работает в Сети, тем выше вероятность, того что кто-нибудь или что-нибудь будет не правильно авторизовано.


Идентификация пользователей
Идентификация объектов
Инструменты для разработки приложений
Степень риска

Использование пароля не достаточно для создания действительно безопасной сети. Хакеры могут либо подобрать, либо перехватить текстовый пароль пользователя и зарегистрироваться вместо него. Электронные сообщения или файлы могут быть изменены злоумышленниками, до того как достигнут адресата.

Что бы надежно защитить сеть от несанкционированного доступа необходимы специальные средства. Сегодня на рынке существует несколько десятков программных продуктов, предназначенных для решения этих вопросов. Они используют криптографическую технологию для проверки отправителя данных, целостности пользователей, запросов на обслуживание, файлов, сообщений, прикладных программ и сетевых узлов.

Хотя эти продукты сильно отличаются друг от друга, но все же имеют две общие черты: они все основаны на процедуре начальной авторизации и предполагают использование по меньшей мере двух удостоверяющих факторов - пароля и чего- нибудь еще. Например, секретных шифров, диалога типа запрос-ответ, смарт карты, биометрических данных, цифровой подписи или публичных ключей.

Их так же можно подразделить на две большие группы: одни основаны на идентификации клиентов, а другие объектов. Идентификация пользователей означает, что каждый запрос на использование ресурсов подписывается ими (Single Sign - On (SSO)). Авторизация объектов предполагает не только проверку подлинности клиента, источника запросов, но и целостности сообщений и файлов, присланных им.

Обычно вместе с продуктом фирмы производители поставляют специальные программные инструменты для интеграции его в вашу сеть. Например, некоторые из них выполнены в виде отдельных серверов идентификации, к которым прилагается специальный код для рабочих станций сети. Другие представляют собой код для сервиса авторизации который добавляется к клиентским и серверным приложениям.

Идентификация пользователей

Продукты для авторизации пользователей используют аппаратно- или программно-сформированный шифр, что бы ответить на закодированный запрос от идентификационного сервера. Во время инициализации процедуры входа в сеть, в ответ на введенные идентификатор и пароль пользователь получает строку цифр.

Если используется специальное устройство для генерации шифра, то необходимо ввести в него полученную строку и свой PIN (Personal Identification Number - персональный код). Устройство с помощью криптографического алгоритма и на основе введенных данных создает уникальный пароль для данной сессии и показывает его на своем мониторе. Затем необходимо ввести полученный код в компьютер, и, если сервер идентификации подтвердит его правильность, вы получите доступ к необходимым ресурсам.

Security Dynamics Technologies пошла еще дальше, помимо этой процедуры запросов и ответов, она с помощью своего устройства SecurID, меняет пароль сессий каждые 60 секунд. Очевидно, что все пароли являются уникальными и их значение невозможно предсказать. С помощью SecurID вы вводите идентификатор и сервер запрашивает ваш пароль, затем вводите свой PIN и полученный код доступа отображается на мониторе шифратора SecurID. Сервер запоминает эти коды и каждый раз подтверждает права пользователя, если они совпадают.

Использование аппаратных шифраторов для идентификации не очень удобно. Вы должны манипулировать двумя устройствами ввода - клавиатурой компьютера и панелью шифратора и соответственно считывать данные с двух мониторов.

Программные шифраторы более предпочтительны, потому что работают в фоновом режиме и не требуют вводить ничего кроме пароля и PIN-кода. Они сами отвечают на запросы сервера идентификации.

Communication Devices, MicroFrame и Security Dynamics предлагают широкий выбор шифровальных машин. Это аппаратные, программные и линейные шифраторы. Линейный шифратор - устройство, которое подключается к порту RS-232 персонального или портативного компьютера и затем к нему присоединяется модем.

Системы Communication Devices и MicroFrame могут использовать пейджеры в качестве приемников шифрованных сигналов. После того, как был введен пароль, сервер посылает строку цифр на пейджер, которую затем необходимо ввести в компьютер.

Даже если кажется, что использование шифраторов это то же самое что и применение пароля или PIN который вводит пользователь - это неверно. При условии, что технологическая цепочка правильно настроена и все действия выполняются корректно, то использование шифров дает полную гарантию (обоснованную математически) в том, что пользователи, информация и сетевые ресурсы защищены от подделки.

Еще большую степень безопасности можно реализовать использовав биометрические данные для идентификации пользователей. Их невозможно украсть и очень трудно подделать, например, отпечатки пальцев или голос. Правда этот способ защиты данных и ресурсов хорош, когда доступ к ним разрешен только ограниченному кругу лиц, например, к таким, как рецепт кока-колы или система запуска ядерных ракет. Mytec Technologies и Secure Computing наряду с другими поставщиками систем безопасности обеспечивают взаимодействие с биометрическим оборудованием третьих фирм.

Обмен данными между шифровальными машинами или биометрической аппаратурой с сервером происходит на основе стандартов SSO, таких как Remote Authentication Dial-In User Service (RADIUS), Terminal Access Control Access Control System (TACACS) и Kerberos.

