Сетевая безопасность. Базовые технологии безопасности. Технологии аутентификации

Хорошо известной системой, работающей в открытых сетях, является система аутентификации Kerberos (TM), которая была разработана в рамках проекта Athena в MIT (SNS88, BM91, KN93). Система Kerberos базируется на алгоритме DES и использует специальный сервер, который хранит секретные ключи всех пользователей и услуг. Он может генерировать коды, которые позволяют пользователям и процессам идентифицировать себя в других системах. Как в любой схеме с распределенной аутентификацией, эти верительные коды работают в пределах местного административного домена. Следовательно, если пароль пользователя раскрыт, злоумышленник будет способен маскироваться под этого пользователя и проникнуть в любую систему, обслуживаемую Kerberos. Так как сервер Kerberos знает все секретные ключи, он должен быть достаточно безопасным. Ключи сессии Kerberos могут использоваться для обеспечения конфиденциальности при обмене между

Асимметричная криптография

В конце 1970, главным прорывом в криптографии стала разработка асимметричной криптографии. Здесь  для шифрования и дешифрования используются разные ключи, которые генерируются совместно. Наилучшая асимметричная система базируется на алгоритме, предложенном Rivest, Shamir и Adleman, и называется по инициалам авторов RSA (RSA78).

SPX представляет собой  экспериментальную систему, которая  преодолевает ограничения системы Kerberos путем применения криптографии с общедоступным ключом RSA (TA91). SPX предполагает глобальную иерархию сертифицирующих узлов по одному или более для каждого из партнеров. Она использует цифровую подпись, которая состоит из строки кодов, зашифрованных секретным ключом отправителя, и которая может быть проверена с помощью соответствующего общедоступного ключа. Общедоступные ключи предполагаются правильными, так как получены с сертифицирующей подписью. Критические секции аутентификационного обмена шифруются посредством общедоступных ключей получателя, что препятствует атаке воспроизведения.

 Криптографические  контрольные суммы

Криптографические контрольные  суммы являются одним из наиболее важных средств разработчиков криптографических  протоколов. Криптографическая контрольная сумма или MIC (Message Integrity Checksum) служат для контроля целостности сообщений и аутентификации. Например, Secure SNMP и SNMPv2 вычисляют криптографическую контрольную сумму MD5 для совместного секретного блока данных и информации, которая должна быть аутентифицирована (Rivest92, GM93). Это служит для того, чтобы аутентифицировать источник данных при этом предполагается, что эту сумму крайне трудно фальсифицировать. Она не указывает на то, что сами посланные данные корректны, а лишь на то, что они посланы именно данным отправителем. Криптографические контрольные суммы могут использоваться для получения относительно эффективной аутентификации, и особенно полезны при обмене ЭВМ-ЭВМ. Главная трудность реализации - передача ключей.

4.6 Аутентификация  пользователя на ЭВМ

Существует много различных  подходов к проблеме аутентификации пользователя в удаленных ЭВМ. Имеется  две угрозы при доступе к удаленной ЭВМ. Во-первых, злоумышленник может перехватить идентификатор и пароль пользователя и позднее воспользоваться ими при атаке "воспроизведения". Во-вторых, сама форма пароля позволяет хакеру попытаться его угадать.

В настоящее время большинство  систем используют открытый текст для передачи паролей по сетевым каналам, что сильно упрощает их перехват (Anderson84, Kantor91). Такая система не обеспечивает адекватной защиты от атак воспроизведения, когда злоумышленник сумел заполучить идентификатор и пароль удаленного пользователя.

Современные системы аутентификации часто являются многофакторными:

- Шифрованное имя (login);

- Шифрованный пароль;

- Карта доступа (например, USB c сертификатом и одноразовыми параметрами доступа, например, SSO). Такая карта может быть также и ключом доступа в определенные помещения;

- Биомерия (голос, отпечаток пальца, ладони или радужка глаза).

4.7 Аутентификация  сетевых услуг

Кроме необходимости аутентификации пользователей и ЭВМ друг другу, многие сетевые услуги сами нуждаются в аутентификации.

Наиболее общий случай в настоящее время - это отсутствие поддержки в протоколе какой-либо аутентификации. Bellovin и другие документировали многие случаи, когда существующие протоколы могут использоваться для атаки удаленной ЭВМ, так как там не существует встроенной процедуры аутентификации (Bellovin89).

