© SMARTACCESS 2009

DNIe en tu ADRames Sarwat

rames@smartaccess.es

PUBLIC Página 2

Imaginemos el siguiente escenario…

Una empresa u organismo público con unos cientos de empleados

Los puestos tienen Windows

Directorio Activo instalado

Los usuarios tienen todos una cuenta en AD

PUBLIC Página 3

¿ Es perfecto?

Casi, pero :

• los usuarios comparten sus contraseñas,

• las apuntan

•utilizan contraseñas como: password o 1234

Las aplicaciones no están integradas a nivel de seguridad y vuelven a pedirnos de nuevo usuario y contraseña.

PUBLIC Página 4

¿Que deberíamos hacer?

Implementar un mecanismo más seguro de las contraseñas para que los usuarios accedan a sus puestos y a sus aplicaciones.

Implementar un mecanismo de acceso único a todos los sistemas y aplicaciones (Single Sign-On)

PUBLIC Página 5

Y, ¿qué opciones tengo?

De menor a mayor nivel de seguridad

•Usar sistemas de passwords de un solo uso

OTP : One Time Password

•Usar algún sistema biométrico

•Usar smartcards con certificados digitales

Todos estos sistemas requieren cierta inversión en hardware y por supuesto en software.

PUBLIC Página 6

Vale, pero ¿que hago?

No todo el mundo necesita el mayor nivel de seguridad. Depende de lo que protegemos

Las smartcards con certificado nos ayudan a introducir la firma electrónica en la organización.

Además, el DNIe nos puede evitar la adquisición de smartcards y la emisión de certificados digitales.

PUBLIC Página 7

Logon con smartcard

¿Lo hemos inventado nosotros?

•NO, existe desde hace mas de 9 años.

•Con validación con AD existe desde el lanzamiento de Windows 2000.

Necesito:

•una smartcard con "driver" (middleware) para Windows que contenga un certificado digital con ciertas características.

PUBLIC Página 8

¿Que es eso del middleware?

Es un software asociado a una smartcard o tarjeta criptográfica que contiene:

• Un API y driver para aplicaciones Windows, llamado CSP

• Otro API para sistemas no Windows, llamado PKCS#11

• Utilidades de gestión de la tarjeta: inicialización, cambio de PIN, desboqueo, carga de certificados, aviso de caducidad, etc.

En las tarjetas comerciales suele tener un coste aparte. En el DNIe y las tarjetas de la FNMT se descarga gartuitamente.

PUBLIC Página 9

Para hacer logon con el DNIe, ¿qué hace falta?Que mi sistema operativo sepa comunicarse

con el DNIe. Instalación del "driver" (mejor llamado middleware)

Poder relacionar de alguna forma los certificados del DNIe con la cuenta del usuario en el Directorio Activo

Poder comprobar que el certificado no ha sido revocado. Esto se hace mediante una conexión con un servicio prporcionado por el emisor del certificado, accesible por Internet.

PUBLIC Página 10

Dos posibilidades tecnicas:

Verificación de credencial y envío de usuario/contraseña.

Autenticación mediante firma digital.

PUBLIC Página 11

Verificación de credenciales y …

Inyección de usuario y contraseña

•Un usuario presenta su DNIe y su PIN ante la aplicación

•La aplicación recupera el usuario y contraseña guardadas de forma segura

•Se envía el usuario y contraseña al sistema.

Ventaja: mayor simplicidad y compatibilidad

Desventajas: Afectado por caducidad de contraseñas, bloqueos, etc.

.

PUBLIC Página 12

Autenticación mediante firma

• El servidor envía un desafío aleatorio y el cliente lo firma con su clave privada (si el certicado no está caducado).

• El cliente envía al servidor la firma y la parte pública del certificado

• El servidor valida la firma y comprueba que el certificado no ha sido revocado

• El servidor requiere de un certificado para autenticarse y cifrar la comunicación

• Si todo va bien, el servidor emite un ticket kerberos.

• El protocolo de autenticación es na extensión de Kerberos para smartcardllamada PKINIT. Propuesto para su estandarización.

• El usuario y contraseña no afectan en todo el proceso. Se requiere conocer previamente el dominio y el login name del usuario. Bien porque está incluido en el certificado, bién porque soy capaz de establecer reglas de asociación.

PUBLIC Página 13

¿Cuál utiliza SmartAccess?

Implementamos ambas técnicas en 2 diferentes productos

•SmartID Corporate Logon - Autenticación mediante firma

• IDOne Professional – Verificación de credenciales y envío de usuario/contraseña

Ambos se integran con Active Directory, sin realizar ningún cambio en su estructura.

Cualquier AD sirve.

PUBLIC Página 14

SmartID Corporate Logon

Funciona con cualquier smartcard, cualquier certificado digital y cualquier lector.Condiciones:

• Smartcard - disponer de CSP "driver"

• Certificado Digital - cumplir el estandar X509v3

• Lector smartcard - cumplir la especificación PC/SC

No modifica la GINA (2000, XP) ni modificar el esquema del Active Directory

Requiere instalar software en todos los clientes que requieran realizar logon y en todos los servidores controladores de dominio de un site o un forest.

Se instala en un par de horas.

PUBLIC Página 15

IDOne Professional

Amplía la GINA (2000, XP) mediante un wrapper. • En Vista y Windos 7 es un Credential Provider.

Arquitectura cliente/servidor

Múltiples repositorios de credenciales: local, master , AD, LDAP , BBDD

Menores requisitos técnicos que SmartID CoporateLogon

• No necesito certificados de servidor

• No requiere certificados en la smartcard

Soporta también reconocimiento biométrico de la huella dactilar y elementos de proximidad RFID (tarjetas, pulseras, llaveros, etc.)

PUBLIC Página 16

Pero tiene más usos…

Autenticación

• Acceso al puesto remoto (TS/Citrix/VDI)

• Teletrabajo seguro (VPN)

• Colaboración con clientes y proveedores (Web)

Mejorar el servicio al público

Navegación segura por Internet

Verificación de la identidad

PUBLIC Página 17

PUBLIC Página 18

Si quieres probarlo…

No te molestamos. Te lo descargas de la web sin compromiso ni registro en:

•www.smartaccess.es (Descargas)

Pero si quieres consultarnos algo:

•soporte@smartaccess.es

•Tlf: 902.907.365 / 915.560.042

PUBLIC Página 19

PUBLIC Página 20

MUCHAS GRACIAS…

Si te ha gustado, o no te ha gustado puedes escribirmey contarmelo.

Me gusta mejorar …

rames@smartaccess.es