web single sign-on nutzen eines optimalen zusammenspiels von authentisierung und waf marc bu ̈...

Web Single Sign-OnNutzen eines optimalen Zusammenspiels von Authentisierung und WAF Marc ButikoferSenior Security EngineerKryptologie & Security ExperteErgon Informatik AG

Facts & Figures Ergon Informatik AG

Gegrundet 1984

160 Mitarbeitende

90% mit Hochschulabschluss

29.6 Mio CHF Umsatz (2011)

In Mitarbeiterbesitz

Standort Zurich

Aufteilung des Umsatzes nach Branchen

32% Industry/Pharma

25% Finance

14% Public Sector

29% Telecommunications

Prix Egalité2011

Kompetenz in IT Security: Airlock und Medusa

WAF: Airlock (500 Installationen bei 200 Kunden)

Authentisierung: Medusa (70 Kunden)

25 Mitarbeiter im Thema WAF / Authentisierung

Übersicht

Typische Ausgangslage

Zielarchitektur mit WAF und Authentisierung

Warum eine WAF?

Warum separate Authentisierung?

Möglichkeiten aus Zusammenspiel WAF + Authentisierung, Single Sign-On, Identity Propagation

Starke Authentisierung auf Mobiltelefonen

geschutzte Applikationen ExterneApplikation

Login mitCredential-Set C

Firmennetzwerk

A B C D

Typische Ausgangslage

Login

mit

Cre

denti

al-

Set

A

Login

mit

Cre

denti

al-

Set

B

Kein oder direkter Zugriff auf aus dem Internet auf Webapplikationen

Schwache Authentisierung in Applikationen

Verschiedene Identitäten/Credential-Sets

WAF

Authentisierung

geschutzte Applikationen ExterneApplikation

Cross DomainSSO

Firmennetzwerk

A B C D

WAF und vorgelagerte Authentisierung

Weshalb eine Web Application Firewall?

Schlusselkriterien fur Webapplikationssicherheit

WER?

WAS

Wer greift zu?

Was wird geschickt?

Zugriffskontrolle

Filterung

Wichtige Themen Webapplikationssicherheit

Warum vorgelagerte und zentrale Authentisierung?Höchste Anforderungen Exponiert und mächtig

Keine Kommunikation mit geschutzten Applikationen vor der Authentisierung

Komplexe Workflows

Integrationskosten

Flexibilität bezuglich Token

Policies zentral umsetzbar

Kostenersparnisse

SAML SP

Mob

ile TAN

Airlock

Client

Cer

tifica

te

Mob

ile ID

Medusa

Kerberos/Smart Card

Geschutzte Applikationen ExterneApplikation

PKIDatabase/Directory

MobileOTP

MobileTAN

Radius Client

Password Management/Transaction Signing

Cross DomainSSO with SAML

Firmennetzwerk

A B C D

Möglichkeiten dank WAF undzentraler Authentisierung

SAML SP

Mob

ile TAN

Airlock

Client

Cer

tifica

te

Mob

ile ID

Medusa

Kerberos/Smart Card

Geschutzte Applikationen ExterneApplikation

PKIDatabase/Directory

MobileOTP

MobileTAN

Radius Client

Password Management/Transaction Signing

Cross DomainSSO with SAML

Firmen-netzwerk

A B C D

Single Sign-On und Identity-Propagation

Domänenubergreifender SSO

Domänenubergreifender SSO

Interner SSO

Starke Authentisierung auf Mobiltelefonen

Mobile Trojaner sind Realität

ZitMo and SpitMo (Zeus/SpyEye in the Mobile)– Fangen SMS (mTAN) ab

– ZitMo wurde sogar während kurzer Zeit im offiziellen „Android Market“ als Security Tool angeboten

© Trusteer 2011

Zu welchem “Preis”?

SMS/MTAN geht nicht mehr!

Wenig Schnittstellen

Kandidaten:

- Mobile Signature Service (“Mobile ID”)?

- Flickering / Barcode?

- HW OTP?

Starke Authentisierungauf Mobiltelefonen

Starke Authentisierung und Transaktionssignierungauf MobiltelefonenBenötigte zweiten unabhängigen Kommunikationskanal

Automatisierte Anrufe

Separates Token

mTAN (SMS)

?

Mobile Signature Services (MSS) – Die Lösung?

SIM Karte mit• SmartCard Chip• Zertifikat und privaten Schlusseln• Authentisierungsapplikation (in SIM!)• Direkter Bildschirm/Tastaturzugriff

Please enter your PIN:

******

MSSProvider

1. Application request (UMTS) 2. Check 2nd factor

3. 2nd factor OK?(SMS)4. Challenge

user

5. Yes/no

6. Yes/no

WAF und vorgelagerte zentrale Authentisierung bieten hohe Sicherheit und viele Anwendungsmöglichkeiten.

Starke Authentisierung auf Mobil-telefonen ist nicht trivial. Erste Lösungen zeichnen sich ab.