Una soluzione per i portali amministrativi (e-government)

Una soluzione per i portali amministrativi (e-government)
COME NASCE LA SOLUZIONE
Proteggere gli accessi distanti al portale amministrativo con l'autenticazione multi fattore
XELIOS VNA (Virtual Network Access) è una soluzione di protezione degli accessi distanti basata
sul controllo delle identità con verifica delle impronte digitali.
In un’epoca in cui il nomadismo fa ormai parte delle abitudini di vita delle persone, anche il
semplice cittadino vuole poter usare in modo sicuro un portale amministrativo senza lasciare le
proprie impronte o password in una banca dati centralizzata.
Lasciare libero accesso dall'esterno senza garantire l'identità delle persone che si collegano può
compromettere le misure di protezione applicate alla rete dell'ente. Un'autenticazione multi fattore
permette di preservare la sicurezza del sistema informativo garantendo l'identità degli utenti distanti
e rispettando le normative vigenti. Inoltre, l'ergonomia e la sicurezza di un sistema token-biometrico
non sono in discussione.
Un esempio concreto di applicazione è rappresentato dall'IVA o dall'e-voting.
La Soluzione
La soluzione proposta è molto innovativa in quanto XELIOS VNA autentica l'utente distante con un
metodo multi fattore (token-bio) che permette di collegarsi senza rischi a un sito governativo, reti
private, siti di commercio elettronico o di banking on line.
XELIOS VNA permette di raggiungere un elevato livello di sicurezza sostituendo le semplici
password con una procedura d'autenticazione forte. Ogni utente si vede attribuire un token
biometrico che genera un codice, valido unicamente per il collegamento in corso. Quando gli è
richiesto, l'utente presenta la sua impronta digitale (ciò che è), e solo allora il token biometrico
genera il codice unico (OTP One Time password - ciò che possiede).
Questi due elementi costituiscono la prova dell'identità dell'utente.
Cosa risolve la Soluzione
•
•
•
•
•
•
Il phishing, ovvero l’usurpazione dell'identità dell'utente.
La mobilità del cittadino che non ha più bisogno di spostarsi per effettuare pratiche
amministrative.
La garanzia dell'identità.
Maggior sicurezza per l'ente e per il cittadino.
Un’ergonomia molto importante.
Semplifica in modo drastico le comunicazioni tra cittadino ed Ente pubblico.
Architettura di sistema
Sensori biometrici con token integrato.
MSO 1300X
Stealth MXP
Abbiamo pensato che il vantaggio di poter usare una super-bio-chiave USB fosse un’opportunità da
non sottovalutare.
Con Xelios Stealth MXP abbiamo raggiunto l’obiettivo.
Stealth MXP è un'unità periferica di sicurezza mobile. Un unità di memorizzazione USB e una
chiave d'autenticazione, la cui ricchezza di funzionalità porta un livello record di sicurezza e di
flessibilità per la gestione dei dati sensibili e permette, grazie al VNA, l'autenticazione bio-token.
La sua tecnologia è concepita per fondersi completamente nei sistemi di sicurezza delle imprese –
Single Sign-On, cifratura, collegamento a distanza e PKI. La sua interfaccia d'amministrazione
permette di controllare l'integrità delle norme di sicurezza, di installazione automatica e di utilizzo
della chiave. Con una capacità di memorizzazione che varia da 128Mb a 2Gb, a seconda dei
modelli, Stealth MXP permette di contenere un grande volume di informazioni, cifrate
automaticamente in AES 256.
Stealth MXP è al contempo un'unità periferica di memorizzazione dati ed una chiave
d'identificazione molto sicura, autonoma e facile da trasportare.
VNA Server e Client
XELIOS Virtual Network Access è una soluzione leggera e facile da installare. XELIOS VNA si
compone di un software server, un software client e un Token biometrico. Infatti, il software client
è stato integrato nella chiave USB.
Infrastruttura di rete
L'amministrazione deve poter gioire di un portale web o di un VPN. Il VNA s'interfaccia con gli
standard RADIUS.
Quando l'utente arriva sul sito e deve presentare l’impronta, l'automatismo è gestito con un script in
duro (ad esempio Active X o Applet Java).
Composizione del sistema
Sostituzione della password utente
Gli utenti non devono più memorizzare le password necessarie per accedere ai loro collegamenti
distanti (VPN, DIALUP, sito Internet sicuro). Questi sono sostituiti da un codice monouso (OTP)
generato dal token biometrico dopo la verifica dell'impronta digitale dell'utente.
Maggiore sicurezza
Tutti i dati dell'utente associati a XELIOS VNA (conto RADIUS, dati biometrici, configurazione...)
sono conservati nel token.
Il segreto che permette la generazione della OTP è integrato nel MSO1300X o nella Stealth.
Server RADIUS
XELIOS VNA include un server RADIUS compatibile con i client RADIUS standard. Il server
RADIUS XELIOS è anche proxy RADIUS.
Tracciabilità
Gli eventi legati alla gestione degli utenti sono tracciati, come tutte le richieste d'autenticazione
(successo/rifiuto del collegamento, tipo di collegamento, IP...).
Importazione possibile dei file di log in una tabella calcoli o una base di dati.
Integrazione nei tool di gestione Microsoft
I tool di configurazione di XELIOS VNA sono accessibili dalla console di comando Microsoft
Management Console (MMC).
Ergonomia
L'ergonomia di XELIOS VNA permette un uso intuitivo ed immediato del software.
Installazione silenziosa
Si forniscono "pacchetti MSI" per il software client e per l'unità periferica, permettendo così
un’installazione silenziosa.
Compatibilità
XELIOS VNA 5 è compatibile e certificato con: Microsoft Windows 2000 Server, Microsoft
Windows 2003 Server. Microsoft Windows 2000 e Microsoft Windows XP; è in preparazione la
certificazione Vista & Longhorn.
Installazione
VNA Server: eseguibile (.exe) o msi da installare su un server 2003 o workstation XP poiché se
l'infrastruttura di rete funziona con altre tecnologie o piattaforme di sistema, il client VPN è
compatibile al 100% (esempio Cisco, Checkpoint, Wiseguard o altri) usando gli standard RADIUS.
File di configurazione server che punta sulle porte RADIUS.
Client: per MSO1300X installare il client sul PC e installare il hardware.
Per Stealth MXP si inserisce il software nella chiave USB. Per l'utente la procedura diventa
automatica quando accede al portale. (Applet Java o Active X a seconda della strategia)
Enrollment: per motivi evidenti di verifica dell’identità è meglio farlo con un dipendente
amministrativo poiché l'utente è libero di usare la chiave ovunque, sarà sufficiente avere la Stealth.