Escolar Documentos
Profissional Documentos
Cultura Documentos
Denyson Machado
Principal SE ‐ VeriSign
1
Agenda
1 Apresentação Corporativa
2 Solução de Segurança em Camadas
3 A Rede VIP
4 A livre escolha por dispositivos
5 Referências no Brasil e no Mundo
6 Q&A
7 Backup Slides
2
A divisão de Segurança VeriSign agora é Symantec!
• Symantec
– Adquiriu em Maio deste ano a unidade de Authentication da VeriSign
por U$ 1.3B (SSL, PKI, VIP, FDS)
– O checkmark da VeriSign também foi adquirido (novo logo Symantec)
– Todas as soluções e produtos VeriSign adquiridos continuam existindo
na nova estrutura Symantec (não há sobreposição)
3
Symantec: Historico de Aquisições
Faturamento Symantec
+$8
AppStream
billion
$6.2
$5.9 billion
billion
$5.3 billion
$5 billion
$2.6 billion
1990 1998 2000 2002 2003 2004 2005 2006 2007 2008 2009 2010
PC desktop PC desktop Enterprise Global Enterprise Message Data protection, Endpoint Data Leakage Endpoint Web Security Encryption,
protection storage security intelligence & security & management availability & compliance & Prevention & Virtualization and compliance PKI,
managed application & archiving compliance datacenter mgmt Endpoint Managed Identity
services mgmt management services to
protect,
electronic
communications
4
Sobre a Symantec
Overview Soluções Symantec 5
A SYMANTEC é posicionada como LIDER em OITO dos
quadrantes Mágicos do Gartner
Serviços Gerenciados em
Arquivamento de mensagens Prevenção de perda de dados Proteção de EndPoints
Segurança - Americas
challengers leaders challengers leaders challengers leaders challengers leaders
Websense
AT&T Symantec
IBM Internet Security Systems SecureWorks
McAfee
ability to execute
ability to execute
ability to execute
ability to execute
PC Life Cycle
Network Access Control Gerenciamento de Eventos Storage Resource Management
Gerencia de Configuração
challengers leaders challengers leaders challengers leaders challengers leaders
RSA (EMC)
ability to execute
ability to execute
Avocent (LANDesk) Symc. CA
LogLogic
HP
Aruba Networks Quest Software Novell NetIQ Northern Parklife Tek-Tools
Sophos HP SenSage Q1 Labs Symantec
Intellitactics netForensics NetApp
BMC Software BigFix NTP Software
NitroSecurity LogRhythm Hitachi Data Systems
Novell CA
Checkpoint CA Prism Microsys
Tri Geo
ForeScout FrontRange Solutions OpenService Brocade Akorn
3Com (TippingPoint) matrix42
McAfee elQnetworks
Enterasys
Still Secure ManageSoft (enteo Software)
Bradford Networks Tenable Network Security
Nortel Aptare
ConSentry Networks
InfoExpress
Trustwave (Mirage Networks)
Insightix Quest Software
Impulse Point
niche players visionaries niche players visionaries niche players visionaries niche players visionaries
7
VeriSign® Identity Protection ‐ VIP
8
Confiança através da Segurança em Camadas
As 3 Camadas
FDS VIP SSL EV
VeriSign
9
Selecionando a Solução de Autenticação
1º) Certificados Digitais (PKI)
SEGURANÇA
2º) Senhas Dinâmicas (OTP)
3º) Cartões de Senhas
A JANELA DA TECNOLOGIA DE
AUTENTICAÇÃO FORTE
GESTÃO
10
A Tecnologia mais Utilizada: OTP
ITAÚ
BRADESCO
SANTANDER
HSBC
UNIBANCO
11
Porém um dia pode se tornar um problema...
O efeito “Necklace” – Colar de dispositivos
Consumidor com vários dispositivos!
12
Afinal o que é o VIP?
• Autenticação Forte como Serviço
– A Verisign realiza a autenticação forte do cliente/banco (sem
compartilhar informações confidenciais)
– Não há preocupação com performance, crescimento ou investimentos
em HW
– Liberdade de dispositivos para o usuário final
• Compartilhamento de dispositivos
– Um mesmo dispositivo é utilizado de forma compartilhada entre vários
membros da rede.
– Acaba com o colar de tokens atuais
• $$$
– Sem investimentos em HW, MIPS, administração, pessoal, etc.
– Melhores Custos Totais Envolvidos
13
Compartilhando o Segundo Fator de Autenticação
UID: Jasmin123
PWD: *******
ID#: X13GH2
OTP: 929424
UID: JDahl89
PWD: ******* BANCOS ID#: X13GH2
OTP: 625923
SERVIÇOS
UID: Jshops
Jasmine PWD: ******* ID#: X13GH2
OTP: 779294
Token ID: X13GH2
PORTAIS
14
Inspirado no mundo Offline
15
Exemplos
16
VIP: A livre escolha por dispositivos
OATH: www.openauthentication.org 17
VeriSign VIP Mobile
• Benefícios
– Utiliza um dispositivo amplamente difundido
– Elimina custos de tokens, distribuição,
estoque e logística
• Download GRÁTIS para o usuário final
– m.verisign.com
• Mais de 600 modelos de aparelhos suportados, incluindo BlackBerry,
iPhone, iPod Touch, Android, Symbian, Windows Mobile, LG, Motorola,
Nokia, Samsung, Sony Ericsson, Nextel e Palm
• Download acessaando do browser do aparelho em m.verisign.com
18
VeriSign VIP Toolbar
• Benefícios
– Instalado na barra do browser IE
– Elimina custos de tokens, distribuição,
estoque e logística
• Download GRÁTIS para o usuário final
– https://idprotect.verisign.com/toolbar/home.v
• Compatível com Internet Explorer 6.0, 7.0 e 8.0 em Windows XP, Vista e
Windows 7.
