Если при обращении к очередному сетевому ресурсу пользователям приходится каждый раз идентифицировать себя, то в этой ситуации однократная регистрация окажется весьма кстати.
САМОЗАЩИТА СЕТИ ОТ ОПАСНОСТЕЙ, СВЯЗАННЫХ С ОДНОКРАТНОЙ
РЕГИСТРАЦИЕЙ
Опасности однократной регистрации
УКРЕПЛЕНИЕ ЗАЩИТЫ ПРИ ОДНОКРАТНОЙ РЕГИСТРАЦИИ
Системы защиты независимых поставщиков
Однократная регистрация остается одной из основных задач сетевых технологий, а с ростом размеров и разнообразия сетей ее решение становится еще более насущным. Во многих современных средах пользователям приходится вводить десяток имен и паролей для получения доступа к различным сетевым ресурсам, таким как электронная почта, серверы приложений, файловые серверы, серверы Web, базы данных и мэйнфреймы (см. Рисунок 1). Между тем администраторы сетей прилагают гигантские усилия к поддержанию этого изобилия бюджетов.
Рисунок 1.
Общие ресурсы имеют каждый свое имя и пароль доступа, возможно, впрочем,
только пароль.
Вне всякого сомнения, синдром множества бюджетов сказывается весьма болезненно как на пользователях, так и на администраторах. Но, что более важно, он подвергает риску систему безопасности. Из-за необходимости помнить множество имен и паролей пользователи либо записывают их на бумагу, либо хранят в незащищенных местах, либо используют несколько легко идентифицируемых паролей или, что еще хуже, задают один и тот же пароль для всех бюджетов.
Наличие одного имени и пароля для доступа в сеть в целом позволяет свести к минимуму риск для системы безопасности, а, кроме того, администраторы получают больший контроль над доступом пользователей к конкретным сетевым ресурсам. При однократной регистрации аутентификация конкретного пользователя осуществляется с помощью одного механизма типа комбинации имени и пароля или аппаратного ключа, при этом он получает доступ к любому сетевому ресурсу, на который администратор дал ему права. Конечно, и однократная регистрация не лишена риска: если злоумышленник получит доступ от имени того или иного пользователя, то все ресурсы, на которые пользователь имеет право, окажутся под угрозой. (О том, как решить и эту проблему смотри во врезке "Опасности однократной регистрации"; дополнительная информация об усилении защиты входа в сеть имеется во врезке "Системы защиты независимых поставщиков".)
Основных подходов к реализации однократной регистрации в крупных гетерогенных средах два: однократная регистрация на базе сетевой ОС и метакаталог. При однократной регистрации на базе сетевой ОС пользователи могут зарегистрироваться на нескольких серверах одновременно (см. Рисунок 2). Такой подход нестандартен по своей природе, потому что он пригоден только для серверов под управлением конкретной сетевой ОС. Тем не менее основные производители сетевых ОС предлагают теперь поддержку для других сетевых операционных систем, в результате однократная регистрация распространяется и на них.
Рисунок 2.
Служба каталогов допускает однократную регистрацию для доступа к другим
сетевым ресурсам. Список полномочий доступа к ресурсам позволяет контролировать,
кто из зарегистрировавшихся пользователей имеет доступ к ресурсу.
Такой подход эффективен, если обеспечивается доступ к основной массе сетевых ресурсов. Например, обеспечивая доступ в сеть, данный подход не обязательно открывает доступ к другим приложениям и ресурсам, таким как электронная почта, базы данных и мэйнфреймы. Чтобы приложения могли использовать преимущества однократной регистрации, они должны быть интегрированы со службой каталогов сетевой ОС. Мэйнфреймы, базы данных и другие ресурсы втиснуть в рамки подхода на базе сетевой ОС труднее всего. Здесь-то и вступают в игру метакаталоги.
Метакаталоги - это логические комбинации других каталогов в сети. Они представляют собой центральное хранилище, указывающее на другие каталоги и отслеживающее различные имена и пароли, которые пользователи применяют при работе с различными системами и приложениями. Поэтому метакаталоги полезны в первую очередь в гетерогенных средах, где однократная регистрация на базе сетевой ОС не обеспечивает эффективной поддержки всех клиентов и сетевых ресурсов.
