Для предотвращения доступа в сеть незарегистрированных пользователей прежде
всего следует установить учетную запись (user account). Пока пользователь не
введет достоверное имя и пароль, указанные в учетной записи, он не сможет войти
в сеть. Например, в сетях Windows NT каждому пользователю назначают
персональную учетную запись с внутренним защитным кодом (SID — Security
Identifier), по которому операционная система однозначно идентифицирует
пользователя. Исключения из этого правила обычно делают только для учетной
записи Guest (гость), которая может использоваться кем угодно, кто знает ее
пароль.
Однако в ныне действующих сетях по этой учетной записи предоставляют весьма
ограниченный доступ к системе.
Защитный код (SID) определяет, что может делать в сети данный пользователь.
Например, когда кто-то пытается открыть файл, подсистема защиты (security
subsystem) проверяет этот файл, сверяет личность пользователя со списком тех,
кому разрешен доступ к файлу, а затем устанавливает тип доступа, который ему
предоставлен.
Примечание:
Тонкости работы средств организации разрешений на доступ зависят от
операционной системы, установленной на сервере.
Конец маскарада
Одна из проблем доступа заключается не только в создании средств,
принуждающих пользователей предъявлять "верительные грамоты" на право
использовать сетевые ресурсы, но также и в гарантии того, что злоумышленник не
подделает достоверную учетную запись и не присвоит себе личность пользователя —
не замаскируется под пользователя. Одним словом, важно удостовериться, что
учетные записи пользователя защищены, и никто не может замаскироваться под
зарегистрированного пользователя.
С этой целью можно скрывать имена пользователей и защищать пароли.
Скрытие имен пользователей. Прежде всего, следует защитить имена и пароли пользователей. Идентификация пользователя выполняется сопоставлением его имени с конкретным паролем, а не просто назначением пароля. Если злоумышленник не знает имени учетной записи пользователя, он не сможет войти в систему, даже если узнает пароль.
Совет:
Измените имена учетных записей, которым предоставлены особенно большие права,
например, администраторов Windows NT.
Правила защиты паролей. Пароли следует защищать еще в большей степени, чем имена пользователей. При назначении пароля необходимо следовать некоторым общим правилам.
Примечание:
Заставляя пользователей следовать этим правилам, ни в коем случае не
полагайтесь на хорошие личные отношения. Любая правильно спроектированная NOS
обеспечивает парольную защиту, контроль повторного использования (reuse cycles)
пароля и т.п. Некоторые дополнительные типы программ позволят указывать пароли,
которые невозможно применять.
Во-первых, регулярно заменяйте пароли. Это означает, что пароль
действителен, скажем, в течение 30 дней, после чего отправляется в "Дом
Престарелых Паролей". Кроме того, это означает, что вы обязаны установить
правила повторного использования паролей, согласно которым нужно выжидать
некоторый период времени, прежде чем можно будет использовать старый пароль. В
противном случае половина пользователей будут снова и снова назначать один и
тот же пароль, чтобы упростить себе вход в систему. Использование же устаревших
паролей рискованно.
Пароли должны быть трудны для отгадывания. Поэтому короткие и благозвучные
пароли неприемлемы; кроме того, установите для паролей некую минимальную длину
(Microsoft рекомендует не менее 11 символов) и не позволяйте людям использовать
ни одно из следующих слов.
● Имя пользователя, его супруги (супруга) либо имена детей.
● Дату рождения.
● Название любимой спортивной команды.
● Слова, так или иначе связанные с работой пользователя.
● Имена домашних животных.
Совет:
Немедленно заменяйте все используемые стандартные пароли. Списки стандартных
паролей для конкретного оборудования (в том числе пароли BIOS, которые вы
можете назначить для компьютера) можно без труда получить в онлайновом режиме
(online).
Чтобы затруднить угадывание паролей, вы можете записать их в необычной
форме.
Например, записывайте пароль задом наперед, придумывайте бессмысленные слова
либо вставляйте в них произвольные символы, например, mort$ician (mortician —
гробовщик). Кроме того, если ваша NOS и система идентификации способны
различать регистры символов паролей, используйте в пароле произвольные регистры
букв, скажем, FrOggiE. Наиболее защищенные пароли создаются генератором
случайных паролей (random password generator). К сожалению, такие пароли не
нравятся пользователям — например, JO%de)(Iwi832 — их трудно запомнить и точно
ввести.
Наконец, последнее правило защиты пароля гласит: никогда не записывайте пароль.
Все наши уловки затрудняют людям корректный ввод их собственных паролей (они
имеют обыкновение записывать пароли и приклеивать липучкой к монитору или под
клавиатурой).
Отбейте у них всякую охоту делать это.
Реализовать данные рекомендации нелегко, особенно потому, что иногда они
противоречат друг другу. Нелегко придумывать через каждые 30 дней новое слово
из 10 букв. Однако если следовать приведенным рекомендациям, угадать пароль для
вашей сети будет весьма нелегко.
Итак, теперь я в безопасности, правда? Пароль, назначенный надлежащим
образом, затрудняет случайный доступ по вашей учетной записи. Однако он не
может предотвратить намеренную попытку прорыва в систему и вы по-прежнему не
должны допускать посторонних в сеть.
Пароли, которые трудно угадать людям, уязвимы, тем не менее, со стороны
словарной атаки (dictionary attack), когда специальная программа вводит случайные
комбинации символов в экран входного диалога (login screen), пока одна из них
не совпадет с подлинным паролем.
Кроме того, пароли, пересылаемые по сети, могут перехватывать
программы-анализаторы (sniffers). Если пароли представляют собой простой текст,
оператор программы-анализатора без малейшего труда их перехватит. (Простой
текст незашифрован.
Подробнее о том, что это значит, вы узнаете в разделе "Шифрование
данных".) Если пароли зашифрованы, они, разумеется, тоже потенциально
опасны при перехвате, поскольку средства взлома паролей общедоступны (см.
