ПЕРЕЛІК ДИСЦИПЛІН:
  • Адміністративне право
  • Арбітражний процес
  • Архітектура
  • Астрологія
  • Астрономія
  • Банківська справа
  • Безпека життєдіяльності
  • Біографії
  • Біологія
  • Біологія і хімія
  • Ботаніка та сільське гос-во
  • Бухгалтерський облік і аудит
  • Валютні відносини
  • Ветеринарія
  • Військова кафедра
  • Географія
  • Геодезія
  • Геологія
  • Етика
  • Держава і право
  • Цивільне право і процес
  • Діловодство
  • Гроші та кредит
  • Природничі науки
  • Журналістика
  • Екологія
  • Видавнича справа та поліграфія
  • Інвестиції
  • Іноземна мова
  • Інформатика
  • Інформатика, програмування
  • Юрист по наследству
  • Історичні особистості
  • Історія
  • Історія техніки
  • Кибернетика
  • Комунікації і зв'язок
  • Комп'ютерні науки
  • Косметологія
  • Короткий зміст творів
  • Криміналістика
  • Кримінологія
  • Криптология
  • Кулінарія
  • Культура і мистецтво
  • Культурологія
  • Російська література
  • Література і російська мова
  • Логіка
  • Логістика
  • Маркетинг
  • Математика
  • Медицина, здоров'я
  • Медичні науки
  • Міжнародне публічне право
  • Міжнародне приватне право
  • Міжнародні відносини
  • Менеджмент
  • Металургія
  • Москвоведение
  • Мовознавство
  • Музика
  • Муніципальне право
  • Податки, оподаткування
  •  
    Бесплатные рефераты
     

     

     

     

     

     

         
     
    Безпека в розподілених системах
         

     

    Інформатика, програмування

    Комітет з науки та вищої освіти

    Московський Державний Інститут електроніки та математики (ТУ).

    Кафедра "Обчислювальні машини,

    комплекси, системи та мережі ".

    Курсова робота по курсу" Мережі робочих станцій ".

    Тема

    Безпека в розподілених системах


    | Виконав студент групи С-102 | Керівник |
    | Курбатов К.А. | Григор'єва І.Б. |
    | Підпис _____________________ | Підпис _____________________ |

    Москва 1998.

    Зміст


    Вступ 3


    Безпека в середовищі баз даних 4


    Визначення потреби в захисті інформації 5


    Шифрування 6


    Деякі рішення 7


    Поняття ідентифікації і аутентифікації в достовірних системах 9


    які реалізації 11


    Перспективи розвитку 13


    Захищені СУБД інших постачальників 13


    Система Kerberos 13


    Клієнт/Kerberos/Cepвep 13


    Зв'язок між областями Kerberos-17


    Цільовий сервер 17


    Kerberos-5 18


    Висновок 19


    Література 20

    Введення

    Концентрація інформації в комп'ютерах - аналогічно концентраціїготівкових грошей у банках - змушує все більше посилювати контроль з метоюзахисту інформації. Юридичні питання, приватна таємниця, національнабезпека - усі ці міркування вимагають посилення внутрішнього контролю вкомерційних та урядових організаціях. Роботи в цьому напрямкупризвели до появи нової дисципліни: безпека інформації. Фахівець вобласті безпеки інформації відповідає за розробку, реалізацію таексплуатацію системи забезпечення інформсціонной безпеки, спрямованоїна підтримку цілісності, придатності та конфіденційності накопиченої ворганізації інформації. У його функції входить забезпечення фізичної
    (технічні засоби, лінії зв'язку і віддалені комп'ютери) і логічної
    (дані, прикладні програми, операційна система) захисту інформаційнихресурсів.

    Складність створення системи захисту інформації визначається тим, щодані можуть бути викрадені з комп'ютера і одночасно залишатися намісці; цінність деяких даних полягає у володінні ними, а не взнищення або зміну.

    Проблема захисту комп'ютерних мереж від несанкціонованого доступунабула особливої гостроти. Розвиток комунікаційних технологій дозволяєбудувати мережі розподіленої архітектури, що поєднують велику кількістьсегментів, розташованих на значній відстані один від одного. Все цевикликає збільшення числа вузлів мереж, розкиданих по всьому світу, ікількості різних ліній зв'язку між ними, що, у свою чергу, підвищуєризик несанкціонованого підключення до мережі для доступу до важливоїінформації. Особливо неприємною така перспектива може виявитися длябанківських чи державних структур, про-лада секретною інформацієюкомерційного або будь-якого іншого характеру. У цьому випадку необхідніспеціальні засоби ідентифікації користувачів в мережі, що забезпечуютьдоступ до інформації лише у випадку повної впевненості в наявності вкористувача прав доступу до неї.

