Si tratta di una simulazione che ha interessato non poco gli intervenuti alla sessione del Ca World 2000 sulla security. I prodotti della linea eTrust presi in considerazione sono Access Control e Single Sign On. ETrust Access Control è un prodotto rim …
Si tratta di una simulazione che ha interessato non poco gli intervenuti alla sessione del Ca World 2000 sulla security. I prodotti della linea eTrust presi in considerazione sono Access Control e Single Sign On.
ETrust Access Control è un prodotto rimarchiato Ca dopo l’acquisizione della Platinum. Attualmente è disponibile sotto Unix/Linux e NT e si occupa di gestire, secondo una rule base, le politiche di accesso ai sistemi Unix/NT della propria struttura.
AC funziona con una serie di deamon (o servizi, a seconda delle versioni) che si occupano di intercettare, verificare e validare le chiamate di sistema potenzialmente a rischio sicurezza. Access Control non modifica il kernel dei sistemi operativi di cui si pone a protezione, ma li integra solamente. Questo significa che la garanzia di ciascun vendor relativa al software monitorato non decade.
I deamon di AC vengono a loro volta monitorati da un modulo chiamato WhatchDog, il quale verifica periodicamente se questi sono in funzione. In caso negativo, provvede alla riattivazione immediata. Questa feature è sicuramente importante specie nella prevenzione dagli attacchi “denial of service”. Access Control può interagire con Kerberos, utilizza un database proprietario per la gestione della rule base, al quale possono accedere solo utilities eTrust o, al massimo, tool sviluppati con le API a corredo del prodotto.
ETrust Single Sign On è un altro prodotto preso in esame durante la simulazione; è disponibile su NT/Unix e si occupa di gestire il Single Sign On sulla maggior parte delle piattaforme disponibili. Questo avviene con l’ausilio di appositi agenti, che provvedono, qualora non sia possibile di default, a integrare le infrastrutture esistenti. Anche SSO ha la possibilità di mettere in sicurezza i collegamenti tra i poli (client-host) a mezzo di crittosistema. Questo è di base operante con DES ma può essere utilizzato con altri algoritmi. Dal punto di vista della affidabilità, SSO supporta Hot BackUp e Load Balancing, mentre anche in questo caso, l’uso delle Open API consente la massima interazione con mezzi di autenticazione esterna quali token e, soprattutto, biometria. Ed è proprio questa la soluzione simulata durante la sessione.
Data una server farm, si è proceduto a ipotizzare un accesso di alcune workstation (anche mobili) alle risorse, monitorato da SSO, per l’autenticazione in unica soluzione, da Access Control per la gestione delle policy e, qualora necessario, con eTrust Audit, per il monitoraggio degli eventi. Come testimoniano le illustrazioni, partendo da un normale flusso relativo utilizzando SSO/AC e Audit, si è provveduto ad integrare un dispositivo biometrico, basato su BioMouse (www.biomouse.com), un device che integra un lettore biometrico delle impronte digitali.
La scelta è ricaduta su questo dispositivo, in quanto, pur essendo raccomandato di base nell’uso associato a una soluzione proprietaria di Single Sign On, anche il software di BioMouse contiene delle API che ne consentono l’integrazione con dispositivi di terze parti. La soluzione cosi realizzata viene gestita da Unicenter Tng.
