Олифер В.Г., Олифер Н.А. - Компьютерные сети. Принципы, технологии, протоколы (4-ое изд.) - 2010 - обработка (953099), страница 216
Текст из файла (страница 216)
Результат вычислений сравнивается с полученным по сети дайджестом. Помимо обеспечения целостности сообщений, дайджест может быть использован в качестве электронной подписи для аутентификации передаваемого документа. Построение односторонних функций является трудной задачей. Такого рода функции должны удовлетворять двум условиям: О по дайджесту, вычисленному с помощью данной функции, должно быть невозможно каким-либо образом вычислить исходное сообщение; О должна отсутствовать возможность вычисления двух разных сообщений, для которых с помощью данной функции могли быть вычислены одинаковые дайджесты. Наиболее популярной в системах безопасности в настоящее время является серия хэшфункций М02, МР4, МР5.
Все они генерируют дайджесты фиксированной длины 16 байт. Адаптированным вариантом МР4 является американский стандарт ЯНА, длина дайджеста в котором составляет 20 байт. Компания 1ВМ поддерживает односторонние функции МРС2 и МРС4, основанные на алгоритме шифрования РЕЯ. Аутентификация, авторизации, аудит Понятие аутентификации Аутентификация наряду с авторизацией (о которой рассказывается далее) представляет собой фундаментальный атрибут информационной безопасности. Термин «аутентификация» (апгЬепг1савоп) происходит от латинского слова аптпепг1спз, которое означает подлинный, достоверный, соответствующий самому себе. Аутентификация, или, другими словами, процедура установления подлинности, может быть применима как к людям, так и другим объектам, в частности к программам, устройствам, документам.
ййтввтификвцив пояьэоввтвяв — это процедура доквэвтеяьотва йояьзо»автолом того, что, в) вать тот, эв кого овбя выдает. В частности, при выполнении логического входа в защищенную систему пользователь должен пройти процедуру аутентификации, то есть доказать, что именно ему принадлежит введенный им идентификатор (имя пользователя).
Аутентификация предотвращает доступ к сети нежелательных лиц и разрешает вход для легальных пользователей. В процедуре аутентификации участвуют две стороны: одна сторона доказывает свою аутентичность, предъявляя некоторые доказательства, другая сторона — аутентнфикатор — проверяет эти доказательства и принимает решение. В качестве доказательства аутентичности применяются самые разнообразные приемы; О аутентифицируемвгй может продемонстрировать знание некоего общего для обеих сторон секрета; слова (пароля) или факта (даты и места события, прозвища человека и т. п.); '»4 аутентифицируемый может продемонстрировать, что он владеет неким уникальным предметом (физическим ключом), в качестве которого может выступать, например, электронная магнитная карта; Ввт Ачгентификация, авторизации, аудит Сг аутентифицируемый может доказать свою идентичность, используя собственные биохарактеристики: рисунок радужной оболочки глаза или отпечатки пальцев, которые предварительно были занесены в базу данных аутентификатора.
Сетевые службы аутентификации строятся на основе всех этих приемов, но чаще всего для доказательства идентичности пользователя применяют пароли. Простота и логическая ясность механизмов аутентификации на основе паролей в какой-то степени компенсирует известные слабости паролей. Это, во-первых, возможность раскрытия и разгадывания паролей, во-вторых, возможность чподслушивания» пароля путем анализа сетевого графика. Для снижения уровня угрозы раскрытия паролей администраторы сети, как правило, применяют встроенные программные средства, служащие для формирования политики назначения и использования паролей: задание максимального и минимального сроков действия пароля, хранение списка уже использованных паролей, управление поведением системы после нескольких неудачных попыток логического входа и т.
п. ПРИМЕЧАНИЕ Многие пользователи пренебрегают угрозами, которые несут э себе легко угааываемые пароли. Так, червь Мцпш, поразивший компьютерные сети в 2003 году, искал свои жертвы, подбирая пароли из очень короткого списка: раззиог4, рашид, а4ш1о, рам, 123, 1234, 12345, 123456 и пустая строка. Такая на удивление примитивная стратегия дала прекрасные (с точки зрения атакующей стороны) результаты — множество компьютеров было взломано.
Легальность пользователя может устанавливаться но отношению к различным системам. Так, работая в сети, пользователь может проходить процедуру аутентификации и как локальный пользователь, который претендует на ресурсы только данного компьютера, и как пользователь сети, желающий получить доступ ко всем сетевым ресурсам. При локальной аутентификации пользователь вводит свои идентификатор и пароль, которые автономно обрабатываются операционной системой, установленной на данном компьютере. При логическом входе в сеть данные о пользователе (идентификатор и пароль) передаются на сервер, который хранит учетные записи всех пользователей сети.
Однако такая упрощенная схема имеет большой изъян — при передаче пароля с клиентского компьютера на сервер, выполняющий процедуру аутентификации, этот пароль может быть перехвачен злоумышленником. Поэтому применяются разные приемы, чтобы избежать передачи пароля по сети в незащищенном виде. Аутентификация, в процессе которой используютоя методы шифрования, а аутентификационная информация не передаетоя по сети, называется строгой.