    Існує ряд розробок, що дозволяють з високим ступенем надійностіідентифікувати користувача при вході в систему. Серед них, наприклад,є технології, що ідентифікують користувача по сітківці ока абовідбитками пальців. Крім того, ряд систем використовують технології,засновані на застосуванні спеціального ідентифікаційного коду, постійнопереданого по мережі. Так, при використанні пристрою SecureID (фірми
    Security Dinamics) забезпечується додаткова інформація про користувачау вигляді шестизначною коду. У цьому випадку робота в мережі неможлива безнаявності спеціальної картки SecureID (схожою на кредитну), яказабезпечує синхронізацію змінюється коду користувача з збережених на
    UNIX-хості, При цьому доступ до мережі та робота в ній може здійснюватися лишепри знанні поточного значення коду, що відображається на дисплеїпристрої SecureID. Проте основним недоліком цієї та їй подібних системє необхідність у спеціальному обладнанні, що викликає незручностів роботі і додаткові витрати.

    У статті розглядаються деякі можливості забезпеченнябезпеки в системах - шифрування інформації при передачі по каналахзв'язку та використання надійних (достовірних, довірчих) (Trusted)систем - на прикладі СУБД ORACLE, а так само система захисту віднесанкціонірованого доступу до мережі Kerberos.

    Безпека в середовищі баз даних

    Очевидні достоїнства баз даних в сучасному середовищі обробки данихслужать гарантією їх подальшого розвитку та використання. Контроль доступув цій області важливий зважаючи колосальної концентрації інформації.

    На даний момент «хребтом» базових систем обробки інформації вбагатьох великих організаціях є локальна мережа, яка поступовозаймає таке ж місце і в фірмах меншого розміру. Зростаюча популярністьлокальних мереж вимагає відповідного захисту інформації, але історичновони були спроектовані як раз не для розмежування, а для полегшеннядоступу та колективного використання ресурсів. У середовищі локальних мереж вмежах будівлі або району (містечка) співробітник, що має доступ до фізичноїлінії, може переглядати дані, не призначені для нього. З метоюзахисту інформації в різних комбінаціях використовуються контроль доступу,авторизація та шифрування інформації, доповнені резервуванням.

    Визначення потреби в захисті інформації

    Забезпечення безпеки інформації - дорога справа, і не стільки черезвитрат на закупівлю або установку коштів, скільки через те, що важкокваліфіковано визначити межі розумної безпеки івідповідного підтримки системи в працездатному стані.

    Якщо локальна мережа розроблялися з метою спільного використанняліцензійних програмних засоб, дорогих кольорових принтерів або великихфайлів загальнодоступної інформації, то немає ніякої потреби навіть вмінімальних системах шифрування/дешифрування інформації.

    Засоби захисту інформації не можна проектувати, купувати абовстановлювати до тих пір, поки не проведений відповідний аналіз.

    Аналіз ризику повинен дати об'єктивну оцінку багатьох факторів
    (схильність до появи порушення роботи, імовірність появи порушенняроботи, збиток від комерційних втрат, зниження коефіцієнта готовностісистеми, суспільні відносини, юридичні проблеми) і надатиінформацію для визначення підходящих типів і рівнів безпеки.
    Комерційні організації все більшою мірою переносять критичнукорпоративну інформацію з великих обчислювальних систем в середу відкритихсистем і зустрічаються з новими і складними проблемами при реалізації таексплуатації системи безпеки. Сьогодні все більше організаційрозгортають потужні розподілені бази даних і програми клієнт/сервердля управління комерційними даними. При збільшенні розподілузростає також і ризик несанкціонованого доступу до даних і їх спотворення.

    Шифрування даних традиційно використовувалося урядовими іоборонними департаментами, але у зв'язку зі зміною потреб і деякінайбільш солідні компанії починають використовувати можливості,надаються шифруванням для забезпечення конфіденційності інформації.

    Фінансові служби компаній (насамперед у США) представляють важливу івелику призначену для користувача базу і часто специфічні вимогипред'являються до алгоритму, що використовується в процесі шифрування.
    Опубліковані алгоритми, наприклад DES (Див. нижче), є обов'язковими.
    У той же час, ринок комерційних систем не завжди вимагає такої сувороїзахисту, як урядові або оборонні відомства, тому можливозастосування продуктів та іншого типу, наприклад PGP (Pretty Good Privacy).

    Шифрування

    Шифрування даних може здійснюватися в режимах On-Line (в темпінадходження інформації) і Off-Line (автономному). Зупинимося докладніше наперший тип, який представляє більший інтерес. Найбільш поширені дваалгоритму.

    Стандарт шифрування даних DES (Data Encryption Standard) буврозроблений фірмою IBM на початку 70-х років і в даний час єурядовим стандартом для шифрування цифрової інформації. Вінрекомендований Асоціацією Американських Банкірів. Складний алгоритм DESвикористовує ключ довжиною 56 біт і 8 бітів перевірки на парність і вимагає відзловмисника перебору 72 квадрильйонів можливих ключових комбінацій,забезпечуючи високий ступінь захисту при невеликих витратах. При частій змініключів алгоритм задовільно вирішує проблему перетворенняконфіденційної інформації в недоступну.

