ID de seguridad

ID de seguridad RSA
Industria Contraseña de un solo uso
Dueño actual RSA La división de seguridad de EMC
País de origen EE.UU
Embajadores de la marca Ronald Rivest ,
Adi Shamir
y Leonard Adleman
Lema "El nombre más confiable en seguridad informática" [1]
Sitio web emc.com/security/… (  inglés)
 Archivos multimedia en Wikimedia Commons

SecurID (también RSA SecurID) es una tecnología desarrollada por RSA (más tarde conocida como RSA The Security Division of EMC) para proporcionar autenticación de dos factores entre el usuario y los dispositivos de red . La autenticación de dos factores de RSA SecurID® depende de que conozca la contraseña (o PIN ) y tenga la clave, lo que proporciona un nivel de autenticación de usuario mucho más sólido que las contraseñas reutilizables. Esta solución es la única solución que cambia automáticamente la contraseña cada 60 segundos. RSA ofrece a las empresas una amplia gama de opciones de autenticación de usuarios que las ayudan a identificar a los usuarios con confianza antes de que puedan interactuar con datos y aplicaciones de misión crítica a través de múltiples redes y recursos.

Estructura de RSA SecurID

RSA SecurID incluye tres componentes principales

Administrador de autenticación RSA

RSA Authentication Manager es un estándar de garantía de identidad. Este sistema incluye las cuatro funciones que son necesarias para garantizar la identidad de un individuo: gestión de credenciales basada en la política de autenticación de usuarios, autenticación, autorización y procesamiento inteligente. RSA Identity Assurance tiene un concepto más amplio de autenticación, desde una única medida de seguridad hasta un modelo holístico de confianza de identidad que define cómo se usa una cuenta y cuáles son sus capacidades. El uso de cuentas confiables mejora la seguridad de las transacciones diarias y brinda soporte para nuevos modelos de negocios , garantizando un acceso seguro para empleados , clientes y socios y manteniendo el equilibrio necesario entre riesgo , costo y conveniencia . Este software realiza las siguientes tareas:

El software RSA® Authentication Manager es el componente de gestión del sistema RSA SecurID®. Esta solución gestiona las solicitudes de autenticación y gestiona de forma centralizada la política de autenticación de usuarios. Al trabajar en conjunto con los autenticadores RSA SecurID y los agentes de autenticación RSA®, la solución brinda autenticación de usuario de dos factores y acceso seguro a una amplia variedad de VPN, redes inalámbricas, aplicaciones web , aplicaciones comerciales y sistemas operativos .

RSA Authentication Manager brinda alto rendimiento y escalabilidad con funciones de administración como replicación de bases de datos , registro e informes, compatibilidad con LDAP nativo y administración basada en web . RSA Authentication Manager puede satisfacer las necesidades de organizaciones de todos los tamaños. Basado en una arquitectura multiprocesador de clase empresarial , puede admitir desde veinticinco hasta varios millones de usuarios en un solo servidor , así como cientos de autenticaciones por segundo. RSA Authentication Manager se utiliza en todo el mundo en los sectores gubernamental, bancario, manufacturero, minorista, de alta tecnología y sanitario, incluidas muchas pequeñas y medianas empresas. Existen dos versiones de esta solución: Base Edition (versión básica) y Enterprise Edition (versión corporativa).

Función de replicación de base de datos

La función de replicación de bases de datos de RSA Authentication Manager proporciona una mayor flexibilidad de configuración de red y equilibrio de carga para mejorar el rendimiento y, en última instancia, reducir los costos de administración. La versión básica tiene un servidor principal y un servidor de réplica. En el servidor principal, las cuentas de usuario se administran y toda la información se copia en el servidor de réplica. Ambos servidores pueden procesar las solicitudes de autenticación; El agente de autenticación de RSA distribuye la carga de trabajo entre los servidores al monitorear los tiempos de respuesta y enrutar la solicitud al servidor adecuado para optimizar el rendimiento. La versión empresarial, que está diseñada para medianas y grandes empresas, tiene un servidor principal y hasta quince servidores réplica en un reino (reino de autenticación), y puede conectarse hasta con seis reinos separados. Cada uno de los servidores en un sistema implementado puede ser un grupo de 4 máquinas, lo que hace que sea más eficiente distribuir la carga de trabajo asociada con las tareas de administración y autenticación. Esto permite a los administradores monitorear la autenticación de usuarios en sus sistemas en tiempo real, actualizar las políticas de seguridad al mismo tiempo y diseñar topologías de red globales para mejorar el rendimiento de la red.

