saytrust Version 3.3

Transkript

1 saytrust Version 3.3 Remote Zugangslösung - Sicherheit und Zugriffsvarianten Produktbeschreibung / Whitepaper Juli 2011

2 Das Produkt saytrust ist die ideale und sichere Lösung zur Integration von Heimarbeitsplätzen und mobilen Mitarbeitern, bestehend aus einem Server und einer Client-Komponente. Das saytrust-system ermöglicht seinem Benutzer eine sichere biometrische-, PIN- und 2048-Bit-zertifikatgesteuerte Anbindung an ein Firmennetzwerk, ein Teilsegment eines Firmennetzwerkes oder sogar nur an einen einzelnen PC innerhalb eines Firmennetzwerkes. White- und Black-Listen (für Applikationen) steuern, welche Programme vom Benutzer oder einer Gruppe von Benutzern über den saytrust-tunnel verwenden werden dürfen. Die Mehr-Stufen-Authentifizierung schafft die Möglichkeit einer sicheren Verbindung ohne aufwändige, starre und zeitintensive Konfiguration auf dem Anwender-PC - die Anbindung an das Firmennetz erfolgt ohne Installation von Software auf den Clients. Die Komponenten: saytrust Access Server Erhältlich als reine Software-Version oder auch inkl. Hardware-Appliance. Nimmt Client-Verbindung entgegen. Verwaltet die Zertifikate. Steuert die UDP und/oder TCP. Verbindungen der Benutzer und Gruppen. Prüft die Berechtigungen für Benutzer und Gruppen. Steuert die Zugänge. saytrust Access Client dient zur Authentifizierung der Benutzer enthält die mobilen Anwendungen, so dass der Benutzer rechnerunabhängig Anwendungen wie Textverarbeitung, Tabellenkalkulation, , Internet, etc. verwenden kann Alle Rechte, Technische Änderungen und Irrtümer vorbehalten Seite 2 von 13

3 Der saytrust Client-Stick kann an jedem beliebigen Windows PC mit Internetzugang verwendet werden. Beim erstmaligen Einsatz des Stick muss der Anwender zusätzlich eine PIN eingeben und/oder sein Fingerabdruck registrieren. Falls ein vorbereiteter Stick an den Mitarbeiter per Post verschickt werden muss, wird die PIN separat verschickt (wie bei Bankkonten, Kreditkarten, etc.). Der Client-Verbindungsaufbau Für den Anwender stellt sich der Verbindungsaufbau denkbar einfach dar: Nach dem Verbinden des USB Access Clients mit dem PC/Notebook wird der Anwender aufgefordert, sich mittels Fingerabdruck und/oder PIN zu authentisieren. Anschließend steht dem Anwender das saytrust- Menü zur Verfügung. Das Menü ist in drei Bereiche unterteilt: 1 Zertifikatsgesteuerter Bereich 2 Anwendungskategorien 2 Applikationen zu den jeweils festgelegten Kategorien Inhalte und Darstellungsart der Bereiche können weitgehendst frei gestaltet werden. Mit dem Menüpunkt "Verbinden" wird die Verbindung - entsprechend den Policies auf dem saytrust Server - aufgebaut. Falls in den Policies zusätzlich "Passwortabfrage" eingestellt wurde, fordert der saytrust-server vor dem Verbindungsaufbau noch das Passwort für das Verbindungszertifikat. Der erfolgreiche Verbindungsaufbau wird durch die saytrust-"ampel" signalisiert (grünes Licht). Für fortgeschrittene Anwender kann ein Verbindungsdetailfenster mit zusätzlichen Auswahlmöglichkeiten eingestellt werden. Alle Rechte, Technische Änderungen und Irrtümer vorbehalten Seite 3 von 13

4 Nach erfolgreichem Aufbau der Verbindung können auf der rechten Seite des Menüs Anwendungen ausgewählt werden (z.b. Zugang zum Citrix Server im Firmennetz, Webseiten, Netzwerkfreigaben, etc.) Je nach Konfiguration können entweder vorkonfigurierte Anwendungen von saytrust- Access-Client gestartet werden oder lokal installierte Anwendungen automatisch in den saytrust Tunnel, für die Kommunikation mit dem sicheren Netzwerk, automatisch verschoben werden. Diese Einstellungen für den Access Clients werden vom Administrator bei der Initialisierung hinterlegt. Über den Menüpunkt "Detailansicht" erhält der Anwender entsprechend seiner Berechtigungen - die Möglichkeit, sich über den Datentransfer und die getunnelten Applikationen, Netzwerklaufwerke, etc. zu informieren. Die erforderlichen Berechtigungen vorausgesetzt, kann der Anwender auch entsprechende Konfigurationsänderungen (z.b. Einbinden neuer Netz-Laufwerke) durchführen. Die Verbindung entsteht auf Applikationsebene, so dass keine direkte Netzwerk- Kopplung erfolgt (im Gegensatz zur VPN-Technologie). Client - Statistiken, Protokolle und Auswertungen: In dieser Übersicht erhält der Anwender die Möglichkeit, sich über den Datentransfer und die getunnelten Applikationen zu informieren. Alle Rechte, Technische Änderungen und Irrtümer vorbehalten Seite 4 von 13