ОСНОВЫ СЛУЖБЫ КАТАЛОГОВ
Прежде чем углубляться в дискуссию о подходах к реализации однократной регистрации, мы считаем полезным кратко рассмотреть некоторые основополагающие концепции.
Большинство сетевых ОС имеют службу каталогов или систему наименования, обеспечивающую доступ к ресурсам, которыми управляет сетевая ОС. Обычно в целях упрощения управления эти ресурсы объединяются в группы. Windows NT исповедует доменно-ориентированный подход к объединению ресурсов в группы, в то время как NetWare и Banyan, имеющие более совершенные службы каталогов, являются приверженцами глобального, иерархического подхода.
У каждого ресурса в сети есть имя. В разделенной на домены сети каждое имя действительно только в пределах конкретного домена. Например, серверы в двух разных доменах могут быть названы одинаково - FS-1. Глобальная система наименования представляет по сути всю сеть в виде одного домена; поэтому имена должны быть уникальны или независимы от местонахождения ресурса. Такой подход более предпочтителен, поскольку ресурсы можно перемещать без изменения их имени. В системе с место-зависимыми именами каждая ссылка на перемещенный ресурс должна быть изменена; зачастую это ведет к необходимости изменения сценариев входа.
В сети, разделенной на домены, ресурсы группируются физически внутри домена, например в рамках рабочей группы. Как правило, регистрация осуществляется выделенными серверами регистрации, впрочем, они могут быть и не выделенными. Серверы регистрации взаимодействуют друг с другом в целях поддержания общей распределенной базы данных о пользователях. Эта база содержит имена пользователей и пароли, а также информацию о том, к каким ресурсам конкретные пользователи могут получить доступ внутри домена, в котором они зарегистрировались. Доступ пользователей обычно ограничен пределами их домена, за исключением случаев, когда они имеют имя и пароль в другом домене. Windows NT поддерживает доверительные отношения между доменами, при которых серверы оговаривают параметры регистрации и идентификации, в результате чего благодаря одному имени и паролю пользователи могут получать доступ к ресурсам и в других доменах.
Глобальные системы наименования, такие как Novell Directory Services (NDS) компании Novell и StreetTalk компании Banyan, позволяют поделить сеть логически вместо того, чтобы делить ее на многочисленные домены. Пользователи могут зарегистрироваться в любой точке сети с помощью одного и того же имени и пароля. Серверы регистрации осуществляют проверку пользователя автоматически прозрачным образом, даже если информация о пользователе поддерживается другим сервером регистрации. В отличие от системы на базе доменов, глобальная система именования избавляет администраторов сети от необходимости принятия специальных мер, когда пользователю нужно получить доступ к сервисам в другой логической части сети. Управление всеми ресурсами осуществляется единообразно вне зависимости от их фактического местоположения.
ОДНОКРАТНАЯ РЕГИСТРАЦИЯ НА БАЗЕ СЕТЕВОЙ ОПЕРАЦИОННОЙ СИСТЕМЫ
Поддержка однократной регистрации на базе сетевой ОС интегрирована с системой защиты сетевой ОС. Последняя система доступна для приложений через интерфейс прикладных программ (Application Program Interface, API). Эти API идентифицируют отдельных пользователей и их права доступа к конкретному приложению. В большинстве случаев, если вы хотите предоставить каким-либо пользователям доступ к факс-серверу и определить, какие операции они имеют право выполнять, то, вероятно, разрешите им отправлять и получать факсы, но не управлять факс-сервером. Если клиентское и серверное программное обеспечение для работы с факсом использует API защиты сетевой ОС, то пользователи могут обращаться к программному обеспечению факса без ввода нового имени и пароля пользователя. Кроме того, доступом пользователей к серверу можно управлять с помощью средств защиты сетевой ОС.
Все основные поставщики сетевых ОС (Novell, Banyan, Microsoft и IBM) поддерживают однократную регистрацию, каждый в своих средах, а также в той или иной степени и для конкурирующих сетевых ОС. Все эти компании предоставляют и API, так что однократная регистрация может также распространяться на приложения. Например, многие поставщики приложений включают поддержку NDS в свои приложения.
StreetTalk компании Banyan - одна из старейших глобальных систем именования. Она обеспечивает поддержку однократной регистрации в сетях VINES и Windows NT. Поддержка Windows NT осуществляется с помощью продукта StreetTalk for Windows NT, предоставляющего сетевые сервисы каталога для Windows NT.