ниже).
Идеалы L0pht
Организация, называемая L0pth (да, именно нуль) создала множество
инструментов, для испытания средств защиты продуктов в тяжелых режимах. В
частности, один из них, называемый L0phtcrack, предназначен для оценки
уязвимости шифрования паролей Windows NT.
Суть дела в следующем: Windows NT поддерживает два метода выполнения
вызовов/откликов (challenge/response techniques): NTML2 и LM (систему
вызова/отклика LAN Manager). Средства идентификации паролей LM весьма уязвимы с
точки зрения дешифрования.
Проблема заключается в способе, которым намеренно зашумленные (т.е.
зашифрованные) пароли разбиваются на части и идентифицируются. Система
идентификации LM позволяет при взломе разделять пароли на блоки размером в семь
байт. Напротив, система идентификации NTLM намного устойчивее к взлому. Никакой
пароль не устоит перед грубыми силовыми методами, однако для взлома системы
вызова/отклика NTLM требуется намного больше времени, чем для LM — несколько дней
вместо нескольких секунд.
Единственный путь полностью обойти проблемы LM: использовать в сети только
компьютеры Windows NT, а также установить пакет SP4. (Если используется хотя бы
один клиент Windows 95, следует поддерживать систему идентификации LM.) Подробное
описание проблемы и возможные решения можно найти по адресам:
http://www.l0pht.com/10phtcrack/rant.html
http://support.microsoft.com/support/kb/articles/ql47/7/06.asp.
И эти инструменты работают. Введите в L0phtcrack пароль, зашифрованный с
помощью технологии LM —программа расшифрует его за несколько секунд (в
зависимости от мощности компьютера).
Биометрические устройства и интеллектуальные карты
Для идентификации доступа пользователей в систему иногда используют средства, не требующие ввода паролей. В некоторых сетях с повышенными мерами защиты для идентификации личности используют интеллектуальные карты (smart cards), биометрические устройства (biometric devices) или и то, и другое. Кроме того, такие устройства могут обеспечить защитную аутентификацию (secure authentication) пользователей, которые не приучены обращаться с паролями. Их можно также применять, если защита паролями слишком громоздка, но, тем не менее, необходима.
Медосмотр с помощью системы защиты. Биометрические устройства однозначно идентифицируют
пользователя на основе некоторых физиологических характеристик, например,
отпечатков пальцев или ладони, рисунка сетчатки глаза, "отпечатка"
голоса (voice print).
Встречаются и другие методы идентификации подобного рода. Главное — предельно упростить
ввод пароля в систему. Человеческий мозг может воспринимать пароли длиной не
более И символов. Структура же кровеносных сосудов человеческого глаза
абсолютно уникальна, а подделать ее весьма трудно. Эту, а также и другие
структуры, свойственные только вам, можно отсканировать и оцифровать, т.е.
преобразовать в единицы и нули — точно так же, как модем "переводит"
аналоговые данные в цифровые, необходимые для работы компьютера. Затем
оцифрованные изображения сохраняются точно так же, как файл со списком паролей.
Когда вы предоставляете сканеру отпечатки вашего пальца (глаза, руки, голоса),
оригинал сканируется и оцифровывается, а затем сравнивается с образцом,
хранящимся в системе. Если соответствие достаточно близкое, система позволяет
войти в сеть (или сегмент сети).
До недавних пор биометрические устройства использовались исключительно в
правительственных сетях с высшей степенью защиты. Идентификация по отпечатку
голоса "страдает" недостатком, обусловленным тем, что голос человека
звучит по-разному в зависимости от времени дня и настроения человека.
Сканирование сетчатки нередко ведет к ошибкам, если, скажем, глаз человека
наливается кровью из-за сенной лихорадки. Поэтому на случай отказа механизма
биометрической идентификации следует предусмотреть какой-либо иной код (ID) —
иначе вам просто не войти в систему. Система идентификации, которая пылится на
полке, никому не нужна.
Последние усовершенствования программных средств распознавания голоса и другие
технологии значительно подняли доверие к инструментам биометрической
аутентификации (biometric authentication tools). По мере роста надежности эти
средства стали все шире применяться для идентификации личности. Тем не менее,
пока что они не слишком популярны и главным образом потому, что создают неудобства
людям. Возможно, вам повезет, и вы сумеете убедить их в обратном ("Мы
установим систему, в которой не надо вводить пароли!!!"). В частности,
удобства таких систем в большей мере ощущают люди, далекие от техники. Кроме
того, "щадящие" биометрические устройства, вроде сканеров отпечатков
пальцев, воспринимаются благожелательнее, чем, например, сканеры сетчатки
глаза.
Использование интеллектуальных карт. Все большее число фирм в крупных
городах США требуют от служащих обзавестись идентификационными карточками
(badges). Федеральное правительство добивается этого целую вечность. С недавних
пор этого же требуют частные фирмы и даже общественные школы. Как правило, на
идентификационные карточки помещают фотографии владельцев, а также их имена
либо иной идентификатор (в особо защищенных картах имена не указывают). Нередко
в идентификационных карточках предусмотрена цветовая кодировка, позволяющая
охраннику с одного взгляда установить, имеет ли владелец право находиться в
данной части здания или местности.
В простейшем случае карточка содержит только фотографию и код, вроде того, что
содержится на водительских удостоверениях. Интеллектуальные карты (smart cards)
помимо этой информации включают своего рода электронную подпись (electronic
signature), хранящуюся на магнитной полосе (magnetic strip) карты. Примером
интеллектуальной карты может быть кредитная карточка, в которой на магнитной
полосе хранится номер вашего счета. Еще один пример, когда ввод данных
пользователем необязателен — это запирающая система (gate system). Здесь
владелец карточки, чтобы отпереть дверь, должен протянуть ее через цифровой
сканер (digital scanner). Независимо от того, должен ли пользователь вводить
код либо просто протянуть карточку через щель, при несовпадении введенного кода
с записанным в памяти доступ воспрещается.