    Алгоритм RSA був винайдений Рівестом, Шамір і Альдо-Маном в 1976 роціі являє собою значний крок в криптографії. Цей алгоритм такожбув прийнятий як стандарт Національним Бюро Стандартів.

    DES, технічно, є симетричним алгоритмом, а RSA -
    Асиметричною, тобто він використовує різні ключі для шифрування тадешифрування. Користувачі мають два ключі і можуть широко розповсюджуватисвій відкритий ключ. Відкритий ключ використовується для шифрування повідомленнякористувачем, але тільки певний одержувач може дешифрувати йогосвоїм секретним ключем; відкритий ключ даремний для дешифрування. Церобить непотрібними секретні угоди про передачу ключів міжкореспондентами. DES визначає довжину даних та ключа в бітах, а RSA можебути реалізований за будь-якої довжини ключа. Чим довше ключ, тим вище рівеньбезпеки (але стає тривалішим і процес шифрування ідешифрування). Якщо ключі DES можна згенерувати за мікросекунди, тоОчікуваний час генерації ключа RSA - десятки секунд. Тому відкритіключі RSA віддають перевагу розробники програмних засобів, а секретні ключі
    DES - розробники апаратури.

    Деякі рішення

    Прикладом архітектури клієнт/сервер, яку добре доповнюють коштишифрування, можуть служити Oracle Server, мережеві продукти (SQMNet) іпрограмне забезпечення клієнта.

    Мережева служба безпеки (SNS - Secure Network Services) пропонуєстандартний, оптимізований алгоритм шифрування DES з ключем довжиною 56біт для організацій, від яких потрібно використовувати стандарт DES. Длязамовників поза межами США або Канади SNS пропонує DES40, в якомукомбінується використання алгоритму шифрування DES з загальноприйнятим ключемдовжиною 40 біт (експорт технологій шифрування в США законодавчообмежений). Поряд з DES можливо також використання алгоритму шифрування
    RSA RC4.

    Секретний, що генерується випадковим чином ключ для кожної сесії SQL *
    Net зберігає весь мережевий трафік - включаючи паролі, значення даних, SQL -затвердження і зберігаються виклики і результати.

    Для виявлення зміни чи підміни даних під час передачі SNSгенерує криптографічно захищене значення, що обчислюється за вмістомповідомлення, і включає його в кожен пакет, що передається по мережі. Приотриманні пакету в пункті призначення SNS негайно проводить перевіркуцілісності кожного пакету.

    Стійкість до перекручування даних забезпечується наступним чином:

    1) криптографічно захищена контрольна сума в кожному пакеті SQL *
    Net забезпечує захист від модифікації даних і заміни операції;

    2) при виявленні порушень операції негайно автоматичнозавершуються;

    3) інформація про всі порушення реєструється в журналі.

    Поряд з цим забезпечується багатопротокольна перекодування даних,тобто повністю підтримується Oracle Multiprotocol Interchange - при роботііз зашифрованою сесією можна починати роботу з одним мережевим протоколом, азакінчувати з іншим, при цьому не потрібно дешифрування або перешіфрованіеінформації. SNS повністю підтримується наскрізними шлюзами, Oracle
    Transparent Gateways, і процедурними шлюзами, Oracle Procedural Gateways,які дають можливість організовувати повністю зашифровані сесіїклієнт/сервер до відмінних від Oracle джерел даних, включаючи Adabas, CA-
    Datacom, DB2, DRDA, FOCUS, IDMS, IMS, ISAM, MUMPS, QSAM, Rdb, RMS, SAP,
    SQL/DS, SQL/400, SUPRA, Teradata, TOTAL, VSAM та інші.

    SNS працює з усіма основними протоколами, що підтримуються SQL * Net,включаючи AppleTalk, Banyan, DECnet, LU6.2, MaxSix, NetBIOS, SPX/IPX, TCP/IP,
    X.25 та інші.

    Забезпечується незалежність від топології мережі - SNS працює у всіхосновних мережних середовищах, підтримуваних SQL-Net.

    SNS представляє собою додатковий продукт до стандартного пакету
    SQL * Net, тобто потрібно попередньо придбати ліцензію на SQL * Net.
    Продукт треба купувати і для клієнта, і для сервера.

    Разом тим СУБД Oracle, починаючи з версії 7.1, пароль передається помережі в зашифрованому вигляді.