Некоторые протоколы предоставляют  возможность передачи незащищенных паролей совместно с протокольной информацией. Исходные протоколы SNMP использовали этот метод, многие маршрутные протоколы продолжают его использовать и сейчас (Moy91, LR91, CFSD88). Этот метод полезен, так как несколько повышает безопасность передачи.

Существует много протоколов, которые нуждаются в поддержке  более строгих аутентификационных механизмов. Например, известно, что  протокол SNMP нуждается в существенном усилении аутентификации. Это вызвало разработку протоколов Secure SNMP, которые поддерживают опционную аутентификацию, используя цифровую подпись и опционное шифрование с привлечением алгоритма DES. Цифровые подписи, используемые в Secure SNMP, базируются на добавлении криптографической контрольной суммы к SNMP-информации. Криптографическая контрольная сумма вычисляется с использованием алгоритма MD5 и секретного кода, используемого совместно обоими партнерами обмена.

Технология цифровой подписи  должна рассматриваться как необходимое средство при разработке новых технологий аутентификации (но не конфиденциальности). Цифровые подписи могут использовать ключи и методы как симметричной, так и асимметричной криптографии. Если доступна централизованная система распределения ключей, опционная поддержка цифровой подписи может быть обеспечена для большинства протоколов с минимальными издержками. Каждый протокол может столкнуться проблемой пересылки ключей и установки параметров обмена, и это приведет к усложнению использования техники цифровой подписи.

Для случаев, когда требуется  аутентификация и конфиденциальность для схемы коммуникации ЭВМ-ЭВМ, может быть применено шифрование, базирующееся на симметричной или асимметричной  схеме, или даже на их комбинации. Использование  асимметричной криптографии упрощает управление раздачей ключей. Каждая ЭВМ шифрует свою информацию перед отправкой, безопасность же внутри машины обеспечивается средствами операционной системы ЭВМ.

В некоторых случаях, возможно включающих электронную почту, может оказаться желательным обеспечить безопасность в пределах приложения на уровне пользователь-пользователь, а не ЭВМ-ЭВМ. Безопасная почта PEM использует именно этот подход (Linn93, Kent93, Balenson93, Kaliski93).

 

 

 

 

 

 

 

 

 

 

 

 

 

ЗАКЛЮЧЕНИЕ

Многие производители  сетевого и телекоммуникационного  оборудования обеспечивают поддержку работы с каким-либо одним продуктом защиты системы (Firewall, Kerberos, различные методы аутентификации и т. д.) своих устройств. Однако использование какого-либо отдельного продукта, обеспечения безопасности или некоторую малую их конфигурацию, не является 100% решением всех проблем, связанных с попытками несанкционированного доступа в сетях к информации (например, использование паролей реальных пользователей с гарантированным доступом к информации).

Ни одна компьютерная система  защиты не является абсолютно безопасной. Однако, соблюдая адекватные меры защиты, можно в значительной мере затруднить доступ к системе, снизить эффективность усилий взломщика (отношение средних затрат на взлом защиты системы и ожидаемых результатов), то есть проникновение в систему становится нецелесообразным. При этом увеличивается возможность того, что администратор заметит попытки внедрения в систему и примет незамедлительно меры. Таким образом, особую роль в защите системы играет системный администратор и , следовательно, какими бы средствами защиты не обладало предприятие, система, качество защиты будет зависеть от способностей и усилий именно администратора.

 

 

 

 

 

 

ЛИТЕРАТУРА 

1. http://book.itep.ru/6/tech_61.htm (технические средства безопасности)
2. http://book.itep.ru/6/vlan_62.htm (виртуальные локальные сети Интранет, VLAN)
3. http://book.itep.ru/6/fwal_63.htm (система Firewall)
4. http://book.itep.ru/6/authent.htm (аутентификация)
5. http://www.networkcomputing.com/wan-security-tech-center/
6. http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=xspa
7. http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=dss-x
8. Евсеев Г.А., Симонович С.В. , «Windows XP: Полный справочник в вопросах и ответах», Москва, «АСТ-ПРЕСС КНИГА»,203 год, стр. 385 - 405
9. МакКузик М.К., Невилл-Нил Дж.В. , «FreeBSD: архитектура и реализация», Москва, «КУДИЦ-ОБРАЗ», 2006 год, стр. 471 – 474
10. Олифер В., Олифер Н., «Сетевые операционные системы», Санкт-Петербург, «Питер», 2002 год,  стр. 468 – 513