Информационная безопасность. Парольная аутентификация.

Итак, руководство компании приняло решение об укреплении системы безопасности своей информационной системы. Возможно, на это даже выделена n-я сумма денег и вы предвкушаете скорое приобретение парочки новых серверов и фейрволла. Однако отнеситесь внимательно к тому, что вы уже имеете – используете ли вы в полной мере возможности Windows?

Операционные системы Windows имеют множество средств для предотвращения вторжения злоумышленников в ваше информационное пространство. Многие из них на первый взгляд кажутся слишком простыми и примитивными, однако именно они оградят вас от вреда, который могут причинить системе  неосторожные действия большого числа  пользователей.

Кто угрожает вашему информационному пространству?

Печальная статистика утверждает, что ущерб от неосторожных и неправомерных действий сотрудников в несколько раз превышает  объем причиненного вреда  от действия вирусов и хакерских атак.  И это несмотря на то, что количество инцидентов по вине внешних и внутренних нарушителей спокойствия соизмеримо. Хотя внешних злоумышленников намного больше, однако не так много тех из них, которые по-настоящему мотивированы. Наемных профессионалов по взлому на самом деле не так много. Значительно больше школьников и студентов, действия которых в большей степени неосознанны.

У внутреннего нарушителя стимулов может быть больше: от банальной обиды до материальной выгоды в случае подкупа со стороны конкурентов. Зато возможностей  - не в пример больше: он является легальным пользователем сети, имеет  доступ к определенным ресурсам, может пользоваться корпоративными приложениями на законных основаниях.

Управление доступом – первая линия обороны

Идентификация и аутентификация – основа программно-технических средств безопасности.  Это первая линия обороны, проходная информационного пространства.

Идентификация позволяет пользователю назвать свое имя.

Аутентификация (проверка подлинности) позволяет системе убедиться, что человек действительно тот, за кого себя выдает.

Пользователь может подтвердить свою подлинность, используя один из следующих аспектов:

- нечто, что он знает (пароль, личный идентификационный номер);

- нечто, чем он владеет (личная карточка, носитель криптографического ключа);

- нечто, что есть часть его самого (голос, отпечатки пальцев, т.е. свои биометрические характеристики).

http://comp.web-3.ru/softrev/?act=full&id_article=3740

Достоинства и недостатки парольной аутентификации

Главное достоинство парольной аутентификации – простота и привычность.  При правильном использовании пароли могут обеспечить приемлемый для многих организаций уровень безопасности. Однако это самое слабое средство проверки безопасности.

Чтобы пароль был запоминающимся, его зачастую делают простым. Однако простой пароль легко угадать, хотя бы  методом перебора.

Ввод пароля можно подсмотреть. Иногда для подглядывания используются даже оптические приборы.

Иногда пароли сообщают коллегам, чтобы те могли на некоторое время подменить владельца пароля.  Теоретически в подобных случаях более правильно задействовать средства управления доступом, но на практике так никто не поступает. А тайна, которую знают двое, уже не тайна.

Отказаться от парольной защиты?

Ни в коем случае! Существует множество приложений, которые способны сделать ее достаточно надежной, даже для внешнего прослушивания.

Достаточно сильным средством, устойчивым к пассивному прослушиванию сети, являются одноразовые пароли. Наиболее известным программным генератором одноразовых паролей является система S/Key компании Bellcore, которая имеет статус Internеt-стандарта.  В состав ОС Windows она не входит, однако успешно функционирует под Windows. Средства, потраченные на ее приобретение, безусловно себя оправдают.

 Система S/Key основана на технологии клиент-сервер, где клиентом обычно является персональный компьютер, а сервером  — сервер аутентификации. Идея этой системы состоит в следующем. Пусть имеется односторонняя функция f (т.е. функция, вычислить обратную которой за приемлемое время не представляется возможным). Эта функция известна и пользователю, и серверу аутентификации. Пусть, кроме того, имеется секретный ключ К, известный только пользователю.

На этапе начального администрирования пользователя функция f применяется к ключу К n раз, после чего результат сохраняется на сервере. После этого процедура проверки пользователя выглядит так:

                - сервер присылает на пользовательскую систему число n-1;

                - пользователь применяет функцию f к секретному ключу К n-1 раз и отправляет результат по сети на сервер аутентификации;

                - сервер применяет функцию f к полученному от пользователя значению и сравнивает результат с ранее сохраненной величиной. В случае совпадения подлинность пользователя считается установленной, сервер запоминает новое значение (присланное пользователем) и уменьшает на единицу счетчик n.

А вот другое  программное средство для управление доступами – Kerberos – имеется в системах Windows, однако зачастую не используется, когда в нем имеется острая необходимость.

Kerberos предназначен для решения следующей задачи. Имеется открытая (незащищенная) сеть, в узлах которой сосредоточены субъекты – пользователи, а также клиентские и серверные программные системы. Клиентскую систему обозначим C, а серверную – S. S не станет обслуживать C, пока последний не докажет свою подлинность. Но С не может просто послать свой секретный ключ S по двум причинам:

- сеть открыта (доступна для активного и пассивного прослушивания);

- S не знает (и не должен знать) секретный ключ С.

Система Kerberos представляет собой доверенную третью сторону, владеющую секретными ключами обслуживаемых субъектов и помогающую им в попарной проверке подлинности.  

Чтобы получить доступ к S, С посылает Kerberos запрос, содержащий сведения о себе и о запрашиваемой услуге. В ответ Kerberos возвращает так называемый БИЛЕТ, зашифрованный секретным ключом сервера, и копию части информации из билета, зашифрованную секретным ключом клиента. Клиент должен расшифровать вторую порцию данных и переслать ее вместе с билетом серверу. Сервер, расшифровав билет, может сравнить его содержимое с дополнительной информацией, присланной клиентом. Совпадение свидетельствует о том, что клиент смог расшифровать предназначенные ему данные (ведь содержимое билета никому, кроме сервера и Kerberos, недоступно), т.е. продемонстрировал знание секретного ключа. Значит, клиент – именно тот, за кого себя выдает. При этом секретные ключи в процессе проверки подлинности не передавались по сети, они только использовались для шифрования.

И уж, конечно, не следует забывать, что организация домена сильно повысит уровень безопасности в вашей локальной сети:  http://comp.web-3.ru/softrev/?act=full&id_article=3740 . Домен имеет достаточно строгую политику парольной защиты. Windows Server 2008 – ваш надежный помощник в организации домена.

Итак, операционные системы Windows достаточно безопасны уже на самом начальном  своем уровне. Используйте этот факт и выбирайте:

(0 голосов)