19
Clientes VIP: Referência em todo o mundo
++ Mais
Mais de
de 55 MM
MM de
de Usuários
Usuários
compartilhados
compartilhados na
na rede
rede
++ Mais
Mais de
de 600
600 membros
membros no
no
mundo
mundo
20
Clientes VIP: Referências no Brasil
Banco Indusval Alpes Corretora Jornal O Estado de
Multistock (Wintrade) São Paulo
Portais
e‐funds: IG&MOIP Portal UOL
Asset Managment
21
Obrigado!
Denyson Machado – VeriSign Principal SE
denyson_machado@symantec.com
+55 11 9440‐5921
22
Backup Slides
23
Arquitetura de Integração Tradicional VIP
24
Implementação e Integração
• O VIP Authentication Services é integrado através de APIs Web
Services
• Regra 80/20: a integração das APIs é apenas 20% do trabalho
• Em clientes que já possuem outros dispositivos OTP, o VIP se
torna transparente ao usuário.
• Testes de autenticação podem ser realizados utilizando o kit
de desenvolvimento Test Drive.
– https://vipdeveloper.verisign.com/vip/home.jsp
25
APIs Web Services VIP
• Compatível com SOAP Web Services v1.1 e 1.2
• Toda a comunicação acontece sobre um canal HTTPs (SSL) com
autenticação mútua
– Com certificados RA Verisign
• APIs para linguagens de programação:
– Java usando Apache Axis
– C# usando .NET
– C++
– Outras
• Esquemas WSDL e XML
• Qualificado com os mais populares frameworks SOAP
– Microsoft .NET 2.0 e Java 1.5 com Apache Axis 1.4
26
Chamadas WebServices
• ActivateToken • GetTokenInformation
• Validate • SetTemporaryPassword
• ValidateMultiple • SetTemporaryPwdExpiration
• Synchronize • GetTemporaryPwdExpiration
• UnlockToken • CheckOTP
• DisableToken • GetAccountTokenStatistics
• EnableToken • SetAdapterConfiguration
• DeactivateToken • GetAdapterConfiguration
27
Exemplo da Função ActivateToken
<?xml version="1.0" encoding="UTF-8" ?>
<Envelope
xmlns="http://schemas.xmlsoap.org/soap/envelope/">
<Body>
<ActivateToken Version="1.0" Id="EHCF6443"
xmlns="http://www.verisign.com/2006/08/vipservice">
<TokenId>VSMB57361338</TokenId>
<OTP1>306491</OTP1>
<OTP2>408054</OTP2>
</ActivateToken>
</Body>
</Envelope>
28
VIP Enterprise (UA)
VIP UA
Security Code
Validation
• Componente VIP
Master Credential
Database
Credential State para integração
per VIP Member com:
Second Level
Support
– AD / LDAP
VeriSign VIP Authentication Service
– ODBC
Enterprise VPN
– Windows Login
First Factor
Validation using – OWA
Enterprise LDAP LDAP RADIUS
Username to
Enterprise LDAP
Credential ID
UA OTP Server
Mapping in LDAP UA-
UA-OTP
VIP Member Enterprise
29
VIP Enterprise (UA) – cont.
• Extensão VIP UA para integração com reposítórios LDAP / AD
– Atributo de usuário adicional, exemplo: e‐mail, telefone, etc.
• Componentes da solução VIP UA:
– UA Self‐service center
• Aplicação Web‐Based hosteada por servidor UA local
• Permite usuários ativar e desativar seus dispositivos
– UA Management & Configuration Console
• Aplicação Web‐Based hosteada por servidor UA local
• Permite os administradores gerenciar todo o sistema
– Plugins para:
• VPNs Cisco 5500 e Juniper SA Series
• Citrix 4.0, Citrix Access Gateway 4.2, Citrix Web Interface v5.0.1
• Windows Login ‐ VeriSign GINA
• Outlook Web Access
• Tivoli Access Manager
30
VIP Enterprise (UA): Requerimentos de HW
• Sistema Operacional
– Windows 2003
– Red Hat Linux AS 4.0 e EL 5.0
• Enterprise Directory
– Microsoft Active Directory 2003
– Novell eDirectory 8.8 SP2
– CA eTrust r8.1
– SunOne Directory Server 6.1
– OpenLDAP 2.4.8
31
VIP + UA
External Web
Application Security Code
SOAP Validation Master Credential
Database
Web Services Credential State
per VIP Member
End User with VIP Second Level
Credential Support
Enterprise VPN
Configuration and
Enterprise
Management Console
Administrator or
RADIUS Help Desk
Self Service
VPN User with VIP UA OTP Server Web Interface
Credential
32