Auditoría y elaboración de informes

RSA Authentication Manager mantiene un registro de todas las transacciones y acciones de los usuarios, para que los administradores puedan usarlo como una herramienta de auditoría e informes, así como para realizar verificaciones de cumplimiento. Contiene plantillas de informes que se pueden adaptar a tareas administrativas, incluidos informes sobre actividades, excepciones, incidentes y uso del sistema. Además de las funciones de informes, este producto también incluye un monitor en tiempo real que muestra todas las actividades o las seleccionadas por el administrador en un sistema implementado globalmente.

Compatibilidad

RSA Authentication Manager es compatible con la mayoría de los sistemas operativos y productos de red más importantes, incluidos más de 400 productos de más de 200 proveedores, y brinda servicios a las organizaciones con la máxima flexibilidad y protección de la inversión, y les brinda la máxima flexibilidad y protección de la inversión. Los principales fabricantes de sistemas de acceso remoto, redes privadas virtuales, sistemas de seguridad, dispositivos inalámbricos, servidores web y aplicaciones comerciales brindan soporte integrado para RSA Authentication Manager .

Se admiten los siguientes sistemas operativos : Microsoft Windows Server 2003 , Sun Solaris , Red Hat Linux , SuSE Linux Enterprise Server , HP-UX , IBM AIX .

Soporte LDAP

La compatibilidad con LDAP brinda integración con Sun One y Microsoft Active Directory , RSA Authentication Manager y no requiere sincronización. La interfaz de administración basada en web de RSA Authentication Manage no requiere que el cliente instale software y se puede administrar desde cualquier computadora con una conexión a Internet y un navegador instalado .

Administrador de credenciales de RSA

RSA Credential Manager está integrado en la interfaz de administración de RSA Authentication Manager y no requiere una instalación separada. Ofrece funciones como el autoservicio , que permite a los usuarios finales solicitar varios servicios, como obtener una contraseña de un token bajo demanda para acceso de emergencia, o proporcionar un flujo de trabajo de reserva (que permite a los administradores crear procesos a través de los cuales se aprueban y se emiten credenciales.

Agentes de autenticación RSA

La tarea principal es solicitar al usuario que ingrese la información de SecurID, enviarla al servidor central y, según la respuesta , otorgar o denegar el acceso. Los agentes proporcionan equilibrio de carga al determinar el tiempo de respuesta del servidor de réplica y responden en consecuencia.

RSA Authentication Agent es un software integrado en servidores de acceso remoto (RAS), firewalls y redes privadas virtuales (VPN) que garantiza que la tecnología RSA SecurID funcionará sin problemas en cualquier entorno de usuario. Además, los agentes le permiten asegurar páginas web y aplicaciones en una intranet o extranet mientras protegen los sistemas back-end críticos.

Los agentes también pueden proporcionar acceso seguro a dominios y recursos NT alojados en servidores UNIX, mainframes, sistemas de rango medio y una variedad de hosts heredados. El kit de herramientas de software le permite crear agentes de usuario para proteger otras aplicaciones internas que son específicas de una organización en particular.

La lista de recursos que se pueden proteger es enorme. Incluye servidores Web, recursos de red, servidores VPN y Dial-up, servidores de correo, estaciones de trabajo, servidores para acceso remoto a aplicaciones. Puede encontrar una lista completa, así como instrucciones de integración, en el sitio web del fabricante. Si el recurso requerido no está en la lista, se admite la autenticación RADIUS. Si esto no es suficiente, hay una API que le permitirá escribir el agente necesario usted mismo.

Autenticadores RSA SecurID

Es posible que el mismo token no sea el adecuado para todos cuando se trata de elegir el autenticador correcto para equilibrar la seguridad de su organización, el valor total de la empresa y las necesidades del usuario final. Con una amplia gama de factores de forma fáciles de usar, existen autenticadores RSA SecurID para cumplir con una amplia variedad de requisitos organizacionales y de aplicaciones.

Token de hardware RSA SecurID

Los tokens de hardware de RSA SecurID se fabrican con la seguridad de que no tendrá costos ocultos asociados con tokens defectuosos. Al elegir tokens RSA SecurID, que vienen con una garantía de por vida, las organizaciones pueden reducir los gastos generales de distribución de tokens de reemplazo y reducir los costos generales de seguridad al tiempo que brindan una experiencia de autenticación consistente y fácil de usar para los usuarios finales. Los tokens de hardware RSA SecurID vienen en una variedad de prácticos modelos que generan y muestran nuevos códigos cada 60 segundos.

Tokens RSA SecurID en forma de llaveros

Los modelos RSA SecurID SD600 [2] y SID700 [3] son ​​llaveros pequeños que se pueden acoplar a un llavero y caber en el bolsillo del usuario o en un maletín de transporte pequeño, lo que proporciona una gran durabilidad de forma fiable y portátil.