    Це означає, що при організації зв'язку клієнт/сервер використовуєтьсяновий протокол встановлення зв'язку, в якому застосовується сеансовий ключ,придатний тільки для єдиної спроби з'єднання з базою даних івикористовується як ключ для шифрування пароля, перш ніж він будепередано клієнтам. Oracle-сервер знаходить зашифрований пароль для цьогокористувача і використовує його як ключ, яким він зашифровуєсеансовий ключ. Потім сервер пересилає цей зашифрований сеансовий ключклієнтові. Клієнт шифрує (застосовуючи той же самий односторонній алгоритм,який використовується сервером) пароль, введений користувачем, і з йогодопомогою дешифрує зашифрований сеансовий ключ. Виявивши цей сеансовийключ, він використовує його - це стає спільним секретом клієнта ісервера - для шифрування пароля користувача. Цей зашифрований парольпотім передається через мережу сервера. Сервер дешифрує пароль, а потімзашифровує його, використовуючи односторонній алгоритм сервера; результат цихобчислень звіряється зі значенням, що зберігається в словнику даних. Якщо вонизбігаються, клієнту надається доступ. Такий підхід реалізується як уз'єднаннях типу клієнт/сервер, так і сервер/сервер, де сеансивстановлюються через так звані повноважні ланки баз даних (тобтоланки баз даних без вкладених імен користувачів і паролів).

    Поняття ідентифікації і аутентифікації в достовірних системах

    Відомі великі вигоди, які дає перехід до відкритих систем. Алесеред них не значиться безпека інформації. Це й зрозуміло - центробробки даних передає деякі зі своїх функцій по контролю засистемою відділам і користувачам і тим самим розсіює об'єктбезпеки.

    Зберегти необхідний рівень безпеки системи можливо привикористанні операційних систем класу В1 (Trusted), які дозволяютьадміністратору системи присвоїти кожному користувачеві рівень доступностіоб'єктів системи (Secret, Confidential, Unclassified).

    Обробка секретної та конфіденційної інформації потребує від системивикористовувати механізм гарантії відповідної ідентифікації тааутентифікації користувачів. Всі можливі підходи до ідентифікації іаутентифікації 'повинні бути ідентифіковані, розглянуті та порівняні з
    Критерієм оцінки достовірності Обчислювальних Систем (TCSEC), або з
    «Помаранчевої Книгою» (у Європі - Критерієм Оцінки Безпеки Інформаційних
    Технологій, чи «Білої Книгою »).

    TCSEC ділиться на чотири класи: D, С, В і А. Ці класи впорядковані,причому найвищий клас (А) зарезервовано за системами, що маютьнайвищий рівень захисту інформації. Всередині класів В і С єпідкласів, які теж впорядковані відповідно до забезпечуваним рівнемзахисту. Коротко кажучи, належність до класу D означає, що система немає засобів захисту інформації (некласифіковані), до класу С - щовона має деякі засоби виборчої захисту (класифікована), докласу В - що до згаданих раніше засобів додаються гарантіїбезпеки і вони описуються як «повноважні» (секретна інформація), нуа якщо система віднесена до класу А, отже, засоби захисту раніше перевірені
    (абсолютно секретна інформація). Багато популярних операційні системи
    (наприклад, різні варіанти PС UNIX, Sun Solaris 2.3 і т.п.)відповідають класу С.

    В1 - перший в класифікації рівень, в якому має місце контрольдоступу і перенесення даних, заснований на рівнях конфіденційності. Длянепривілейованих користувачів використовуються дані ідентифікації тааутентифікації для визначення рівня авторизації поточного користувача,які Достовірна Комп'ютерна База (ТСВ - Trusted Computer Base)порівнює зі своєю базою даних користувачів, що містить рангиавторизації для кожного користувача. Якщо інформація, вказана привходження в зв'язок, коректна і її рівень визнаний відповідним запитом,
    ТСВ допускає користувача в систему. При спробі доступу до файлів ТСВвиступає в ролі арбітра, при цьому ТСВ грунтується на рівні пользователяі мітці файлу або об'єкта, до яких користувач намагається отримати доступ.
    Оскільки рівень конфіденційності представляється рівнем прозорості такатегорією доступу, а дозвіл на доступ до об'єкта визначаєтьсяконфіденційністю і об'єкта, і суб'єкта (зовнішній п (стосовно ТСВ),авторизація суб'єкта стає компонентом вимог до авторизації.

    Помаранчева Книга фокусує увагу на закінчений обчислювальнихсистемах і визначає шість ключових вимог безпеки інформації:

    1) система повинна мати чіткий сертифікат безпеки

    2) кожен об'єкт, що асоціюється з цим сертифікаті! повинен матимітку контролю доступу;

    3) індивідуальні користувачі повинні бути ідентифіковані;

    4) система повинна підтримувати сукупність відомостей накопичуютьсяз часом і використовуються для спрощено перевірки засобів захисту;

    5) система повинна бути відкрита для незалежної оцінки безпекиінформації;

    6) система повинна бути постійно захищена від оновлено конфігураціїабо яких-небудь інших змін.

