CodeSealer – skuteczna ochrona sesji bankowości internetowej Klientów Banków Spółdzielczych

Klienci Banków Spółdzielczych, korzystający z modułów bankowości internetowej łączą się z tymi modułami za pośrednictwem komputerów, laptopów i smartfonów. Jednak urządzenia te mogą być zainfekowane różnego typu wirusami i w związku z tym narażone są na rozmaite podatności. Wiele banków na własną rękę prowadzi akcje informujące Klientów jak korzystać z bankowości internetowej - czy to na łamach blogów, czy poprzez kontakt bezpośredni.

Jednym z ciekawszych rozwiązań służących do ochrony sesji bankowości internetowej jest komercyjne oprogramowanie duńskiej firmy CodeSealer zdobywające coraz większe uznanie. W Danii gro banków zaimplementowało oprogramowanie CodeSealer do nadzorowania sesji bankowości elektronicznej.

Moduły bankowości internetowej dostarczane Klientom Banków Spółdzielczych posiadają moduły front-end obsługiwane przez dostawców systemów, back-end natomiast zaimplementowany jest po stronie Banku. Z platformy internetowej Banku przez udostępniony moduł klienci mogą się logować do bankowości internetowej a następnie są przekierowywani na adres dostawcy systemu bankowego.

CodeSealer

Porównanie połączeń jakie występują w obecnym systemie obsługi Klientów z rozwiązaniem CodeSealer WSF.

Powyższy rysunek ilustruje sposób komunikacji klienta z systemem bankowości internetowej.

Po lewej stronie przedstawiamy schemat połączeń w obecnym systemie, bez aktywnej ochrony sesji, po prawej stronie pokazujemy jak może przebiegać sesja zabezpieczona. Po implementacji systemu ochrony sesji bankowości elektronicznej CodeSealer WSF klienci końcowi będą przekierowywani z domeny banku spółdzielczego na nowy adres IP w centrali Banku, gdzie zostaną zainstalowane serwery WSF (kolor fioletowy). Dzięki temu wszystkie sesje połączeniowe pomiędzy klientami banku a systemami bankowości internetowej będą przechodziły przez dedykowany serwer proxy, który zapewnia ochronę przed zagrożeniami dla integralności sesji połączeniowych.

Implementacja takiej architektury nie wymaga żadnych zmian w obecnych systemach bankowych, ani nie ingeruje w sposób komunikacji pomiędzy bankiem a operatorem systemu bankowego. Jedyna wymagana zmiana, to przekierowanie domeny systemu bankowego w banku spółdzielczym na nowy adres IP, udostępniony przez BS. Na ten adres będą przekierowane odwołania klientów bankowości internetowej. System zainstalowany w centrali BS z kolei będzie nawiązywał połączenia z adresem IP konkretnego operatora systemu bankowości internetowej, tak jak to do tej pory robił bezpośrednio każdy klient końcowy. Połączenie między operatorem systemu bankowości internetowej a bankiem spółdzielczym pozostaje bez zmian.

Uruchomienie serwerów CodeSealer WSF w infrastrukturze Banku Spółdzielczego polega na wdrożeniu architektury, która ma zapewnić obsługę ruchu pomiędzy klientami bankowości internetowej banku spółdzielczego a systemami bankowości elektronicznej zainstalowanymi w infrastrukturze operatorów systemów bankowych oraz samego banku spółdzielczego.

Proponowana architektura może zostać wdrożona bez konieczności ingerencji w jakiekolwiek komponenty systemów bankowych zainstalowanych obecnie i jest całkowicie transparentna dla klientów końcowych.

Główne zmiany w odniesieniu do obecnego rozwiązania polegają na utworzeniu nowego adresu wirtualnego np. na load - balancerze w celu obsługi ruchu przychodzącego z przekierowanej domeny banku spółdzielczego. CodeSealer WSF umożliwia skonfigurowanie wielu linków do poszczególnych systemów bankowych na tej samej platformie.

UWAGA !!! Zalecane obciążenie pojedynczego serwera to maksymalnie 5000 sesji na sekundę. Niezawodność i wydajność systemu można podnieść dzięki zastosowaniu redundancji w oparciu o architekturę HA.

WAŻNE !!! System bezpieczeństwa nad sesją bankowości internetowej jest rozwiązaniem całkowicie przezroczystym i nie wymaga żadnych dodatkowych ingerencji ze strony operatorów bankowości internetowej.

Jedynym niezbędnym elementem jest konfiguracja parametrów systemu w oparciu o wymagania poszczególnych banków, obejmująca sposób reagowania na wykryte podatności. Rozwiązanie zapewnia kilka sposobów reagowania na wykryte nadużycia w obszarze integralności sesji:

  • wysłanie komunikatu o kompromitacji sesji w nagłówku HTML bezpośrednio do systemu bankowego
  • wysłanie szczegółowych informacji o rodzaju wykrytego zagrożenia w logu na serwerze WSF zainstalowanym w centrali BS
  • automatyczny reset sesji połączeniowej do strony logowania wraz z informacją w logu na serwerze w centrali BS.

Zaletą CodeSealer'a WSF Web Session Firewall jest to, że działa w realnej infrastrukturze banku – dostawcy usługi i zabezpiecza sesję bankowości internetowej po stronie Klienta przed podatnościami.

Podobnym rozwiązaniem, obecnie bardzo popularnym, jest system amerykańskiej firmy CloudFlare. Zapewnia on m.in.: optymalizację SSL i szyfrowanie, jednak dla banku jest rozwiązaniem działającym na infrastrukturze zewnętrznej – WAF Web Application Firewall – posiada zestaw reguł z wbudowaną zaporą działającą w chmurze w czasie rzeczywistym. Chroni przez zautomatyzowanymi atakami oraz chroni SQL i XSS.

W razie pytań i zainteresowania omawianym oprogramowaniem firmy CodeSealer prosimy o kontakt. Na życzenie prześlemy Państwu pakiet informacji technicznych dotyczących tego rozwiązania.

Zapraszamy do kontaktu z naszymi specjalistami!

 

Servus Comp Data Security , Mazowiecka 25/502  30-019 Kraków  
tel.  +48 12 631 91 22   biuro@servus-comp.pl
PODEJMIEMY DLA PAŃSTWA KAŻDE WYZWANIE!

 

Dodaj komentarz