SITS – Säker inloggning Terminal Server

shutterstock_46817356

SITS  är en säkerhetsprodukt speciellt framtagen för kunder med mycket höga säkerhetskrav, dvs försvaret, underrättelsetjänster, försvarsindustri, regeringar, myndigheter med flera.

SITS använder försvarets aktiva kort, försvarsgodkända kortläsare och en specialutvecklad säkerhetsprogramvara för att erbjuda organisationens användare smartkort baserad inloggning till sin desktop, IT-miljö och applikationer som de är behöriga att nå.

SITS skyddar organisationens nätverk, servrar och applikationer från obehörig användning med stark kryptering, åtkomstkontroll och filtrering av all kommunikation till/från organisationens servrar och applikationer.

 

SITS Produktblad

SITS erbjuder organisationens användare stöd för PKI-baserad Single-Sign-On (SSO) via stark autentisering (även kallad två-faktor autentisering).

Detta innebär att användaren kan logga in i sin desktop på terminalservern och nå de applikationer som han har behörighet till utan att användaren behöver ange sin PIN-kod mer än en gång.

SITS utför automatiska lösenordsbyten i bakgrunden åt användaren så att denne slipper komma ihåg långa och krångliga lösenord samt byta dessa lösenord med jämna/ojämna mellanrum.

SITS följer specifikationen enligt säkerhetsstandarden X.509 för trevägsautentisering.

SITS-TK-1
SITS-overview-2g

SITS är säkerhetsprodukt som består av tre delar;

  • SITS TK som installeras på organisationens PC-klienter som skall ha en säker åtkomst till SITS TS/AS miljön.
  • SITS TS som är avsedd att installeras på en, eller flera, Terminal Servrar.
  • SITS AS som installeras på de Applikationsservrar som skall skyddas av SITS.

SITS används för att säkra upp IT-miljöer som använder sig av Server based computing eller Cloud based computing som det ofta också kallas. Serverbaserad databehandling är ett samlingsbegrepp för tekniker där man använder en tunn klient för att ansluta mot en central server placerad i ett datacenter som driftas i egen eller outsourcad regi.

SITS kan enkelt integreras och användas i olika serverbaserade IT-miljöer och applikationer som vill använda sig av PKI-funktionalitet och certifikatbaserad säkerhet.

SITS erbjuder en centraliserad behörighetskontroll av organisationens användare och de applikationer som de har behörighet att använda.

Via SITS administration kan en säkerhetsadministratör enkelt konfigurera vilka applikationer, IT-system och webbplatser som en viss användare och/eller roll skall ha.

Även om man kan tilldela användare olika specifika rättigheter så är det både enklare och mer logiskt att använda roller för att tilldela användare olika behörigheter.

När en ny användare läggs upp i systemet så kopplas användaren till en förkonfigurerad roll och får därmed de behörigheter som denne skall ha.

SITS erbjuder organisationen många fördelar, bl a
  • En säker och kostnadseffektiv IT-behandling. Användning av SITS och en Terminal Server miljöer är ett bra sätt att minska kostnader samtidigt som man höjer både drift- och IT-säkerheten på en och samma gång.
  • En skalbar och flexibel säkerhetslösning som enkelt kan integreras i såväl stora som små terminalserver- och applikationsserverbaserade IT-miljöer.
  • Starkare inloggningssäkerhet. SITS ersätter traditionell lösenordshantering med stark autentisering baserad på PKI-funktionalitet och X.509 certifikatbaserad säkerhet, dvs risken med att organisationens användare väljer svaga lösenord kan elimineras helt.
  • Möjlighet att arbeta säkert på distans. Användaren kan logga in i företagets nätverk med stark autentisering (2FA) och komma åt sin desktop och sina applikationer från som helst på ett säkert sätt (enda kravet är att det finns en Internetanslutning).
  • Högre säkerhet, dels sparas och bearbetas allt data enbart i servermiljön och dels krypteras all kommunikation mellan klient och server till skillnad från en traditionell terminalserver lösning.
  • Säker Single-Sign-On. När användaren autentiserat sig med sitt smart kort och loggat in i terminalservern så får användaren en desktop och en säker SSO åtkomst till alla sina (behöriga) applikationer.
  • Enkel användarhantering. En säkerhetsadministratör kan enkelt mappa en Windows användare till ett smartkort till så att denne kan logga in som samma användare som när lösenordsinloggning användes.
  • Spårbarhet. Alla operationer och åtgärder som en säkerhetsadministratör utför i SITS administrationen loggas så att man i efterhand kan följa upp vem som gjort vad och när.