5 Maximale Flexibilität Dedizierte Kommunikation Jeder Standort verwaltet seine Zugänge lokal. Die Kommunikation der Standorte untereinander wird über den saytrust Server in der Zentrale gesteuert. Vorteil dieser Variante: Mobile User können dediziert Zugänge für die einzelnen Standorte erhalten ohne über die Zentrale gehen zu müssen. Mitarbeiter können somit gezielt auf zugeordnete Ressourcen innerhalb eines Standortes zugreifen. Zentrale Kommunikation Verschiedene Standorte können ausschließlich auf die ihnen zugeordneten Ressourcen in der Zentrale zugreifen. Alle Rechte, Technische Änderungen und Irrtümer vorbehalten Seite 5 von 13

6 Technische Vorteile saytrust Server 1. Zentrale Verwaltung und Administration 2. WEB-GUI für die Serverkonfiguration 3. Einfache Zertifikatsverwaltung (2048 Bit) 4. Einfache PIN-Verwaltung für die Zertifikate 5. Zugangskonfiguration von Benutzergruppen für einzelne PCs, Subnetze, DMZ und komplette Netzwerke 6. Tunnel für Remote-Anwendungen wie ICA, RDP, 7. Tunnel für TCP/IP und/oder UDP 8. Tunnel für SIP (VOIP) 9. Konfiguration für das Client-Zertifikat mit der Möglichkeit, Applikationen zuzulassen, bzw. den Netzwerk-Zugriff für die jeweilige Applikation komplett zu verbieten. 10. Kontrolle des Client: "Woher?", "Wohin?" (IP-Bereich) 11. Rechteverwaltung für Administratoren 12. Emergency-Zugriff für den Fall von Fehlkonfigurationen 13. TRUST-Tunnel Kommunikationsverschlüsselung (wahlweise AES 256,,EXP-RCA-MD5) 14. TRUST-Tunnel Verschlüsselungsalgorithmus global oder gruppenrechteabhängig wählbar. 15. Zugriff auf Netzwerkfreigaben ohne Darstellung der Servernamen. 16. Updates der Client Software- und Policies automatisch 17. Konfiguration von physikalischen und virtuellen Interfaces 18. Panic Login für zertifikatsgestützten Fernsupport 19. Rechteverwaltung für Gruppen und User 20. Automatische Systemupdates 21. Automatische Clientupdates 22. Statistiken und Protokolle der Useraktivitäten saytrust Standard USB Access Client 1. Authentifizierung durch PIN/Passwort 2. Modelle mit zusätzlich biometrischer Erkennung optional erhältlich Bit Zertifikat 4. Access-Client kann mit mobilen Applikationen wie Textverarbeitung, Tabellenkalkulation, -Client, etc. konfiguriert werden saytrust Personal Security Device MXP (FIPS Level 2 zertifiziert) 1. Biometrie 2. Passwort Bit Zertifikat 4. PIN für das Zertifikat 5. TRUST-Client mit mobilen Applikationen wie Textverarbeitung, Tabellenkalkulation, -Client, etc. Alle Rechte, Technische Änderungen und Irrtümer vorbehalten Seite 6 von 13

7 Generell: 1. Keine Installation von Software auf der Client Hardware erforderlich 2. Keinerlei Administratorrechte für den Benutzer auf der Client Hardware erforderlich 3. Autostart des Access-Client 4. Benutzerfreundliche Menüführung 5. Access-Clients optional mit zusätzlichem und geschützten privaten Bereich mit einer Kapazität bis zu 16 GB 6. Favoritenverwaltung und Applikationsverwaltung für den Zugang zum Firmennetz 7. Während der gesamten Sitzungsdauer werden alle TCP-Verbindungen in den Tunnel geleitet - somit arbeitet der Client ausschließlich über den sicheren Tunnel 8. RSA-KeyFile mit 2048 Bitbreite (Public Private Konzept) zur Authentifizierung 9. Verschlüsselung des jeweiligen TCP/UDP/SIP-Dienste z.b. RDP, HTTP, FTP Nach Beendigung der verschlüsselten Verbindung verbleiben keine Daten auf dem Client 11. Kann überall dort eingesetzt werden, wo ein Internetverbindung zur Verfügung steht 12. Userspezifische Anwendungen können auf dem Access-Client integriert werden saytrust Access Client Hardware Die maximale Sicherheit wird mit dem Personal Security Device MXP erreicht. Spezifikationen Zero software footprint Hardware-Basierende AES 256-bit Verschlüsselung (CBC mode encryption) Administration durch ACCESS Enterprise Speicherkapazitäten 4GB, 8GB oder 16GB Authentifizierung Biometrisch (Fingerabdruck) Zweifaktor-Authentifizierung für persönlichen Speicherbereich (Biometrie und Passwort) Dreifaktor-Authentifizierung für den Zugang zum Firmennetz (Biometrie und Passwort und Device) Benutzer Policies Regeln für Passwort-Komplexität Passwort Lebensdauer-Regeln Festlegung der maximalen Anzahl von Fehlversuchen bei der Authentifizierung mit optionaler Datenzerstörung Biometrie Sicherheitsstufen konfigurierbar Größe der Partition konfigurierbar Bis zu fünf User pro Client Alle Rechte, Technische Änderungen und Irrtümer vorbehalten Seite 7 von 13