Примечание:
В качестве интеллектуальных карт тоже можно использовать биометрические
устройства.
Некоторые фирмы производят карты, которые в качестве цифровой сигнатуры
используют оцифрованный отпечаток пальцев (digitized fingerprint).
Все мы уже привыкли использовать интеллектуальные карты в качестве кредитных карточек, а также для входа в здание. Кроме того, их постепенно начинают использовать и для доступа в компьютеры и сети. Основные операционные системы оснащают средствами поддержки интеллектуальных карт, а в некоторых они уже реализованы.
Организация прав пользователей
Итак, наконец пользователь, так или иначе, идентифицирован и получил доступ в систему. Это отнюдь не означает, что он автоматически получает все права на доступ к файлам. В любой достаточно защищенной сетевой операционной системе доступ пользователя определяется группой, в которую он входит. Хитрость заключается в использовании преимуществ этой системы путем ограничения прав пользователя на доступ к функциональным средствам, которые ему необходимы. В гл. 10 рассматривались некоторые методы, используемые в серверах Windows NT и NetWare для организации прав пользователей и разрешений. Мы вернемся к этому вопросу.
Домены Windows NT и средство обслуживания Active Directory. Независимо от
того, предусмотрена ли в серверах доменная структура или средство Active
Directory (Активный каталог), в операционных системах Windows NT и Windows 2000
используются по существу одинаковые методы организации работы пользователей.
Пользователем (user) называют члена одной или нескольких групп, причем каждой
группе назначают код группы (Group ID — GID) и предоставляют определенные
права. В зависимости от назначенных прав и разрешений, члены данной группы
могут читать имеющиеся файлы, создавать новые, использовать сетевые устройства,
запускать утилиты администрирования (administration utilities), а также
пользоваться многими другими правами и разрешениями, предусмотренными
операционной системой.
Кроме того, пользователям можно предоставлять индивидуальные права и
разрешения, однако каждый пользователь должен входить, по крайней мере, в одну
группу.
Примечание:
На жаргоне Windows NT действия пользователя, определяются его правами, а
объекты, к которым он может получить доступ, - разрешениями.
Если пользователь входит сразу в несколько групп, имеющих разные права, применяется наиболее полный набор прав (они "суммируются"). Единственное исключение — запрет группе выполнять какое-либо действие (пользователю запрещается исполнять это действие, даже если оно разрешено другой группе, в которую он входит).
Средство обслуживания NetWare (NDS) фирмы Novell. Вместо предоставления
прав пользователям и группам, в системе NDS (NetWare Directory Services —
средство обслуживания каталогов NetWare) организует их в соответствии с
организационными единицами (OU — Organizational Unit). Как правило, OU
представляет собою группу коллег по работе или одно подразделение фирмы, однако
она определена на пользовательской основе, а потому численность OU не ограничена
и допускает любую структуру организации.
В отличие от доменной системы Windows NT, система NDS позволяет пользователю
одновременно входить в единственную OU. Таким образом, чтобы изменить массив
разрешений для конкретного пользователя, его следует перевести в другую OU. При
последующем входе в систему пользователь получит для работы новый набор
разрешений.
Настройка WinGate
После своего запуска программа WinGate начинает работать в фоновом режиме: о том, что она загружена, свидетельствует значок приложения, отображающийся рядом с системными часами в Области уведомлений W ...
Хранение данных
Системы для работы с файлами, являются прародителями всех сетевых файловых
серверов. Вы можете не нуждаться в услугах сетевой связи или
многопользовательских приложений (в некоторых сетях обходятся...
Настройка локальной сети перед установкой WinRoute
Как и в случае с WinGate, перед установкой WinRoute необходимо специальным образом изменить конфигурацию локальной сети и операционной системы на всех компьютерах, на которых планируется установить эт...
Идентификация и аутентификация - это первая линия обороны, "проходная" информационного пространства организации.
Идентификация позволяет субъекту (пользователю, процессу, действующему от имени определенного пользователя, или иному аппаратно-программному компоненту) назвать себя (сообщить свое имя).
Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова "аутентификация" иногда используют словосочетание "проверка подлинности".
Аутентификация бывает односторонней (обычно клиент доказывает свою подлинность серверу) и двусторонней (взаимной). Пример односторонней аутентификации - процедура входа пользователя в систему.
В сетевой среде, когда стороны идентификации/аутентификации территориально разнесены, у рассматриваемого сервиса есть два основных аспекта:
- · что служит аутентификатором;
- · как организован (и защищен) обмен данными идентификации/ аутентификации.
Субъект может подтвердить свою подлинность, предъявив по крайней мере одну из следующих сущностей:
- · нечто, что он знает (пароль, личный идентификационный номер, криптографический ключ и т.п.);
- · нечто, чем он владеет (личную карточку или иное устройство аналогичного назначения);
- · нечто, что есть часть его самого (голос, отпечатки пальцев и т.п., то есть свои биометрические характеристики).
В открытой сетевой среде между сторонами идентификации/аутентификации не существует доверенного маршрута; это значит, что в общем случае данные, переданные субъектом, могут не совпадать с данными, полученными и использованными для проверки подлинности. Необходимо обеспечить защиту от пассивного и активного прослушивания сети, то есть от перехвата, изменения и/или воспроизведения данных. Передача паролей в открытом виде, очевидно, неудовлетворительна; не спасает положение и шифрование паролей, так как оно не защищает от воспроизведения. Нужны более сложные протоколы аутентификации.
Надежная идентификация и затруднена не только из-за сетевых угроз, но и по целому ряду причин.
