Sicherheit wird in vielen Unternehmen groß geschrieben. Jeder Benutzer muss sich mindestens einmal mit seinem Namen und einem Passwort am System anmelden. Egal ob der Zugriff über ein lokales Netzwerk, per RAS Server oder sogar über VPN und das Internet erfolgt.
Doch ist eine Passwortanmeldung wirklich sicher? Wurde das Passwort
in regelmäßigen Abständen geändert oder ist es vielleicht schon anderen
Personen bekannt die es erraten oder durch Probieren herausgefunden haben?
Wie wäre es mit einem systemgenerierten Zugangscode, der sich alle 60
Sekunden ändert - unmöglich glauben Sie? Das wäre keinem Benutzer zuzumuten!
Aber genau dieser Gedanke ist das Grundgerüst des RSA ACE/Servers. Mit
Hilfe der sogenannten "starken Authentisierung", bei der zwei Zugangskontrollarten
kombiniert sind, wird eine unautorisierte Anmeldung sehr unwahrscheinlich.
Die Kombination aus etwas was der User weiß (seinem PIN Code) und etwas was er bei sich trägt (Scheckkarte, Token oder Schlüsselanhänger) wird eine Authentisierungs-Möglichkeit erstellt, die allen üblichen Überwindungsmöglichkeiten besteht (PASSCODE).
Dieser von RSA Security genannte PASSCODE ändert sich alle 60 Sekunden und ist jeweils nur für eine Anmeldung gültig. Selbst wenn es einem Unbefugten gelingen würde einen gültigen PASSCODE mit aufzufangen, kann er damit nichts anfangen, da dieser schon abgelaufen ist wenn er einmal in Verwendung war.
Der ACE/Server bildet das Kernstück im Netzwerk für eine sichere Anmeldung.
Er generiert alle 60 Sekunden für jeden Benutzer eine 6-stellige Zahl,
die in Verbindung mit dem persönlichen PIN einen Zugang erlaubt.
In einer verschlüsselten Datenbank werden alle Benutzerinformationen,
SecurID Token und natürlich auch alle Zugriffe gespeichert. Jeder ACE/Server
kann mit bis zu 10 Replica Servern kommunizieren und ermöglicht damit
eine ausfallsichere, unternehmens- oder weltweite Authentisierungs-Methode.
Die ACE/Server Software ist für folgende Betriebssysteme verfügbar:
Windows NT 4.0 SP 6a Intel
Windows 2000 Server, Advanced Server, SP2 Intel
Solaris 2.6 Sparc / Ultrasparc
Solaris 7 Sparc / Ultrasparc
Solaris 8 Sparc / Ultrasparc
HP / UX 10.20 HP9000 7xx/8xx
HP / UX 11.0 HP9000 7xx/8xx
AIX 4.3.3 RS6000
Es gibt unterschiedliche Lizenz-Modelle von 50 - 10.000 oder noch mehr Benutzern.
RSA ACE/Agents
Die ACE/Agent Software bildet das Gegenstück zum ACE/Server und wird
auf dem zu schützenden System installiert. Der Agent stellt eine Anfrage
mit Benutzernamen sowie PASSCODE an den ACE/Server und gibt den Zugang
frei wenn der Anwender vom ACE/Server richtig authentisiert wurde.
Es gibt fertige ACE/Agents, die beim Kauf eines RSA ACE/Servers mitgeliefert werden oder von der Internetseite RSA Security herunter geladen werden können.
Folgende System Ressourcen können durch die Installation eines ACE/Server
und dem dazugehörigem Agent geschützt werden:
Unix, Solaris 2.6, 7 or 8, HP-UX 10.20 or 11.0, AIX 4.3.3
Apache, SPARC Solaris 8, Intel RedHat 6.2, RedHat 7.1
Windows, Intel, Windows NT 4.0, Windows 2000, Windows XP
iPlanet, SPARC/UltraSPARC Solaris 2.6, 7 and 8, HP9000 7XX/8XX HP-UX 11.0, RS6000/Power PC AIX 4.3.3
Intel Windows NT 4.0
Lotus Domino, Intel Lotus Domino R5
Novell NMAS (NDS), Intel Netware 5 or 5.1
Netware Connect, Intel NetWare 4.1
Linux, Intel RedHat Linux 6.2
Einige Hersteller statten ihre Hardware standardmäßig mit RSA ACE/Agent
Funktionalität aus. Diese Produkte nennet man "SecurID Ready".