Если вашей основной задачей является идентификация пользователей имеющих доступ к внешним коммуникационным шлюзам, маршрутизаторам, системе администрирования портов и брандмауэру, защищающему внутреннюю сеть от прямого доступа из Internet, стоит ознакомиться с продуктами, использующими стандарты RADIUS и TACACS.

Обычно идентификационные серверы RADIUS или TACACS обслуживают запросы на опознание пользователей от шлюзов или других точек входа в сеть. Сам сервер хранит у себя базу данных имен, паролей, PIN пользователей и собственных ключей, которые использует для идентификации клиентов.

Сан Бернардино, самый большой по территории округ в США, использует Defender Security Server для авторизации удаленных пользователей. Сервер Shiva перенаправляет запросы на авторизацию, с помощью специального микроволнового канала связи, серверу идентификации. Пользователи могут использовать либо программные, либо аппаратные шифровальные устройства для авторизации. Рекомендуется использовать аппаратные шифровальные машины для портативных компьютеров, поскольку это даст возможность хранить их раздельно. Это еще больше увеличивает надежность системы.

Что бы проконтролировать доступ клиентов к приложениям, файловым серверам и базам данных, следует рассмотреть продукты на базе SSO технологии - такие как Kerberos, Distributed Computing Environment, Secure European System for Applications in a Multivendor Environment или Distributed Authentication Security Service. Они дают возможность выполнять процедуры авторизации для всех приложений, серверов и баз данных.

Идентификация объектов

Для идентификации сообщений, файлов или других объектов в сети используется технология цифровой подписи. Стоит обратить внимание на продукты RSA компании Data Security, основанной на стандартах и методах Public Key Cryptography Standards (PKCS), Digital Signature Algorithm, X.509, Pretty Good Privacy (PGP) и другие применяющие технику публичных ключей. Цифровая подпись это строка, содержащая набор символов, который однозначно определяет источник, родителя объекта, и подтверждает его целостность, т.е. что он не был изменен после отправки.

Цифровая (или электронная) подпись генерируется с помощью специальных алгоритмов - Secure Hash Algorithm, Message Digest 2 или MD 5. Они определенным образом преобразуют битовый образ объекта, изменяя и усекая его. Затем он шифруется с помощью закрытого ключа пользователя, в результате получается строка, которая и является цифровой подписью. Цифровая подпись, сам объект и открытытый ключ собираются вместе и отправляются адресату. Открытый ключ необходим для того, чтобы адресат мог оценить целостность полученного объекта.

Получатель расшифровывает цифровую подпись с помощью присланного ключа и восстанавливает хэшированную строку. Затем запускает алгоритм хеширования и создает собственную копию хеш-строки принятого объекта. Если обе строки совпадут - это будет означать, что объект действительно послан указанным пользователем и не был никем изменен.

Что же действительно делает систему шифрования с помощью открытых ключей действительно надежной? То, что отправитель сообщения никогда и никому не сообщает свой собственный закрытый ключ для шифрования. Открытый ключ помещается в массив данных, и его значащие части разбросаны по всему массиву. Это массив данных называют сертификатом открытого ключа, который часто строиться с использованием синтаксиса стандарта Х.509. Он выдается специальными организациями и со свидетельством того, что он принадлежит определенному лицу или компании.

Адресат достает сертификат из центрального хранилища, например Web-сервера, извлекает из него публичный ключ, что бы удостоверить цифровую подпись.

Для того чтобы понять в каком продукте вы действительно нуждаетесь, необходимо понять, как вы будете интегрировать его в свою сеть. Как он будет взаимодействовать с операционной средой рабочих станций, почтовой системой, Web-браузерами и другими приложениям. Например, Government Markets" Secret-Agent компании AT&T посылает цифровую подпись вместе с почтовым сообщением как присоединенный файл.

Signature Program фирмы Regnoc Software великолепно интегрирована в Windows. Она применяет технологию OLE 2.0 для подписи любого сформированного документа. ViaCrypt PGP использует мене элегантный, но не менее эффективный способ. Она выкусывает текст сообщения из приложения в буфер (clipboard), подписывает его там и затем возвращает обратно приложению. Благодаря этому она хорошо работает с широким спектром Windows и Macintosh программ.

Еще одна важная вещь с которой вы столкнетесь, работая с цифровой подписью, - это организационная и техническая сущность известная под названием Certification Authority (CA). CA помещается в доступном месте, зашифрованный с помощью своего собственного ключа, и, если необходимо, отменяет сертификаты публичных ключей. Пользователь, получивший сообщение, запрашивает сертификат отправителя у СА, находящегося на Web-сервере, что бы удостовериться в подлинности письма. Иногда сертификат присылают вместе с сообщением.