    З часу випуску Помаранчевої книги було опубліковано безліч іншихдокументів з різними кольорами обкладинок. Ця «райдужна серія» охоплюєпитання Інтерпретації Достовірних Мереж (Trusted Network Interpretation),
    Інтерпретації Достовірних Баз Даних (Trusted DataBase Interpretation),керівництва по паролів, керівництво за виборчим контролю доступу і
    Перелік оцінених Коштів.

    які реалізації

    Корпорація Oracle розробила реляційну СУБД із забезпеченнямбагаторівневого захисту інформації (Multi-Level Security - MLS) - Trusted
    ORACLE7, що володіє, у тому числі, і всіма стандартними можливостями
    ORACLE7.

    Минулого компанії, які бажали захистити секретну абоконфіденційну інформацію, змушені були використані для цих цілейспеціальне або виділене обладнання. З появою таких продуктів, як
    Trusted ORACLE7, ця необхідність відпала. Trusted ORACLE7 дозволяєрозміщувати важливу для конкурентів інформацію в базі даних, у якійзберігається загальна інформація, без жодного ризику, що якийсь користувачвипадково чи навмисно отримає доступ до секретної або конфіденційноїінформації.

    Trusted ORACLE7 функціонує з використанням двох наборів правил:
    Виборче Управління доступом (DAC - Discretionary Access Control) і
    Повноважне Управління доступом (MAC - Mandatory Access Control).
    Використання DAC обмежується такими об'єктами баз даних, як таблиці,види, послідовності і збережені процедури, що базуються на ідентифікаціїкористувачів, і групові асоціації. Творець об'єктів баз даних --наприклад, таблиць - може надавати доступ іншому користувачеві.

    MAC являє собою крок вперед у порівнянні з DAC і позначаєутримання об'єктів баз даних. MAC обмежує доступ до об'єкта шляхомпорівняння так званої мітки об'єкта з рівнем авторизації користувача.
    Крім міток MAC Trusted ORACLE7 позначає такі елементи об'єктів, якрядки і таблиці. В результаті цієї властивості навіть за умови, що DACнамагається дати користувачеві доступ до позначеному об'єкту, йому буде дозволенодоступ, тільки якщо його рівень авторизації буде не нижче, ніж рівеньавторизації інформації, до якої намагається отримати доступ користувач.

    Зверніть увагу, що Trusted ORACLE7 повинна функціонувати над ОС збагаторівневої захистом інформації, щоб забезпечити рівні захистуінформації, закладені в ній при проектуванні. Обмін між системами збагаторівневої захистом (меточной), а також між системою з багаторівневоюзахистом і звичайною системою, не використовує мітки, можливий тількиза допомогою меточного мережевого протоколу. Такі протоколи передають удодаток до інших атрибутів захисту інформації, подібно ідентифікаторамикористувачів або груп, мітки пакетів, які зазвичай породжуються з мітокпередавального процесу. Більшість загальних меточних протоколів єваріантами протоколу MaxSix, що представляє собою сукупність мережевихпротоколів захисту інформації та програмних інтерфейсів, теоретичноспроектованого для підтримки мереж OSI і TCP/IP, хоча в даний часє тільки реалізації MaxSix. Протоколи MaxSix відповідають RIPCO,
    CIPCO і DNSIX. Більшість постачальників робочих станцій MLS з режимі
    Підрозділи на Секції (CMW - Compartamented Mode Workstation) реалізувалипротоколи MaxSix у своїх захищених ОС. MaxSix забезпечує не тількислужби розставляння міток і трансляції, а й допускає єдину заздалегідьпевну позначку MLS.

    Таким чином, позначений сервер насправді діє яксторож; аналогічно, БД Trusted ORACLE7 на цей сервер працює як сторожсервера СУБД.

    Як і звичайні протоколи, SQL * Net підтримує ці меточние протоколиза допомогою протокольних адаптерів; наприклад, має реалізації адаптерівпротоколів SQL * Net для TNET фірми Sun, MaxSix фірми DEC і MaxSix виробництва HP.
    На станціях, де багаторівнева середу з'єднується з неметочной середовищем, наодній стороні з'єднання (багаторівневої) працює адаптер SQL * Net дляваріанту MaxSix, а на іншій - адаптер SQL * Net для протоколу TCP/IP
    (неметочная середа).

    Всі продукти корпорації Oracle Developer 2000, Designer 2000 і інможуть використовуватися з Trusted ORACLE7.

    Перспективи розвитку

    З появою Oracle RDBMS версії 7.2 розробники програм зможутьпоставляти код PL/SQL у згорнутому (Wrapped) форматі. Розробник, якийпланує передавати програми на PL/SQL, більше не повинен відправлятивихідний код PL/SQL. Приховування вихідного коду полегшує захистінтелектуальної власності та зменшує можливі зловживання абоспотворення додатків.