Многие приложения имеют собственные средства определения, является ли пользователь законным. И тогда пользователю приходится проходить дополнительные этапы проверки. Как уже отмечалось, в качестве объектов, требующих аутентификации, могут выступать не только пользователи, но и различные приложения, устройства, текстовая и другая информация. Так, пользователь, обращающийся с запросом к корпоративному веб-серверу, должен доказать ему свою легальность, но он также должен убедиться сам, что ведет диалог действительно с веб-сервером своего предприятия. Другими словами, сервер и клиент должны пройти процедуру взаимной аутентификации. Здесь,мы имеем дело с аутентификацию"г на иоовне ноилолсений.
888 Глава 24. Сетевая безопасность При установлении сеанса связи между двумя устройствами также часто предусматриваются процедуры взаимной аулмншнфиещии устройств на более низком, канальном, уровне (см. далее раздел «Строгая аутентификация на основе многоразового пароля в протоколе СНАР»). Ауглентификация данных означает доказательство целостности этих данных„а также то, что они поступили именно от того человека, который объявил об этом. Для этого используется механизм электронной подписи. Ранее мы уже узнали, как используется для аутентификации данных несимметричное шифрование. Авторизация доступа термин авторизация (ацгьопхаг1оп) происходит от латинского слова ацсгопгаз, показывающее уровень престижа человека в Древнем Риме и соответствующие этому уровню привилегии. авторизация — зто процедура контроля доступа легальных пользоеателед к ресурсам системы и предоставление каждому из иих иыенио тех прав; которые ему были определены администрапгром.
В отличие от аутентификации, которая позволяет распознать легальных и нелегальных пользователей, авторизация имеет дело только с легальными пользователями, успешно прошедшими процедуру аутентификации. Помимо предоставления пользователям прав доступа к каталогам, файлам и принтерам, средства авторизации могут контролировать возможность выполнения пользователями различных системных функций, таких как локальный доступ к серверу, установка системного времени, создание резервных копий данных, выключение сервера и т. п. Средства авторизации наделяют пользователя сети правами выполнять определенные действия по отношению к определенным ресурсам.
Для этого могут применяться различные формы предоставления правил доступа, которые часто делят на два класса: 0 Избирательный доступ наиболее широко используется в компьютерных сетях. При этом подходе определенные операции с определенным ресурсом разрешаются или запрещаются пользователям или группам пользователей, явно указанным своими иденшификашорами, например: «пользователю Пзег Т разрешено читать и записывать в файл Р11е1». 0 Мандатный подход к определению прав доступа заключается в том, что вся информация делится на уровни в зависимости от степени секретности, а все пользователи сети также делятся на группы, образующие иерархию в соответствии с уровнем допуска к этой информации. Такой подход позволяет классифицировать данные на информацию для служебного пользования, а также секретную и совершенно секретную информацию.
Пользователи этой информации в зависимости от определенного для них статуса получают разные формы допуска: первую, вторую или третью. В отличие от систем с избирательными правами доступа, в системах с мандатным подходом пользователи в принципе не имеют возможности изменить уровень доступности информации. Например, пользователь более высокого уровня не может разрешить читать данные из своего файла пользователю, относящемуся к более низкому уровню. Отсюда видно, что мандатный подход является более строгим. вве Аутентификация, авторизации, аудит Процедуры авторизации часто совмещаются с процедурами аутентификации и реализуются одними и теми же программными средствами, которые могут встраиваться в операционную систему или приложение, а также поставляться в виде отдельных программных продуктов. При этом программные системы аутентификации и авторизации могут строиться на базе двух схем: Е( Централизованная схема, базирующаяся на сервере.
В этой схеме сервер управляет процессом предоставления ресурсов сети пользователю. Главная цель таких систем— реализовать «принцип единого входа». В соответствии с централизованной схемой пользователь один раз логически входит в сеть и получает на все время работы некоторый набор разрешений по доступу к различным ресурсам сети. Система КегЬегоз' с ее сервером безопасности и архитектурой клиент-сервер, а также более современная система ЯпЪЬо(е(Ь, построенная в той же архитектуре, являются наиболее известными системами этого типа.
Системы ТАСАСЯ и КАРП55, часто применяемые совместно с системами удаленного доступа, также реализуют этот подход. (3 Децентрализованная схема, базирующаяся на рабочих станциях. Прн этом подходе средства авторизации работают на каждой машине. Администратор должен отслеживать работу механизмов безопасности каждого отдельного приложения — электронной почты, справочной службы, локальных баз данных и т. п. Подчеркнем, что системы аутентификации и авторизации совместно решают одну задачу — обеспечение контроля доступа, поэтому к ним необходимо предъявлять одинаковый уровень требований. Ненадежность одного звена здесь не может быть компенсирована надежностью другого.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