El último modelo de esta línea es el dispositivo RSA SecurID SID800 [4] . Proporciona una función de contraseña de un solo uso como otros modelos, además de funciones adicionales gracias al puerto USB integrado y al chip inteligente . Este dispositivo se puede utilizar para generar códigos de un solo uso, así como almacenar nombres de usuario, contraseñas de credenciales de Windows y certificados digitales que generan claves maestras para varios métodos de autenticación . Además, cuando se conecta el RSA SecurID 800, se habilita la entrada automática de códigos de token, lo que permite que las aplicaciones de software de token ingresen códigos directamente desde el dispositivo y eliminan la necesidad de que el usuario ingrese los códigos por sí mismo desde el teclado.

Tokens de tarjeta inteligente RSA SecurID

Token de autenticación de hardware básico RSA SecurID, representado por el modelo RSA SD200. Este dispositivo es del tamaño de una tarjeta de crédito y proporciona un rendimiento excelente, aunque garantizado para todos los dispositivos de autenticación RSA SecurID. Está fabricado en metal y tiene un grosor de unos 5 mm.

El token RSA SecurID SD 520 es similar al SD200 pero tiene un teclado numérico adicional. El código PIN del usuario se escribe en este panel. Como resultado, el token muestra no solo un código de token, sino una combinación de un código pin y un código de token que se ingresa durante la autenticación. Este token tiene una ventaja sobre el modelo anterior en que le permite garantizar la seguridad del código PIN, incluso si se registran las pulsaciones de teclas.

Autenticadores de software

Autenticadores de software RSA SecurID: los tokens de software utilizan el mismo algoritmo que los tokens de hardware RSA SecurID, lo que elimina la necesidad de que los usuarios realicen un seguimiento de los dispositivos de hardware. En lugar de almacenarse en el hardware de RSA SecurID, la clave simétrica se almacena de forma segura en la computadora o el teléfono inteligente del usuario . Los autenticadores de software RSA SecurID ayudan a administrar los costos de manera más efectiva al tiempo que reducen la cantidad de elementos necesarios para obtener acceso a la red o a los activos corporativos y eliminan la necesidad de reemplazar los tokens en caso de que alguien abandone la empresa o se pierda el token.

Tokens de software RSA SecurID para teléfonos inteligentes

Los tokens de software RSA SecurID están disponibles para varias plataformas móviles, incluidos dispositivos BlackBerry , iPhone , Windows Mobile , Java ™ ME, Palm OS y Symbian OS UIQ. La integración de los tokens RSA SecurID con los teléfonos inteligentes facilita que los empleados de la empresa trabajen con ellos. [5]

RSA SecurID Token para Windows y RSA SecurID Token para Mac OS X

El token de RSA SecurID para Windows y el token de RSA SecurID para Mac OS X son factores de forma convenientes que se instalan en su computadora y brindan una integración automática con los principales clientes a través del acceso remoto.

Token de la barra de herramientas de RSA SecurID

El token de la barra de herramientas RSA SecurID, un token integrado en el navegador, permite que los formularios de aplicaciones web se completen automáticamente con un enfoque en la seguridad mediante mecanismos antiphishing.

Autenticador bajo demanda RSA SecurID

RSA SecurID On-demand Authenticator permite a los usuarios recibir una contraseña de un solo uso en forma de mensaje SMS enviado a un teléfono móvil o correo electrónico. Los usuarios solicitan una contraseña de un solo uso utilizando el autoservicio intuitivo del módulo web ingresando su PIN . RSA SecurID On-demand Authenticator no requiere un token de hardware o software. Esta es una excelente opción para los usuarios que no necesitan acceder a la red de forma remota con frecuencia.

Descripción del proceso de autenticación

Cuando un usuario solicita acceso a un recurso, ya sea un portal web, una estación de trabajo , un almacenamiento en red, una VPN o un servidor de acceso telefónico. En lugar de una solicitud estándar de inicio de sesión y contraseña, se solicitan un inicio de sesión y un código de acceso. La frase de contraseña se representa como una combinación especial de un código pin (4 dígitos que el usuario recuerda) y un código de token (6 dígitos que se muestran actualmente en el token). El usuario simplemente necesita ingresar estos 2 números en secuencia.

El agente envía la información proporcionada por el usuario al servidor en forma encriptada. El servidor almacena los códigos PIN de los usuarios y copias electrónicas de todos los tokens registrados, por lo que puede verificar la información proporcionada por el usuario.