Трехуровневая система именования StreetTalk (объект@группа@организация) обеспечивает описание всех объектов в сети от пользователей и групп до серверов и сервисов. Одна база данных StreetTalk охватывает всю сеть, обеспечивая доступ после однократной регистрации ко всем ресурсам, в том числе и в гетерогенной сети. Однако времена, когда эта функция была уникальной, давно прошли; теперь она имеется и в других ОС, таких как NDS компании Novell.
VINES, базирующаяся на Unix, - это сетевая ОС, однако StreetTalk for Windows NT использует в качестве базисной Windows NT Server. Обе они предоставляют одни и те же сервисы файлов, печати и защиты/регистрации для клиентов VINES. StreetTalk for Windows NT не заменяет сервисы файлов, печати и защиты Windows NT Server: NT по-прежнему предлагает эти сервисы, но только клиентам Windows NT Server. StreetTalk for Windows NT предоставляет сервисы клиентам VINES. Оба типа клиентов могут обращаться к одному и тому же ресурсу, например принтеру или жесткому диску, но только если этот ресурс используется совместно Windows NT Server и StreetTalk for Windows NT. Те пользователи VINES, кто регистрируется на сервере VINES или сервере StreetTalk for Windows NT, получат доступ к любому ресурсу, предоставляемому каждым типом сервера, при условии, что пользователь имеет соответствующие права на доступ к ресурсу.
NDS компании Novell можно назвать сердцем сетевой ОС IntranetWare. В настоящее время NDS работает в IntranetWare и NetWare 4.x. В скором времени NDS будет поддерживаться на Windows NT Server, а также серверах Unix; потенциально это должно обеспечить весьма широкую среду с поддержкой однократной регистрации. Как и VINES, NDS является иерархической и распределенной глобальной системой именования, обеспечивающей поддержку однократной регистрации для всех клиентов NDS. Объекты NDS разнообразны; как и StreetTalk, NDS гарантирует независимость от местоположения. Так, например, имя тома на диске никак не связано с именем сервера, на котором данный том находится. Это особенно полезно в тех случаях, когда тома необходимо переместить с одного сервера на другой, при этом меняется только определение NDS. Напомним, что в случае место-зависимых сетевых ОС, таких как Windows NT, все ссылки на том должны быть изменены.
Windows NT Server 4.0 использует систему доменов для обеспечения защиты. Несколько доменов могут быть связаны друг с другом, но управление взаимодействием доменов представляется весьма непростой задачей, особенно по сравнению с глобальными системами имен, такими как NDS и StreetTalk. Универсальные соглашения об именах сетевых ресурсов Windows NT являются место-зависимыми. Глобальная система имен должна появиться в Windows NT Server 5.
В настоящее время Windows NT не имеет поддержки однократной регистрации для других сетевых ОС. Однако приложения BackOffice, поддерживающие API защиты, взаимодействуют со средствами защиты Windows NT и, таким образом, могут использовать преимущества однократной регистрации Windows NT. В настоящее время BackOffice насчитывает свыше 100 продуктов, в том числе Microsoft Exchange Server, IBM Lotus Domino/Notes, Microsoft SQL Server и SNA Server, IBM DB2 и Oracle.
МЕТАКАТАЛОГИ
Сервисы метакаталогов предоставляют те же сервисы защиты на основе имени/пароля, что и сетевые ОС; однако они охватывают несколько сетевых ОС, так что после однократной регистрации пользователи получают доступ к ресурсам под управлением различных сетевых ОС и приложений. Они полезны в тех средах, где служба каталогов на базе конкретной сетевой ОС не способна обеспечить доступ с однократной регистрацией ко всем (или большинству) сетевым ресурсам.
Метакаталог - это база данных, содержащая все комбинации имен и паролей, которые пользователи применяют для доступа к различным ресурсам в сети. Чтобы пользователям не приходилось запоминать несколько комбинаций имени/пароля, метакаталог проверяет личность пользователей с помощью хранящейся в базе данных информации об имени/пароле.
