ยืนยันตัวตนในโลกอินเตอร์เน็ตด้วย...

1

ยนยนตวตนในโลกอนเตอรเนตดวย Symantec Validation and Identity Protection (VIP)


Technical Level: Intermediate First Release Date: January, 23rd, 2013 Edition: (Draft 2) Updated Date: March 5, 2013 , 21:48 Prepared by Nathaphon Kiatwonghong, Technical Consultant Language: Thai

© Copyright 2012 Symantec Software, All right reserved

** Lastest version http://www.storage101.net/cms/?q=content/vip_thaibook

สารบญ ยนยนตวตนในโลกอนเตอรเนตดวย Symantec Validation and Identity Protection (VIP) .. 1

สารบญ ................................................................................................................. 1

บทท 1 การขอเขาใชงาน Symantec Validation and Identity Protection (VIP) ............... 2

ตวอยางการใชงาน ........................................................................................... 2

ชนดของ credential ทใชดรหส OTP ................................................................... 5

บทท 2 เรมตนใชงาน VIP Manager ........................................................................ 15

บทท 3 การตดตงและใชงาน VIP Access Client ........................................................ 20

บทท 4 การตดตง VIP Enterprise Gateway ............................................................. 24

ตวอยางขนตอนในการตรวจสอบสทธของ user หลงผนวก OTP .............................. 25

สงทตองเตรยมส าหรบตดตง VIP enterprise gateway ......................................... 26

ขนตอนในการตดตง ....................................................................................... 26

บทท 5 รายงาน ................................................................................................... 38

http://www.storage101.net/cms/?q=content/vip_thaibook

2


บทท 1 การขอเขาใชงาน Symantec Validation and Identity Protection (VIP) ทกวนน บรษทสวนใหญยงคงใช username และ password ธรรมดาในการปองกนการเขาถงระบบเครอขายของบรษท แตปจจบน password เพยงอยางเดยวไมปลอดภยอกตอไป เนองจากมผพฒนาวธการตางๆ มากมายเพอขโมย และโจมต password ของ user ท าใหมาตรฐานของการปองกนความปลอดภยในยคปจจบน ตามกฏระเบยบตางๆ ตองมการใช

งาน strong authentication หรอการยนยนตวตนขนสง Strong authentication คอการยนยนตวตนของ user โดยใชหลายองคประกอบ นนคอ ส งทคณร (password), สงทคณม (smartcard, one time password) และ สงทเปนคณ (fingerprint) ดงนนอยางนอยทสด ระบบของคณควรจะม user/password และ one time password (OTP) ซงเปนตวเลข 6 หลกทเปลยนไปทกๆ 30 วนาท ท าใหผโจมตมความล าบากมากขนเพราะไมสามารถขโมย user/password แลวเจาะระบบไดเลยเหมอนเดมอกตอไป Symantec Validation and Identity protection เปนบรการ แบบ cloud ส าหรบการยนยนตวตนขนสง แบบใช one time password ซงจะชวยลดคาใชจายในการวางระบบ ดแลระบบรกษาความปลอดภย ในขณะทยงคงอนญาตใหผใชงานเขาถงเครอขายไดอยางปลอดภย ปองกน resource ทางธรกจ, VPN, enterprise application และแมกระทง online web application โดยในการใชงาน user จะตองระบ username และ password ตามปกต แลวตามดวย รหส one time password อก 6 หลก ซงมาจากอปกรณ one time password token, software one time password บนมอถอ หรอบน desktop, หรอ SMS, โทรศพท ซงมอายเพยง 30 วนาท ปองกนการถกขโมย/ใซซ า

ตวอยางการใชงาน

User เขาสระบบ SSL VPN

3


User ตองกรอก username/password และ OTP ซงสามารถรนบน smart phone ได

จากนนคณกสามารถเขาสเวบของบรษทไดตามปกต

4


VIP ชวยตอบโจทยของบรษท โดยน าเสนอ strong authentication เพอปองกนเครอขายและขอมลอนมคาของบรษท

- Non-compliance เพอใหผานมาตรฐานขอก าหนดการรกษาความปลอดภยขององคกรกลาง หรอรฐบาล เพอปองกนขอมลส าคญ, strong authentication เปนทางเลอกทคมคาทสด

- Reputation risk เพอรกษาชอเสยงของบรษท หากเกดปญหาขอมลรวไหล บรษทอาจประสบปญหา สญเสยลกคา และหาลกคาใหมไดยาก