Dependiendo del resultado de la verificación, el agente otorga al usuario acceso al recurso o deniega el acceso del usuario.

Descripción del algoritmo para la obtención de un código token

Cada token corresponde a un número aleatorio de 128 bits: el vector de generación inicial (semilla). Además, un reloj está integrado en cada ficha. El código del token es el resultado del algoritmo patentado por RSA, que toma como parámetros la hora actual y el vector de generación inicial Usando el código del token, es imposible restaurar el vector de generación inicial, ya que el algoritmo funciona en una dirección. [6]

El código del token es válido por un minuto (cambia una vez por minuto y solo una vez). Dado que los vectores de generación inicial correspondientes a los tokens se almacenan en el servidor, puede restaurar el código del token actual en cualquier momento utilizando el mismo algoritmo . Para el caso en que los relojes del servidor y el token divergen, se proporciona sincronización automática. Es decir, si, por ejemplo, el reloj del token se adelantó, el servidor ingresa el valor de cambio correspondiente a un token en particular en la base de datos. Esto se logra debido a que el servidor calcula la contraseña no solo para el minuto actual, sino también para los minutos pasados ​​y futuros. Por lo tanto, si el PIN ingresado por el usuario es correcto y el código del token coincide con los minutos adyacentes, la desincronización se tiene en cuenta para operaciones posteriores. [7]

Vulnerabilidades tecnológicas

Vulnerabilidades teóricas

SecurID no está protegido contra ataques de intermediarios . Un atacante puede bloquear el acceso de un usuario y conectarse al servidor hasta que se genere el siguiente token de contraseña.

Otro problema es adivinar contraseñas al azar. SecurID intenta solucionar este problema limitando el número de solicitudes de autenticación durante el periodo de tiempo en el que no se regenera la contraseña.

La vulnerabilidad más peligrosa y casi fatal es la pérdida o robo de tokens.

Brecha de seguridad en 2011

Plan de ataque a SecurID:

  1. Varios usuarios son objeto de dos ataques de phishing, uno de los usuarios abre un malware desconocido
  2. Poison Ivy obtiene acceso remoto a la computadora del usuario
  3. El atacante obtiene acceso a las cuentas de usuario y administrador, así como a importantes servicios del sistema.
  4. Los datos se obtuvieron de los servidores objetivo del ataque y se prepararon para su distribución.
  5. Los datos se transfieren al proveedor de alojamiento del atacante utilizando un archivo seguro a través de ftp

El 17 de marzo de 2011, la RSA anunció que fueron víctimas de un "ataque cibernético extremadamente sofisticado". Si bien la empresa confía en que la información extraída no permitió ataques directos exitosos contra ninguno de los clientes de RSA SecurID, temía que esta información pudiera usarse para reducir la efectividad de la implementación actual de autenticación de dos factores, como parte de un ataque más amplio. . EMC (la empresa matriz de RSA) gastó 66,3 millones de dólares para reparar una brecha en el sistema para investigar el ataque, mejorar su sistema de TI y monitorear las operaciones de los clientes corporativos, de acuerdo con la decisión del vicepresidente ejecutivo y director financiero de EMC, David Gulden, durante una conferencia telefónica con analistas.

El atacante envió dos correos electrónicos de phishing diferentes en el transcurso de dos días, que estaban dirigidos a dos pequeños grupos de empleados. Las cartas se denominaron "Plan de Reclutamiento 2011". Los correos electrónicos se manejaron lo suficientemente bien como para engañar a uno de los empleados para que los extrajera del correo no deseado y abriera el archivo de Excel adjunto. Era una hoja de cálculo llamada "2011 plan.xls". La tabla contenía un programa malicioso que instala un programa de puerta trasera a través de una vulnerabilidad de Adobe Flash [8] . Como nota al margen, Adobe ahora ha lanzado un parche para este malware para que ya no pueda usarse para inyectar malware en máquinas parcheadas. El siguiente paso, como con cualquier amenaza persistente avanzada (APT), es instalar algún tipo de herramienta de administración remota que permita a los atacantes controlar la máquina. En este caso, el arma elegida es una variante de Poison Ivy colocada en modo de conexión inversa, lo que dificultaría su detección. Se han documentado métodos similares en muchos ACT anteriores, incluido GhostNet. Una vez que se establece el acceso remoto , el atacante, como en cualquier APT típico, comienza a analizar en silencio para establecer el rol de los trabajadores y su nivel de acceso. Si esto no es suficiente para los propósitos de los atacantes, buscarán cuentas de usuario con mayores privilegios. Los datos se filtran a través de archivos cifrados a través de FTP desde una máquina comprometida a los intrusos.