8 Verschlüsselung Dedizierte key container für symmetrische, asymmetrische und HOTP secret keys OATH one time password Generierung AES 256-bit CBC Verschlüsselung (FIPS Pub 197) SHA-1 und SHA-256 (FIPS Pub 180-1/180-2) Keyed HMAC (FIPS Pub 198) RSA key Generierung (X9.31 and PKCS #1) 1024/2048/3072 bit RSA Key Größen RSA Signatur und Verifikation (X9.31 and PKCS #1) RSA encryption/decryption (PKCS #1) Random number generation SAML Token generation für WS-Trust Storage Flash memory mass storage Privat verschlüsselte user Partition(en) Read-only portable Applikations-Partition Unterstützte Betriebssysteme Microsoft Windows 2000, 7, XP, Vista Macintosh OSX Linux ("out of the box" Biometrie-Authentifizierung) Standards und Zertifizierungen FIPS Level 2 USB 1.1 and 2.0 FCC CE Sonstiges Versenkbarer USB Connector LEDs für Power, Datenübertragung und Authentifizierungs-Status Stromversorgung über USB-Bus Alle Rechte, Technische Änderungen und Irrtümer vorbehalten Seite 8 von 13

9 Features saytrust Standard USB Access Client vs. Personal Security Device MXP Leistungsmerkmale Standard FIPS L2 Zertifizierung - CE Class B Zertifizierung - FCC Class B Zertifizierung - Kein Treiber erforderlich Biometrischer Zugang (Fingerprint) optional Sensor Technologie Streifensensor Streifensensor Passwort 4-40 Zeichen 4-40 Zeichen Verschlüsselung On Board Hardware + Kryptografie USB 2.0 / 1.1 Unterstützung Speicherkapazität 4 GB bis 16 GB 1 GB bis 64 GB Max. Anzahl User 1 5 Administrator Tool nein ACCESS Enterprise Statusanzeige nein LED`s dreifarbig Gehäuse Metall Metall / Conector ist versenkbar Anzahl max. einzurichtender Fingerprints 5 6 Authentisierung und Benutzer Policies Biometrische Authentisierung Password-Authentisierung Zwei-Faktor-Authentisierung (Biometrie + Password) Drei-Faktor-Authentisierung (Biometrie + Password+digitale Identitäten)) Biometrie Retry Limits einstellbar nein Passwort Retry Limits einstellbar nein Einstellung der Biometrie Sensibiliät nein Biometische Sicherheitsstufen (Falschakzeptanzrate) Allgemeine Kryptografiefunktionen Alle Rechte, Technische Änderungen und Irrtümer vorbehalten Seite 9 von 13 nein PSD 5 (fünf) von 1:2.700 bis 1: FAR 256 symmetrische Schlüssel für AESHOTP secret keys 504 asymmetrische Schlüssel für 3072 Bit RSA keys "One Time Password Generation" nach OATH HOTP Algorithmus 256 Bit AES Verschlüsselung (FIPS Pub 197) SHA-1 und SHA-256 Hash Algorithmus (FIPS Pub 180-1/180-2) Keyed-Hash Message Authentication Code (HMAC) (FIPS Pub 198) RSA Schlüsselgenerierung (X9.31 und PKCS #1) RSA Schlüssel RSA Signatur (X3.91 und PKCS #1) RSA Verschlüsselung und Entschlüsselung (PKCS #1) 1024 / 2048 / 3072 bit

