Authentification forte avec les USG

(1)

S y s C o

_®

-

Authentification forte avec les USG

Studerus Roadshow 2014, Lausanne

André Liechti, directeur technique

SysCo systèmes de communication sa, Neuchâtel, Suisse

(2)

Déroulement de la présentation



Pourquoi un simple mot de passe ne suffit plus ?



Quelles sont les solutions qui existent pour plus de sécurité ?



multiOTP

^®

Pro, le compagnon idéal aux produits ZyXEL



Configuration d’un pare-feu ZyWALL pour multiOTP

^®

Pro



Démonstration en live



Questions / réponses

11.06.2014

© SysCo systèmes de communication sa

2

(3)

Pourquoi un simple mot de passe ne suffit plus ?

(sur Internet, mais également ailleurs)

11.06.2014

(4)

Pourquoi un simple mot de passe ne suffit plus ?



Utiliser le même mot de passe pour plusieurs services…

11.06.2014

4

(5)

Quelques «jolis» outils physiques…

11.06.2014

5

Keylogger…

Caméra dans une clé de voiture…

(6)

Clavier automatique caché dans une clé USB …

... Et d’autres outils encore plus puissants…;-)

11.06.2014

6

Keylogger sans fil…

etc.

(7)

Quelles sont les solutions qui existent pour plus de sécurité ?

11.06.2014

(8)

Quelles sont les solutions qui existent pour plus de sécurité ?



Authentification avec un deuxième facteur.



Exemple d’une combinaison de savoir et de posséder:

l’automate à billets

 On dispose d’une carte bancaire physique et l’on connait son code d’identification personnel (PIN).

11.06.2014

8

(9)

Authentification forte avec un mot de passe à usage unique



Simplicité d’utilisation pour l’utilisateur, aucun logiciel à installer (ne dépend pas d’un système d’exploitation)



Liste à biffer

11.06.2014

9

(10)

Liste de mots de passe / liste à biffer



Login = nom utilisateur + mot de passe + prochain code

11.06.2014

10

Liste sur le serveur

Liste pour l’utilisateur A

(11)

Leader historique du marché



Générateur automatique basé sur le temps, avec un algorithme propriétaire secret

 70% du marché en 2003

(25 millions d’appareils ont été produits jusque-là)

11.06.2014

11

(12)

Première solution logiciel libre pour des mots de passe à usage unique



Mobile-OTP (2003)

 Code PIN + algorithme basé sur le temps

 Logiciel libre, avec plus de 40 implémentations différentes

 Au début, Java J2ME pour les mobiles

 Shell script Unix sur le serveur

11.06.2014

12

(13)

Générateur standardisé de mots de passe uniques



HOTP : HMAC-based One-time Password Algorithm (2005)

 La construction du code se base sur une fonction de hash cryptographique

 Standard ouvert (OATH: Initiative for Open Authentication)

11.06.2014

13

(14)

Authentification HOTP sur le serveur

11.06.2014

14

Utilisateur Serveur

0382

754812

0380-0384

0379

(15)

Plus de problème de synchronisation avec TOTP



TOTP : Time-based One-time Password Algorithm (2008)

 Basé sur HOTP

 Le compteur incrémental correspond au numéro de la portion de 30 secondes en cours

11.06.2014

15

(16)

Authentification TOTP sur un serveur

11.06.2014

16

Utilisateur Serveur

0382

754812

(17)

Quelques générateurs HOTP/TOTP (tokens)

11.06.2014

17

(18)

Serveur OTP

Tokens SMS

11.06.2014

18





 

Utilisateur + mot de passe + token

(19)

multiOTP

^®

Pro

le compagnon idéal aux produits ZyXEL

… basé sur notre solution open source existante depuis 2010 !

11.06.2014

(20)

multiOTP

^®

Pro, le compagnon idéal…

11.06.2014

20

(21)

multiOTP

^®

Pro



Pourquoi avons-nous développé multiOTP

^®

Pro ?

 Les PME ne sont pas suffisamment protégées

 Pas de solution bon marché pour les PME

 Les produits existants ont besoin d’une version spécifique de Windows et sont compliqués à installer

 Les produits existants sont complexes à utiliser

 Solutions existantes gourmandes en ressources



Historique du produit

 Basé sur notre librairie open source (existante depuis 2010)

 Nombreux retours d’utilisateurs spécialisés

11.06.2014

21

(22)

multiOTP

^®

Pro, le concept



Appareil physique séparé

 Pas de problème de compatibilité avec les systèmes d’exploitation



Interface web simple et intuitif



Mise en service en moins de 10 minutes



Frais réduits au minimum

 Possibilité d’utilisé des tokens logiciels



Déploiement rapide des tokens TOTP et HOTP

 QRcode pour les tokens logiciels

 Enregistrement automatique des tokens physiques

11.06.2014

22

(23)

multiOTP

^®

Pro, le concept (2)