SITS TK - Säker tunn klient

SITS TK är en säkerhetsprogramvara som är avsedd att användas tillsammans SITS Terminal Server (SITS TS) och SITS Application Server (SITS AS) och installeras på en PC-klient. En standard PC-klient kan användas tillsammans med SITS TK men i praktiken används oftast s k RÖS skyddad maskinvara som PC-klient.

SITS TK används för att säkra användarens inloggning med stark autentisering samt kryptera kommunikationen till/från SITS TS.

SITS TK programvaran består av en mikrokärna samt funktionalitet för att hantera smarta kort, kortläsare, PKI-kryptering m.m.

SITS TK är disklös och därmed helt oberoende av PC-klientens egna IT-säkerhetnivå/skydd genom att klienten bootar upp på den säkerhetsgodkända mikrokärnan från ett USB-minne eller en CD-ROM, dvs varken Windows operativsystem eller PC-klientens hårddisk används av SITS TC.

SITS TK har flera inbyggda säkerhetsfunktioner, t ex:
  • Automatisk låsning av arbetsplatsen vid utdrag av smart kort eller vid inaktivitet som är hopkopplad med datorns skärmsläckare och låsfunktion. När användaren sedan stoppar in sitt kort i läsaren igen så loggas användaren in igen och kan fortsätta arbeta där han eller hon slutade.
  • Skyddade utskrifter som hanteras av en utskriftsklient som autentiserar användarens kortcertifikat mot en utskriftsserver.
  • PKI-baserad Single-Sign-On (SSO) så att användaren kan nå de applikationer denne är behörig att använda med endast en inloggning.
  • Stark autentisering av användaren hela vägen från PC-klíenten, via Termial Servern och ända fram till applikationen som körs på Applikationsservern.
  • Säker åtkomst till organisationens IT-resurser. Inga okända klienter kan koppla upp sig mot din organisations terminalservrar eller applikationsservrar eftersom både SITS TK och SITS TS använder sig av dubbelriktad SSL autentisering, dvs så kallad "spoofing" är omöjligt i och med att SITS TK klienten och SITS TS servern gör en stark dubbelriktad autentisering av varandra. I och med att varken server eller klient accepterar trafik från någon obehörig part blir såväl interna som externa dataintrång och "man in the middle" attacker omöjliga.
  • Kryptering av all kommunikation mellan klienten, terminalservern och applikationsservern vilket ger ett skydd mot både övertagande och manipulation av terminalsessionen samt mot återspelningsattacker.
  • I och med att SITS TK är disklös så sparas inget data lokalt i klienten när den stängs av eller när den aktuella terminalsessionen avslutas/pausas varför vi erhåller en mycket hög datasäkerhetsnivå. Allt data stannar på servern och kan aldrig nås av någon obehörig användare utanför organisationen och det skydd som SITS lösningen ger.
  • Du kan koppla upp dig mot säkerhetsmässigt separerade IT-miljöer samtidigt med full säkerhet. Du kan t ex ha två fönster öppna i SITS TK samtidigt där det ena fönstret innehåller information från en miljö som är klassad som hemlig och det andra fönstret innehåller information från en miljö som är klassad som topphemlig.