10 Server-Versionen saytrust Access Server Software Zur Installation auf einem freien Server. Enthält die Grundlizenz für 5 Named User (pro User ist ein USB Access Client erforderlich). Inklusive 12 Monate Updateservice. Zur Einbindung weitere Anwender sind entsprechende Lizenzpakete in verschiedenen Abstufungen erhältlich. saytrust Access Appliance saytrust Server Software (wie oben) inkl. Server Hardware in verschiedenen Leistungsstufen gemäß nachstehender Tabelle: saytrust 50 saytrust 250 saytrust 500 saytrust 1000 saytrust unlimited Max. Named User unlimited Body 19", 1 HE 19", 1 HE 19", 1 HE 19", 2 HE 19", 2 HE NIC 10/100/1000 GB 2 x Intel 2 x Intel 2 x Intel 2 x Intel 2 x Intel HDD SATA-II 1 x 80 MB 2 x 80 MB 2 x 80 MB 2 x 250 MB 4 x 250 MB RAID - Level 1 Level 1 Level 1 Level 1,0 RAID-Controller none Software Hardwareraid Hardwareraid Hardwareraid Wechselrahmen HHD - - HDD hot-swappable - - CPU C2D C2D C2D Intel C2Q XeonQ RAM 1 GB 1 GB 2 GB 4 GB 8 GB Power Supply redundant CD ROM NIC Extension optional no USB Emergency Alle Rechte, Technische Änderungen und Irrtümer vorbehalten Seite 10 von 13

11 saytrust Server - Features Allgemeine saytrust Server-Features Emergency-Konfiguration für Administratoren (Notfallmodus) Sub-Netze über physikalisches/virtuelles Interface Physikalische und Virtuelle DMZ-Unterstützung Mehrere Netzwerk-Schnittstellen Unterstützung für externe und interne Kommunikation Unterstützung offizielle DNS Server Unterstützung inoffizielle DNS Server Statische Routen Tunnel Options (65000 frei wählbare Ports) Authentifizierung über Zertifikate WEB-GUI für Server-Konfiguration Webgestützte Administration (nur aus lokalen Netzwerk) Verwaltung der Benutzer, Gruppen, Policies und Zertifakte über WEB GUI SIP-Tunnelung Netzwerk relay Portregelwerk (für UDP und/oder TCP) Gruppen und User Group Policy Zugangsprotokollierung Gruppenverwaltung Benutzerverwaltung Gruppensperre Verschiedene Authentifizierungsmethoden Diagnosemöglichkeiten Pingtest Routenrückverfolgung (Trace) DNS Test über GUI Support Zertifikat-basiertes Panic Login Statistiken und Protokolle Automatisches Systemupdate Alle Rechte, Technische Änderungen und Irrtümer vorbehalten Seite 11 von 13

12 Konfigurationsbeispiel Im Folgenden werden beispielhaft verschiedene Möglichkeiten für die Konfiguration des saytrust Servers dargestellt. Konfiguration ohne vorhandene Firewall Bei dieser Art der Konfiguration eines saytrust- Servers übernimmt der saytrust-server die Rolle eine Firewall. Die Netzwerkkarte eth0 im Bild (a) erhält die IP-Adresse vom Router oder Modem (geg. offizieller IP-Adresse). Die Netzwerkkarte zum internen Netzwerk eth1 (b) erhält eine IP-Adresse vom internen Netzwerk (sinnvollerweise eine private IP-Adresse) saytrust Server zwischen Firewall und Netzwerk In dieser Konfiguration befindet sich der saytrust-server zwischen der Firewall und dem Netzwerk. Die IP-Adresse der Netzwerkkarte eth0 (a) muss über die Firewall weitergeleitet werden. Die zweite Netzwerkkarte eth1 (b) erhält eine IP-Adresse aus dem Firmennetzwerk. Bei dieser Konfiguration werden alle Datenpakete vom Internet in das Firmennetzwerk und vom internen Netzwerk nach außen durch den saytrust-server geleitet. Dadurch wird ein maximaler Datentransfer durch den SayTUST-Server verursacht. saytrust Server innerhalb des Firmennetzwerks Bei dieser Konfigurationsvariante befindet der saytrust-server innerhalb des Firmennetzwerks. Nur die Anfragen die für den saytrust-server vorgesehen sind werden an den saytrust-server weitergeleitet. saytrust-server mit mehreren Netzwerksegmenten Bei dieser Konfigurationsvariante werden über den saytrust Server Zugangsberechtigungen nicht nur auf einzelne PC s oder Subnetze, sondern auch gezielt auf Ressourcen die sich in den jeweiligen DMZs befinden gesteuert Der saytrust-server befindet sich bei dieser Konfiguration zwischen der Firewall und dem internen Netzwerk und steuert gezielt die Anfragen auf einzelne Arbeitsplätze, dem Firmennetzwerk oder den DMZs Alle Rechte, Technische Änderungen und Irrtümer vorbehalten Seite 12 von 13

13 saytec Solutions GmbH Landsberger Straße München