Во-первых, почти все аутентификационные сущности можно узнать, украсть или подделать. Во-вторых, имеется противоречие между надежностью аутентификации, с одной стороны, и удобствами пользователя и системного администратора с другой. Так, из соображений безопасности необходимо с определенной частотой просить пользователя повторно вводить аутентификационную информацию (ведь на его место мог сесть другой человек), а это не только хлопотно, но и повышает вероятность того, что кто-то может подсмотреть за вводом данных. В-третьих, чем надежнее средство защиты, тем оно дороже.
Современные средства идентификации/аутентификации должны поддерживать концепцию единого входа в сеть. Единый вход в сеть - это, в первую очередь, требование удобства для пользователей. Если в корпоративной сети много информационных сервисов, допускающих независимое обращение, то многократная идентификация/аутентификация становится слишком обременительной. К сожалению, пока нельзя сказать, что единый вход в сеть стал нормой, доминирующие решения пока не сформировались.
Таким образом, необходимо искать компромисс между надежностью, доступностью по цене и удобством использования и администрирования средств идентификации и аутентификации.
Любопытно отметить, что сервис идентификации / аутентификации может стать объектом атак на доступность. Если система сконфигурирована так, что после определенного числа неудачных попыток устройство ввода идентификационной информации (такое, например, как терминал) блокируется, то злоумышленник может остановить работу легального пользователя буквально несколькими нажатиями клавиш.
Каждый вопрос экзамена может иметь несколько ответов от разных авторов. Ответ может содержать текст, формулы, картинки. Удалить или редактировать вопрос может автор экзамена или автор ответа на экзамен.
Идентификация
Для этого пользователь должен себя идентифицировать - указать своё «имя» (идентификатор). Таким образом,проверяется, относится ли регистрирующийся пользователь к пользователям, идентифицируемым системой. И в соответствии с введённым идентификатором пользователю будут сопоставлены соответствующие права доступа.
Аутентификация
В общем случае, идентифицируются и аутентифицируются не только пользователи, но и другие субъекты доступа к ресурсам.
Совокупность выполнения процедур идентификации и аутентификации принято называть процедурой авторизации
Процедура авторизации имеет ключевое значение при защите компьютерной информации, т.к. вся разграничительная политика доступа к ресурсам реализуется относительно идентификаторов пользователей. То есть, войдя в систему с чужим идентификатором, злоумышленник получает права доступа к ресурсу того пользователя, идентификатор которого был им предъявлен при входе в систему.
Чтобы исключить работу с системой незаконных пользователей, необходима процедура распознавания системой каждого законного пользователя (или групп пользователей). Для этого в защищенном месте система обязана хранить информацию, по которой можно опознать пользователя, а пользователь при входе в систему, при выполнении определенных действий, при доступе к ресурсам обязан себя идентифицировать, т. е. указать идентификатор, присвоенный ему в данной системе. Получив идентификатор, система проводит его аутентификацию, т. е. проверяет его содержательность (подлинность) - принадлежность к множеству идентификаторов. Если бы идентификация не дополнялась аутентификацией, то сама идентификация теряла бы всякий смысл. Обычно устанавливается ограничение на число попыток предъявления некорректного идентификатора. Аутентификация пользователя может быть основана на следующих принципах:
- на предъявлении пользователем пароля;
- на предъявлении пользователем доказательств, что он обладает секретной ключевой информацией;
- на ответах на некоторые тестовые вопросы;
- на предъявлении пользователем некоторых неизменных признаков, неразрывно связанных с ним;
- на предоставлении доказательств того, что он находится в определенном месте в определенное время;
- на установлении подлинности пользователя некоторой третьей, доверенной стороной.
Процедуры аутентификации должны быть устойчивы к подлогу, подбору и подделке. После распознавания пользователя система должна выяснить, какие права предоставлены этому пользователю, какую информацию он может использовать и каким образом (читать, записывать, модифицировать или удалять), какие программы может выполнять, какие ресурсы ему доступны, а также другие вопросы
подобного рода. Этот процесс называется авторизацией . Таким образом, вход пользователя в систему состоит из идентификации, аутентификации и авторизации. В процессе дальнейшей работы иногда может появиться необходимость дополнительной авторизации в отношении каких-либо действий.
Существуют различные механизмы реализации разграничения доступа. Например, каждому ресурсу (или компоненту) системы может быть поставлен в соответствие список управления доступом, в котором указаны идентификаторы всех пользователей, которым разрешен доступ к данному ресурсу, а также определено, какой именно доступ разрешен. При обращении пользователя к конкретному ресурсу система проверяет наличие у данного ресурса списка управления доступом и, если он существует, проверяет, разрешено ли этому пользователю работать с данным ресурсом в запрошенном режиме. Другим примером реализации механизма авторизации пользователя является профиль
пользователя - список, ставящий в соответствие всем идентификаторам пользователей перечень объектов, к которым разрешен доступ данному пользователю, с указанием типа доступа. Может быть организована системная структура данных, так называемая матрица доступа, которая представляет собой таблицу, столбцы которой соответствуют идентификаторам всех системных ресурсов, а строки - идентификаторам всех зарегистрированных пользователей. На пересечении i-го столбца j-й строки таблицы администратор системы указывает разрешенный тип доступа владельца i-го идентификатора j-му ресурсу. Доступ к механизмам авторизации должны иметь только специальные системные программы, обеспечивающие безопасность системы, а также строго ограниченный круг пользователей, отвечающих за безопасность системы. Рассматриваемые механизмы должны быть тщательно защищены от случайного или преднамеренного доступа неавторизованных пользователей. Многие атаки на информационные системы нацелены именно на вывод из строя или обход средств разграничения доступа. Аналогичные действия осуществляются в системе и при аутентификации других субъектов взаимодействия (претендентов ), например прикладных процессов или программ, с системой (верификатором). В отличие от аутентификации субъекта взаимодействия, процедура аутентификации объекта, устанавливая подлинность электронной почты, банковского счета и т. п., проверяет факт принадлежности данного объекта владельцу указанного идентификатора.
