Alternativas tecnológicas en seguridad desde la Red iRed - Servicio de gestión de identidad Noviembre 2007 www.telefonica.es/grandesempresas A CELERAR.

Slides:



Advertisements
Presentaciones similares
Certificados X.509 Federico García
Advertisements

Intranets P. Reyes / Octubre 2004.
METODOS DE AUTENTICACIÓN
Jorge de Nova Segundo UD4: Instalación y administración de servicios Web Seguridad del protocolo HTTP.
Delitos Informáticos.
SSL (C APA DE Z ÓCALOS S EGUROS ) Team 4 Clarissa Alvarez Jocelin Menchaca Natalia Zapiain Nancy Pino Luisa Medina Carolina Villarreal Fernanda de la Fuente.
- Firma digital y cifrado de mensajes.
MobilBuy-QR – MobilPOS-QR de MobilCash
INFRAESTRUCTURA DE CLAVE PÚBLICA
LIDERANDO EL FUTURO Telefónica 1 Octubre Un sencillo mecanismo de seguridad anti-phising mediante uso de teléfono móvil.
Vanguardia en Comunicación
Aplicación informática. formando parte de una red. pone sus recursos a disposición de las demás computadoras(clientes) de la red. Maneja información.
DIRECT ACCESS.
Administración Electrónica en el Servicio de Gestión Tributaria de Huelva Alba de Tormes, 3 de noviembre de 2010.
1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.
Que es el protocolo “SSL”
Usos de la Biometría en Aplicaciones Comerciales
Características generales de un servicio Web.
MULTIRED CELULAR.
Windows XP sp3.
Administración de Certificados Digitales
Seguridad del protocolo HTTP
Sistema general de identificaciones:
Por: Santiago Toro Rendón Raquel Sepúlveda.  El SO se instala en una sección definida de la unidad de disco duro, denominada partición de disco. Existen.
SERVIDOR.
Índice 01 Introducción 02 Descripción del funcionamiento.
LA SEGURIDAD EN LAS TRANSACCIONES FINANCIERAS Experiencia del Servicio de Reclamaciones del Banco de España Mª Luisa García Jefa del Servicio de Reclamaciones.
Aplicaciones educativas en los sistemas federados.
SISTEMA COMBINADO DE RESERVAS DE ACTIVIDADES A TRAVÉS DE TRES NUEVOS MÉTODOS......Y ENLAZADO CON EL SISTEMA DE GESTIÓN.
PROTOCOLOS SNMP «VICTOR RAUL HAYA DE LA TORRE »
POP3 UCLV Mapas Conceptuales para la enseñanza de Redes de Computadoras.
IV. PKI en el Gobierno de Jordania Tecnologías y Aplicaciones en Jordania y Medio Oriente.
Diego Pastor Ralde. Client-side Vulnerabilities  Web Browsers  Office Software  Clients  Media Players.
Registro de Obras Literarias Editadas REALIZADO POR: ANDRÈS BARRETO.
SIFAE- SISTEMA DE FACTURACION ELECTRONICA
1. El usuario y la institucion: A traves de internet necesita : Un ordenador, o bien un telefono movil o una PDA. 1.Un navegador de internet. 2.Una conexión.
TEMA 12: NUEVOS SERVICIOS ON-LINE
1 AUDITORÍA DE SISTEMAS Y SOFTWARE TRABAJO PRÁCTICO “Transferencia Electrónica de Fondos” Alumnas: Bravo Karina (Matricula N° ) Edery Cinthia (Matricula.
Autenticidad Autenticidad significa verificar la identidad de un usuario más allá de toda duda razonable. Autenticar al usuario es crucial en numerosas.