- Lost business opportunity เนองจากการตดตอยคใหมลวนท าแบบอตโนมต ผาน web service ตางๆ ซงชวยในการตดตอกบทงคคา และลกคา แตเรากตองมนใจกอนวาเราปองกนการเขาถงทไมไดรบอนญาตได ซงหากม strong authentication กจะชวยตอบโจทยตรงนได

5


ชนดของ credential ทใชดรหส OTP

1. Mobile phone credential คอ โปรแกรมทรนบนมอถอเพอใชด OTP โดยมชอวา Symantec VIP Access for Mobile ซงมขอดคอ

a. ดาวนโหลดไดฟรทางอนเตอรเนต หรอ app store ในมอถอ b. สามารถแจกจายไดทนท c. ลดภาระในการแจกจายอปกรณ, การท าระเบยนบนทกขอมลอปกรณ และ

คาใชจายในการบ ารงรกษา d. รองรบมอถอมากกวา 750+ รน รวมทง iPhone, BlackBerry, Android, อนๆ e. ดรายละเอยดท http://go.symantec.com/vipmobile f. กรณสญหาย สามารซอเครองใหมแลวรเซทมาใชตวใหมไดทนทไมตองรอสง

token ตวใหมไปยง user

2. Desktop credential คอโปรแกรมทรนบน PC/Notebook เพอด OTP โดยมชอวา Symantec VIP Access Desktop

a. รองรบ Windows XP sp3, Vista sp2, 7 sp1 b. รองรบ การ copy และวางลงในชอง OTP ของตวรบรหส c. รองรบ การ integrate กบ browser เพอเตมลงใน web form อตโนมต d. ไมแนะน าเทาแบบแรก เนองจากเหตผลเรองความปลอกภย หากเปนระบบ

ส าคญ ควรใชแบบรนบนมอถอ e. ดรายละเอยดท https://idprotect.verisign.com/desktop/

http://go.symantec.com/vipmobile

https://idprotect.verisign.com/desktop/

6


3. Hardware credential คออปกรณทสามารถใชด OTP ได โดย VIP รองรบ อปกรณทใช

มาตรฐาน OATH token ได โดยจะมป มบนอปกรณใหกด เพอดรหส OTP อยางไรกตามส าหรบอปกรณดงกลาว ตองสงซอจากทาง Symantec โดยตรง และผสงซอตองน าไปแจกจายใหผใชงานดวยตนเอง หรอทางพสด

โดยคณสามารถเลอกรปแบบเปนแบบธรรมดา หรอแบบเครดตการด กได โดยรองรบการท าส และโลโกเพอใหเขากบองคกรของคณได

7


เนองจาก product นใชส าหรบเพมความปลอดภยในการเขาใช network resource, server หรอ service ตางๆ และทางไซแมนเทค มเสนอในรปแบบ cloud-service เทานน ท าใหการใช

งาน จะเรมตนจากการขอเขาใช service ซง license ในการใชงานจะแบงเปน 2 แบบ คอ trial และ full ซงแบบ full จะมการสง email ของ username และ password ไปยงเมลของลกคาทลงทะเบยนไวโดยตรง ส าหรบ trial license สามารถขอไดจาก https://manager.vip.symantec.com/vipmgr/createtrialaccount.v ใหคณกรอกขอความใหครบถวน และกด submit

จากนนรออเมลตอบกลบจาก ไซแทนเทค ดงรป ใหคลกลงค https://manager... ในเมล

https://manager.vip.symantec.com/vipmgr/createtrialaccount.v

https://manager/

8


9


จะไดดงรป ใหต กท I accept th terms แลวกด submit enrollment

กด Print this page

10


เพอเซฟขอมลในหนานไว จากนนรอการตอบกลบ

คณจะไดเมลดงรป บอกวาใหรอเมลอกฉบบเพอยนยนการทดลองใช โดยสามารถกดลงคในเมลนเพอเชกสถานะ

11


ตอนนใหรอจนกวาจะผานการพจารณาทดลองใชงาน

เมอคณเชกเมลแลวพบเมลฉบบขางลางน แสดงวา account trial ผานการพจารณาแลว

12


ใหคณเขาไปท https://manager.vip.symantec.com/vipmgr จะพบหนาจอลอคอนใหใช

รหสชวคราวทใหมาในเมล บรรทดทเขยนวา Email address จะเปน username สวน temporary password จะเปนรหสชวคราว ซงมอาย7 วน หากเลยไป ใหกด “Forgot your password”