    Захищені СУБД інших постачальників

    Informix поставляє OnLine/Secure 5.0, який, подібно до іншихконкуруючим продуктів в даній області, представляє собою реляційну
    СУБД, що забезпечує багаторівневий захист інформації в БД і працює звикористанням двох наборів правил DAC і MAC.

    Аналогічні механізми підтримує Sybase у продукті Secure SQL Server
    Version 10.0.

    Система Kerberos

    Система Kerberos (по-русски - Цербер), розроблена учасникамипроекту Athena, забезпечує захист мережі від несанкціонованого доступу,базуючись виключно на програмних рішеннях, і припускаєбагаторазову шифрування переданої по мережі керуючої інформації.
    Kerberos забезпечує ідентифікацію користувачів мережі та серверів, негрунтуючись на мережевих адреси та особливості операційних систем робочихстанцій користувачів, не вимагаючи фізичного захисту інформації на всіхмашинах мережі і виходячи з припущення, що пакети в мережі можуть бути легкопрочитані і при бажанні змінені.

    Клієнт/Kerberos/Cepвep

    Kerberos має структуру типу клієнт/сервер і складається з клієнтськихчастин, установлених на всі машини мережі (робочі станції користувачів ісервери), і Kerberos-сервера (або серверів), що розташовується на якому-небудь
    (не обов'язково виділеному) комп'ютері. Kerberos-сервер, у свою чергу,ділиться на дві рівноправні частини: сервер ідентифікації (authentication server) і сервер видачідозволів (ticket granting server). Слід зазначити, що існує втретій сервер Kerberos, який, однак, не бере участь в ідентифікаціїкористувачів, а призначений для адміністрування. Область дії
    Kerberos (realm) поширюється на ту ділянку мережі, всі користувачіякого зареєстровані під своїми іменами і паролями в базі Kerberos -сервера і де всі сервери володіють загальним кодовим ключем з ідентифікаційноїчастиною Kerberos. Ця область не обов'язково повинна бути ділянкою локальноїмережі, оскільки Kerberos не накладає обмеження на тип використовуванихкомунікацій (про спосіб доступу з області дії одного Kerberos-серверав область дії іншого буде сказано трохи нижче).

    Спрощено модель роботи Kerberos можна описати таким чином.
    Користувач (Kerberos-клієнт), бажаючи отримати доступ до ресурсів мережі,направляє запит ідентифікаційному сервера Kerberos. Останнійідентифікує користувача за допомогою його імені і пароля і видаєдозвіл на доступ до сервера видачі дозволів, який, у свою чергу,дає «добро» на використання необхідних ресурсів мережі. Однак данамодель не відповідає на питання про надійність захисту інформації, оскільки, зодного боку, користувач не може посилати ідентифікаційному серверусвій пароль по мережі, а з іншого - дозвіл на доступ до обслуговування вмережі не може бути надіслано користувачеві у вигляді звичайного повідомлення. В обохвипадках інформація може бути перехоплена і використана длянесанкціонованого доступу в мережу. Для того, щоб уникнути подібнихнеприємностей Kerberos, застосовує складну систему багаторазового шифруванняпри передачі будь-якої керуючої інформації в мережі.

    Доступ користувачів до мережевих серверів, файлів, додатків,принтерів і т.д. здійснюється за наступною схемою.

    Клієнт (під яким у подальшому буде розумітися клієнтська частина
    Kerberos, встановлена на робочій станції користувача) надсилає запитідентифікаційним серверу на видачу «дозволу на отримання дозволу»
    (ticket-granting ticket), яке дасть можливість звернутися до серверавидачі дозволів. Ідентифікаційний сервер адресується до бази даних,зберігає інформацію про всіх користувачів, і на підставі що міститься взапиті імені користувача визначає його пароль. Потім клієнтові надсилається
    «Дозвіл на отримання дозволу» і спеціальний код сеансу (sessionkey), які шифруються за допомогою пароля користувача як ключа. Приотриманні цієї інформації користувач на його робочої станції повинен ввестисвій пароль, і якщо він співпадає з зберігаються в базі Kerberos-сервера,
    «Дозвіл на отримання дозволу» і код сеансу будуть успішнорозшифровані. Таким чином вирішується проблема з захистом пароля - у даномувипадку він не передається по мережі.

