VeriSign® Identity Protection ‐ VIP

Solução de Segurança em Camadas

Denyson Machado
Principal SE ‐ VeriSign

1
Agenda

1 Apresentação Corporativa

2 Solução de Segurança em Camadas

3 A Rede VIP

4 A livre escolha por dispositivos

5 Referências no Brasil e no Mundo

6 Q&A

7 Backup Slides

2
A divisão de Segurança VeriSign agora é Symantec!
• Symantec
– Adquiriu em Maio deste ano a unidade de Authentication da VeriSign  
por U$ 1.3B (SSL, PKI, VIP, FDS)
– O checkmark da VeriSign também foi adquirido (novo logo Symantec)
– Todas as soluções e produtos VeriSign adquiridos continuam existindo 
na nova estrutura Symantec (não há sobreposição)

3
 Symantec: Historico de Aquisições
Faturamento Symantec

+$8
AppStream
billion
$6.2
$5.9 billion
billion
$5.3 billion
$5 billion

$2.6 billion

Peter Norton $1.9 billion

Computing $1.4 billion
$1.07 billion
$530 million $750 million
$53 million

1990 1998 2000 2002 2003 2004 2005 2006 2007 2008 2009 2010
PC desktop PC desktop Enterprise Global Enterprise Message Data protection, Endpoint Data Leakage Endpoint Web Security Encryption,
protection storage security intelligence & security & management availability & compliance & Prevention & Virtualization and compliance PKI,
managed application & archiving compliance datacenter mgmt Endpoint Managed Identity
services mgmt management services to
protect,
electronic
communications

4
Sobre a Symantec

Fundada em 1982  $6.2 bi no ano fiscal 2009

IPO em 1989 3ª maior em software independente

Mais de 17,500 empregados Mais de 600 patentes

globais
Operações em mais de Mais de 120 millhões de usuários
40 países ativos no mercado varejo
Mais de 110 milhões de usuários
#419 na Fortune 500 (2009)
no mercado corporativo
99% das empresas da Fortune  Investimento aproximado de 15%
1000 são nossos clientes do faturamento annual em P&D

Desde 1994 150+ Colaboradores

São Paulo e 4 regionais
Vendas, Marketing, Canais
(RJ, DF, MG e RS)

Centro oficial de  Suporte Técnico, Serviços

treinamento

Overview Soluções Symantec 5
 A SYMANTEC é posicionada como LIDER em OITO dos 
quadrantes Mágicos do Gartner
Serviços Gerenciados em
Arquivamento de mensagens Prevenção de perda de dados Proteção de EndPoints
Segurança - Americas
challengers leaders challengers leaders challengers leaders challengers leaders

Symantec Symantec Verizon

Websense
AT&T Symantec
IBM Internet Security Systems SecureWorks
McAfee

ability to execute
ability to execute

ability to execute
ability to execute

RSA (EMC) Kaspersky Lab Symc. Wipro Technologies BT Global Services

Fidelis Trend Micro Tata Comms Integralis
Autonomy Panda Security Sophos SAIC
Verisign
Mimosa Systems Microsoft Eset EDS (HP) Perimeter Internetwork/g
Trend Micro McAfee CA CA Check Point Sw Technologies
IBM CGI Gp Solutionary
Vericept
Quest Softw CommVault Verdasys F-Secure Orange
EMC IBM LANDesk Unisys Savvis
CA Code Green Networks CompuCom
BigFix Trustwave
C2C Systems GTB Technologies
eEye Digital Security
ZL Technologies Palisade Systems Bell
Messaging Architects AXS-One Sprint
HP Prevx SkyRecon Systems
GWAVA Waterford Technologies
Sherpa Software
Metalogix Workshare
niche players visionaries niche players visionaries niche players visionaries niche players visionaries

completeness of vision completeness of vision completeness of vision completeness of vision

PC Life Cycle
Network Access Control Gerenciamento de Eventos Storage Resource Management
Gerencia de Configuração
challengers leaders challengers leaders challengers leaders challengers leaders

RSA (EMC)

Cisco Cisco ArcSight

Microsoft EMC
Juniper Networks IBM IBM
Symantec Symantec
ability to execute
ability to execute

ability to execute

ability to execute
Avocent (LANDesk) Symc. CA
LogLogic
HP
Aruba Networks Quest Software Novell NetIQ Northern Parklife Tek-Tools
Sophos HP SenSage Q1 Labs Symantec
Intellitactics netForensics NetApp
BMC Software BigFix NTP Software
NitroSecurity LogRhythm Hitachi Data Systems
Novell CA
Checkpoint CA Prism Microsys
Tri Geo
ForeScout FrontRange Solutions OpenService Brocade Akorn
3Com (TippingPoint) matrix42
McAfee elQnetworks
Enterasys
Still Secure ManageSoft (enteo Software)
Bradford Networks Tenable Network Security
Nortel Aptare
ConSentry Networks
InfoExpress
Trustwave (Mirage Networks)
Insightix Quest Software
Impulse Point

niche players visionaries niche players visionaries niche players visionaries niche players visionaries

completeness of vision completeness of vision completeness of vision completeness of vision

