введення нових користувачів;
впровадження комп'ютерних вірусів і так далі.
Для забезпечення безпеки інформаційних систем застосовують системи захисту інформації, які є комплексом організаційно - технологічних мерів, програмно - технічних засобів і правових норм, направлених на протидію джерелам погроз безпеці інформації.
При комплексному підході методи протидії погрозам інтегруються, створюючи архітектуру безпеки систем. Необхідно відзначити, що будь-яка системи захисту інформації не є повністю безпечною. Завжди доводитися вибирати між рівнем захисту і ефективністю роботи інформаційних систем.
До засобів захисту інформації ІС від дій суб'єктів відносяться:
засоби захист інформації від несанкціонованого доступу;
захист інформації в комп'ютерних мережах;
криптографічний захист інформації;
електронний цифровий підпис;
захист інформації від комп'ютерних вірусів.
Під захистом інформації від несанкціонованого доступу понімається діставання доступу до ресурсів інформаційної системи шляхом виконання трьох процедур: ідентифікація, аутентифікація і авторизація.
Ідентифікація - привласнення користувачеві (об'єкту або суб'єктові ресурсів) унікальних імен і код (ідентифікаторів).
Аутентифікація - встановлення достовірності користувача, що представив ідентифікатор або перевірка того, що особа або пристрій, що повідомив ідентифікатор є дійсно тим, за кого воно себе видає. Найбільш поширеним способом аутентифікації є привласнення користувачеві пароля і зберігання його в комп'ютері.
Авторизація - перевірка повноважень або перевірка права користувача на доступ до конкретних ресурсів і виконання певних операцій над ними. Авторизація проводиться з метою розмежування прав доступу до мережевих і комп'ютерних ресурсів.
Для централізованого вирішення завдань авторизації в крупних мережах предназначена мережева служба Kerberos. Вона може працювати в середовищі багатьох популярних операційних систем. У основі цієї достатньо громіздкої системи лежить декілька простих принципів.
У мережах, що використовують систему безпеки Kerberos, всі процедури аутентифікації між клієнтами і серверами мережі виконуються через посередника, якому довіряють обидві сторони аутентифікаційного процесу, причому таким авторитетним арбітром є сама система Kerberos.
У системі Kerberos клієнт повинен доводити свою автентичність для доступу до кожної служби, послуги якої він викликає.
Всі обміни даними в мережі виконуються в захищеному вигляді з використанням алгоритму шифрування.
Мережева служба Kerberos побудована по архітектурі клієнт-сервер, що дозволяє їй працювати в найскладніших мережах. Kerberos-клиент встановлюється на всіх комп'ютерах мережі, які можуть звернеться до якої-небудь мережевої служби. У таких випадках Kerberos-клиент від імені користувача передає запит на Kerberos-сервер і підтримує з ним діалог, необхідний для виконання функцій системи Kerberos.
Отже, в системі Kerberos є наступні учасники: Kerberos-сервер, Kerberos-клиент і ресурсні сервери (рис. 4.1). Kerberos-клиенты намагаються дістати доступ до мережевих ресурсів - файлів, додатком, принтеру і так далі Цей доступ може бути наданий, по-перше, тільки легальним користувачам, а по-друге, за наявності у користувача достатніх повноважень, визначуваних службами авторизації відповідних ресурсних сервер, - файловим сервером, сервером додатків, сервером друку.
Рис. 4.1. Три етапи роботи системи Kerberos
Проте в системі Kerberos ресурсним серверам забороняється «безпосередньо» приймати запити від клієнтів, їм дозволяється починати розгляд запиту клієнта тільки тоді, коли на це поступає дозвіл від Kerberos-сервера. Таким чином, шлях клієнта до ресурсу в системі Kerberos складається з трьох етапів:
Визначення легальності клієнта, логічний вхід в мережу, отримання дозволу на продовження процесу діставання доступу до ресурсу.
Отримання дозволу на звернення до ресурсного сервера.
Отримання дозволу на доступ до ресурсу.
Для вирішення першого і другого завдання клієнт звертається до Kerberos-серверу. Кожне з цих завдань вирішується окремим сервером, що входить до складу Kerberos-сервера. Виконання первинної аутентифікації і видача дозволу на продовження процесу діставання доступу до ресурсу здійснюється так званим аутентифікаційним сервером (Authentication Server, AS). Цей сервер зберігає в своїй базі даних інформацію про ідентифікатори і паролі користувачів.
Другу задачу, пов'язану з отриманням дозволу на звернення до ресурсного сервера, вирішує інша частина Kerberos-сервера - сервер квитанцій (Ticket-Granting Server, TGS). Сервер квитанцій для легальних клієнтів виконує додаткову перевірку і дає клієнтові дозвіл на доступ до потрібного йому ресурсному серверу, для чого наділяє його електронною формою-квитанцією. Для виконання своїх функцій сервер квитанцій використовує копії секретних ключів всіх ресурсних серверів, які зберігаються у нього в базі даних. Окрім цих ключів сервер TGS має ще один секретний DES-ключ, який розділяє з сервером AS.
Третє завдання - отримання дозволу на доступ безпосередньо до ресурсу - вирішується на рівні ресурсного сервера.
