Addendum del Manual de ePassNG

LA-07-07-2008
ePass NG Token USB Nuevas Funcionalidades


MacroSeguridad.org y Feitian Technologies Ltd. vuelven a demostrar su compromiso
con sus usuarios, lanzando un nuevo middleware (drivers) para los dispositivos de
autenticacin que conforman la plataforma ePassNG (ePass3000 y ePass2000
FT12).

Este nuevo middleware se desarroll para poder proveer e integrar nuevas y variadas
caractersticas de seguridad, ofrecer actualizaciones, robustecer la utilizacin y facilitar
la administracin de los productos (ePassNG Token).
El middleware es quien provee la compatibilidad dentro de cualquier sistema operativo.
Las nuevas caractersticas del middleware se enumeran a continuacin:

a. Instalacin a travs de Lnea de Comando
b. Definicin de la cantidad de lectores virtuales a instalar en el equipo
c. Fijacin de Poltica de Primer Logon ePassNG Token
d. Imposibilidad de reiterar PINs recientes
e. PIN Timeout (tiempo de sesin)
f. Longitud Mnima y mxima del PIN parametrizable
g. Teclado virtual para ingresar el PIN de usuario
h. Periodo de expiracin del PIN
i. Bloqueo de la smartcard a travs de la cantidad de reintentos fallidos del
usuario
j. Bloqueo de la Smartcard a travs de la cantidad de reintentos fallidos del
Administrador
k. Parmetros del Monitor de Certificados

MacroSeguridad Latino Amrica
Av. Scalabrini Ortiz 2356 Piso 7 "A" Pg. 1/13
Capital Federal - C1425DBR - Repblica Argentina
TEL.: +54 011 4833-5760 (Lneas Rotativas)



a) Instalacin a travs de Lnea de Comando

Dados los requerimientos de nuestros clientes, se adicionaron funcionalidades que
hacen a la administracin de los ePassNG tokens, seteos de seguridad y
configuracin, desde el propio instalador del Middleware de ePassNG.

Entre las mejoras presentadas, se ofrece la posibilidad de una distribucin del
middleware, a travs de una poltica de administracin de dominio.

De esta manera los administradores podrn instalar el middleware en forma silenciosa
y desatendida en cualquier topologa.

Los parmetros aceptados para la instalacin del middleware a travs de lnea de
comando son los siguientes:

-s Instalacin en Modo silencioso
-a Ocultar la pgina de configuracin de Smartcard Logon y
soporte para VPN
-h Desactivar el soporte para Smartcard Logon/VPN
-d Ocultar la pgina de instalacin y configuracin de la
cantidad de lectores virtuales soportados
-n=INTEGER Establece la cantidad de lectores virtuales (mximo 10)
-? Ayuda
MacroSeguridad Latino Amrica
Av. Scalabrini Ortiz 2356 Piso 7 "A" Pg. 2/13
Capital Federal - C1425DBR - Repblica Argentina
TEL.: +54 011 4833-5760 (Lneas Rotativas)



b) Definicin de la cantidad de lectores virtuales a instalar
en el equipo

Los lectores virtuales emulan la presencia de una lectora de tarjetas chip inteligentes
ya que los dispositivos USB como ePass Token, no requieren la instalacin de
hardware adicional.

En el proceso de instalacin del middleware se le permite al usuario o administrador
que establezca la cantidad de lectoras virtuales a instalar en el equipo.



El valor que asigne en esta instancia se traducir en la cantidad de ePass Token que
podr conectar en la PC al mismo tiempo. La cantidad mxima de dispositivos
soportados es de 10 tokens.

Para mayor informacin acerca de la instalacin y configuracin sin intervencin del
usuario dirjase a la configuracin de lnea de comando.