Идентификация
призвана каждому пользователю (группе пользователей) сопоставить соответствующую ему разграничительную политику доступа на защищаемом объекте.
Для этого пользователь должен себя идентифицировать - указать своё «имя» (идентификатор). Таким образом,проверяется, относится ли регистрирующийся пользователь к пользователям, идентифицируемым системой. И в соответствии с введённым идентификатором пользователю будут сопоставлены соответствующие права доступа.
Аутентификация
предназначена для контроля процедуры идентификации. Для этого пользователь должен ввести пароль. Правильность вводимого пароля подтверждает однозначное соответствие между регистрирующимся пользователем и идентифицированным пользователем.
В общем случае, идентифицируются и аутентифицируются не только пользователи, но и другие субъекты доступа к ресурсам.
Совокупность выполнения процедур идентификации и аутентификации принято называть процедурой авторизации
. Иногда не требуется идентифицировать пользователя, а достаточно только выполнения процедуры аутентификации. Например, это происходит когда требуется подтвердить текущего (уже зарегистрированного) пользователя при выполнении каких-либо действий, требующих дополнительной защиты. В свою очередь, не всегда требуется осуществлять контроль идентификации, то есть в некоторых случаях аутентификация может не производиться.
Процедура авторизации имеет ключевое значение при защите компьютерной информации, т.к. вся разграничительная политика доступа к ресурсам реализуется относительно идентификаторов пользователей. То есть, войдя в систему с чужим идентификатором, злоумышленник получает права доступа к ресурсу того пользователя, идентификатор которого был им предъявлен при входе в систему.
Требования к идентификации и аутентификации
Формализованные требования к данным механизмам защиты состоят в следующем:
. Должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов (для классов защищенности 1Г и 1В по классификации АС)
. Система защиты должна требовать от пользователей идентифицировать себя при запросах на доступ.
. Система защиты должна подвергать проверке подлинность идентификации — осуществлять аутентификацию. Для этого она должна располагать необходимыми данными для идентификации и аутентификации.
. Система защиты должна препятствовать доступу к защищаемым ресурсам неидентифицированных пользователей и пользователей, подлинность идентификации которых при аутентификации не подтвердилась (для 5 класса защищенности по классификации СВТ). Для 3 класса защищенности по классификации СВТ вводится дополнительное требование: система защиты должна обладать способностью надежно связывать полученную идентификацию со всеми действиями данного пользователя.
Кроме ограничения «...паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов... » данные требования никак не формализуют подходы к реализации механизмов парольной защиты. Кроме того, данные требования не определяют, каким образом должны быть реализованы механизмы парольной защиты, а также не накладывают дополнительных ограничений, связанных с повышением стойкости пароля к подбору. В частности, они не регламентируют использование внешних носителей парольной информации — дискет, смарт-карт и т.д.
Дополнительные требования:
Существует целая группа угроз, связанная с некорректностью реализации процедуры авторизации в современных ОС, а также с наличием ошибок в реализации соответствующих механизмов защиты. Это обусловливает целесообразность рассмотрения механизмов авторизации с целью их добавочной защиты. Кроме того, механизмы идентификации и аутентификации являются важнейшими для противодействия НСД к информации, а значит, следует рассматривать возможные варианты их резервирования.
Кроме того, в рамках декларируемого системного подхода к проектированию системы защиты, при разработке механизмов авторизации следует рассматривать как явные, так и скрытые угрозы преодоления защиты.
Авторизация в контексте количества и вида зарегистрированных пользователей
Кого следует воспринимать в качестве потенциального злоумышленника/
1. В системе зарегистрирован один пользователь
Данный пользователь является и прикладным пользователем, и администратором безопасности. Здесь источником потенциальной угрозы является только сторонний сотрудник предприятия, а вся задача защиты сводится к контролю доступа в компьютер (либо в систему), т.е. к парольной защите.
Данный случай является вырожденным и нами далее не рассматривается, т.к. в соответствии с формализованными требованиями к защите информации от НСД даже при защите конфиденциальной информации предполагается обязательное наличие администратора безопасности.
2. В системе зарегистрированы администратор безопасности и один прикладной пользователь
Общий случай функционирования системы с одним прикладным пользователем — это наличие в системе администратора безопасности и только одного прикладного пользователя. В задачи администратора безопасности здесь входит ограничение прав прикладного пользователя по доступу к системным (администратора безопасности) и иным ресурсам компьютера. В частности, может ограничиваться набор задач, разрешенных для решения на компьютере, набор устройств, которые могут быть подключены к компьютеру (например, внешний модем, принтер и т.д.), способ сохранения обрабатываемых данных (например, на дискетах только в шифрованном виде) и т.д.
В данном случае потенциальным злоумышленником в части несанкционированного использования ресурсов защищаемого объекта может являться как сторонний сотрудник предприятия, так и собственно прикладной пользователь. Заметим, что прикладной пользователь здесь может выступать в роли сознательного нарушителя, либо стать «инструментом» в роли стороннего нарушителя, например, запустив по чьей-либо просьбе какую-нибудь программу).
3. В системе зарегистрированы администратор безопасности и несколько прикладных пользователей
Кроме администратора безопасности, в системе может быть заведено несколько прикладных пользователей. При этом ресурсами защищаемого компьютера могут пользоваться несколько сотрудников, решая различные задачи. Ввиду этого информационные и иные ресурсы защищаемого объекта должны между ними разграничиваться.
В данном случае к потенциальным нарушителям добавляется санкционированный прикладной пользователь, целью которого может служить НСД к информации, хранимой на защищаемом объекте другим пользователем.
При использовании компьютера (прежде всего, рабочей станции) в составе ЛВС, помимо локальных ресурсов защищаемого объекта, защите подлежат сетевые ресурсы.