СА может стать своеобразным корпоративным "офицером" по безопасности, защищая внутренние приложения сети. Существуют специализированные фирмы выпускающие такие продукты - VeriSign и как планируется U.S. Postal Service (USPS). VeriSign - первая фирма которая стала продавать сертификаты публичных ключей, стандарта Х.509. К июлю 1996 года ею было продано уже более 100 000 штук. USPS объявила о своих планах начать продажу сертификатов для коммерческого использования в конце 1996 года.

Обычно СА формирует иерархию доверия, в которой каждый более высокий уровень поручается за предыдущий и подписывает его сертификат. VeriSign, AT&T и Northen Telecom поставляют инструменты для интеграции своих продуктов в иерархическую систему СА и поддерживают сертификаты стандарта Х.509.

С помощью Digital ID фирмы VeriSign, вы сможете создать и управлять сертификатами открытых ключей, которые поддерживают цифровые подписи использующиеся приложениями разных фирм производителей. VeriSign обеспечивает базовую технологию цифровой подписи, которая лежит в основе множества продуктов, например Macintosh OS 7.5 фирмы Apple Computer, Internet Office WebServer компании CompuServe, Internet Connection Sever корпорации IBM, Internet Information Server от Microsoft, Web сервера и Web-браузера фирмы Netscape, WebServer 2.0 компании Oracle и SecureWeb tools kit - набора библиотек фирмы Terisa Systems.

С другой стороны система защиты ViaCrypt PGP не требует иерархической структуры СА. Она использует так называемую паутину доверия, когда пары пользователей идентифицируют друг друга. Тем не менее, ViaCrypt скоро будет поддерживать иерархическую организацию СА других фирм производителей.

Стоит обратить внимание на одну замечательную способность ViaCrypt PGP - он может автоматически расшифровывать все зашифрованные сообщения, посланные или полученные сотрудниками. Ее можно настроить так, чтобы все исходящая корреспонденция автоматически зашифровывалась и требовать, чтобы служащие использовали для расшифровки сертифицированные ключи, которые меняются каждую сессию.

Инструменты для разработки приложений

После того как вы выбрали конкретный продукт, необходимо встроить его в ваши приложения и сеть. Это заставляет покупателей очень критично относиться к инструментам разработчика, которые поставляются вместе с ним.

Они позволяют сделать доступным сервис идентификации из существующих приложений или трансформировать оборудование клиента так, чтобы он мог обмениваться данными с сервером авторизации. Некоторые из поставщиков предлагают еще более сложные инструменты для разработки и специальные библиотеки. Естественно, необходимо, чтобы они поддерживают интерфейс с языками программирования высокого уровня, с которыми знакомы ваши программисты. Так же стоит оценить те ресурсы, которые потребует процедура авторизации и скорость ее выполнения на рабочих станциях и серверах. Непременно надо обратить внимание и на возможность извлечь необходимую информацию из существующей корпоративной базы данных и поместить ее в сервер идентификации.

SDK фирмы АТ&T включает библиотеку с Си-интерфейсом для вызова функций авторизации и специальные библиотеки для создания цифровой подписи и другими секретными алгоритмами для Windows NT и Windows 95.

Фирма Security Dynamics недавно приобрела систему RSA компании Data Security, и предлагает на рынке RSA SDK, включая BSAFE 3.0 и инструментальные средства для работы с Interoperable Privacy Enhanced Messaging. RSA библиотеки использовались для создания многих коммерческих систем безопасности, включая расширения для Windows 95, NetWare, Netscape Navigator, Lotus Notes и SQLNet компании Oracle.

CyberSafe и Nortel поддерживают стандарт Generic Security Service (GSS), определенный в IETF RFC 1508. Интерфейс библиотеки GSS не требует специального изучения архитектуры систем безопасности таких как Kerberos, DCE или PKCS.

Степень риска

Массовый рынок электронной коммерции, документооборота и других межсетевых взаимодействий скоро потребует авторизации пользователей и информации. В ближайшем будущем сложные идентификационные свойства, такие как программные шифровальные машины и цифровая подпись, будут просто интегрированы непосредственно в большинство операционных систем, приложений, продукты удаленного доступа, почтовые системы и брандмауэры Internet. Не ясно, что будут делать фирмы, специализирующиеся на выпуске систем безопасности, когда основные поставщики программного обеспечения начнут встраивать их в свои продукты.

Однако, если вы хотите сделать вашу корпоративную сеть непроницаемой, начните использовать сегодняшние коммерческие продукты и разбираться с массой новых незнакомых стандартов и технологий. Не обязательно быть математиком для того, чтобы ориентироваться в существующем рынке систем безопасности и алгоритмах, лежащих в их основе.

Надо просто рассчитать потенциальные потери от взломанных и украденных паролей и других связанных с этим убытков. Затем оценить необходимость строгово механизма, который бы гарантировал идентичность каждого пользователя, сообщения, документа и пакета в вашей сети.


Джеймс Кобиелус - внештатный редактор Network World и аналитик по телекоммуникационным вопросам в фирме LCC, L.L.C. . С ним можно связаться по электронной почте по адрему kobielus-james@lccinc.com

Поделитесь материалом с коллегами и друзьями