Interconexión de las redes Académica y de la Administración españolas Jornadas sobre Identidad Digital, Universidad de Sevilla 05/10/10 1 IRISSARA Ajay.
Es un proceso muy fácil, y no le va a llevar mas de 2 minutos. Sólo nuestros clientes pueden acceder a la parte privada. No obstante el resto de apartados.
Gestión de Negocios Tema XVIII: La Empresa Digital, negocios en línea y Comercio Electrónico.
Servicios en Red UT5. Servicios FTP.
Sistema de identificación y firma electrónica en dispositivos móviles Marc Giró i Mut Zaragoza, 14 de mayo de 2015.
Tema 2 – Implantación de mecanismos de seguridad activa
Administración de políticas de seguridad. -Seguro por diseño - Seguro por defecto - Seguro en implementación - Seguro en comunicaciones Iniciativa Trustworthy.
Técnicas de cifrado. Clave pública y clave privada:
S ERVICIOS DE RED E I NTERNET T EMA 6 : I NSTALACIÓN Y ADMINISTRACIÓN DE SERVICIOS DE CORREO ELECTRÓNICO Nombre: Adrián de la Torre López.
Servicio “streaming”. Gabriel Montañés León.
VERONICA TAPIA ALVARADO
Seguridad del protocolo HTTP:
File Transfer Protocol.
Seguridad Web Jaramillo Jorge Suarez Arnold. INTRODUCCIÓN Hasta el momento, se ha presentado un Web que ofrece un acceso abierto a un conjunto de información.
Seguridad en la banca electrónica. Contenido Banca electrónica Principales riesgos Cuidados a tener en cuenta Fuentes.
FIRMA DIGITAL Eduardo Chiara Galván.
Técnicas de cifrado. Clave pública y clave privada:
INEI “IMPLANTACION DE UN SISTEMA DE CORREO ELECTRONICO SEGURO, EMPLEANDO CERTIFICADOS Y FIRMAS DIGITALES, PARA LAS INSTITUCIONES DEL ESTADO PERUANO”
Formación a distancia : Actualmente existen en internet infinidad de recursos que permiten obtener formación.  Universidades Oberta de Cataluña: Que.
Unidad 4. Servicios de acceso remoto
SEGURIDAD EN LA CONEXIÓN CON REDES PÚBLICAS. Técnicas de Cifrado: El cifrado es un método que permite aumentar la seguridad de un mensaje o de un archivo.
FIRMA DIGITAL CUNSARO Criptografia Simetrica.
PROTOCOLO SSL. DEFINICIÓN SSL son las siglas en inglés de Secure Socket Layer (en español capa de conexión segura). Es un protocolo criptográfico (un.
El protocolo SSL (Secure Sockets Layer) fue diseñado con el objeto de proveer privacidad y confiabilidad a la comunicación entre dos aplicaciones. Este.
Proceso de resolución de un nombre de dominio. –Consultas recursivas. –Consultas iterativas. –Caché y TTL. –Recursividad y caché. Gustavo Antequera Rodríguez.
Proveedores Autorizados de Certificación y Documentos Digitales.
BUSINESS T&G Think & Grow Uniclass Gestión de Gastos Sistema integral de Gastos.
Proyecto CIDE Esquemas modelos de servicio integrados y soluciones propuestas.
La Autenticación IEEE 802.1X en conexiones inalámbricas.
Lince, Mas que un terminal sanitario..
Correo educastur.org Office 365
Transcripción de la presentación:

Alternativas tecnológicas en seguridad desde la Red iRed - Servicio de gestión de identidad Noviembre A CELERAR PARA SER MÁS LÍDERES

ACELERAR PARA SER MÁS LÍDERES Federación de identidad La Federación de Identidad está descrita en el protocolo Liberty, que constituye un estándar. Se basa en la existencia de un círculo de confianza establecido entre proveedores de servicios (SPs) y un proveedor de identidad (IDP). Los SPs confían en la gestión de usuarios que hace el IDP y mancomunan esta tarea. El usuario, siempre que se mueva en el circulo de confianza, sólo se autentica una vez y no necesita recordar las credenciales para acceder a los distintos SPs (SSO). SP3 SP4 SP5 IDP1 SP2 SP1 IDP2 La Federación de Identidad se utiliza para poder implementar la autenticación en red, utilizando un protocolo estándar. Este proyecto es un proyecto de autenticación, no de provisión de identidad.

ACELERAR PARA SER MÁS LÍDERES 3 La identidad federada tiene las siguientes ventajas, dentro del círculo de confianza: El cliente maneja un único juego de credenciales para acceder a múltiples servicios: No necesita recordar un montón de identificadores y contraseñas. El cliente sólo deposita sus atributos de identidad en un único proveedor, el Proveedor de Identidad, y define qué datos puede darse a los distintos Proveedores de Servicio. No necesita proporcionar sus atributos cada vez que se da de alta en un nuevo servicio. La privacidad del cliente queda garantizada en todo momento y gestionada por él mísmo. El proveedor de servicio no necesita mantener atributos del cliente (aparte de los relacionados con su propio negocio), la consistencia de la información se mantiene a lo largo del tiempo puesto que se consume en el momento de necesitarse. 01 Federación de identidad

ACELERAR PARA SER MÁS LÍDERES 4 Mediante protocolo XML (web services), el proveedor de servicio y el proveedor de identidad intercambian la información necesaria para completar los procesos entre cliente y proveedor de servicio. En el círculo de confianza se amplía enormemente los mecanismos de comercialización. La identidad está mejor fundada porque el esfuerzo de gestión se centraliza y al mismo tiempo existe un gran despliegue geográfico, en función de las entidades que participan en el círculo de confianza. 01 Federación de identidad

ACELERAR PARA SER MÁS LÍDERES Acceso con identidad segura Pasarela de mensajes IDP SP (Banco, comercio, empresa,...) 1. El cliente del proveedor de servicios (SP) intenta acceder a su banco, empresa, etc. 2. Como el cliente no tiene credencial de acceso, el SP redirige al cliente a Telefónica (Proveedor de Identidad – IDP). 3. Telefónica pide al cliente que se autentique (usua- rio y contraseña) 4. El cliente proporciona su usuario, contraseña y es- pecifica en qué teléfono quiere su mensaje, de las opciones que están cargadas previamente, o no in- dica nada y se toma la opción por defecto. 5. Telefónica extrae el nº de teléfono adecuado, ge- nera una contraseña aleatoria de un solo uso y envía un SMS al cliente que contiene esta contra- seña. 7. El cliente introduce en el formulario de autentica- ción la contraseña adicional. 8. Telefónica verifica la contraseña proporcionada por el cliente y la generada anteriormente. Si coinciden la autenticación es correcta, genera la credencial de acceso para el SP y redirige al cliente ya autentica- do a su proveedor de servicios. A partir de aquí el SP controla la sesión de su cliente.

ACELERAR PARA SER MÁS LÍDERES 6 Si mediante phishing o pharming se hubieran capturado las contraseñas, aún habría sido necesario intervenir un canal de comunicación adicional para recibir el SMS. Si un troyano o un keylogger captura toda la secuencia de conexión, como la contraseña adicional es de un solo uso no puede reutilizar esta información para suplantar al cliente. Una vez que un cliente se ha autenticado no es necesario que se vuelva a autenticar para acceder a otros servicios del círculo de confianza (SSO). Aunque los procesos de autenticación se siguen produciendo de forma transparente para el cliente. Para que el proceso pueda ejecutarse, el SP debe tener un cliente liberty y el proveedor de identidad debe tener un servidor liberty. 02 Acceso con identidad segura

ACELERAR PARA SER MÁS LÍDERES Pasarela de mensajes t+1 t+6 t+3 t+4 IDP SP (Banco, comercio, empresa,...) t+2 t+5 ¿Habría sido posible que el phisher que atacó a citibank pudiera usurpar la identidad del cliente con nuestra Identidad Segura? t+1. En un momento de la navegación el SP propone una verificación de control de sesión al cliente (porque se va a realizar una transferencia, por ejemplo) t+2 El SP manda un mensaje al IDP con texto libre y solicitando una clave de firma. t+3 El IDP genera una clave de firma. t+4 El IDP manda al cliente el mensaje propuesto por el SP (verifique la transferencia al nº de cuenta xxxx-xxxx-xxxx-xxxx) y la clave de firma. t+5 El IDP envía la clave generada al SP. El SP puede marcar un umbral de tiempo para aceptar la respuesta. t+6 Si el cliente está de acuerdo con la transferencia, tecleará la clave de firma en el formulario del SP y la operación continuará. De lo contrario finalizará la sesión del cliente. El atacante habría tenido que suplantar a 2 entidades (SP e IDP) y el cliente habría tenido que caer en la trampa 2 veces. La complejidad del phishing aumenta exponencialmente. El cliente tendría que habernos indicado que aceptáramos peticiones suyas procedentes de Rusia (control de IP del cliente). Además tendría que superar el control adicional de clave de firma.