    Після того, як клієнт зареєструвався за допомогою ідентифікаційногосервера Kerberos, він відправляє запит серверу видачі дозволів наотримання доступу до необхідних ресурсів мережі. Цей запит (або «дозволуна отримання дозволу ») містить ім'я користувача, його мережеву адресу,позначку часу, термін життя цього дозволу та код сеансу. «Дозвіл наотримання дозволу »зашифрована два рази: спочатку за допомогоюспеціального коду, який відомий тільки ідентифікаційним сервером тасерверу видачі дозволів, а потім, як уже було сказано, за допомогою паролякористувача. Це запобігає не тільки можливість використання цьогодозволу при його перехоплення, але й робить його недоступним самомукористувачеві. Для того щоб сервер видачі дозволів дав клієнту доступ донеобхідних ресурсів, недостатньо тільки «дозволу на отриманнядозволу ». Разом з ним клієнт посилає так званий аутентікатор
    (authenticator), зашифрована за допомогою коду сеансу і містить ім'якористувача, його мережеву адресу і ще одну позначку часу.

    Сервер видачі дозволів розшифровує отримане від клієнта
    «Дозвіл на отримання дозволу», перевіряє, чи минув термін його
    «Придатності», а потім порівнює ім'я користувача і його мережеву адресу,що знаходяться в дозволі, з даними, що вказані в заголовку пакетаприйшло повідомлення. Однак на цьому перевірки не закінчуються. Сервервидачі дозволів розшифровує аутентікатор за допомогою коду сеансу і щераз порівнює ім'я користувача і його мережеву адресу з попередніми двомазначеннями, і лише у разі позитивного результату може бути впевненийнарешті, що клієнт саме той, за кого себе видає. Оскільки аутентікаторвикористовується для ідентифікації клієнта всього один раз і лише протягомпевного періоду часу, стає практично неможливимодночасний перехоплення «дозволу на отримання дозволу» і аутентікаторадля подальших спроб несанкціонованого доступу до ресурсів мережі.
    Кожного разу, при необхідності доступу до сервера мережі, клієнт посилає
    «Дозвіл на отримання дозволу» багаторазового використання і новийаутентікатор.

    Після успішної ідентифікації клієнта як джерело запитусервер видачі дозволів відсилає користувачеві дозвіл на доступ доресурсів мережі (яке може використовуватися багаторазово протягомдеякого періоду часу) і новий код сеансу. Цей дозвіл зашифрованоза допомогою коду, відомого тільки серверу видачі дозволів та серверу, дояким вимагає доступу клієнт, і містить всередині себе копію нового кодусеансу. Всі повідомлення (дозвіл і новий код сеансу) зашифровано за допомогоюстарого коду сеансу, тому розшифрувати його може тільки клієнт. Післярозшифровки клієнт посилає цільовим серверу, ресурси якого потрібнікористувачеві, дозвіл на доступ і аутентікатор, зашифровані за допомогоюнового коду сеансу.

    Для забезпечення ще більш високого рівня захисту, клієнт, у своючергу, може вимагати ідентифікації цільового сервера, щобубезпечитися від можливого перехоплення інформації, що дає право на доступ доресурсів мережі. У цьому випадку він вимагає від сервера висилки значення позначкичасу, збільшеного на одиницю і зашифрованого за допомогою коду сеансу.
    Сервер витягає копію коду сеансу, що зберігається усередині дозволу на доступдо сервера, використовує його для розшифровки аутентікатора, додає допозначці часу одиницю, зашифровує отриману інформацію за допомогою кодусеансу та надсилає її клієнтові.

    Розшифровка цього повідомлення дозволяє клієнтові ідентифікувати сервер.
    Використання в якості коду позначки часу забезпечує впевненість уте, що прийшов клієнту відповідь від сервера не є повтором відповіді наякий-небудь попередній запит.

    Тепер клієнт і сервер готові до передачі необхідної інформації зналежної ступенем захисту. Клієнт звертається із запитами до цільового сервера,використовуючи отримане дозвіл. Наступні повідомлення зашифровуються здопомогою коду сеансу.

    Більш складною є ситуація, коли клієнту необхідно дати серверуправо користуватися будь-якими ресурсами від його імені. Як прикладможна навести ситуацію, коли клієнт посилає запит серверу друку,якому потім необхідно одержати доступ до файлів користувача,розташованим на файл-сервер. Крім того, при вході в віддалену системукористувачеві необхідно, щоб всі ідентифікаційні процедури виконувалисятак само, як і з локальної машини. Ця проблема вирішується установкоюспеціальних прапорів у «дозволі на отримання дозволу» (що даютьодноразовий дозвіл на доступ до сервера від імені клієнта для першогоприкладу і забезпечують постійну роботу в цьому режимі для другого).
    Оскільки, як було сказано вище, дозволи строго прив'язані до мережногоадресою володіє ними станції, то при наявності подібних прапорів сервер видачідозволів повинен вказати у вирішенні мережеву адресу того сервера, якомупередаються повноваження на дії від імені клієнта.

    Слід також зазначити, що для всіх описаних вище процедурідентифікації необхідно забезпечити доступ до бази даних Kerberos тількидля читання. Але іноді потрібно змінювати базу, наприклад, у випадку зміниключів або додавання нових користувачів. Тоді використовується третій сервер
    Kerberos - адміністративний (Kerberos Administration Server). He вдаючисьв подробиці його роботи, варто зазначити, що його реалізації можуть сильновідрізнятися (так, можливо ведення декількох копій бази одночасно).

