Smart cards - TotemGuard

Anuncio
Smart cards:
Incremento de la seguridad con
problemas de acceso remoto
El uso de tarjetas inteligentes en sectores críticos se está
disparando, pero NetSupport Manager es el único software de
control remoto que soporta completamente esta tecnología.
Introducción
Cada vez hay un mayor nivel de concienciación social
acerca de la seguridad de la información, puesto que
cada vez más empresas almacenan en su red datos
altamente confidenciales. Además, las empresas están
usando Internet para extender sus redes corporativas
más allá de sus firewalls para acercarse a clientes y
proveedores. Todo ello está obligando a extremar las
medidas contra accesos no autorizados. Una forma de
hacerlo es aumentando el nivel de seguridad al iniciar
sesión entregando smart cards a los usuarios.
La adopción de tecnología smart card se ha notado
más en los sectores que, por la naturaleza misma de
los datos que manejan, tienen que tomar mayores
medidas de protección. Entre estos sectores destacan
la banca, el sector financiero y el sanitario. La empresa
NetSupport ha reconocido la necesidad de los
administradores de sistemas, personal de soporte
técnico y trabajadores remotos de disponer de software
de acceso remoto que pueda aceptar autenticación
remota con smart card.
Así pues, cualquier login realizado desde el PC control
es redirigido y aplicado al PC cliente. Gracias a esta
mejora, NetSupport Manager se convierte en el primer
software de control remoto con soporte completo para
autenticación con smart card, no sólo para acceder a
un PC, sino para iniciar sesión.
¿Qué es una Smart Card?
Una smart card o tarjeta inteligente es una pequeña
tarjeta del tamaño de una tarjeta de crédito que incorpora
un chip electrónico en vez de la tira magnética de las
tarjetas de crédito tradicionales.
De hecho, una smart card es un pequeño ordenador
imposible de manipular. La misma smart card contiene
un CPU y capacidad de almacenamiento no editable.
En la mayoría de casos, parte del almacenamiento es
no manipulable, mientras que el resto es accesible para
cualquier aplicación que pueda hablar con la tarjeta.
De esta forma, la tarjeta puede contener datos secretos,
certificados digitales o claves privadas asociadas a
ellos. La tarjeta lleva a cabo por sí misma sus propias
operaciones criptográficas.
Usar smart cards en la autenticación
Una vez se ha desplegado el soporte para tarjetas
inteligentes, son relativamente fáciles de usar para que
los clientes se autentiquen al iniciar sesión. Para ello
se deberá hacer:
> Instalar un lector de tarjetas inteligentes en el equipo
cliente
> Otorgar un certificado de autenticación a los usuarios
> Asignar smart cards para el inicio de sesión de los
usuarios
> Conectarse mediante la smart card
> Instituir políticas para el uso de las tarjetas inteligentes
Smart cards:
Incremento de la seguridad con
problemas de acceso remoto
¿Por qué usar Smart Cards?
Microsoft considera que el uso de tarjetas inteligentes
es la forma de autenticación más fuerte para Windows,
al combinar el uso de algo físico (la tarjeta inteligente)
con información confidencial (la clave de acceso
personal o PIN) para proporcionar lo que se conoce
como “autenticación de factor doble”.
Las razones por que las empresas implementan smart
cards son:
> Proporcionar almacenaje a prueba de falsificaciones
e inmanipulable de cara a proteger las claves privadas
y demás información personal contenida
> Computación aislada, de seguridad crítica, para la
autenticación, firma digital e intercambios de claves
con otras partes del sistema
> Posibilita la portabilidad de credenciales y otra
información privada entre ordenadores. Por ejemplo,
en el caso de usuarios que se conecten en el trabajo
y en casa, o para trabajadores móviles.
En los próximos lanzamientos del sistema operativo
Windows, cada vez habrá mayor integración para
tarjetas inteligentes, de forma que cualquier operación
que actualmente precisa de contraseña se pueda llevar
a cabo con smart card.
