SWIVEL

SWIVEL

SWIVEL Secure является мировым технологическим лидером бестокенной аутентификации. Решения SWIVEL используются крупнейшими частными и государственными компаниями, а также представителями малого и среднего бизнеса. Потребители продукции SWIVEL получают возможность организации безопасного локального и удалённого доступа к корпоративным сетям, виртуальным машинам и облачным приложениям. Ниже описан пример решения задачи по созданию системы усиленной аутентификации в компании с государственным участием на базе программного обеспечения аутентификации SWIVEL и брандмауэра Check Point.

Цели развертывания системы усиленной аутентификации

Для решения корпоративных задач в компании требовалось организовать защищенный удаленный доступ к web-приложениям, облачным сервисам и рабочим станциям.

Решение

Для достижения целей и соответствия системы усиленной аутентификации требованиям заказчика, были реализованы:

  • Установка серверной части системы усиленной аутентификации на виртуальные сервера VMware ESX, расположенные в демилитаризованной зоне локальной сети;
  • Обновление серверной части системы усиленной аутентификации до последней работоспособной версии, указанной производителем на момент проведения работ;
  • Установка и/или активация лицензии системы усиленной аутентификации;
  • Настройка объединения в кластер серверных частей системы усиленной аутентификации;
  • Настройка интеграции серверной части системы усиленной аутентификации со службой каталогов Active Directory;
  • Настройка сервера аутентификации RADIUS в системе усиленной аутентификации;
  • Настройка взаимодействия серверной части системы усиленной аутентификации с брандмауэром Check Point;
  • Настройку компонента Mobile Access брандмауэра Check Point  для использования аутентификации системы  усиленной аутентификации. В результате на WEB странице Check Point Mobile Aceess Blade дополнительно к запросу пароля у пользователя запрашивается еще и PIN, который он должен ввести, кликая по картинкам. Результат аутентификации проверяется системой усиленной аутентификации.

Требования к системе усиленной аутентификации

  • Поддерживать аутентификацию посредством SMS, браузера, электронной почты и мобильных приложений;
  • Иметь мобильные приложения для аутентификации, работающие на операционных системах iPhone, Windows Mobile, Android и Blackberry;
  • Иметь мобильные приложения для аутентификации, использующие технологию Java;
  • Иметь возможность генерировать одноразовые пароли;
  • Поддерживать доставку пароля/строки безопасности пользователям следующими методами: SMS, электронная почта, изображение в браузере, мобильные приложения;
  • Поддерживать аутентификацию в сервисе аутентификации Graphic Identification and Authentication (GINA);
  • Обеспечивать возможность аутентификации в GINA при отсутствии связи с сервером (offline режим);
  • Поддерживать интеграцию с облачными службами Microsoft Office 365, Google Apps и Saleforce.com;
  • Поддерживать импорт пользователей из Active Directory, LDAP (OpenLDAP, Novell NDS/eDirectory), DB (MS SQL, MySQL, Oracle, Postgres) и XML файлов;
  • Не требовать для аутентификации установки агента на контроллер домена;
  • Поддерживать хранение данных о пользователях как во внутреннем хранилище, так и во внешних на базе MySQL, ORACLE, MS-SQL, Postgres;
  • Иметь возможность работы в отказоустойчивом режиме Active/Passive и Active/Active;
  • Поддерживать интеграцию с Check Point Mobile Access Blade и FortiGate;
  • Поддерживать методы интеграции RADIUS, HTTP-XML, SAML, SOAP;
  • Поддерживать передачу лог файлов по протоколу syslog;
  • Состоять из двух серверов - основного виртуального сервера аутентификации, работающего на платформе VMWare ESXi и дополнительного виртуального сервера аутентификации, работающего на платформе VMWare ESXi только совместно с основным сервером аутентификации в режиме кластера;
  • Обеспечивать возможность аутентификации и одновременного подключения не менее 50 пользователей;
  • Иметь возможность реализовывать политику аутентификации (время доступа, число неправильных попыток ввода, частота смены PIN кода и т.п.);
  • Уметь обрабатывать входящие запросы на аутентификацию по протоколу RADIUS от любого устройства, которое является RADIUS клиентом.

Исходная конфигурация сетевой инфраструктуры

В сетевой инфраструктуре организации-заказчика используются два различных брандмауэра Microsoft Forefront TMG и Checkpoint UTM-1 (см. рис. 1).