В этом случае между пользователями могут разграничиваться права по доступу к серверам, сетевым службам, разделенным сетевым ресурсам (общим папкам и устройствам, например, к сетевым принтерам) и т.д.
Здесь злоумышленник (санкционированный пользователь) может осуществлять попытку получить НСД к сетевому ресурсу, к которому ему доступ не разрешен, с целью осуществления на него атаки с рабочей станции.
Рекомендации по построению авторизации, исходя из вида и количества зарегистрированных пользователей
Наиболее простой в реализации защитой является защита от стороннего сотрудника. В этом случае все мероприятия по защите возлагаются на использование механизма парольного входа.
Простота состоит в том, что, как увидим далее, в этом случае следует оказывать противодействие только явным угрозам преодоления парольной защиты, от которых защититься не представляет большого труда.
Однако основной угрозой служат преднамеренные или неумышленные действия санкционированного пользователя, который обладает возмож-ностью осуществления скрытой атаки на защищаемый ресурс (например, запустив какую-либо программу собственной разработки).
Механизмы идентификации и аутентификации должны предусматривать противодействие всем потенциальным злоумышленникам, т.е. как сторонним по отношению к защищаемому объекту, так и санкционированным пользователям, зарегистрированным на компьютере. При этом речь идет о прикладных пользователях, т.к. осуществить какую-либо защиту от НСД к информации от администратора безопасности невозможно, даже включая применение механизмов криптографической защиты (он сумеет снять информацию до момента ее поступления в драйвер шифрования).
С учетом сказанного можем сделать следующие выводы:
1. На защищаемом объекте, как правило, зарегистрированы, по крайней мере, два пользователя — прикладной пользователь и администратор безопасности. Поэтому в качестве потенциального злоумышленника при реализации механизмов парольной защиты в общем случае следует рассматривать не только стороннее по отношению к защищаемому объекту лицо, но и санкционированного пользователя, который преднамеренно либо неумышленно может осуществить атаку на механизм парольной защиты.
2. Рассматривая атаки на парольную защиту следует учитывать, что по сравнению со сторонним лицом, которое может характеризоваться явными угрозами парольной защите, защита от атак санкционированного пользователя качественно сложнее, т.к. им могут быть реализованы скрытые угрозы.
Классификация задач, решаемых механизмами идентификации и аутентификации (схема)
Классификация задач по назначению защищаемого объекта
Основу классификации задач, решаемых механизмами парольной защиты, составляет назначение защищаемого объекта (компьютера). Именно в соответствии с назначением объекта определяется перечень защищаемых ресурсов и источников угроз (потенциальных злоумышленников).
Для предотвращения несанкционированных проникновений в информационную систему используется ряд защитных механизмов. Основными из них являются идентификация и аутентификация пользователей.
Идентификация позволяет субъекту (пользователю, процессу, действующему от имени определенного пользователя, или иному аппаратно-программному компоненту) назвать себя (сообщить свое имя). Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова «аутентификация» иногда используют словосочетание «проверка подлинности».
Идентификация – это присвоение субъектам и объектам доступа идентификаторов и сравнение предъявленного идентификатора с утвержденным перечнем.
Идентификатор – это средство идентификации доступа, представляющее собой отличительный признак субъекта или объекта доступа.
Аутентификация – это процесс подтверждения подлинности произвольных данных, предъявленных в электронной форме.
Аутентификатор – это средство аутентификации, представляющее отличительный признак пользователя.
Простейшим примером процесса идентификации может служить ввод пользователем при входе в систему своего имени, процесса аутентификации – ввод имени и пароля.
Субъект может подтвердить свою подлинность, предъявив, по крайней мере, одну из следующих сущностей:
· нечто, что он знает (пароль, личный идентификационный номер, криптографический ключ и т.п.);
· нечто, чем он владеет (личную карточку или иное устройство аналогичного назначения);
Пароль – это средство идентификации доступа, представляющее собой кодовое слово в буквенной, цифровой или буквенно-цифровой форме.
Главное достоинство парольной аутентификации – простота и привычность. Пароли давно встроены в операционные системы и иные информационные системы. При правильном использовании пароли могут обеспечить приемлемый для многих организаций уровень безопасности. Тем не менее, по совокупности характеристик их следует признать самым слабым средством проверки подлинности.
Биометрия представляет собой совокупность автоматизированных методов идентификации и/или аутентификации людей на основе их физиологических и поведенческих характеристик. К числу физиологических характеристик принадлежат особенности отпечатков пальцев, сетчатки и роговицы глаз, геометрия руки и лица и т.п. К поведенческим характеристикам относятся динамика подписи (ручной), стиль работы с клавиатурой. На стыке физиологии и поведения находятся анализ особенностей голоса и распознавание речи.
В общем виде работа с биометрическими данными организована следующим образом. Сначала создается и поддерживается база данных шаблонов биометрических характеристик потенциальных пользователей. Для этого биометрические характеристики пользователя снимаются, обрабатываются, и результат обработки (называемый биометрическим шаблоном) заносится в базу данных (исходные данные, такие как результат сканирования пальца или роговицы, обычно не хранятся).
В дальнейшем для идентификации (и одновременно аутентификации) пользователя процесс снятия и обработки повторяется, после чего производится поиск в базе данных шаблонов. В случае успешного поиска личность пользователя и ее подлинность считаются установленными. Для аутентификации достаточно произвести сравнение с одним биометрическим шаблоном, выбранным на основе предварительно введенных данных.
Для предотвращения доступа злоумышленника к информации в случае его проникновения в систему зачастую используют кодирование, или шифрование информации.
Шифрование (кодирование) данных - это изменение информации с помощью секретных кодов и алгоритма кодирования с целью предотвращения несанкционированного доступа к данным.
Криптография - наука о математических методах обеспечения конфиденциальности (невозможности прочтения информации посторонним) и аутентичности (целостности и подлинности авторства, а также невозможности отказа от авторства) информации.