    Зв'язок між областями Kerberos-

    Як вже було сказано вище, при використанні Kerberos-серверів мережаділиться на області дії Kerberos. Схема доступу клієнта, що знаходиться вобласті дії одного Kerberos-сервера, до ресурсів мережі, розташованим вобласті дії іншого Kerberos, здійснюється наступним чином.

    Цільовий сервер

    Обидва Kerberos-сервера повинні бути обопільно зареєстровані, тобтознати загальні секретні ключі і, отже, мати доступ до базкористувачів один одного. Обмін цими ключами між Kerberos-серверами (дляроботи в кожному напрямку використовується свій ключ) позво-ляєтзареєструвати сервер видачі дозволів кожній області як клієнта віншій області. Після цього клієнт, що вимагає доступу до ресурсів,що знаходиться в області дії іншого Kerberos-сервера, може отриматидозвіл від сервера видачі дозволів свого Kerberos за описаним вищеалгоритму. Цей дозвіл, у свою чергу, дає право доступу до серверавидачі дозволів іншого Kerberos-сервера і містить в собі позначку про те,в якій Kerberos-області зареєстрований користувач. Віддалений сервервидачі дозволів використовує один із загальних секретних ключів для розшифровкицього дозволу (що, природно, відрізняється від ключа, що використовуєтьсяв межах цієї області) і при успішній розшифровці може бути впевнений,щодозвіл видано клієнту відповідної Kerberos-області. Отриманедозвіл на доступ до ресурсів мережі пред'являється цільовим сервером дляотримання відповідних послуг.

    Слід, однак, враховувати, що велика кількість Kerberos-серверів в мережіведе до збільшення кількості переданої ідентифікаційної інформації призв'язки між різними Kerberos-областями. При цьому збільшується навантаження намережу та на самі Kerberos-сервери. Тому більш ефективним слід вважатинаявність у великій мережі всього декількох Kerberos-серверів з великимиобластями дії, ніж використання безлічі Kerberos-серверів. Тая,
    Kerberos-система, встановлена компанією Digital Equipment для великоїбанківської мережі, що об'єднує відділення в Нью-Йорку, Парижі та Римі, маєвсього один Kerberos-сервер. При цьому, незважаючи на наявність у мережі глобальнихкомунікацій, робота Kerberos-системи практично не позначилася напродуктивності мережі.

    Kerberos-5

    До теперішнього часу Kerberos витримав уже чотири модифікації, зяких четверта отримала найбільше розповсюдження. Нещодавно група,що продовжує роботу над Kerberos, опублікувала специфікацію п'ятої версіїсистеми, основні особливості якої відображені в стандарті RFC 1510. Цямодифікація Kerberos має ряд нових властивостей, з яких можна виділитинаступні.

    Вже розглянутий раніше механізм передачі повноважень серверу надії від імені клієнта, значно полегшує ідентифікацію в мережі вряді складних випадків, є нововведенням п'ятої версії.

    П'ята версія забезпечує більш спрощену ідентифікацію користувачіву віддалених Kerberos-областях, зі скороченим числом передач секретнихключів між цими областями. Дана властивість, у свою чергу, базуєтьсяна механізм передачі повноважень.

    Якщо в попередніх версіях Kerberos для шифрування використовувавсявиключно алгоритм DES (Data Encryption Standard - Стандарт Шифрування
    Даних), надійність якого викликала деякі сумніви, то в данійверсії можливе використання різних алгоритмів шифрування, відмінних від
    DES.

    Висновок

    Багато виробників мережевого і телекомунікаційного устаткуваннязабезпечують підтримку роботи з Kerberos у своїх пристроях.

    Слід, однак, відзначити, що використання Kerberos не євирішенням всіх проблем, пов'язаних із спробами несанкціонованого доступу домережа (наприклад, він безсилий, якщо хто-небудь дізнався пароль користувача),тому його наявність не виключає інших стандартних засобів підтримкивідповідного рівня секретності в мережі.

    Жодна комп'ютерна система захисту інформації не є абсолютнобезпечною. Проте адекватних заходів захисту значно ускладнюють доступ досистемі і знижують ефективність зусиль зловмисника (відношення середніхвитрат на злом захисту системи та очікуваних результатів) так, щопроникнення в систему стає недоцільним. Ключовим елементом усистемі безпеки є адміністратор системи. Хоч би які кошти вині набували, якість захисту буде залежати від здібностей і зусильцієї людини.

    Л

         
     
         
    Реферат Банк
     
    Рефераты
     
    Бесплатные рефераты
     

     

     

     

     

     

     

     
     
     
      Все права защищены. Reff.net.ua - українські реферати ! DMCA.com Protection Status