ตอไปใหตงรหสใหม โดยรหสใหมตองมแคอกษรธรรมดาและตวเลข ไมอนญาตใหมอกษรพเศษพวก # @ % แลวกด continue

https://manager.vip.symantec.com/vipmgr

13


จากนนระบบ จะใหเชอมโยงกบ one time password credential โดย คณสามารถใช hardware token หรอ โปรแกรมบน มอถอกได โดยกดป ม register

จากนน ใหคณกรอกรหส credential id จากเลขดานบน ของ credential (กรณ hardware token เลขนจะอยดานหลงอปกรณ) จากนนกรอก security code ซงเปนเลขทเปลยนทกๆ 30 วนาทดานลาง (กรณ hardware ใหกดป มดานหนา

14


หลง register เสรจ กสามารถเขาสหนาหลกไดทนท

หนาหลกจะแสดงขอมลการลอคอนเขาระบบของ user ตางๆ

ซงหนาน เราใชส าหรบ access web console ซงมชอเรยกวา VIP Manager

15


บทท 2 เร มตนใชงาน VIP Manager VIP Manager เปน web based console ส าหรบ ผดแลเพอควบคมการใชงาน VIP validation service โดยมความสามารถ เชน ลงทะเบยนอปกรณ OTP เขากบชอ user, ถอนการลงทะเบยน, ตรวจสอบการท างานของ OTP วาถกตองหรอไม, สรางรหส OTP ชวคราวให user, ออกรายงานเหตการณตางๆ, สรางผใชงานในหนาทตางๆ และ config คานโยบายตางๆ โดยผดแลมทางเลอกในการเขาใชงาน คอลอคอน โดยใช corperate directory (LDAP/AD) ผาน enterprise gateway หรอ ลอคอนผานหนาเวบโดยใช email ทลงทะเบยนไวกได เรมตนใหคณลอคอนเขาไปท https://vipmanager.verisign.com และใช username กบ password ตามทก าหนดมาให

หากตองการใชเวอรชนใหม (แนะน าใหใชเวอรชนใหม) ใหเขาท https://manager.vip.symantec.com จะไดดงรป

https://vipmanager.verisign.com/

https://manager.vip.symantec.com/

16


ในทนจะอางองเวอรชนใหมเปนหลก ดงนนใหเขาท https://manager.vip.symantec.com หลงลอคอน จะพบหนาจอใหพมพเลข OTP 6 หลก ดงรป แลวกด continue

กจะเขาสหนาเวบไซตหลก ดงรป

https://manager.vip.symantec.com/

17


กรณตองการ เพม user ใหมเขาไปในระบบ ใหไปท “User” > “Add New User”

ใหกรอกขอมล ชอ user (แนะน าใหใช email) สวน pin คอ รหสผาน โดยสามารถใชไดเฉพาะตวอกษรและตวเลขเทานน ส าหรบ credential id ใหน ารหสชดบนของ VIP Access มากรอก และ name คอชอทเราตองการตงเพอสอถง VIP Access ชดน จากนนกด Add

18


19


ตอนน user นสามารถใชงานระบบไดแลว

20


บทท 3 การตดต งและใชงาน VIP Access Client คณสามารถตดตง VIP Access Client ลงไปบน windows หรอ MacOSX ไดดวย โดยดาวนโหลดจาก https://idprotect.vip.symantec.com/desktop จากนนกด “Get VIP Access Desktop” เพอ save file

เลอก platform ทตองการ โดยกดป ม “Download for Windows” หรอ “Download for Mac”

https://idprotect.vip.symantec.com/desktop

21


หลงดาวนโหลดเสรจให รนโปรแกรมขนมาจะไดดงรป กด next เพอไปตอ

เลอก I accept แลวกด next

22


เลอกทตดตง แลวกด next

กด install เพอตดตง

23


กด finish เพอจบการตดตง

เมอเปดโปรแกรมคณจะไดหนาจอดงรป ใหน าตวเลขรหสชดบนไป register คกบ user ทสรางในระบบเพอเรมใชงาน กรณใช mobile ใหใช browser ของเครอง mobile เขาไปท http://go.symantec.com/vipmobile เพอดาวนโหลดและตดตง VIP Access ส าหรบเครอง mobile นนๆ