Шифрование – наиболее мощное средство обеспечения конфиденциальности. Во многих отношениях оно занимает центральное место среди программно-технических регуляторов безопасности, являясь основой реализации многих из них, и в то же время последним (а подчас и единственным) защитным рубежом. Например, для портативных компьютеров только шифрование позволяет обеспечить конфиденциальность данных даже в случае кражи.
Различают два основных метода шифрования: симметричный и асимметричный .
В первом из них один и тот же ключ (хранящийся в секрете) используется и для зашифрования, и для расшифрования данных. Существует национальный стандарт на подобные методы – ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования».
Основным недостатком симметричного шифрования является то, что секретный ключ должен быть известен и отправителю, и получателю. С одной стороны, это создает проблему распространения ключей. С другой стороны, получатель на основании наличия зашифрованного и расшифрованного сообщения не может доказать, что он получил это сообщение от конкретного отправителя, поскольку такое же сообщение он мог сгенерировать самостоятельно.
В асимметричных (рис. 14.3) методах используются два ключа. Один из них, несекретный (он может публиковаться вместе с другими открытыми сведениями о пользователе), применяется для шифрования, другой (секретный, известный только получателю) – для расшифрования. Самым популярным из асимметричных является метод RSA (Райвест, Шамир, Адлеман), основанный на операциях с большими (скажем, 100-значными) простыми числами и их произведениями.
Существенным недостатком асимметричных методов шифрования является их низкое быстродействие, поэтому эти методы приходится сочетать с симметричными (асимметричные методы на 3–4 порядка медленнее).
Асимметричные методы позволили решить важную задачу совместной выработки секретных ключей (это существенно, если стороны не доверяют друг другу), обслуживающих сеанс взаимодействия, при изначальном отсутствии общих секретов. Для этого используется алгоритм Диффи-Хелмана.
Электронная цифровая подпись – реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.
Иногда бывает важно не только скрыть от злоумышленника важную информацию, но и утаить сам факт наличия такой информации. Здесь на помощь приходит компьютерная тайнопись – стеганография.
Стеганография имеет многовековую историю и по возрасту существенно старше криптографии. Само слово «стеганография» в переводе с греческого буквально означает «тайнопись» (steganos - секрет, тайна; graphy - запись) и представляет собой встраивание секретного сообщения в различные внешне безобидные данные . В дальнейшем эти сообщения могут вместе с такими данными храниться и передаваться без всяких подозрений со стороны компьютерных шпионов. Если разработчики криптографических алгоритмов исходят из предположения, что потенциальный противник будет делать что угодно для дешифровки сообщения, то разработчик стеганографического алгоритма озабочен тем, как не дать противнику обнаружить существование самого сообщения, содержащего тайну.
Стеганографическая система, или стегосистема , - это совокупность средств и методов, которые используются для формирования скрытого канала передачи информации.
Сообщение, которое необходимо передать отправителю, с помощью специального программного обеспечения встраивается в контейнер. Контейнер - любая информация, предназначенная для сокрытия тайных сообщений. Данные контейнера должны быть достаточно шумными, чтобы небольшое изменение в их беспорядочности не могло быть заметным. Биты контейнера, хотя и являются шумом с точки зрения точности измерений, могут иметь некоторые специальные статистические характеристики. Предполагается, что кодирование тайного сообщения должно воспроизводить характеристики шума контейнера. Цель труднодостижимая, но реальная. Поэтому выбор контейнера оказывает существенное влияние на надежность всей стегосистемы и возможность обнаружения факта передачи скрытого сообщения. Например, опытный глаз цензора с художественным образованием легко обнаружит изменение цветовой гаммы при внедрении сообщения в репродукцию «Черного квадрата» Малевича.
Для большинства современных методов, используемых для сокрытия сообщения в цифровых контейнерах, имеет место следующая зависимость надежности системы от объема встраиваемых сообщений: при увеличении объема встраиваемых сообщений снижается надежность системы (при неизменности размера контейнера). Таким образом, используемый в стегосистеме контейнер накладывает ограничения на размер встраиваемых данных.
Цифровые водяные знаки используются для защиты авторских или имущественных прав на цифровые изображения, фотографии или другие оцифрованные произведения искусства. Основными требованиями, которые предъявляются к таким встроенным данным, являются надежность и устойчивость к искажениям. Цифровые водяные знаки имеют небольшой объем, однако для их встраивания используются более сложные методы, чем для встраивания просто сообщений или заголовков.
Заголовки используются, в основном, для маркирования изображений в больших электронных хранилищах (библиотеках) цифровых изображений, аудио- и видеофайлов. В данном случае стеганографические методы используются не только для внедрения идентифицирующего заголовка, но и иных индивидуальных признаков файла.
В настоящее время компьютерная стеганография продолжает развиваться: формируется теоретическая база, ведется разработка новых, более стойких методов встраивания сообщений. Среди основных причин наблюдающегося всплеска интереса к стеганографии можно выделить принятые в ряде стран ограничения на использование наиболее совершенных методов криптографии, а также проблему защиты авторских прав на художественные произведения в цифровых глобальных сетях. Поэтому в ближайшее время можно ожидать новых публикаций и разработок в этой области.
Хотя стеганография и криптография принципиально отличаются по целям, их не стоит рассматривать как альтернативу друг другу. Это, скорее всего, две стороны одной медали. И не только потому, что по-настоящему эффективно лишь их совместное использование, но и потому, что в их основе лежит общая методическая и инструментальная база.
Тенденции развития компьютерной стеганографии показывают, что в ближайшие годы интерес к развитию ее методов будет усиливаться все больше и больше. Предпосылки к этому уже сформировались сегодня. В частности, общеизвестно, что актуальность проблемы информационной безопасности постоянно растет и стимулирует поиск новых методов защиты информации. С другой стороны, бурное развитие информационных технологий обеспечивает возможность реализации этих новых методов защиты информации. И, конечно, сильным катализатором этого процесса является развитие глобальной компьютерной сети общего пользования Интернет, а также такие нерешенные противоречивые проблемы Интернет, как защита авторского права, защита прав на личную тайну, организация электронной торговли, противоправная деятельность хакеров, террористов и т.п.