Hier eine kleine Auswahl:
3com
Alcatel
BinTec Communications
Check Point Software Technologies, Inc.
Cisco Systems, Inc.
Data General
Eicon Technology
Funk Software, Inc
Hewlett-Packard Company
IBM Corporation
iPlanet
Lucent Technologies
Microsoft Corporation
Network Associates, Inc
Nokia
Nortel Networks Corporation
Novell, Inc.
Oracle Corporation
Palm, Inc.
SonicWALL, Inc.
Sony Ericsson Mobile Communications
Symantec
WorldCom
Xtradyne Technologies AG
...
Die ACE/Server CD enthält zusätzlich auch Programmbeispiele mit Source Code in C++ sowie eine API zur Entwicklung eigener Agents.
SecurID Tokens
SecurID Token generieren nach dem gleichen Algorithmus wie der ACE/Server 6-stellige Zahlen und bilden damit den zweiten Bestandteil der "starken Authentisierung".
something you know (PIN), and something you have (Token)
Es gibt 3 verschieden Tokentypen für unterschiedliche Einsatzgebiete:
Standard Token Karte mit 6-stelligem Display Laufzeit 3 oder 4 Jahre
Token Karte mit PinPad zur Eingebe des persönlichen PINs (sehr sicher da der PIN nicht im Klartext mit übertragen wird) Laufzeit 3 oder 4 Jahre
KeyFob als Schlüsselbundanhänger (sehr robust) Laufzeit 3 Jahre
Zusätzlich gibt es noch den Software Token der fest in bestimmten Geräten
eingebaut ist oder auf einem Notebook installiert werden kann.
Ericsson R320
Nokia 9210
PAL computing platform
SoftToken Win9x, NT 4.0
Auch SmartCards der Serie 1100 und 3100 werden unterstützt.
ACE/Admin Server
Die alternative zum RSA QuickAdmin. Verwalten Sie Ihren ACE/Server doch einmal per Web Frontend! Ob es um die ACE Services geht, die Verwaltung der Benutzerdaten oder Token bis hin zur Erstellung von Statistiken ist alles denkbar und speziell auf Ihre Wünsche anpassbar.
Es ist nicht notwendig auf dem ACE/Server einen WebServer zu installieren. Alle Anfragen werden vom ACE/Admin Client entgegengenommen, verschlüsselt und an den ACE/Admin Server weitergegeben, verarbeitet und wieder verschlüsselt zurückgegeben. Der ACE/Admin Server kommuniziert nur mit einem ACE/Admin Client.
Deshalb muss, bis auf den ACE/Admin Server und seine Komponenten, keine zusätzliche Software auf dem ACE/Server installiert werden.
Überwachung der ACE Services
Token austauschen
PIN neu setzen mit zusätzlichen Sicherheitsabfragen (1234 oder ähnliche sind dabei nicht möglich)
eigene SQL Abfragen erstellen
Benutzer-Detail Ansicht
Token-Detail Ansicht
Interaktive Vorführung der SecurID Token
Unser Service für Sie
Wir können Sie bei der Planung, Installation und späteren Wartungsarbeiten
Ihres ACE/Servers unterstützen. Ebenso gehören Schulungen für den 1st-Level
Support, ACE Administratoren oder die Anwender der SecurID Karten zu unserem
Angebot.
Sie wollen Benutzerdaten aus anderen Datenbanken übernehmen? Leider bietet der RSA ACE/Server auch in seiner Version 5 noch keine benutzerfreundliche Routine dafür an. Mit ein paar Kniffen geht es doch und in wenigen Minuten sind 1.000 Benutzer importiert.
Brauchen Sie Unterstützung bei der Implementation von ACE/Agents oder
SecurID Ready Produkten? Profitieren Sie von unserer mehrjährigen Erfahrung
mit dem RSA ACE/Server und seiner Komponenten.
Wir sind RSA Certified Administrator und RSA Certified System Engineer für den ACE/Server 5.0
