Web Single Sign-On Nutzen eines optimalen Zusammenspiels von Authentisierung und WAF Marc Bu ̈...
-
Upload
liesl-stuhr -
Category
Documents
-
view
107 -
download
2
Transcript of Web Single Sign-On Nutzen eines optimalen Zusammenspiels von Authentisierung und WAF Marc Bu ̈...
![Page 1: Web Single Sign-On Nutzen eines optimalen Zusammenspiels von Authentisierung und WAF Marc Bu ̈ tikofer Senior Security Engineer Kryptologie & Security.](https://reader037.fdokument.com/reader037/viewer/2022102900/55204d7049795902118c11f1/html5/thumbnails/1.jpg)
Web Single Sign-OnNutzen eines optimalen Zusammenspiels von Authentisierung und WAF Marc ButikoferSenior Security EngineerKryptologie & Security ExperteErgon Informatik AG
![Page 2: Web Single Sign-On Nutzen eines optimalen Zusammenspiels von Authentisierung und WAF Marc Bu ̈ tikofer Senior Security Engineer Kryptologie & Security.](https://reader037.fdokument.com/reader037/viewer/2022102900/55204d7049795902118c11f1/html5/thumbnails/2.jpg)
Facts & Figures Ergon Informatik AG
Gegrundet 1984
160 Mitarbeitende
90% mit Hochschulabschluss
29.6 Mio CHF Umsatz (2011)
In Mitarbeiterbesitz
Standort Zurich
Aufteilung des Umsatzes nach Branchen
32% Industry/Pharma
25% Finance
14% Public Sector
29% Telecommunications
Prix Egalité2011
![Page 3: Web Single Sign-On Nutzen eines optimalen Zusammenspiels von Authentisierung und WAF Marc Bu ̈ tikofer Senior Security Engineer Kryptologie & Security.](https://reader037.fdokument.com/reader037/viewer/2022102900/55204d7049795902118c11f1/html5/thumbnails/3.jpg)
Kompetenz in IT Security: Airlock und Medusa
WAF: Airlock (500 Installationen bei 200 Kunden)
Authentisierung: Medusa (70 Kunden)
25 Mitarbeiter im Thema WAF / Authentisierung
![Page 4: Web Single Sign-On Nutzen eines optimalen Zusammenspiels von Authentisierung und WAF Marc Bu ̈ tikofer Senior Security Engineer Kryptologie & Security.](https://reader037.fdokument.com/reader037/viewer/2022102900/55204d7049795902118c11f1/html5/thumbnails/4.jpg)
Übersicht
Typische Ausgangslage
Zielarchitektur mit WAF und Authentisierung
Warum eine WAF?
Warum separate Authentisierung?
Möglichkeiten aus Zusammenspiel WAF + Authentisierung, Single Sign-On, Identity Propagation
Starke Authentisierung auf Mobiltelefonen
![Page 5: Web Single Sign-On Nutzen eines optimalen Zusammenspiels von Authentisierung und WAF Marc Bu ̈ tikofer Senior Security Engineer Kryptologie & Security.](https://reader037.fdokument.com/reader037/viewer/2022102900/55204d7049795902118c11f1/html5/thumbnails/5.jpg)
geschutzte Applikationen ExterneApplikation
Login mitCredential-Set C
Firmennetzwerk
A B C D
Typische Ausgangslage
Login
mit
Cre
denti
al-
Set
A
Login
mit
Cre
denti
al-
Set
B
Kein oder direkter Zugriff auf aus dem Internet auf Webapplikationen
Schwache Authentisierung in Applikationen
Verschiedene Identitäten/Credential-Sets
![Page 6: Web Single Sign-On Nutzen eines optimalen Zusammenspiels von Authentisierung und WAF Marc Bu ̈ tikofer Senior Security Engineer Kryptologie & Security.](https://reader037.fdokument.com/reader037/viewer/2022102900/55204d7049795902118c11f1/html5/thumbnails/6.jpg)
WAF
Authentisierung
geschutzte Applikationen ExterneApplikation
Cross DomainSSO
Firmennetzwerk
A B C D
WAF und vorgelagerte Authentisierung
![Page 7: Web Single Sign-On Nutzen eines optimalen Zusammenspiels von Authentisierung und WAF Marc Bu ̈ tikofer Senior Security Engineer Kryptologie & Security.](https://reader037.fdokument.com/reader037/viewer/2022102900/55204d7049795902118c11f1/html5/thumbnails/7.jpg)
Weshalb eine Web Application Firewall?
![Page 8: Web Single Sign-On Nutzen eines optimalen Zusammenspiels von Authentisierung und WAF Marc Bu ̈ tikofer Senior Security Engineer Kryptologie & Security.](https://reader037.fdokument.com/reader037/viewer/2022102900/55204d7049795902118c11f1/html5/thumbnails/8.jpg)
Schlusselkriterien fur Webapplikationssicherheit
WER?
WAS
Wer greift zu?
Was wird geschickt?