http://go.symantec.com/vipmobile

24


บทท 4 การตดต ง VIP Enterprise Gateway ส าหรบการใชงานกบองคกรใหญๆ เราจะแบงการท างานออกเปนสองสวน สวนแรกอยบน Cloud ของ Symantec คอสวนทใชตรวจสอบรหส OTP, VIP Manager ส าหรบผดแลและ VIP self service portal ส าหรบผใชงานทวไป และสวนหลงใชเชอมตอกบ corperate Directory (เชน LDAP/AD) ของ Microsoft โดยเราจะตองม server 1 ตวทลง server OS ไว โดยตว enterprise gateway จะรองรบการเชอมตอแบบ RADIUS มาตรฐาน จากโปรแกรมอนๆ เชน VIP gateway แลวตว Enterprise gateway จะน าขอมล username และ password ปกตไปตรวจสอบกบ corporate directory จากนนเมอขอมลถกตอง จะน า รหสตวเลข OTP หกตวหลงไปตรวจสอบกบ VIP validation service บน cloud ตามรป

โดยตว enterprise gateway จะมหนา self service portal ส าหรบผใชงานทวไปใหด าเนนการบางอยางไดเอง เชน การลงทะเบยนอปกรณ OTP, การถอนการลงทะเบยน OTP, การตรวจสอบการท างานของ OTP และสรางรหส OTP ชวคราว เปนตน นอกจากการรองรบ มาตรฐาน RADIUS ส าหรบการตรวจสอบสทธผใชงานแลว ทาง Symantec เองกม plug-in หลายตวส าหรบมาตรฐานอนๆ รวมทงยงม API ส าหรบใหบรษททเขยนโปรแกรมขนมาเอง สามารถตอยอดมาใชบรการ OTP ส าหรบตรวจสอบสทธผใชงานได ซงคณสามารถเลอกไดวาจะใหเชอมตอการตรวจสอบไปยง VIP validation service โดยตรงหรอผาน enterprise gateway กได

25


ตวอยางข นตอนในการตรวจสอบสทธของ user หลงผนวก OTP

1. เมอ user ลอคอนเขาระบบ VPN, user จะตองกรอก username และ password รวมทง OTP ทสรางออกมาโดยอปกรณ OTP หรอโปรแกรม VIP Access ทลงทะเบยนเชอมโยงกบ user นไว

2. VPN gateway จะตดตอเขามายง VIP enterprise gateway โดยผาน RADIUS protocol และสงขอมลทง username และ password มาให ซง VPN gateway ตองการค าตอบวาขอมล user ทใหมาถกตองหรอไม จากนน Enterprise gateway จะตดตอไปยง corperate directory ผาน LDAP protocol เพอตรวจสอบ username และ password วาถกหรอไม

3. ถา username และ password ถกตอง enterprise gateway จะตดตอไปท VIP validation service เพอตรวจสอบ OTP วาถกตองหรอไม

4. ถา OTP ถกตองดวย ตว enterprise gateway จะตอบ VPN gateway ไปวา ขอมลทงหมดถกตอง หาก username และ password หรอ OTP อยางใดอยางหนงผด enterprise gateway จะตอบ VPN gateway ไปวา ขอมล user ผด ไมมสทธเขาใช

งาน นอกจากนน enterprise gateway สามารถตงใหสลบการท างาน โดยตรวจ OTP กอน แลวคอยตรวจ username และ password กได รวมทงสามารถตงใหใช PIN ทบนทกไวบน VIP validation service (ตอนสราง user account) แทน password บน corperate directory กได

26


สงทตองเตรยมส าหรบตดต ง VIP enterprise gateway

ตว enterprise gateway สามารถตดตงไดทงบน Windows และ Linux โดย windows รองรบ - Windows 2003 enterprise R2 SP2 (32 bit) - Windows 2003 enterprise SP2 (32 bit) - Windows 2008 enterprise SP2 (32 bit) - Windows 2008 enterprise SP2 (64 bit) - Windows 2008 R2 (64 bit) ส าหรบ hardware ตองการ CPU 2 core , RAM 2 GB และ 10 GB Harddisk ส าหรบ console ตองการ Microsoft Internet explorer 7 ขนไป หรอ firefox 3 ขนไป กรณเปน Linux รองรบ - Redhat Linux EL 5.x (32 bit) - Redhat Linux EL 5.x (64 bit) - Redhat Linux EL 6.1 (32 bit) - และตองการ GNU C Library (glibc) 2.4 ขนไป ส าหรบ corperate directory ส าหรบตรวจสอบผใช ทรองรบ - Windows Active Directory 2003 - Windows Active Directory 2008 - Novell eDirectory 8.8 SP2 ขนไป - CA eTrust r8.1 ขนไป - SunOne Directory Server 6.1 ขนไป - OpenLDAP 2.4.8 ขนไป ส าหรบการบนทก log เหตการณทเกดขนในระบบ โดยปกตจะเขยนลงบนไฟล Log ทเปน text ธรรมดา แตสามารถเปลยนไปบนทกลงบน Oracle database ไดโดยตองการ - Oracle 10g - Oracle Instance Client 10.2.0.3 (32 bit)