Аннотация: В данной лекции кратко описываются традиционные сервисы безопасности – идентификация и аутентификация, управление доступом. Сервисы безопасности мы будем рассматривать применительно к распределенным, разнородным системам, содержащим большое число компонентов.
Идентификация и аутентификация
Основные понятия
Идентификацию и аутентификацию можно считать основой программно-технических средств безопасности, поскольку остальные сервисы рассчитаны на обслуживание именованных субъектов. Идентификация и аутентификация – это первая линия обороны, "проходная" информационного пространства организации.
Идентификация позволяет субъекту ( пользователю, процессу , действующему от имени определенного пользователя, или иному аппаратно-программному компоненту) назвать себя (сообщить свое имя). Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова " аутентификация " иногда используют словосочетание "проверка подлинности".
(Заметим в скобках, что происхождение русскоязычного термина " аутентификация " не совсем понятно. Английское "authentication" скорее можно прочитать как "аутентикация"; трудно сказать, откуда в середине взялось еще "фи" – может, из идентификации ? Тем не менее, термин устоялся, он закреплен в Руководящих документах Гостехкомиссии России, использован в многочисленных публикациях, поэтому исправить его уже невозможно.)
Аутентификация бывает односторонней (обычно клиент доказывает свою подлинность серверу) и двусторонней ( взаимной ). Пример односторонней аутентификации – процедура входа пользователя в систему.
В сетевой среде, когда стороны идентификации / аутентификации территориально разнесены, у рассматриваемого сервиса есть два основных аспекта:
- что служит аутентификатором (то есть используется для подтверждения подлинности субъекта);
- как организован (и защищен) обмен данными идентификации / аутентификации .
Субъект может подтвердить свою подлинность, предъявив по крайней мере одну из следующих сущностей:
- нечто, что он знает (пароль, личный идентификационный номер, криптографический ключ и т.п.);
- нечто, чем он владеет (личную карточку или иное устройство аналогичного назначения);
- нечто, что есть часть его самого (голос, отпечатки пальцев и т.п., то есть свои биометрические характеристики).
В открытой сетевой среде между сторонами идентификации / аутентификации не существует доверенного маршрута ; это значит, что в общем случае данные, переданные субъектом, могут не совпадать с данными, полученными и использованными для проверки подлинности. Необходимо обеспечить защиту от пассивного и активного прослушивания сети , то есть от перехвата , изменения и/или воспроизведения данных. Передача паролей в открытом виде, очевидно, неудовлетворительна; не спасает положение и шифрование паролей, так как оно не защищает от воспроизведения . Нужны более сложные протоколы аутентификации .
Надежная идентификация затруднена не только из-за сетевых угроз , но и по целому ряду причин. Во-первых, почти все аутентификационные сущности можно узнать, украсть или подделать. Во-вторых, имеется противоречие между надежностью аутентификации , с одной стороны, и удобствами пользователя и системного администратора с другой. Так, из соображений безопасности необходимо с определенной частотой просить пользователя повторно вводить аутентификационную информацию (ведь на его место мог сесть другой человек), а это не только хлопотно, но и повышает вероятность того, что кто-то может подсмотреть за вводом данных. В-третьих, чем надежнее средство защиты, тем оно дороже.
Современные средства идентификации / аутентификации должны поддерживать концепцию единого входа в сеть . Единый вход в сеть – это, в первую очередь, требование удобства для пользователей. Если в корпоративной сети много информационных сервисов , допускающих независимое обращение, то многократная идентификация / аутентификация становится слишком обременительной. К сожалению, пока нельзя сказать, что единый вход в сеть стал нормой, доминирующие решения пока не сформировались.
Таким образом, необходимо искать компромисс между надежностью, доступностью по цене и удобством использования и администрирования средств идентификации и аутентификации .
Любопытно отметить, что сервис идентификации / аутентификации может стать объектом атак на доступность. Если система сконфигурирована так, что после определенного числа неудачных попыток устройство ввода идентификационной информации (такое, например, как терминал) блокируется, то злоумышленник может остановить работу легального пользователя буквально несколькими нажатиями клавиш.
Парольная аутентификация
Главное достоинство парольной аутентификации – простота и привычность. Пароли давно встроены в операционные системы и иные сервисы. При правильном использовании пароли могут обеспечить приемлемый для многих организаций уровень безопасности. Тем не менее, по совокупности характеристик их следует признать самым слабым средством проверки подлинности.
Чтобы пароль был запоминающимся, его зачастую делают простым (имя подруги, название спортивной команды и т.п.). Однако простой пароль нетрудно угадать, особенно если знать пристрастия данного пользователя. Известна классическая история про советского разведчика Рихарда Зорге, объект внимания которого через слово говорил "карамба"; разумеется, этим же словом открывался сверхсекретный сейф.
Иногда пароли с самого начала не хранятся в тайне, так как имеют стандартные значения, указанные в документации, и далеко не всегда после установки системы производится их смена.
Ввод пароля можно подсмотреть. Иногда для подглядывания используются даже оптические приборы.
Пароли нередко сообщают коллегам, чтобы те могли, например, подменить на некоторое время владельца пароля. Теоретически в подобных случаях более правильно задействовать средства управления доступом, но на практике так никто не поступает; а тайна, которую знают двое, это уже не тайна.
Пароль можно угадать "методом грубой силы", используя, скажем, словарь. Если файл паролей зашифрован, но доступен для чтения, его можно скачать к себе на компьютер и попытаться подобрать пароль, запрограммировав полный перебор (предполагается, что алгоритм шифрования известен).
