove non sia possibile o conveniente utilizzare una directory già esistente, si può ricorrere alla tecnologia open source OpenLDAP. Microsoft Certificate Services: è l implementazione Microsoft di una certification authority per piattaforme Intel/Windows. Rappresenta una alternativa di basso costo alla precedente opzione open source. Certificate Services è un componente incluso nei sistemi operativi MS Windows 2000 Server e MS Windows Server 2003, per il cui utilizzo non è necessario acquistare nessuna licenza aggiuntiva. Nella modalità stand alone può funzionare anche in assenza di un dominio Active Directory CMS A seguito di una analisi dei prodotti attualmente disponibili, sono state individuate le seguenti possibilità. Nessuna di esse, naturalmente ad eccezione dell approccio totalmente custom, risulta pienamente rispondente ai requisiti ed ai vincoli descritti ai paragrafi 2, 3. ActivCard CMS: si tratta di una soluzione completa dal punto di vista delle funzionalità di management necessarie nel sistema informativo del Committente; tuttavia deve essere installata su piattaforma Microsoft. Inoltre, se utilizzata con MS Certificate Services richiede la presenza di un dominio ActiveDirectory. Alternativamente, possono essere utilizzate altre tecnologie PKI quali Entrust, Betrusted UNICert, Verisign Managed PKI. Siemens CMS: si tratta di una soluzione estremamente flessibile, che può Siemens può customizzare per soddisfare precisi vincoli della soluzione target. Custom CMS: si tratta di una implementazione custom, realizzata da Hacking Team, delle funzionalità di gestione dei dispositivi necessarie per supportare gli utenti del sistema di strong authentication e SSO. I requisiti per una tale attività di sviluppo saranno definiti mediante una analisi dei processi di gestione delle risorse del sistema informativo Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 10 di 13

11 4.2.4 Strong Authentication Device Sono possibili diverse soluzioni, fra cui: Smart Card e USB token ActivCard Token Eutron InfoSecurity Smart Card e token USB Siemens. La scelta fra le differenti tecnologie dipende dalla scelta del CMS (si veda il paragrafo successivo) Confronto fra le diverse implementazioni Questo paragrafo riassume e confronta le diverse possibili scelte implementative, sulla base delle tecnologie descritte. N. CMS Device PKI Vantaggi Svantaggi Effort ActivCard CMS Siemens CMS Custom CMS (HT) Non utilizzato ActivCard SC o USB token Siemens SC Scelta concordata con il Committente Eutron USB token MS Certificate Services OpenCA Scelta concordata con il Committente Possibilità di utilizzare servzi PKI inoutsourcing OpenCA Completezza funzionale Semplicità Completezza funzionale Completezza funzionale Semplicità Richiede MS ActiveDirectory Customizzazione fatta da Siemens 25 g/u?? Effort elevato?? Nessuna gestione dei token 30 g/u 2005 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 11 di 13

12 5 Approccio proposto La progettazione di tale sistema non è semplice e, considerando tutti i vincoli, consigliamo di optare per la soluzione 3, che vede l adozione di un sistema di single sign-on CA ed un CMS realizzato ad hoc da Hacking Team secondo le stringenti esigenze di Iside. E importante sottolineare che rilassando alcuni vincoli, potranno risultare di buon livello anche le altre soluzioni. La strada in assoluto migliore rimane quella di eseguire un dettagliato ed approfondito studio di fattibilità che potrà portare enormi benefici: identificazione della soluzione ottima corretta progettazione e soddisfacimento dei vincoli perseguimento di tutti gli obiettivi Per giungere alla definizione di un sistema in grado di rispondere alle esigenze di Iside, si propone quindi lo svolgimento di uno studio di fattibilità articolato come di seguito descritto. Analisi organizzativa: questa fase ha l obiettivo di identificare i processi organizzativi legati alla gestione delle utenze del sistema informativo e dei loro diritti alle risorse. I risultati dell analisi organizzativa permetteranno di individuare le attuali criticità, le problematiche di sicurezza, le strategie e gli strumenti (sistemi di provisioning, single sign on, strong authentication) più idonei alla loro risoluzione. Analisi tecnologica e di compatibilità: questa fase ha l obiettivo di raccogliere informazioni sulle piattaforme tecnologiche utilizzate nel sistema informativo di Iside. I risultati dell analisi guidano il processo di selezione delle tecnologie e dei prodotti che potranno essere utilizzati per implementare la soluzione. Questa fase potrà includere, se necessario, piccole implementazioni prototipali qualora fosse necessario verificare la fattibilità di integrazioni fra i sistemi di Iside e prodotti di terze parti. Risultati dello studio. Questa fase prevede la redazione di un documento che descrive le criticità sia di carattere organizzativo, sia di sicurezza che sono state individuate; gli approcci che possono essere seguiti per aumentare l efficienza ed il livello di sicurezza nella gestione delle identità e degli accessi alle risorse del sistema informativo; per ogni approccio, le soluzioni tecnologiche compatibili con le caratteristiche tecniche del sistema informativo di Iside; per ogni soluzione, una descrizione architetturale e una serie di linee guida per una successiva fase di progettazione esecutiva Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 12 di 13

13 I vantaggi L approccio proposto, garantisce, sulla base dell esperienza dei consulenti Hacking Team CA Telecom Italia, la maggiore probabilità di successo ed il minore effort complessivo per il progetto. Rende inoltre possibile la customizzazione della soluzione per soddisfare esigenze e vincoli specifici della piattaforma del Cliente. Gli approcci che, al contrario, prevedono come primo passo lo svolgimento di un progetto pilota sono spesso meno efficienti, in quanto implicano una scelta tecnologica fatta a priori e non guidata da una comprensione approfondita dei requisiti. Questo conduce, in molti casi, ad uno spreco di risorse nel tentativo di adeguare prodotti inadeguati ad esigenze inaspettate Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 13 di 13