Aumento de protección
Los ordenadores corporativos normalmente se
configuran para requerir alguna forma que otra de
autenticación al conectarse. El uso de contraseña, la
manera más ampliamente usada para iniciar sesión,
sólo es tan infalible como los usuarios, que muy a
menudo comparten sus passwords con amigos,
compañeros de trabajo o pareja. Incluso el usuario más
concienciado puede acabar escribiendo su clave de
acceso en un papelito para que otro usuario lo descubra.
En definitiva, si cada usuario no mantiene secreto su
password, la red puede verse sometida al uso
concurrente de una cuenta de usuario o, lo que es peor,
verse desprotegida frente a irrupciones
malintencionadas.
Por ello, el uso de tarjetas inteligentes ofrece una serie
de ventajas:
> Seguridad multicapas: Un usuario no autorizado no
puede iniciar sesión con las credenciales de otra
persona con sólo saberse su password: tiene que utilizar
una tarjeta física para poder hacerlo (es lo que se llama
"prueba de posesión"). Además, también tendrá que
saber el identificador personal (PIN) asignado a la
tarjeta inteligente, que automáticamente se bloqueará
al cabo de un número terminado de intentos fallidos
de introducir el PIN.
> Se pueden buscar PINs fáciles de recordar sin
comprometer la seguridad. Al contrario que una simple
contraseña, los PINs no ofrecen un gran riesgo, ya que
cualquier intruso tendría que tomar el control físico de
la tarjeta para poder aprovecharse.
> Un 'packet sniffer' no puede interceptar PINs a través
de la red, puesto que nunca se transmiten
> Una smart card sólo puede ser usada por una persona
a la vez, haciendo imposible su uso concurrente. Al
requerirse una tarjeta para acceder a la red, los usuarios
se inclinan por llevar la tarjeta encima adondequiera
que vayan, lo que previene contra irrupciones
malintencionadas.
> Las tarjetas inteligentes están diseñadas para resistir
a intentos de falsificación o manipulación
> Al igual que una tarjeta de débito o crédito, si se
pierde o roban una smart card, se puede usar un número
de teléfono para cancelarla y activar la emisión de una
nueva. Pero a diferencia de las tarjetas de débito o
crédito, las tarjetas inteligentes se pueden emitir al
momento.
> La tarjeta es portátil y fácil de llevar encima. Se puede
usar para llevar credenciales de un ordenador a otro
(como por ejemplo del puesto de trabajo de la oficina
al portátil que el usuario tiene en casa)
> También es posible configurar las tarjetas inteligentes
para conexiones remotas (dial-up o VPNs) mediante
el protocolo EAP (Extensible Authenticaton Protocol).
Smart cards:
Incremento de la seguridad con
problemas de acceso remoto
Como usan los criptoalgoritmos más seguros -RSA,
DES, 3DES, AES y SHA- y se crean con los chips más
fiables, las tarjetas inteligentes son virtualmente
inviolables.
Iniciar sesión con una smart card ofrece una forma
fuerte de autenticación porque usa identificación basada
en criptografía y prueba de posesión al autenticar un
usuario a un dominio.
Se recomienda que también se asignen tarjetas
inteligentes en vez de contraseñas a los usuarios que
no realicen tareas avanzadas (como podrían ser tales
como añadir ordenadores a dominios o promocionar
servidores en controladores de dominios). Esta categoría
de usuarios debería representar la inmensa mayoría
de los empleados, incluyendo no sólo a empleados
convencionales, sino también a todo tipo de
profesionales, proveedores, externos y a cualquiera
que no esté autorizado a administrar un ordenador o
la red.
¿Quién utiliza tarjetas inteligentes?
Los gobiernos de los principales países del mundo
están empezando a implementar políticas para
promocionar el uso de tarjetas inteligentes. España es
uno de los países que ha apostado más decididamente,
principalmente con 3 iniciativas:
1
El DNI electrónico (DNIe). En estos momentos, la
gran mayoría de ciudadanos que tienen que renovar o
hacerse el carné de identidad reciben ya el nuevo DNIe,
que no es más que una tarjeta inteligente. El nuevo
DNI incorpora un chip con los algoritmos de seguridad,
Del tamaño de una tarjeta
de crédito, una smart card
incorpora un chip con
claves secretas para
autentificar a su portador
y se asigna un PIN secreto a cada usuario, para que
pueda realizar con total seguridad todas las
transacciones con las administraciones públicas o
cualquier trámite por internet (ya sea con el gobierno,
su ayuntamiento o, p. ej., comprar un viaje online)
2
La Administración Electrónica. En toda la Unión
Europea están en marcha iniciativas de administración
electrónica para facilitar el contacto de los ciudadanos
con las administraciones públicas. España es el país
donde la iniciativa está en un estado más avanzado.