El 21 de marzo de 2011, por correo electrónico y en una carta abierta, el titular de la empresa anunció [9] que la información robada de la red interna de la empresa podría utilizarse para piratear sistemas protegidos por SecurID. y en mayo de 2011, tras un intento de pirateo del fabricante de equipos militares Lockheed Martin [10] , resultó que los temores no eran infundados. También hubo rumores de que L-3 Communications fue atacada en abril . El director de seguridad de RSA, Art Coviello, admitió que RSA no emitió una declaración antes porque temían dar a los piratas informáticos un camino para futuros ataques. Sin embargo, ahora está claro que los piratas informáticos que orquestaron el ataque a Lockheed Martin tenían información sobre cómo eludir las tecnologías RSA y, por lo tanto, resultó que la empresa solo informó mal a los clientes sobre la seguridad de sus productos y los riesgos que podrían enfrentar. El 6 de junio de 2011, RSA prometió que reemplazará todos los tokens de SecurID, que utilizan más de 30 000 empresas y organizaciones gubernamentales de todo el mundo, de forma gratuita.

mercado OTP

Según la empresa de análisis Frost & Sullivan para el año 2008, el volumen del mercado mundial de contraseñas de un solo uso (One Time Password, OTP) se estimó en $430 millones, para el 2015 podría llegar a $690,4 millones, el crecimiento promedio anual sobre este período fue de 7, ocho %. Y según los expertos, este mercado sigue en desarrollo. El principal impulsor de su desarrollo es la creciente tendencia a reemplazar los dispositivos de autenticación de hardware con tarjetas inteligentes y la creciente demanda de software OTP para aplicaciones corporativas y minoristas.

En 2008, Frost & Sullivan realizó una encuesta entre 20 proveedores de autenticación de hardware. Los resultados mostraron que jugadores establecidos como RSA Security y VASCO Data Security International, Inc. , continuó siendo líder, reteniendo cerca del 80% del mercado, mientras que cabe señalar que el 62% del mercado pertenecía a RSA. Los principales competidores de las empresas líderes son los fabricantes de tarjetas inteligentes.

A medida que las necesidades de los clientes crecen con el tiempo, empresas como RSA, Vasco, Aladdin Knowledge Systems y ActivIdentity , por ejemplo, crean nuevas soluciones para satisfacer solicitudes específicas que se basan no solo en dispositivos de autenticación, sino que combinan varias soluciones de autenticación. Muchos fabricantes han agregado tokens USB , tarjetas inteligentes , software OTP y sistemas de administración de autenticación a sus productos. [once]

Versión gratuita

Hay una versión de prueba disponible de forma gratuita. En esta oferta también se incluye una licencia de servidor con una duración limitada, limitada a dos usuarios y dos tokens SID700. Esta versión tiene una funcionalidad completa, que le permite cambiar al uso comercial sin ninguna configuración adicional. [12]

Véase también

Notas

  1. Sitio web de la empresa de seguridad informática más respetada pirateado Archivado el 4 de marzo de 2016.  (Ruso)
  2. Información de RSA SecurID SD 600 archivada el 4 de febrero de 2011 en Wayback Machine . 
  3. Información sobre RSA SecurID SID 700 Archivado el 10 de enero de 2013 en Wayback Machine . 
  4. Información sobre RSA SecurID SID 800 Archivado el 11 de enero de 2013 en Wayback Machine . 
  5. RSA Security para habilitar la autenticación ubicua a medida que la tecnología RSA SecurID(r) llega a los dispositivos y software cotidianos;. — Alambre prensado M2 | HighBeam Research: comunicados de prensa en línea
  6. TOTP: Algoritmo de contraseña de un solo uso basado en el tiempo . Fecha de acceso: 19 de diciembre de 2012. Archivado desde el original el 25 de noviembre de 2012.
  7. Introducción completa a la autenticación de usuario de RSA SecurID®  ( enlace descendente  )
  8. CVE-2011-0609 . Consultado el 18 de diciembre de 2012. Archivado desde el original el 21 de julio de 2013.
  9. Carta abierta a los clientes de RSA Archivado el 19 de marzo de 2011 en Wayback Machine . 
  10. Recursos corporativos de Lockheed Martin atacados por piratas informáticos desconocidos Archivado el 13 de abril de 2014 en Wayback Machine  (ruso)
  11. El estado actual del mercado de contraseñas de un solo uso Archivado el 4 de marzo de 2016.  (Ruso)
  12. Autenticación de dos factores basada en la tecnología RSA SecurID Archivado el 16 de marzo de 2013 en Wayback Machine  (ruso)

Enlaces