2.4.3.1. Khái niệm
Là phần mềm đƣợc cài lên trên các điểm truy cập vào mạng (Ví dụ: gateway, VPN, máy chủ truy cập từ xa,...), các máy chủ và các tài nguyên thông tin cần đƣợc bảo vệ của doanh nghiệp. Thực hiện chức năng giống nhƣ một cổng an toàn, thi hành các chính sách bảo mật nhƣ đƣợc thiết lập trong hệ thống. Khi có yêu cầu đăng nhập của ngƣời sử dụng gửi đến, nó sẽ tiếp nhận và chuyển những thông tin đăng nhập tới máy chủ có thành phần RSA Authentication Manager để thực hiện xác thực.
Có hai loại RSA Authentication Agent:
- Agent không có giới hạn: các Agent không có giới hạn có thể đƣợc truy cập bởi tất cả những ngƣời dùng đã đƣợc đăng ký trong cùng khu vực với agent. Những ngƣời dùng đã đăng ký là những ngƣời dùng đƣợc biết tới agent. Nếu có nhiều tài nguyên định danh tƣơng ứng với vị trí đó, những ngƣời dùng trong các tài nguyên này có thể truy cập agent không giới hạn. Một tài nguyên định danh là một nơi lƣu trữ dữ liệu có chứa dữ liệu về ngƣời dùng và nhóm ngƣời dùng.
- Agent có giới hạn: Agent có giới hạn chỉ có thể đƣợc truy cập bởi những ngƣời dùng thuộc về nhóm tƣơng ứng với agent giới hạn. Các tài nguyên đƣợc bảo vệ bởi các agent giới hạn đƣợc xem là bảo mật hơn là việc cho phép bất kỳ ngƣời dùng nào truy cập tới trong tài nguyên định danh, chỉ một lƣợng nhỏ ngƣời dùng đƣợc phép truy cập.
Đƣợc kết hợp với thẻ xác thực RSA SecurID và máy chủ xác thực RSA Authentication Manager, RSA Authentication Agent phát hiện tài sản dữ liệu nhạy cảm lƣu trữ trong mỗi doanh nghiệp. Mạnh hơn các mật khẩu tĩnh, các Agent yêu cầu xác thực hai thành phần trƣớc khi gán quyền truy cập
Công nghệ Authentication Agent đƣợc xây dựng trong các thiết bị mạng hàng đầu cũng nhƣ các hệ thống phần mềm. Thêm vào đó, RSA đƣa ra phần mềm Agent để cung cấp phƣơng thức xác thực mạnh cho các web server nhƣ Microsoft IIS, Apache, SunONE và giúp phát hiện các môi trƣờng UNIX.
Hầu hết các sản phẩm router, remote access server, firewall, VPN, wireless access,... của các hãng sản xuất hàng đầu trên thế giới đều đã tích hợp sẵn thành phần này trong các sản phẩm của mình. Đây là một lợi ích vô cùng quan trọng cho giải pháp RSA SecurID.
2.3.3.2. Tính năng
- Bảo vệ Windows NT/2000, Lotus Domino, Netscape, OS/390, AS/400, NetWare, UNIX và các tài nguyên của hệ điều hành đa ngƣời dùng VMS.
- Tạo điều kiện thuận lợi cho thƣơng mại điện tử bằng các truy cập hợp pháp đến tài sản thông tin của doanh nghiệp.
- Bảo vệ nhiều tài nguyên cùng với một thẻ xác thực RSA SecurID.
- Tích hợp với các hệ thống đang tồn tại.
- Đảm bảo trách nhiệm giải trình ngƣời dùng.
2.3.3.3. Hoạt động chính của phần mềm xác thực
- Kiểm soát mọi truy nhập.
- Xác định xem tài nguyên có đƣợc bảo vệ bởi SecurID hay không. Nếu có thì tiếp tục nếu không thì bỏ qua hoặc thực hiện một hành động trả về tuỳ biến trên agent.
- Xác định tên truy nhập để xác định mã xác thực của nó.
- Kiểm tra tên đăng nhập đó để tránh tấn công.
- Yêu cầu PASSCODE từ ngƣời dùng gồm PIN và mã xác thực.
- Kết hợp PASSCODE với dữ liệu chỉ Agent và Server của nó biết và chuyển về Server để chứng thực. Nếu đƣợc xác nhận, Agent sẽ cho phép truy cập vào tài nguyên và thực hiện một hành động đƣợc lập trình nào đó. Nếu không, Agent sẽ không cho phép truy cập và cũng thực hiện các hành động tuỳ chọn.
Ngoài ra Agent còn chịu trách nhiệm thực hiện một số nhiệm vụ phụ khác phục vụ cho quá trình chứng thực.
a/. Các cổng bảo mật cho các tài nguyên được bảo vệ
RSA Authentication Agent có chức năng giống nhƣ một cổng bảo mật, thi hành chính sách bảo mật nhƣ đƣợc thiết lập bên trong hệ thống RSA Authentication Manager.
RSA Authentication Agent chặn các yêu cầu truy cập và đòi hỏi những ngƣời dùng hoặc nhóm ngƣời dùng đã đƣợc chỉ đinh (là cục bộ hay điều khiển từ xa) - để xác thực đến RSA Authentication Manager bằng một thẻ xác thực RSA SecurID trƣớc khi gán quyền truy cập đến các tài nguyên đƣợc bảo vệ.
Có hiệu quả đặc biệt đối với việc bảo vệ thông tin có giá trị cao hoặc đã đƣợc quy định (mà các mật khẩu là một dạng xác thực ngƣời dùng không đủ), RSA Authentication Agent cung cấp khả năng giải trình ngƣời dùng hoàn chỉnh và là một phƣơng thức thực thi tất nhiên cho các công nghệ PKI. Thêm vào đó, RSA Authentication Agent đƣợc nhúng vào trong hầu hết các VPN, RAS và các sản phẩm firewall sẵn có ngày nay.
b/. Bảo mật các ứng dụng Web
Extranet đã trở thành thành phần chủ yếu của thƣơng mại điện tử, cho phép giao tiếp giữa các khách hàng, đối tác và nhà cung cấp. Kể cả ngƣời dùng có cần đảm bảo Microsoft IIS, Domino hay Netscape Web servers, RSA Authentication Agent sẽ bảo vệ các ứng dụng Web khỏi các quyền truy cập bất hợp pháp. Mặt khác, bởi vì giải pháp của RSA SecurID đƣợc thiết kế để làm việc với phƣơng thức mã hóa của giao thức Web SSL, các tổ chức có thể đƣợc bảo đảm rằng thông tin là an toàn khi nó đƣợc truyền qua mạng.
Cung cấp ủy quyền cho ngƣời dùng di động truy cập các mạng intranet và extranet.
Không yêu cầu cài đặt phần mềm lên máy tính của ngƣời dùng.
Có khả năng đảm bảo các hệ thống phụ thông qua các Web server.
Đảm bảo tính riêng tƣ của thông tin truyền bằng giao thức SSL.