ACELERAR PARA SER MÁS LÍDERES 8 Si utilizáramos el DNI digital como TOKEN, la autenticación sería más sencilla: Telefónica solicita la credencial al cliente, 4. El cliente entrega la credencial firmada con su clave privada 5. Telefónica verifica la firma con la clave pública 6. Si el resultado es correcto, redirige al cliente a su proveedor de servicio. Para emplear este token tampoco necesitamos ninguna inversión en logística SP (Banco, comercio, empresa,...) 5 IDP Como el empleo de certificados no es totalmente seguro. Sería conveniente combinarlo con alguno de los otros sistemas de aseguramiento de la identidad (SMS o tarjeta) 02 Acceso con DNI electrónico

ACELERAR PARA SER MÁS LÍDERES SP (Banco, comercio, empresa,...) 5 IDP T Podemos utilizar tarjetas de coordenadas: Telefónica pide al cliente que se autentique (usuario y contraseña) 4. El cliente proporciona su usuario y contraseña. 5. Telefónica identifica la tarjeta del cliente, genera una combinación aleatoria de coordenadas 6. e indica al cliente que introduzca los valores resultantes. 7. El cliente introduce en el formulario de autenticación esta contraseña adicional. 8. Telefónica verifica la contraseña proporcionada por el cliente y la generada anteriormente. Si coinciden la autenticación es correcta, genera la credencial de acceso para el SP y redirige al cliente ya autenticado a su proveedor de servicio. En este caso sí empleamos logística. 02 Acceso con tarjeta de coordenadas

ACELERAR PARA SER MÁS LÍDERES 10 Disponemos de una PKI y podemos utilizar certificados sobre tarjeta inteligente o sobre TOKEN-USB emitidos por nosotros para realizar la autenticación de empleados de empresas o clientes VIP. Hoy podemos emitir certificados pero a un coste demasiado elevado. En cualquier caso habría que adaptar las aplicaciones actuales de gestión y emisión de certificados así como las prácticas de autoridad de registro. 02 Acceso con tarjeta inteligente proporcionada por Telefónica

ACELERAR PARA SER MÁS LÍDERES 11 SP (Banco, comercio, empresa,...) IDP El cliente accede al SP. El SP le propone la federación y le solicita el nº de teléfono para recibir SMS. y le indica al cliente el uid en el IDP. 2, 3. El SP registra: pseudónimo en el SP uid en IDP contraseña en IDP nº teléfono 4. El SP manda la contraseña al cliente. 5, 6, 7. Cuando el cliente accede al SP, le redirige al IDP, que realiza el proceso de autenticación. 8. El IDP redirige al cliente para que autentique en el SP y éste redirige al cliente para verificar la cuenta de acceso. 9. El IDP confirma la asociación de UID y pseudónimo. No registramos datos personales del cliente, por lo que no se puede hablar en sentido estricto de federación. 02 Registro con pseudónimo

ACELERAR PARA SER MÁS LÍDERES Proceso operacional Proceso Comercial Alta de Proveedor De Servicio Federación De Usuarios Autenticación En red Facturación Instalación de cliente liberty Elección de modalidad de federación Alta en círculo de confianza Pruebas de federación y pruebas de acceso FIN Kit autoinstalable con soporte remoto Dos modalidades de federación: a instancia del cliente y a instancia del SP: 1) Alta débil. El cliente se da de alta en el IDP y verifica la posesión del usuario en el SP. 2) Alta fuerte. El SP proporciona las claves de alta del cliente en el IDP. El cliente accede al IDP y verifica la posesión del usuario en el SP. En este último caso es importante si existe control presencial del cliente.

ACELERAR PARA SER MÁS LÍDERES Proceso Comercial Alta de Proveedor De Servicio Federación De Usuarios Autenticación En red Facturación Alta de usuario Verificación de accesibilidad al SP Mensaje teléfono FIN Método autenticación Tarjeta de coordenadasDNI digital En función de modalidad de federación Registro de pseudónimo para el SP (anexo 2) Personalización de la tarjeta, adquirida en tiendas y puntos de distribución Proceso operacional

ACELERAR PARA SER MÁS LÍDERES Proceso Comercial Alta de Proveedor De Servicio Federación De Usuarios Autenticación En red Facturación Registro de evento de autenticación Por cada evento de autenticación se registrará el SP para que pueda alimentar los procesos de facturación Proceso operacional

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.