Zabezpečení pomocí tokenů

Základní myšlenka řešení NetSwift iGate je dobrá. Spočívá v zajišťování rychlosti a bezpečnosti na protokolu SS...


Základní myšlenka řešení NetSwift iGate je dobrá. Spočívá v zajišťování
rychlosti a bezpečnosti na protokolu SSL, bez níž se solidní webové servery
neobejdou. Díky tomuto řešení je zabezpečena komunikace se sítí, aniž by byly
webové servery navíc zatěžovány zpracováváním SSL nebo problémy, které
souvisejí s konfigurací zabezpečení každého ze serverů.
Společnost Rainbow Technologies tohoto výsledku dosahuje pomocí aplikace tzv.
iKeys, což jsou klíče (obr. dole), které se připojují na standardní USB port
počítače. Poté, co uživatel připojí k počítači token a zadá PIN, systém jej
identifikuje a autorizuje a on se může prostřednictvím zařízení NetSwift iGate
přihlásit na zabezpečenou webovou stránku nebo na server.
Teoreticky je metoda použitá firmou Rainbow Technologies zárukou velmi
kvalitního zabezpečení. Jedním ze základních rysů dobrého zabezpečení je
nutnost vlastnit nějaké zařízení (např. token), které slouží jako důkaz
identity, a znalost nějakého kódu (např. hesla). Za předpokladu, že oba zmíněné
bezpečnostní prvky jsou opravdu bezpečné, je identifikace a autorizace
spolehlivá.

Dobývání iGate
Zařízení NetSwift iGate lze do systému začlenit poměrně snadno. Po instalaci do
racku stačí připojit dostatečně dlouhé kabely, ty zapojit na druhém konci ke
konfiguračnímu počítači a nastavit správcovskou IP adresu a virtuální IP
adresu, kterou budou používat klienti. Všechno ostatní lze nakonfigurovat
pomocí správcovských nástrojů samotného zařízení. Jedna zajímavá vlastnost
řešení iGate spočívá v tom, že nevyžaduje žádný speciální software pro webový
server. Díky tomu lze využívat prakticky libovolný web server.
Základní správcovský nástroj lze použít pouze za předpokladu, že je k dispozici
spojení se zařízením na bázi protokolu HTTPS. Díky zmíněnému nástroji, určenému
pro prostředí prohlížečů, lze konfigurovat provozní záležitosti spojené s
chodem zařízení. Například lze zadat, jestli se pro přístup z prohlížečů má
používat protokol SSL, či zdali mají být spuštěny funkce pro rovnoměrné
rozdílení zátěže. Navíc si lze vybrat, co má být zobrazeno na čelním LCD panelu
zařízení, například IP adresa či rychlost přenosu dat.
Správa uživatelů je zajištěna pomocí nástroje pro správu a řízení přístupu. S
pomocí tohoto nástroje může správce přidělovat uživatelům klíče iKey. Z tohoto
softwaru může administrátor rovněž povolovat konkrétním uživatelům přístup ke
chráněným webovým serverům. To platí i pro uživatele, kteří z nějakého důvodu
nemohou použít své klíče iKey software jim přidělí uživatelské jméno a heslo.
Aby byla zajištěna podpora tokenů iKey na všech pracovních stanicích, musí být
na každé z nich instalován klientský software. Instalace klienta proběhne
automaticky poté, co je do CD mechaniky počítače vložen instalační disk.
Chce-li se poté uživatel připojit přes iGate k zabezpečenému webovému serveru,
stačí, když na vyzvání zasune svůj klíč iKey do USB portu. Poté je uživatel
požádán o zadání svého PINu. Pokud si ho dobře pamatuje, je za okamžik na
serveru.
Pro případ, že je USB port zaneprázdněn, je klíč iKey vybaven světelnou diodou,
která uživatele o této situaci zpraví. Tokeny jsou dodávány v podobě přívěšku
na klíče. Nemilé ale je, že fungují pouze na počítačích s operačním systémem
Windows; uživatelé Macintoshů a Linuxu mají smůlu.
Obecně lze konstatovat, že jakmile je řešení NetSwift iGate instalováno a
nakonfigurováno a klíče jsou rozdány uživatelům, není dále prakticky co řešit.
Výjimkou jsou případy, kdy je třeba provést nějaké změny například je-li do
systému začleněn nový uživatel, jestliže se u uživatele mění některé údaje nebo
pokud pracovník opouští firmu. Takovéto úkony lze zvládnout rychle a snadno.
Přidání nového uživatele spočívá pouze v tom, že správce systému zasune jeho
token do USB portu a zadá příslušné uživatelské jméno. Po dokončení tohoto
úkonu stačí aktualizovat data v zařízení iGate. Jak jednoduché.
Máme však i jisté výhrady. Klíče akceptují pouze numerické PIN kódy. Uživatelé
nemohou použít ani písmena, ani speciální znaky. Pokud se někdo bude chtít na
zabezpečený server dostat pomocí ukradeného tokenu, bude mít kvůli tomuto
nedostatku usnadněnou práci. Správce systému může pro každý klíč nastavit
maximální počet neplatných pokusů, po jehož překročení se token deaktivuje.
Po instalaci fungovalo řešení iGate přesně tak, jak deklaroval jeho výrobce.
Instalace je snadná, použití přímočaré (i když uživatelské rozhraní by mohlo
být intuitivnější) a produkt zajišťuje podporu SSL a vyhovuje požadavkům
zákazníků na interní provoz firmy a na přístup k obchodním aplikacím a datům.
Avšak než budeme bez obav moci ohodnotit iGate jedničkou, musí se Rainbow
Technologies vypořádat s některými vážnými nedostatky na poli bezpečnosti.

NetSwift iGate
+ implementace je rychlá a snadná, zařízení urychluje práci s protokolem SSL,
bezpečnost je zajištěna pomocí tokenů
- tokeny fungují pouze na platformě Windows, zabezpečení přístupu by mělo být
důkladnější
Cena (bez DPH): 329 835 Kč včetně 50 USB tokenů
Prodejce: Askon International, www.askon.cz

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.