Метакаталоги интегрируются с системой каталогов и другими сетевыми ресурсами СОС с помощью приложений регистрации с возможностями составления сценариев. Пользователи обращаются к этим приложениям, а они в свою очередь предоставляют необходимую информацию другим приложениям, таким как программа регистрации в сети. В результате пользователи получают доступ к другим ресурсам после однократной регистрации (см. Рисунок 3).
Рисунок 3.
Служба метакаталога поддерживает однократный вход для доступа к другим
сетевым ресурсам, каждый из которых может иметь свое имя и пароль. Служба
метакаталога предоставляет дополнительную информацию и распространяет необходимую
информацию при обращении к ресурсу.
Процесс происходит следующим образом. Пользователь регистрируется с помощью приложения для регистрации в метакаталоге, указывая свое имя и пароль, затем приложение отправляет регистрационную информацию на сервер, обслуживающий метакаталог, где содержится информация о других именах и паролях. Обычно первый ресурс, к которому обращаются, - сеть; в этом случае программе регистрации в сети предоставляется корректное имя и пароль пользователя (эта комбинация может отличаться от той, что используется при входе в метакаталог). В результате пользователь получает доступ в сеть с соответствующими ограничениями на ресурсы сетевой ОС, такие как сервисы файлов и печати. Последующее взаимодействие с каким-либо внешним приложением происходит только при обращении к ресурсам, например к программе доступа к мэйнфрейму. В этом случае внешнее приложение регистрируется на мэйнфрейме с использованием соответствующего имени/пароля, полученного от метакаталога.
Комбинации имени и пароля могут быть добавлены в метакаталог как администратором, так и пользователем - в зависимости от реализованных в организации процедур защиты. Как правило, за ввод подобной информации отвечает администратор.
Метакаталоги могут иметь многие из реализованных в традиционных службах каталогов функций защиты: одна из них - ограничение доступа групп и пользователей к ресурсам. Доступ к мэйнфрейму, например, может контролироваться метакаталогом, так как он предоставляет имя и пароль, когда пользователю необходим доступ к мэйнфрейму. В этом случае защита может быть реализована с помощью метакаталога посредством разрешения или запрещения доступа к информации об имени и пароле, ограничивая таким образом доступ к соответствующему ресурсу. Конечно, защита зависит от информации об имени и пароле, обслуживаемой только метакаталогом; она не должна быть известна пользователям. Ввиду того, что однократный вход является зачастую главной причиной использования метакаталога, это требование представляется вполне разумным.
Продукт Global Sign-On компании IBM - это система метакаталога с поддержкой однократной регистрации в крупных гетерогенных сетях. IBM реализовала поддержку однократной регистрации поверх распределенной вычислительной среды (Distributed Computing Environment, DCE) - стандарта, благодаря которому приложения могут выполняться на гетерогенных сетевых платформах. DCE описывает сервисы защиты, наименования каталогов, синхронизацию по времени и многопоточной обработке. IBM поддерживает DCE в различных своих продуктах, в том числе мэйнфреймах и мини-компьютерах, а также серверах и рабочих станциях под управлением OS/2 Warp.
НА ГОРИЗОНТЕ: LDAP И INTRANET?
До сих пор однократная регистрация представляла собой сугубо частные нестандартные решения, реализация которых была возможна в рамках конкретной сетевой ОС. Доступ с однократной регистрацией в среде Intranet пока отсутствует, а в связи со все более широким распространением Intranet и ростом числа приложений для таких сред это немаловажный недостаток. Однако облегченный протокол доступа к каталогу (Lightweight Directory Access Protocol, LDAP) - стандарт для обеспечения доступа к совместимым каталогам - может сыграть заметную роль в обеспечении поддержки однократной регистрации в области Intranet. Правда, LDAP не имеет еще надлежащих сервисов защиты и аутентификации для поддержки однократной регистрации, а значит, мы пока привязаны к частным решениям.
Уильям Вонг - консультант и публицист по компьютерным технологиям. С ним можно связаться по адресу: bwong@voicenet.com.
САМОЗАЩИТА СЕТИ ОТ ОПАСНОСТЕЙ, СВЯЗАННЫХ С ОДНОКРАТНОЙ РЕГИСТРАЦИЕЙ
Опасности однократной регистрации
Однократная регистрация позволяет организовать более защищенный и управляемый доступ в сеть, но и она не лишена недостатков. Если злоумышленник получит доступ к механизму однократной регистрации, то все соответствующие ресурсы окажутся под угрозой.