MacroSeguridad Latino Amrica
Av. Scalabrini Ortiz 2356 Piso 7 "A" Pg. 3/13
Capital Federal - C1425DBR - Repblica Argentina
TEL.: +54 011 4833-5760 (Lneas Rotativas)



c) Fijacin de Poltica de Primer Logon ePassNG Token

El PIN por defecto es la password que ser utiliza por el usuario para poder acceder al
ePass Token por primera vez. Esta password es establecida por el administrador al
momento del formateo de bajo nivel del dispositivo ePassNG Token (ePass2000 FT12
y ePass3000), previo a entregrselo al usuario. Este PIN por defecto es establecido
tpicamente con un tamao estndar (siempre de acuerdo a la poltica de longitud de
password) y sin una gran complejidad de password, aunque la misma sea muy segura
y fcil de recordar, adems de que por lo general todos los dispositivos se entregan
con el mismo PIN inicial para todo usuario.



No cambiar el PIN por defecto puede acarrear problemas de seguridad. A travs del
formateo de bajo nivel del dispositivo, el administrador puede obligar al usuario a
cambiar el PIN por defecto antes de poder utilizar el dispositivo.

Si esta opcin est activada, el usuario no podr realizar ninguna operacin hasta que
se realice el cambio del PIN. Lo interesante de esto es que luego del formateo de bajo
nivel, el usuario recibir un ePassNG totalmente vaco, es decir sin ningn certificado
generado internamente. Al momento que ese usuario intente requerir su certificado
digital y comenzar a generar su clave privada onboard, le ser requerido el cambio de
PIN (password) en forma obligatoria, con lo cual desde la primera operacin que se
realice, la poltica de seguridad ser cumplida y por consiguiente el nivel de seguridad
del dispositivo se ver incrementado considerablemente.
MacroSeguridad Latino Amrica
Av. Scalabrini Ortiz 2356 Piso 7 "A" Pg. 4/13
Capital Federal - C1425DBR - Repblica Argentina
TEL.: +54 011 4833-5760 (Lneas Rotativas)



El administrador determinar si esta poltica de cambio de PIN obligatorio ser
aplicada en la organizacin o empresa.

Si el administrador no obliga al cambio del PIN por defecto, siempre se mostrar una
advertencia al usuario final, indicando que el PIN del dispositivo es el PIN por defecto.

Sin embargo, est advertencia no obliga al usuario a resolver esta situacin, a menos
que el administrador establezca en las opciones de formateo, que el PIN DEBE ser
cambiado, en cuyo caso el PIN por defecto queda EXPIRADO y debe ser cambiado
obligatoriamente, tan pronto como el usuario intente loguearse al ePassNG.

MacroSeguridad Latino Amrica
Av. Scalabrini Ortiz 2356 Piso 7 "A" Pg. 5/13
Capital Federal - C1425DBR - Repblica Argentina
TEL.: +54 011 4833-5760 (Lneas Rotativas)



d) Imposibilidad de reiterar PINs recientes (histrico de
password)

ePassNG es capaz de recordar la serie de los ltimos PINs (passwords) utilizados por
el usuario y evitar que utilice siempre la misma password.

Esto favorece no solo la seguridad de la organizacin sino a la fortaleza del
dispositivo, ya que la password no ser fcilmente adivinable.





El administrador podr fijar la poltica de seguridad a ser aplicada sobre el ePassNG
desde la herramienta de formateo y establecer la cantidad de PINs (password) a
almacenar dentro del ePassNG.

MacroSeguridad Latino Amrica
Av. Scalabrini Ortiz 2356 Piso 7 "A" Pg. 6/13
Capital Federal - C1425DBR - Repblica Argentina
TEL.: +54 011 4833-5760 (Lneas Rotativas)



e) PIN Timeout (tiempo de sesin)

Cada aplicacin que se loguea con xito al ePassNG para firmar, encriptar,
autenticarse, etc, abre una sesin para trabajar con el mismo. Esta sesin
comnmente est abierta contra el dispositivo mientras la aplicacin no se cierre y el
ePassNG no sea desconectado (cualquiera de estos dos eventos terminara la
sesin).

Otra opcin que ofrecemos es fijar una poltica de tiempo de vida para una sesin. El
administrador puede establecer este timeout y parametrizar la duracin de la sesin,
haciendo que sea de N minutos. Despus de N minutos de haberse logueado, la
sesin expirar y el usuario deber volver a loguearse al dispositivo para acceder a la
informacin confidencial que ste protege, como es la clave privada del certificado
utilizada para la firma de un correo.