Les protocoles standards sont supportés

 Mobile-OTP, HOTP, TOTP

 Tokens SMS

 Listes à biffer



Les fichiers des tokens hardware peuvent être importés

 ZyXEL OTPv2 : importAlpine.dat

 ZyXEL OTPv1 : 10OTP_data01_upgrade.sql

 Fichiers chiffrés PSKC

11.06.2014

23

(24)

Configuration d’un pare-feu

ZyWALL pour multiOTP ^® Pro

11.06.2014

(25)

ZyWALL USG 100 – configurer le serveur RADIUS

(26)

ZyWALL USG 100 – méthode d’authentification

(27)

ZyWALL USG 100 – Authentification Web

27

(28)

ZyWALL USG 100 – Authentification pour les VPNs

11.06.2014

28

(29)

ZyWALL USG 100 – Ajout d’une règle dans le firewall

11.06.2014

29

(30)

SSL-VPN avec authentification forte

11.06.2014

30

(31)

Démonstration en live avec multiOTP ^® Pro

(ou comment mettre en place une authentification forte en moins de 10 minutes)

11.06.2014

(32)

Démonstration en live avec multiOTP

^®

Pro

11.06.2014

32

(33)

multiOTP

^®

Pro – Authentification forte pour les PME

11.06.2014

33



En stock

 CHF 499 (TVA incluse)

 20 utilisateurs inclus



Egalement disponible en machine virtuelle

 Gratuit jusqu’à 5 utilisateurs

(34)

Et maintenant, vos questions…

11.06.2014

34

Crêt-Taconnet 13 tel 032 730 11 10 fax 032 730 11 09

2000 Neuchâtel info@sysco.ch www.sysco.ch

S y s C o

^® systèmes de communication sa

(35)

L’intervenant



André Liechti

 Directeur technique de SysCo systèmes de communication sa

 Ing. dipl. EPF en systèmes de communication

 Ing. dipl. ETS en électronique



SysCo systèmes de communication sa

 Entreprise active depuis 16 ans, établie à Neuchâtel

 Sécurité, conseils et développements sur mesure

 Solutions sous Windows et Linux, également en open source

11.06.2014

Authentification forte avec les USG

S y s C o

Authentification forte avec les USG

Déroulement de la présentation

Pourquoi un simple mot de passe ne suffit plus ?

Quelles sont les solutions qui existent pour plus de sécurité ?

multiOTP

Pro, le compagnon idéal aux produits ZyXEL

Configuration d’un pare-feu ZyWALL pour multiOTP

Pro

Démonstration en live

Questions / réponses

Pourquoi un simple mot de passe ne suffit plus ?

Pourquoi un simple mot de passe ne suffit plus ?

Utiliser le même mot de passe pour plusieurs services…

Quelques «jolis» outils physiques…

... Et d’autres outils encore plus puissants…;-)

Quelles sont les solutions qui existent pour plus de sécurité ?

Authentification avec un deuxième facteur.

Exemple d’une combinaison de savoir et de posséder:

l’automate à billets

Simplicité d’utilisation pour l’utilisateur, aucun logiciel à installer (ne dépend pas d’un système d’exploitation)

Liste à biffer

Liste de mots de passe / liste à biffer

Login = nom utilisateur + mot de passe + prochain code

Liste sur le serveur

Liste pour l’utilisateur A

Leader historique du marché

Générateur automatique basé sur le temps, avec un algorithme propriétaire secret

Mobile-OTP (2003)

Générateur standardisé de mots de passe uniques

HOTP : HMAC-based One-time Password Algorithm (2005)

Authentification HOTP sur le serveur

Utilisateur Serveur

Plus de problème de synchronisation avec TOTP

TOTP : Time-based One-time Password Algorithm (2008)

Authentification TOTP sur un serveur

Utilisateur Serveur

Quelques générateurs HOTP/TOTP (tokens)

Tokens SMS





 

multiOTP

Pro

le compagnon idéal aux produits ZyXEL

multiOTP

Pro, le compagnon idéal…

multiOTP

Pro

Pourquoi avons-nous développé multiOTP

Pro ?

Historique du produit

multiOTP

Pro, le concept

Appareil physique séparé

Interface web simple et intuitif

Mise en service en moins de 10 minutes

Frais réduits au minimum

Déploiement rapide des tokens TOTP et HOTP

multiOTP

Pro, le concept (2)

Les protocoles standards sont supportés

Les fichiers des tokens hardware peuvent être importés

Configuration d’un pare-feu

ZyWALL pour multiOTP ® Pro

ZyWALL USG 100 – configurer le serveur RADIUS

ZyWALL USG 100 – méthode d’authentification

ZyWALL USG 100 – Authentification Web

ZyWALL USG 100 – Authentification pour les VPNs

ZyWALL USG 100 – Ajout d’une règle dans le firewall

SSL-VPN avec authentification forte

Démonstration en live avec multiOTP ® Pro

Démonstration en live avec multiOTP

Pro

multiOTP

Pro – Authentification forte pour les PME

En stock

Egalement disponible en machine virtuelle

Et maintenant, vos questions…

ZyWALL pour multiOTP ^® Pro

Démonstration en live avec multiOTP ^® Pro