Silne uwierzytelnianie z użyciem tokenów kryptograficznych

Silne uwierzytelnianie z użyciem tokenów kryptograficznych

Network Logon - podmiana GINY

Podobnie jak instalacja serwera TMS, tak i instalacja oprogramowania klienckiego realizującego obsługę tokenu nie sprawiała żadnych problemów. Klient dla Windowsa (także 64-bitowego - Vista oraz XP) dostarczany jest w postaci pliku *.MSI, dzięki czemu znacznie upraszcza sprawę jego dystrybucji np. za pomocą SMS-a i cichej instalacji. Klient PKI może być także zainstalowany w polskiej wersji językowej, co zasługuje na pochwałę. Dostępne są również wersje dla Linuxa i MacOS. Jaką funkcjonalność oferuje nam taki "goły" klient PKI? Tokeny Aladdina mogą być wykorzystywane do wielu zadań, takich jak podpisywanie czy szyfrowanie poczty, uwierzytelnianie w systemach operacyjnych (przystawka Network Logon), czy też zapamiętywanie haseł do aplikacji (SSO) bądź odwiedzanych witryn (WSO).

System TMS, który jest sercem całego rozwiązania, pozwala na centralne zarządzanie w zasadzie wszystkimi aspektami funkcjonowania tokenów. Możliwe jest więc umieszczanie certyfikatów na tokenach, przypisywanie tokenów do użytkowników czy unieważnianie zagubionych tokenów. TMS wystawia także kilka usług webowych (np. self-service, z którego mogą korzystać użytkownicy, gdy np. potrzebują zresetować hasło). TMS może być zintegrowany z innymi systemami przy użyciu tzw. konektorów. Z pudełka, poza łącznikami z innymi komponentami Aladdina (np. Network Login) dostajemy konektory do Check Pointa czy Microsoft CA, a jeżeli potrzebujemy stworzyć inny, możemy skorzystać z pakietu SDK lub zwrócić się do producenta. Za pomocą TMS możemy również archiwizować oraz przywracać dane uwierzytelniające użytkownika.

Po zainstalowaniu oprogramowania czas na konfigurację. I tu zaczynają się kłopoty. Nie jest to system z gatunku "pierwsze co zrób, to wyrzuć instrukcję". Bez przynajmniej pobieżnego jej przeczytania rozpoczęcie pracy może sprawiać pewne problemy. Dokumentacja nie należy do precyzyjnych, ale jest w zupełności wystarczająca. Jeżeli czegoś nie ma w instrukcjach, to możemy zawsze zajrzeć do bazy wiedzy Aladdina, choć nie spodziewajmy się tam znaleźć zbyt wielu użytecznych informacji.

Silne uwierzytelnianie z użyciem tokenów kryptograficznych

Konsole zarządzania Aladdin Token Management System

System zarządzania nie jest zły, wymaga tylko trochę przyzwyczajenia. Nie ma tutaj typowej koncepcji klient/serwer/konsola zarządzająca. Jeżeli wybierzemy sprzęg z AD (u nas), to system zarządzania bardzo mocno się z nim integruje, a - co za tym idzie - zarządzać politykami będziemy z poziomu konsoli "Użytkownicy i komputery Active Directory", co nie jest głupim pomysłem. Niestety, trochę trudno mówić o w pełni centralnym zarządzaniu. Dla przykładu: edycja polityki bezpieczeństwa dokonywana jest z poziomu konsoli, ale już definiowanie i przypisywanie ról odbywa się zupełnie gdzie indziej, a opracowywanie raportów i codzienne funkcje administracyjne jeszcze w innym miejscu. A skoro mowa o rolach - system umożliwia zdefiniowanie ról i funkcji administracyjnych (np. Administrator, Help Desk) wraz z przypisaniem im odpowiednich uprawnień, np. self service dla użytkowników.

Zadanie przypisywania tokenów do użytkowników realizowane jest z poziomu przeglądarki internetowej i serwisu TMS Manager Center lub TMS Service. Proces ten jest czytelny. Dzięki integracji z AD (i wcześniejszej konfiguracji konektora do Microsoft CA) wystarczy wpisać nazwisko użytkownika, włożyć właściwy token do czytnika/portu USB i po strachu.

A co z zapominalskimi, którzy w zwojach szarych komórek zagubili hasło do tokenu? Z myślą o nich stworzony został portal TMS Service, za pomocą którego, bez konieczności angażowania administratora, sklerotycy mogą resetować hasła. Za pośrednictwem tego samego portalu możliwe jest również zgłoszenie przypadku zagubienia tokenu, czy wypełnienie szablonu odpowiedzi typu challenge/response.

Warto też wspomnieć o eToken Virtual, który jest kołem ratunkowym dla użytkownika właśnie w przypadku zagubienia tokenu. Jeżeli taki pechowy użytkownik jest poza firmą i nie ma możliwości wręczenia mu nowego tokenu, to może ściągnąć na swój komputer nic innego jak soft-token, dzięki któremu możliwa będzie dalsza praca.

Na koniec raporty i audyt. Tutaj nie mamy zastrzeżeń. Z poziomu przeglądarki WWW możemy tworzyć różnego rodzaju raporty i uzyskiwać dane na temat aktywności użytkowników, stanu tokenów, daty ich wygaśnięcia itp. Informacje przedstawiane są czytelnie i przejrzyście.

Dużo czy mało?

Silne uwierzytelnianie z użyciem tokenów kryptograficznych

Helpdesk w TMS

Rozwiązanie Aladdin TMS nie jest szczególnie tanie, ale też nie można go zaliczyć do najdroższych - w porównaniu z konkurencją. Pojedynczy token USB - eTokenPro z pamięcią 32 KB kosztuje ok. 39 USD. Do tego trzeba dodać oprogramowanie klienckie, którego cena w zależności od liczby użytkowników może wahać się od ok. 12 do 16 USD za użytkownika.

Jeżeli chcemy korzystać z funkcjonalności SSO, to koszt takiego klienta wzrasta do odpowiednio ok. 36-46 USD. Doliczamy jeszcze platformę TMS (Token Management System) za ok. 3000 USD plus licencje użytkowników - od ok. 15 do 19 USD za sztukę. Zatem przy założeniu, że mamy ok. 1000 użytkowników musimy na rozwiązanie TMS + SSO + Tokeny wydać ok. 87 tys. USD - to cena SRP z rocznym wsparciem. Jeżeli zdecydujemy się na wersję tańszą z klientem PKI, cena spadnie do ok. 62 tys. USD. A zatem pojedynczy użytkownik kosztować będzie od 62 do 87 USD.

Podsumowując. Rozwiązanie Aladdin Token Management System jest godne uwagi, zważywszy na swoje spore możliwości. Kłopotliwa początkowo administracja przy odrobinie wprawy i obycia nie nastręcza wielu problemów. Jeżeli będziemy mieli jakieś kłopoty z rozwiązaniem, to raczej zwróćmy się z prośbą o pomoc do integratora albo - gdy mamy żyłkę "dłubacza" - postarajmy się znaleźć przyczynę sami. Baza wiedzy, choć dostępna dla każdego, zawiera niewiele użytecznych w kłopotach informacji. Cenowo rozwiązanie plasuje się raczej w środku stawki. Nie jest tak drogie jak RSA, ale też i nie tak tanie jak Entrust.


TOP 200