Existe un parmetro en la herramienta de formateo en la cual la poltica puede ser
modificada por el usuario del ePassNG Token USB.

El Administrador puede delegar esta responsabilidad en el usuario, y permitirle
cambiar el comportamiento del middleware en cuanto a la terminacin de las sesiones.
En este caso, el botn Timeout del PIN estar activado en el Monitor de Certificados,
como se muestra en la imagen siguiente.

Si el Administrador decide que el Usuario no puede cambiar esta poltica, el botn
aparecer desactivado (grisado).
MacroSeguridad Latino Amrica
Av. Scalabrini Ortiz 2356 Piso 7 "A" Pg. 7/13
Capital Federal - C1425DBR - Repblica Argentina
TEL.: +54 011 4833-5760 (Lneas Rotativas)






Todo esto se personaliza tambin desde la herramienta de formateo. Para mayor
informacin refirase al boletn tcnico de formateo. El mismo podr ser encontrado
en

c:\Archivos de programa\MacroSeguridad.org\ePass3000\Tools\Formateador

o

c:\Archivos de programa\MacroSeguridad.org\ePass2000 FT12\Tools\Formateador

Dependiendo del dispositivo que Ud. este utilizando.
MacroSeguridad Latino Amrica
Av. Scalabrini Ortiz 2356 Piso 7 "A" Pg. 8/13
Capital Federal - C1425DBR - Repblica Argentina
TEL.: +54 011 4833-5760 (Lneas Rotativas)



f) Longitud Mnima y Mxima del PIN parametrizable
(tamao de la password)

La poltica de longitud de las password tanto del usuario como del administrador
(security officer) es totalmente personalizable desde la herramienta de formateo para
brindar mayor seguridad en lo referente a la forma de acceso al dispositivo.

Desde la herramienta de formateo, se puede asignar la longitud mnima y mxima del
PIN, por ejemplo la longitud del PIN (por defecto) es de 8 caracteres mnimo y 255
mximo. Pero se podra estipular en una organizacin que (por ejemplo) el mnimo
PIN de acceso (password) sea de 14 caracteres y el mximo sea de 25 caracteres.

Cualquier PIN (administrador y usuario) con menos caracteres de lo estipulado en la
poltica ser invlido.
MacroSeguridad Latino Amrica
Av. Scalabrini Ortiz 2356 Piso 7 "A" Pg. 9/13
Capital Federal - C1425DBR - Repblica Argentina
TEL.: +54 011 4833-5760 (Lneas Rotativas)



g) Teclado virtual para ingresar el PIN de usuario

Para evitar la captura del PIN (password) del ePassNG a travs de keyloggers o
tecnologas similares, se ha desarrollado una nueva solucin para el acceso del PIN.

Siempre pensando en ofrecer una solucin segura y funcional para los usuarios, a
partir de esta nueva versin del middleware y de las herramientas de administracin
de ePassNG, se presenta un teclado virtual, en el que los usuarios o administradores
deben clickear sobre los caracteres para ingresar la password.

Adicionalmente, los nmeros de este keyboard en pantalla se reordenan
aleatoriamente, de modo que sea imposible rastrear el PIN inicial basndose en la
posicin del Mouse.


MacroSeguridad Latino Amrica
Av. Scalabrini Ortiz 2356 Piso 7 "A" Pg. 10/13
Capital Federal - C1425DBR - Repblica Argentina
TEL.: +54 011 4833-5760 (Lneas Rotativas)



h) Perodo de expiracin del PIN

Siempre teniendo en cuenta las opiniones de nuestros clientes y la necesidad de los
administradores de poder fijar polticas sobre el perodo de expiracin de las password
de acceso a los dispositivos, se aadi la poltica de expiracin y perodo de validez
del PIN.

El administrador puede establecer a travs de la herramienta de formateo la cantidad
de das durante los cuales el PIN ingresado ser vlido. Este perodo comienza a
correr cuando el usuario cambia o reinicia el PIN.