 Checkpoint UTM-1 сконфигурирован в кластер из двух физических устройств и выступает в роли Front-end брандмауэра. Кластер Checkpoint UTM-1 используется как точка подключения внешних пользователей к локальным ресурсам сети с помощью MAB (Mobile Access Blade).

Microsoft Forefront TMG сконфигурирован в кластер из двух физических устройств. Microsoft Forefront TMG выступает в роли Back-end брандмауэра и используется для разграничения локальной и демилитаризованной зон.

 

ris1

Рис. 1 – Сетевая инфраструктура заказчика

 

Конфигурация ПО SWIVEL

Программное обеспечение SWIVEL состоит из двух серверов аутентификации, представляющих собой виртуальные машины, установленные на VMWare ESX:

  • Primary appliance с выделенным IP адресом
  • Standby appliance с выделенным IP адресом

Оба сервера аутентификации объединены в отказоустойчивый кластер с виртуальным IP адресом. Вход в интерфейс управления системы усиленной аутентификации осуществляется по заранее зарезервированному IP адресу.

Программное обеспечение SWIVEL функционирует как RADIUS сервер для приема и обработки запросов на аутентификацию от RADIUS клиентов и содержит локальный список пользователей, для которых выполняется процесс аутентификации.

Для аутентификации внешних пользователей брандмауэр Checkpoint UTM-1 использует программное обеспечение SWIVEL в качестве средства аутентификации, выступая при этом в качестве RADIUS клиента. Процесс аутентификации происходит путем запроса у внешнего пользователя имени пользователя (логина) и пароля, который состоит из двух частей:

1)  Статическая часть пароля – задается при создании пользователя и меняется в соответствии с парольной политикой организации;

2)  Динамическая часть пароля – изменяется при каждом подключении пользователя к локальным ресурсам сети и зависит от ПИНа, который задается при создании пользователя.

Таким образом, обеспечивается не повторяемость паролей при подключении внешних пользователей к локальным ресурсам организации. Это значительно снижает вероятность хищения паролей пользователей злоумышленниками и уменьшает риск несанкционированного доступа к локальным ресурсам заказчика.

Схема работы системы:

 

 ris2

Рис.2 – Схема работы системы

 

(1)   – Внешний пользователь вводит свой логин и пароль;

(2)   – Checkpoint UTM-1 пересылает данные на SWIVEL;

(3)   – SWIVEL пересылает на Checkpoint UTM-1 результат аутентификации;

(4)   – Пользователь получает доступ к локальным ресурсам.

Настройка брандмауэра Check Point для усиленной аутентификации

1) На Check Point MAB создается группа пользователей, которые будут осуществлять доступ к локальным ресурсам;

2) В настройках группы указывается аутентификация через RADIUS сервер.

Вход в систему при помощи системы усиленной аутентификации:

Для удаленного доступа к локальным ресурсам корпоративной сети внешний пользователь заходит по выделенному адресу и попадает на страницу аутентификации.

ris3 

Рис.3 – Интерфейс окна аутентификации пользователя

В поле «Имя пользователя» пользователь указывает свой логин, например, i.ivanov и нажимает кнопку «Pinpad», в поле «Пароль» пользователь вводит свой статичный пароль, например, qwe123rty и, кликая мышью по картинкам с соответствующими цифрами, вводит свой ПИН и нажимает кнопку «Регистрация». За счет того, что расположение цифр на картинках всегда разное, итоговый пароль пользователя будет всегда разным. Если пользователю необходимо сменить расположение цифр на картинках, то он должен нажать кнопку «Pinpad».

Для того чтобы картинки с цифрами отображались корректно необходимо добавить в исключения цифровой сертификат SWIVEL, который появляется при первом обращении к странице аутентификации.

Система аутентификации генерирует расположение картинок отдельно для каждого пользователя.

Активация и использование мобильного приложения

С помощью мобильного приложения SWIVEL можно получать одноразовые пароли, которые можно использовать вместо нажимания картинок на странице аутентификации. Приложение скачивается из Play Маркет или App Store. Пароли формируются в приложении на основании введенного ПИН.

Результат

В результате внедрения системы усиленной аутентификации были обеспечены:

  • Защита системы удаленного доступа от несанкционированного воздействия;
  • Организация процесса быстрого доступа сотрудников к корпоративным ресурсам организации;
  • Документирование и регистрация событий протекания аутентификации;
  • Организация контроля доступа к web-приложениям, облачным сервисам, рабочим станциям;
  • Соответствие требованиям корпоративной политики информационной безопасности заказчика.

Цель внедрения системы усиленной аутентификации была успешно достигнута.