7
VeriSign® Identity Protection ‐ VIP

8
Confiança através da Segurança em Camadas

1 Conheça o website: O usuário quer ter certeza que o

website acessado é verdadeiro

Conheça o usuário: O website quer confirmar a identidade

2 do usuário, para que ninguém mais se passe por ele.

Conheça a transação: O website conhece o

3 comportamento típico do usuário e suas transações

As 3 Camadas
FDS VIP SSL EV
VeriSign

9
Selecionando a Solução de Autenticação
1º) Certificados Digitais (PKI)
SEGURANÇA
2º) Senhas Dinâmicas (OTP)
3º) Cartões de Senhas

A JANELA DA TECNOLOGIA DE
AUTENTICAÇÃO FORTE

GESTÃO

EXPERIÊNCIA DO USUÁRIO CUSTO

1º) Senhas Dinâmicas (OTP) 1º) Cartões de Senhas

2º) Cartões de Senhas 2º) Senhas Dinâmicas (OTP)
3º) Certificados Digitais (PKI) 3º) Certificados Digitais (PKI)

10
A Tecnologia mais Utilizada: OTP
ITAÚ

BRADESCO

SANTANDER

HSBC

UNIBANCO

11
Porém um dia pode se tornar um problema...
O efeito “Necklace” – Colar de dispositivos
Consumidor com vários dispositivos!

12
Afinal o que é o VIP?
• Autenticação Forte como Serviço
– A Verisign realiza a autenticação forte do cliente/banco (sem 
compartilhar informações confidenciais)
– Não há preocupação com performance, crescimento ou investimentos 
em HW
– Liberdade de dispositivos para o usuário final
• Compartilhamento de dispositivos
– Um mesmo dispositivo é utilizado de forma compartilhada entre vários 
membros da rede.
– Acaba com o colar de tokens atuais
• $$$
– Sem investimentos em HW, MIPS, administração, pessoal, etc.
– Melhores Custos Totais Envolvidos

13
Compartilhando o Segundo Fator de Autenticação

USUÁRIOS EMISSORES / MEMBROS REDE VIP

UID: Jasmin123
PWD: *******
ID#: X13GH2
OTP: 929424

UID: JDahl89
PWD: ******* BANCOS ID#: X13GH2
OTP: 625923

SERVIÇOS
UID: Jshops
Jasmine PWD: ******* ID#: X13GH2
OTP: 779294
Token ID: X13GH2

UID: Jazzgirl VAREJO

PWD: ******* ID#: X13GH2
OTP: 442929

PORTAIS

14
 Inspirado no mundo Offline

• Um cartão Cirrus funciona em qualquer local com o selo da rede Cirrus (Banco24Hs)

• Um dispositivo VIP funciona em qualquer website que possua o selo da rede VIP

15
Exemplos

16
VIP: A livre escolha por dispositivos

OATH: www.openauthentication.org 17
VeriSign VIP Mobile
• Benefícios
– Utiliza um dispositivo amplamente difundido
– Elimina custos de tokens, distribuição,                                                             
estoque e logística
• Download GRÁTIS para o usuário final 
– m.verisign.com

• Mais de 600 modelos de aparelhos suportados, incluindo BlackBerry, 
iPhone, iPod Touch, Android, Symbian, Windows Mobile, LG, Motorola, 
Nokia, Samsung, Sony Ericsson, Nextel e Palm
• Download acessaando do browser do aparelho em m.verisign.com

18
VeriSign VIP Toolbar
• Benefícios
– Instalado na barra do browser IE
– Elimina custos de tokens, distribuição,                                                             
estoque e logística
• Download GRÁTIS para o usuário final 
– https://idprotect.verisign.com/toolbar/home.v

• Compatível com Internet Explorer 6.0, 7.0 e 8.0 em Windows XP, Vista e 
Windows 7.

19
Clientes VIP: Referência em todo o mundo
++ Mais
Mais de
de 55 MM
MM de
de Usuários
Usuários
compartilhados
compartilhados na
na rede
rede
++ Mais
Mais de
de 600
600 membros
membros no
no
mundo
mundo

20
 Clientes VIP: Referências no Brasil
Banco Indusval  Alpes Corretora  Jornal O Estado de 
Multistock (Wintrade) São Paulo

Banco VW Site Blindado Portal Hostnet

Portais 
e‐funds:  IG&MOIP Portal UOL
Asset Managment

21
Obrigado!
Denyson Machado – VeriSign Principal SE
denyson_machado@symantec.com
+55 11 9440‐5921

Copyright © 2010 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in 

the U.S. and other countries. Other names may be trademarks of their respective owners.