Zugriffskontrolle
Filterung
![Page 9: Web Single Sign-On Nutzen eines optimalen Zusammenspiels von Authentisierung und WAF Marc Bu ̈ tikofer Senior Security Engineer Kryptologie & Security.](https://reader037.fdokument.com/reader037/viewer/2022102900/55204d7049795902118c11f1/html5/thumbnails/9.jpg)
Wichtige Themen Webapplikationssicherheit
![Page 10: Web Single Sign-On Nutzen eines optimalen Zusammenspiels von Authentisierung und WAF Marc Bu ̈ tikofer Senior Security Engineer Kryptologie & Security.](https://reader037.fdokument.com/reader037/viewer/2022102900/55204d7049795902118c11f1/html5/thumbnails/10.jpg)
Warum vorgelagerte und zentrale Authentisierung?Höchste Anforderungen Exponiert und mächtig
Keine Kommunikation mit geschutzten Applikationen vor der Authentisierung
Komplexe Workflows
Integrationskosten
Flexibilität bezuglich Token
Policies zentral umsetzbar
Kostenersparnisse
![Page 11: Web Single Sign-On Nutzen eines optimalen Zusammenspiels von Authentisierung und WAF Marc Bu ̈ tikofer Senior Security Engineer Kryptologie & Security.](https://reader037.fdokument.com/reader037/viewer/2022102900/55204d7049795902118c11f1/html5/thumbnails/11.jpg)
SAML SP
Mob
ile TAN
Airlock
Client
Cer
tifica
te
Mob
ile ID
Medusa
Kerberos/Smart Card
Geschutzte Applikationen ExterneApplikation
PKIDatabase/Directory
MobileOTP
MobileTAN
Radius Client
Password Management/Transaction Signing
Cross DomainSSO with SAML
Firmennetzwerk
A B C D
Möglichkeiten dank WAF undzentraler Authentisierung
![Page 12: Web Single Sign-On Nutzen eines optimalen Zusammenspiels von Authentisierung und WAF Marc Bu ̈ tikofer Senior Security Engineer Kryptologie & Security.](https://reader037.fdokument.com/reader037/viewer/2022102900/55204d7049795902118c11f1/html5/thumbnails/12.jpg)
SAML SP
Mob
ile TAN
Airlock
Client
Cer
tifica
te
Mob
ile ID
Medusa
Kerberos/Smart Card
Geschutzte Applikationen ExterneApplikation
PKIDatabase/Directory
MobileOTP
MobileTAN
Radius Client
Password Management/Transaction Signing
Cross DomainSSO with SAML
Firmen-netzwerk
A B C D
Single Sign-On und Identity-Propagation
Domänenubergreifender SSO
Domänenubergreifender SSO
Interner SSO
![Page 13: Web Single Sign-On Nutzen eines optimalen Zusammenspiels von Authentisierung und WAF Marc Bu ̈ tikofer Senior Security Engineer Kryptologie & Security.](https://reader037.fdokument.com/reader037/viewer/2022102900/55204d7049795902118c11f1/html5/thumbnails/13.jpg)
Starke Authentisierung auf Mobiltelefonen
![Page 14: Web Single Sign-On Nutzen eines optimalen Zusammenspiels von Authentisierung und WAF Marc Bu ̈ tikofer Senior Security Engineer Kryptologie & Security.](https://reader037.fdokument.com/reader037/viewer/2022102900/55204d7049795902118c11f1/html5/thumbnails/14.jpg)
Mobile Trojaner sind Realität
ZitMo and SpitMo (Zeus/SpyEye in the Mobile)– Fangen SMS (mTAN) ab
– ZitMo wurde sogar während kurzer Zeit im offiziellen „Android Market“ als Security Tool angeboten
© Trusteer 2011
![Page 15: Web Single Sign-On Nutzen eines optimalen Zusammenspiels von Authentisierung und WAF Marc Bu ̈ tikofer Senior Security Engineer Kryptologie & Security.](https://reader037.fdokument.com/reader037/viewer/2022102900/55204d7049795902118c11f1/html5/thumbnails/15.jpg)
Zu welchem “Preis”?
SMS/MTAN geht nicht mehr!
Wenig Schnittstellen
Kandidaten:
- Mobile Signature Service (“Mobile ID”)?
- Flickering / Barcode?
- HW OTP?
Starke Authentisierungauf Mobiltelefonen
![Page 16: Web Single Sign-On Nutzen eines optimalen Zusammenspiels von Authentisierung und WAF Marc Bu ̈ tikofer Senior Security Engineer Kryptologie & Security.](https://reader037.fdokument.com/reader037/viewer/2022102900/55204d7049795902118c11f1/html5/thumbnails/16.jpg)
Starke Authentisierung und Transaktionssignierungauf MobiltelefonenBenötigte zweiten unabhängigen Kommunikationskanal
Automatisierte Anrufe
Separates Token
mTAN (SMS)
?
![Page 17: Web Single Sign-On Nutzen eines optimalen Zusammenspiels von Authentisierung und WAF Marc Bu ̈ tikofer Senior Security Engineer Kryptologie & Security.](https://reader037.fdokument.com/reader037/viewer/2022102900/55204d7049795902118c11f1/html5/thumbnails/17.jpg)
Mobile Signature Services (MSS) – Die Lösung?
SIM Karte mit• SmartCard Chip• Zertifikat und privaten Schlusseln• Authentisierungsapplikation (in SIM!)• Direkter Bildschirm/Tastaturzugriff
Please enter your PIN:
******
MSSProvider
1. Application request (UMTS) 2. Check 2nd factor
3. 2nd factor OK?(SMS)4. Challenge
user
5. Yes/no
6. Yes/no
![Page 18: Web Single Sign-On Nutzen eines optimalen Zusammenspiels von Authentisierung und WAF Marc Bu ̈ tikofer Senior Security Engineer Kryptologie & Security.](https://reader037.fdokument.com/reader037/viewer/2022102900/55204d7049795902118c11f1/html5/thumbnails/18.jpg)
WAF und vorgelagerte zentrale Authentisierung bieten hohe Sicherheit und viele Anwendungsmöglichkeiten.
Starke Authentisierung auf Mobil-telefonen ist nicht trivial. Erste Lösungen zeichnen sich ab.