Вивчаючи досить складний механізм системи Kerberos, не можна не задатися питанням: який вплив роблять всі ці численні процедури шифрування і обміну ключами на продуктивність мережі, яку частину ресурсів мережі вони споживають і як це позначається на її пропускній спроможності?
Відповідь вельми оптимістична - якщо система Kerberos реалізована і конфігурована правильно, вона трохи зменшує продуктивність мережі. Оскільки квитанції використовуються багато разів, мережеві ресурси, що витрачаються на запити надання квитанцій, невеликі. Хоча передача квитанції при аутентифікації логічного входу декілька знижує пропускну спроможність, такий обмін повинен здійснюватися і при використанні будь-яких інших систем і методів аутентифікації. Додаткові ж витрати незначні. Досвід впровадження системи Kerberos показав, що час відгуку при встановленій системі Kerberos істотно не відрізняється від часу відгуку без неї - навіть в дуже великих мережах з десятками тисяч вузлів. Така ефективність робить систему Kerberos вельми перспективною.
Серед вразливих місць системи Kerberos можна назвати централізоване зберігання всіх секретних ключів системи. Успішна атака на Kerberos-сервер, в якому зосереджена вся інформація, критична для системи безпеки, приводить до краху інформаційного захисту всієї мережі. Альтернативним рішенням могла б бути система, побудована на використанні алгоритмів шифрування з парними ключами, для яких характерний розподілене зберігання секретних ключів.
Ще однією слабкістю системи Kerberos є те, що початкові коди тих застосувань, доступ до яких здійснюється через Kerberos, мають бути відповідним чином модифіковані. Така модифікація називається «керберизацией» додатку. Деякі постачальники продають «керберизированные» версії своїх застосувань. Але якщо немає такої версії і немає початкового тексту, то Kerberos не може забезпечити доступ до такого застосування.
4.2 Настройка мережевих служб для здійснення авторизації доступу до мережі Інтернет
Класичним вирішенням стандарта підприємства для організації Інтернет-сервісів є сервер під управлінням UNIX. Практично завжди для Web і FTP трафіку використовують кеширующий сервер SQUID, який також є стандартом de facto.
Стандартним способом надання доступу до SQUID-серверу є доступ на основі специалицированных списків доступу (Access Lists або ACL). У свою чергу списки доступу зазвичай будуються на основі IP-сетей, яким дозволений доступ до SQUID. Наприклад, визначимо ACL, яка описує мережу 10.128.0.0/16 (або з маскою 255.255.0.0). і ACL, яка описує взагалі все адресаsquid.conf:
acl net10128 src 10.128.0.0/16
acl all src 0.0.0.0/0
а зараз дозволимо їй доступ до Інтернет ресурсам
http_access allow net10128
а всім останнім - заборонимо:
http_access deny all
Після цього, тільки комп'ютерам із заданої мережі дозволений доступ до Інтернет. При використанні Internet-ресурсов, в балку-файл squid записується інформація про конкретну адресу, що запитала конкретний Інтернет-ресурс: acess.log:
1032862411.262 96 10.128.15.4 TCP_MEM_HIT/200 2581 GET
http://www.ru/eng/images/ssilki.jpg board/sag NONE/- image/jpeg
Тут присутсвует дата, розмір ресурсу, IP-адрес станції, зпросившей ресурс, і сам ресурс. З такого роду записів можна підрахувати трафік як по станції, так і по підмережі.
Проте приведена вище технологія дозволяє контролювати трафік по IP-адресу Інтернет-користувача. В більшості випадків цей спосіб цілком підходить, проте при цьому необхідно, щоб за конретним комп'ютером завжди працювала конкретна людина.
Ця умова виконується не завжди і тоді облік трафіку порушується. Ось типові умови, при яких потрібна інша схема авторизації в Інтернеті:
Різні користувачі працюють на одному і тому ж робочому місці (наприклад, позмінно).
Користувачі взагалі не прив'язані до конкретних комп'ютерів.
Користувачі працюють в термінальних сесіях термінального сервера. Тоді взагалі весь Інтернет-трафік йде з IP-адреса сервера.
Тому часто встає проблема обліку трафіку не на основі IP, а на основі іншої інформації.
4.2.1 Авторизація на основі логіна і пароля
Логічним вирішенням проблеми авторизація на основі логіна і пароля є авторизація в SQUID по логіну і раолю. Така можливість в SQUID, естесвенно передбачена. У SQUID для цього розроблена можливість авторизувати через зовнішню програму, яка просто "говорить" "та чи ні" на визначеного користувача і пароль. Т.ч. Можна проводити авторизацію по обліковому запису уміє проводити авторизацію через облікові записи UNIX, через текстові файли і тому подібне
Наприклад, для того, щоб користувач авторизувався через файл /usr/local/squid/passwd формату Веб-сервера-авторизації (формат Apache), потрібно скомпілювати squid разом з цим модулем (--enable-auth="ncsa; докладніше за див. документацію до SQUID). І в конфиг SQUID додати ACL вирішуюче правило:
Дозволити доступ користувачам dima petya vasya, паролі яких будуть перевірені через файл /usr/local/squid/passwd
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14