ข นตอนในการตดต ง

เราจะตองลอคอนเขาไปท VIP Manager จากนนเขาไปท Account > Manage VIP Certificates ดงรป

27


คลกท request a certificate ดงรป

จากนน คลก continue

28


พมพชอทส อกบชอ server ทจะลง enterprise gateway แลวกด submit request

เลอก format เปน pkcs#12 แลวพมพ รหสเพอปองกน certificate โดยเปนอกษรและตวเลขรวม แปดตว จากนนกด download certificate

29


เลอกทเซฟไฟล แลวกด save

จากนนคลก download files

30


คลกท Enterprise gateway

คลกท 9.2

31


คลกท VIP enterprise gateway 9.2 linux.tar หรอ VIP enterprise gateway 9.2 windows.zip แลวแต platform ทคณเลอกจะตดตง ในทจะเรมจาก windows ดงนนให คลกท VIP_Enterprise_Gateway_9_2_Windows.zip

เมอโหลดเสรจให extract ไฟล แลวจะได setup.exe ใหดบเบลคลก กด next

32


เลอก I accept จากนนกด next

เลอก username และ password ของ ผดแลระบบ ของ enterprise gateway แลวกด next

33


เลอกทตดตงโปรแกรม แลวกด next

คลก install เพอเรมการตดตง

34


คลก finish เพอจบการตดตง และเรยก web console ขนมา

พมพ username และ password ทเลอกไวแลวกด sign in

35


จากนนใหกดลงค “VIP certificate”

กด browse หาไฟล .pem ทดาวนโหลดจาก VIP manager มา แลวกด open จากนนเมอกลบมาท add vip certificate ใหพมพ password ทใชปองกน cert นน แลวกด “submit”

36


ถาขน VIP certificate was successfully imported แสดงวา เรยบรอยแลว หาก error ใหเชกวาตอน ดาวนโหลด คลกเลอก format pkcs#12 ไหม หากไมใชใหกลบไปดาวนโหลดใหม หากจ ารหสปองกนไมได ใหดาวนโหลดและเลอกรหสใหมอกครง

หากเกดปญหา และตองการด log ใหเขาไปท แถบ gateway > Logs จะไดดงรป

37


หากตองการ ตงคา radius server เพอให enterprise gateway ไปเกาะ ใหตงท แถบ validation

หากตองการตงคา active directory ใหไปทแถบ gateway > optional > user store

38


บทท 5 รายงาน ส าหรบบทนจะเปนการเรยนรเกยวกบ รายงาน ของระบบ VIP Manager ใหไปทเมน Reports จากนนเลอก report ทตองการ ซงจะมทงหมดสามหมวด คอ End user report, Credential report และ view audit report เมอเลอกไดแลว ใหตงคาทจ าเปน เชน ชวงเวลา จากนนกด generate report

ตวอยางส าหรบ end user report เชน Historical count of end users register at your organization คอ รายงาน จ านวนผใชงานในองคกรทลงทะเบยนเขามา จะพบวาสามารถก าหนดชวงเวลาได ในทน จงก าหนดเปน 7 วนลาสด แลว กด generate report

จะไดผลลพธดงรป

39


รายงาน transaction report ซงรายงานผลการท างานลาสด ในตวอยางก าหนดชวงเวลาไวท 7 วน

ไดผลดงรป

40


ตวอยางรายงาน credential report ซงเปนรายการส าหรบสวน credential ในการเขาระบบ ทหมดอาย


41


ตวอยาง view audit report ซงเปนรายงาน การกระท าของผดแล


ยืนยันตัวตนในโลกอินเตอร์เน็ตด้วย...

Technology

Transcript of ยืนยันตัวตนในโลกอินเตอร์เน็ตด้วย...