De hecho, para el año 2009 todos los trámites con
cualquier Administración Pública que, por su naturaleza
específica no deban de hacerse presencialmente,
tendrán que estar disponibles por internet. Para asegurar
la confidencialidad de los datos y los trámites, se
necesitará utilizar certificados digitales o el DNIe. La
otra cara de la moneda es que todos los usuarios de
las Administraciones Públicas deberán identificarse y
acceder a su ordenador mediante smart card.
3
La tarjeta sanitaria. Los datos sanitarios son de los
que mayor nivel de protección requieren. La LOPD
obliga a extremar su protección. Algunas comunidades
autónomas, como Andalucía, son pioneras en dotar a
todos los ciudadanos de tarjetas sanitarias con chip
incorporado. Funcionan como smart cards, ya que no
sólo almacenan información confidencial del usuario,
como su historial médico, sino que sirven para
autenticarle cada vez que va al médico o compra algún
medicamento con receta en una farmacia.
También en EEUU se han aprobado directivas según
las cuales todas las agencias federales están obligadas
a implementar acceso mediante tarjeta inteligente para
acceder a los sistemas de información del gobierno.
Finalmente, como ya hemos señalado al principio, su
uso se está extendiendo también en todos los sectores
donde se maneja información altamente valiosa,
confidencial o que requiera un alto nivel de protección,
como las instituciones financieras y bancarias, o en el
sector sanitario. A nivel europeo, cada vez más bancos
o mutuas están cambiando sus sistemas de
autenticación para obligar a todos sus usuarios a usar
tarjetas inteligentes.
Smart cards:
Incremento de la seguridad con
problemas de acceso remoto
¿Qué complicaciones suponen las tarjetas inteligentes para los administradores de sistemas?
Debido a la falta de herramientas de administración
remota que proporcionen acceso remoto mediante
smart card, su implementación restringe enormemente
la capacidad de acción de los administradores para
realizar tareas de administración remota en estos
nuevos entornos.
Por eso, con el lanzamiento de la última versión del
software de control remoto NetSupport Manager 10.3,
NetSupport, empresa pionera en el desarrollo de
aplicaciones para gestionar redes informáticas permite
a administradores de sistemas, personal de soporte
técnico y usuarios remotos autentificarse remotamente
a una equipo por smart card.
De esta forma, cualquier login desde el PC control es
redirigido y aplicado al PC cliente.
Gracias a esta mejora, NetSupport Manager se ha
convertido en el primer software de acceso remoto con
soporte completo para autenticación remota por smart
card, no sólo para acceder a un PC, sino también para
iniciar una sesión.
Hay otras herramientas de administración remota que
afirman ser capaces de autenticar remotamente a
usuarios por medio de smart card. Pero NetSupport
Manager permite no sólo autenticarse remotamente
por esta vía, sino que también permite realizar logins
interactivos con la tarjeta inteligente. Esto significa que
los usuarios de NetSupport Manager pueden iniciar
sesión en los equipos remotos, desde su escritorio,
identificándose mediante su PIN, al igual que si
estuvieran en la consola del equipo remoto. La
autenticación remota por smart card y el login interactivo
de NetSupport Manager no requieren ningún tipo de
middleware. Ni tan siquiera es necesario que el equipo
remoto tenga un lector de tarjetas inteligentes
conectado.
> Obtener más información de NetSupport Manager
> Descargar una versión de evaluación de NetSupport
Manager
A través del DNI electrónico,
la nueva administración
electrónica y la tarjeta sanitaria,
España ha sido uno de los
países que más ha apostado
por las smart cards.
Administradores de sistemas,
personal de soporte técnico y
usuarios remotos pueden
autentificarse remotamente a
una equipo por smart card con
NetSupport Manager
Descargar