Этот вопрос особенно важен в случае бюджетов администраторов, потому что они имеют, как правило, доступ и административные привилегии на все сетевые ресурсы. Один из подходов в решении этой проблемы состоит в том, чтобы сделать механизм регистрации специфическим для пользователя, например за счет использования системы распознавания отпечатков пальцев. Другой подход - создание нескольких бюджетов для пользователя.
Наличие нескольких бюджетов для одного пользователя позволяет задать разные права для каждого бюджета. Пользователи могут затем зарегистрироваться с помощью соответствующего бюджета для получения доступа к нужным ресурсам. Например, пользователь с административными привилегиями может иметь два бюджета: один для общего доступа в сеть, а другой с дополнительными привилегиями на сетевые ресурсы для выполнения специальных операций типа управления сетью.
Достоинством подхода с несколькими бюджетами является его универсальная применимость. Он пригоден для любой сетевой ОС и для любого типа однократной регистрации. Однако в этом случае управление усложняется, и пользователям вновь придется страдать от синдрома нескольких бюджетов. Тем не менее проблема может оказаться не столь серьезна, если всего несколько пользователей попадают в эту категорию, а число используемых ими бюджетов невелико.
Подход с несколькими бюджетами весьма эффективен, если некоторые операции разрешено выполнять только в определенное время или в определенном месте. Например, удаленное управление может быть вообще запрещено, а удаленному пользователю может быть предоставлен только доступ к электронной почте. Многие сетевые ОС позволяют ограничивать доступ к системе в зависимости от места и времени регистрации.
УКРЕПЛЕНИЕ ЗАЩИТЫ ПРИ ОДНОКРАТНОЙ РЕГИСТРАЦИИ
Системы защиты независимых поставщиков
В случае однократной регистрации начальная идентификация пользователя приобретает важнейшее значение. Поэтому если основным методом идентификации является защита на основе имени и пароля, то администратору необходимо позаботиться о реализации надлежащего управления паролями. Длина пароля во избежание паролей нулевой длины должна быть ограничена снизу. Кроме того, от пользователей необходимо потребовать, чтобы они регулярно меняли свои пароли. Для этого старые пароли нужно отслеживать для исключения их повторного использования.
Идентификация на основе имени и пароля обеспечивает хорошую степень защиты, но это не самая надежная форма идентификации. Если данная информация попадет в руки злоумышленнику, то защита окажется под угрозой. По этой причине для укрепления идентификации во время регистрации применение дополнительных модулей защиты независимых поставщиков может оказаться весьма желательным.
Дополнительные модули защиты представляют собой такие продукты, как защитные смарт-карты, идентификацию по отпечаткам пальцев и по голосу, а также распознавание по лицу. Данные продукты предполагают применение дополнительного оборудования на каждой рабочей станции и взаимодействуют с программным обеспечением, интегрированным с программой регистрации; последнее может поддерживать и однократную регистрацию.
Некоторые продукты не требуют установки дополнительного оборудования на рабочую станцию, но при этом они предусматривают применение однократных паролей. В случае однократных паролей по запросу программное обеспечение регистрации выдает приглашение или запрос, при этом пользователь имеет смарт-карту или аппаратный ключ, генерирующий однократный пароль (обычно в цифровой форме), который он и набирает для получения доступа в систему.
Ultimaco Mergent имеет продукт для однократной регистрации под названием SSO/DACS, предназначенный для пользователей DOS и Windows 3.x. Он включает систему защиты рабочей станции PC/DACS. Сочетание SSO/DACS и PC/DACS обеспечивает защиту по типу имеющейся в Windows NT Workstation. PC/DACS устанавливается на каждую рабочую станцию; программное обеспечение шифрует и защищает с помощью пароля жесткий диск. Вход в сеть осуществляется под контролем PC/DACS, причем оно может обязать пользователей регистрироваться на рабочей станции и в сети одновременно.
Поддержка однократной регистрации может быть обеспечена с помощью инструментов написания сценариев, интегрированных в систему защиты сетевой ОС; однако целевые приложения приходится разными ухищрениями заставлять принимать имя и пароль пользователя от приложения на языке сценариев. Эта проблема решаема, но, к сожалению, не в полной мере.