RSA piluje systém chytrých tokenů

SecurID Appliance 2.0 slibuje snadnou správu na tokenech založené autentizace v pobočkách. Firemní pobočky nejsou vžd...


SecurID Appliance 2.0 slibuje snadnou správu na tokenech založené autentizace v
pobočkách.
Firemní pobočky nejsou vždy jen útočištěm pro zaměstnance, kteří se nacházejí
níže v hierarchii organizace. Někdy obsahují i kritické součásti obchodní
infrastruktury, které jsou pouze geograficky odloučené od sídla společnosti.
Když jsou však cílové uzly vzdáleny od zasvěceného personálu IT oddělení, stává
se bohužel správa high-endové autentizace obtížnou. Jedním z možných řešení pro
tyto situace je zařízení SecurID Appliance 2.0 společnosti RSA, které
administrátorům dovoluje z centrální lokality konfigurovat, přidělovat a
spravovat na tokenech založenou autentizaci průmyslové úrovně v jakémkoliv
počtu poboček.
RSA zlepšilo předchozí verzi produktu, která mimo jiné vyžadovala množství
namáhavé editace konfiguračních souborů tak, aby mohla být uvedena do provozu
co nejefektivněji. Současný systém se pyšní webovou správní aplikací a
překvapivě přímočarou instalační rutinou, přesto však stále nabízí dostatečnou
granularitu nastavení, již administrátoři potřebují pro správu tokenů a
nastavení serveru.

Jak to funguje
Architektura SecurID je docela jednoduchá. SecurID Appliance je umístěno v
centrální pobočce a udržuje šifrované spojení ke vzdáleným serverům, na nichž
běží SecurID agenti.
Když se uživatel pokusí o přístup ke chráněnému zdroji, jako je třeba soubor
nebo složka, na jednom ze serverů, je nasměrován na přihlašovací rozhraní
SecurID. Zde musí uživatel, vyzbrojený tokenem, napsat své osobní PIN,
následované řetězcem čísel objevujících se na LCD tokenu což je vysoce
efektivní autentizační metoda.
Nastavení SecurID Appliance je v rámci příslušného procesu prováděno krok za
krokem. Důležité je snad pouze uchovat si přehled o instalačních CD a mít je po
celou dobu po ruce; jedno z nich nese vaši licenci a druhé obsahuje hodnoty
(seeds) pro vaše SecurID tokeny.
Okamžitě si musíte označit administrační token (Admin), který budete potřebovat
pro ovládání zařízení. Dbejte na to, abyste jej neztratili představuje tlukoucí
srdce SecurID Appliance. Bez něj jste ztraceni.
I když je instalace docela jednoduchá, věnujte pozornost systémovým požadavkům.
Především zařízení a servery, na nichž běží SecurID agent, musejí být viditelné
v DNS. Jestliže nebude k serverům nikdy nikdo přistupovat z vnějšku firmy,
můžete použít interní DNS. V opačném případě se ujistěte, že vaše veřejné DNS
servery vědí o zařízení a serverech, na kterých jsou nainstalováni agenti.
Budete také potřebovat webový server; my jsme při testování používali Windows
2003 Enterprise Server se spuštěným IIS. Zprovoznění IIS vyžaduje jednoduše
instalaci agenta, jejž lze snadno stáhnout z webu RSA.

Používání
Pozoruhodné je, že SecurID podporuje řadu platforem více než konkurenční
systémy založené na tokenech včetně AIX, e-Directory, Solarisu, Windows a
dalších. Pokud využíváte Linux, budete bohužel potřebovat starší verzi; Mac OS
není na klientské straně podporován vůbec.
Poté co je zařízení nakonfigurováno, mohou administrátoři začít definovat
aktivní tokeny. Zařízení pouze vybere první token uvedený na CD pro "osévání
tokenů", zobrazí jeho charakteristiky na správní konzoli a umožní vám přiřadit
jej k uživateli. V této chvíli může být zvolen obecný PIN kód. Token rozpozná,
když jej uživatel použije poprvé a vybídne jej, aby si vytvořil individuální
PIN. Následně mohou administrátoři začít určovat, které zdroje budou vyžadovat
SecurID autentizaci. Abyste alokovali cílové soubory nebo složky, jednoduše
použijete utilitu pro webovou správu a potom kliknete pravým tlačítkem myši.
Vespod v zobrazené tabulce vyberete Protect this Resource with RSA SecurID
(Chránit tento zdroj pomocí RSA SecurID) a rozhodnete se, zdali bude změna
aplikována rekurzivně.
Nevýhodou tohoto systému je, že spolkne nejméně dvě IP adresy a DNS záznamy už
se základní instalací. Taková spotřeba může být pro malé pobočky nepříjemná.
Stejně tak, ačkoliv správu autentizace založené na tokenech můžete po nastavení
provádět z jednoho centrálního místa, bude počáteční konfigurace vyžadovat
osobní přítomnost a vyžádá si i trochu cenného času stráveného v prostředí
konzole.
Celkově vzato se nám zařízení SecurID Appliance líbí z bezpečnostního hlediska,
stále je však trošku těžkopádné, když přijde na správu napříč mnoha pobočkami.
Vzdálený přístup by měl být ve webovém klientu řešen lépe a striktní závislost
na administrátorském tokenu by se mohla stát skutečným problémem, pokud by se
dostal z rukou IT personálu. A nakonec, ačkoliv z perspektivy platformy
chytrých tokenů jde jistě o levný systém, cena je stále dostatečně vysoká, aby
dala námět k zamyšlení těm, kdo hlídají podnikové finance.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.