Se notificar al usuario cuando falten menos de 3 das para la expiracin del PIN,
como se muestra en la siguiente ventana:



Una vez pasado el perodo de validez, al ingresar el PIN el usuario recibir un mensaje
como el siguiente:



Alcanzada esta instancia, el PIN se encuentra bloqueado y el usuario debe cambiarlo
por uno nuevo antes de poder volver a loguearse satisfactoriamente.

Es importante destacar que en esta instancia el mismo usuario es el que puede
desbloquear el dispositivo. En cambio, si el PIN estuviese bloqueado porque se supero
la cantidad de reintentos de autenticacin errneos, el administrador es el que debe
desbloquear el ePass.
MacroSeguridad Latino Amrica
Av. Scalabrini Ortiz 2356 Piso 7 "A" Pg. 11/13
Capital Federal - C1425DBR - Repblica Argentina
TEL.: +54 011 4833-5760 (Lneas Rotativas)



i) Bloqueo de la smartcard a travs de reintentos fallidos
consecutivos del usuario (PIN de Usuario)

Desde dentro de la herramienta de formateo se puede establecer la poltica que limita
la cantidad de reintentos fallidos consecutivos para que un usuario tenga un acceso
vlido al ePassNG. Los valores permitidos van de 1 a 14 reintentos, luego del cual el
dispositivo ser bloqueado (cumpliendo con las premisas de seguridad de las
smartcards). Normalmente el seteo recomendado por Macroseguridad es que la
cantidad por default sea de 10 reintentos fallidos consecutivos para el usuario.

Es importante destacar que en esta instancia el administrador es el que debe
desbloquear el ePass. Si en cambio el PIN estuviese bloqueado porque expiracin
(como en el punto h de esta addendum) el mismo usuario es el que puede
desbloquear el dispositivo.


j) Bloqueo de la smartcard a travs de la cantidad de
reintentos fallidos consecutivos del administrador
(PIN del SO)

Desde dentro de la herramienta de formateo se puede establecer la poltica que limita
la cantidad de reintentos fallidos consecutivos para que un Administrador tenga un
acceso vlido al ePassNG. Los valores permitidos van de 1 a 14 reintentos, luego del
cual el dispositivo ser bloqueado (cumpliendo con las premisas de seguridad de las
smartcards). Normalmente el seteo recomendado por Macroseguridad es que la
cantidad por default sea de 5 reintentos fallidos consecutivos para el Administrador.

En el supuesto caso de que se pierda un ePassNG en la organizacin y sometan al
PIN a un ataque de fuerza bruta para acceder al dispositivo, los mismos estn bajo la
poltica de reintentos de fallidos. Una vez que se alcanzan los valores establecidos en
la instancia del formateo de los tokens, stos solo pueden ser nuevamente
formateados eliminando toda informacin contenida en el ePassNG.

De esta forma se alcanza el mayor nivel de seguridad, ya que la informacin contenida
dentro del ePassNG nunca estar expuesta en el ambiente hostil de la PC.
MacroSeguridad Latino Amrica
Av. Scalabrini Ortiz 2356 Piso 7 "A" Pg. 12/13
Capital Federal - C1425DBR - Repblica Argentina
TEL.: +54 011 4833-5760 (Lneas Rotativas)


k) Parmetros del monitor de Certificados

El monitor de certificados (epsng_certd.exe) es una aplicacin que se ejecuta en forma
de servicio, funcionando como nexo entre el sistema operativo y los dispositivos
ePassNG.
Puede configurarse el modo en que dicha herramienta se ejecutar, a travs de
diferentes parmetros, los cuales puede conocer ejecutando epsng_certd.exe h



Para obtener un mayor detalle de cada uno de los parmetros, por favor refirase al
boletn tcnico LA-29-04-08_Monitor_de_Certificados_ePassNG, dentro de la
carpeta Boletines Tcnicos, dentro del SDK.

MacroSeguridad Latino Amrica
Av. Scalabrini Ortiz 2356 Piso 7 "A" Pg. 13/13
Capital Federal - C1425DBR - Repblica Argentina
TEL.: +54 011 4833-5760 (Lneas Rotativas)