This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, 

are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.

22
Backup Slides

23
Arquitetura de Integração Tradicional VIP

24
Implementação e Integração
• O VIP Authentication Services é integrado através de APIs Web 
Services
• Regra 80/20: a integração das APIs é apenas 20% do trabalho
• Em clientes que já possuem outros dispositivos OTP, o VIP se 
torna transparente ao usuário.
• Testes de autenticação podem ser realizados utilizando o kit 
de desenvolvimento Test Drive. 
– https://vipdeveloper.verisign.com/vip/home.jsp

25
APIs Web Services VIP
• Compatível com SOAP Web Services v1.1 e 1.2 
• Toda a comunicação acontece sobre um canal HTTPs (SSL) com 
autenticação mútua
– Com certificados RA Verisign
• APIs para linguagens de programação:
– Java usando Apache Axis
– C# usando .NET
– C++
– Outras
• Esquemas WSDL e XML 
• Qualificado com os mais populares frameworks SOAP
– Microsoft .NET 2.0  e Java 1.5 com Apache Axis 1.4
26
Chamadas WebServices
• ActivateToken • GetTokenInformation
• Validate • SetTemporaryPassword
• ValidateMultiple • SetTemporaryPwdExpiration
• Synchronize • GetTemporaryPwdExpiration
• UnlockToken • CheckOTP
• DisableToken • GetAccountTokenStatistics
• EnableToken • SetAdapterConfiguration
• DeactivateToken • GetAdapterConfiguration

27
Exemplo da Função ActivateToken
<?xml version="1.0" encoding="UTF-8" ?>
<Envelope
xmlns="http://schemas.xmlsoap.org/soap/envelope/">
<Body>
<ActivateToken Version="1.0" Id="EHCF6443"
xmlns="http://www.verisign.com/2006/08/vipservice">
<TokenId>VSMB57361338</TokenId>
<OTP1>306491</OTP1>
<OTP2>408054</OTP2>
</ActivateToken>
</Body>
</Envelope>

28
 VIP Enterprise (UA)
VIP UA
Security Code
Validation
• Componente VIP 
Master Credential
Database
Credential State para integração
per VIP Member com:
Second Level
Support
– AD / LDAP
VeriSign VIP Authentication Service
– ODBC

SOAP Web Services

– VPNs

Enterprise VPN
– Windows Login
First Factor
Validation using – OWA
Enterprise LDAP LDAP RADIUS
Username to
Enterprise LDAP
Credential ID
UA OTP Server
Mapping in LDAP UA-
UA-OTP
VIP Member Enterprise

Login using VPN username,

password,
and security code

End-User with VIP

Credential

29
VIP Enterprise (UA) – cont.
• Extensão VIP UA para integração com reposítórios LDAP / AD
– Atributo de usuário adicional, exemplo: e‐mail, telefone, etc.
• Componentes da solução VIP UA:
– UA Self‐service center
• Aplicação Web‐Based hosteada por servidor UA local
• Permite usuários ativar e desativar seus dispositivos
– UA Management & Configuration Console
• Aplicação Web‐Based hosteada por servidor UA local 
• Permite os administradores gerenciar todo o sistema
– Plugins para:
• VPNs Cisco 5500 e Juniper SA Series
• Citrix 4.0, Citrix Access Gateway 4.2, Citrix Web Interface v5.0.1 
• Windows Login ‐ VeriSign GINA 
• Outlook Web Access 
• Tivoli Access Manager 

30
VIP Enterprise (UA): Requerimentos de HW
• Sistema Operacional
– Windows 2003
– Red Hat Linux AS 4.0 e EL 5.0
• Enterprise Directory
– Microsoft Active Directory 2003
– Novell eDirectory 8.8 SP2
– CA eTrust r8.1
– SunOne Directory Server 6.1
– OpenLDAP 2.4.8

31
VIP + UA

External Web
Application Security Code
SOAP Validation Master Credential
Database
Web Services Credential State
per VIP Member
End User with VIP Second Level
Credential Support

VeriSign VIP Authentication Service

Existing User
Database
SOAP
Web Services

Enterprise VPN

Configuration and
Enterprise
Management Console
Administrator or
RADIUS Help Desk

Self Service
VPN User with VIP UA OTP Server Web Interface
Credential

LDAP End User with VIP

Enterprise Directory
Credential
Enterprise Network

32