Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Крутые времена, крутые меры

Дэвид Уиллис

Правила ведения войны за безопасность компьютерной сети меняются. Теперь противник не ограничивается несколькими объектами атаки на флангах фронта. Он прячется среди “деревьев”, прекрасно вооруженный, готовый захватить ваши корпоративные данные.

Внедриться в сеть сейчас гораздо проще, чем раньше. Удаленный доступ является частью настольной ОС. Internet общедоступна. Безумное стремление сделать доступ к информации как можно более дешевым часто приводит к пренебрежительному отношению к защите данных.

“Защитить сеть” значит предотвратить несанкционированное и неправильное использование системы, уметь оценить нанесенный ущерб. Если вы умеете идентифицировать некоторое аппаратное устройство, но не способны точно отождествить каждого пользователя, то у вас нет настоящей защиты. Журналы регистрации ничего не стоят, если вы не можете удостоверить личность человека за клавиатурой.

Системы защиты на основе личных карточек помогают определить пользователя по двум факторам: по тому, что у него есть (личная карточка) и по тому, что он знает (персональный идентификационный номер — PIN, а также обычный набор системных паролей). При четкой регистрации действий в контрольных журналах ОС вы можете заставить людей отвечать за свои действия. Кроме точного опознания пользователя, эти системы вырабатывают одноразовый пароль, предотвращающий попытку начать сеанс с помощью перехваченного ранее пароля. Одноразовый пароль проверяется сервером, знающим способ вычисления правильного пароля.

Защита — это не только аутентификация пользователя и контроль за его действиями, поэтому продукты, которые нам предстоит рассмотреть, не предоставляют полного решения проблемы безопасности. Они не гарантируют конфиденциальности данных посредством шифрования и не подтверждают авторства, а в момент входа в систему для определения разрешенных пользователю действий обращаются к ОС хостов и серверов.

Победители

Продукт ACE/Server 2.0 фирмы Security Dynamics Technologies отмечен призом “Выбор редакторов” (Editor’s Сhoice) как самая надежная и полная система аутентификации. Эта система поддерживается множеством пограничных устройств сети и, единственная среди испытанных нами, опознает пользователей серверов NetWare.

Платформа SafeWord AS фирмы Enigma Logic отмечена наградой “Достойна уважения” (Honorable Mention) как самая гибкая платформа безопасности для выбора того типа аутентификатора, который отвечает вашим требованиям.

ACE/Server 2.0 с SecurID фирмы Security Dynamics Technologies

Продукт обладает рядом достоинств. С точки зрения пользователя система необременительна, вместе с тем, администратору предложен солидный, хорошо укомплектованный набор инструментальных средств. Как уже говорилось, в отличие от остальных продуктов она не просто защищает точку доступа к сети, а обеспечивает аутентификацию для серверов NetWare. Поэтому в целях наименьшей “открытости” защиты (не правда ли, забавная игра слов) приобретать личные карточки и программы для сервера следует только у фирмы Security Dynamics Technologies.

Система SecurID реализует уникальный механизм определения ключа сеанса. Каждую минуту личная карточка выдает новый пароль, а сервер аутентификации использует текущее время для проверки правильности ввода. Мы считаем такое решение наилучшим с точки зрения пользователя, так как вход в систему занимает всего 10 с, и при этом для обращения к специальному устройству не надо снимать руки с клавиатуры.

В отличие от остальных протестированных нами личных карточек, устройство SecurID использует их стартовое значение, “зашитое” при изготовлении. Это упрощает программирование карточек, а также скрывает пароли от недобросовестного администратора, который может ими воспользоваться. Тем не менее, некоторые организации, вероятно, пожелают, чтобы стартовые значения карточек были в их распоряжении.

Как это работает

ACE/Server работает на Uniх-машине, где хранится главная база данных системы безопасности. ACE/Client запускается на тех серверах, хостах или устройствах доступа, которые включаются в систему безопасности и связываются с ACE/Server через TCP/IP по каналу, закрытому с помощью алгоритма DES. Как и в других протестированных системах, в этом случае клиентам не приходится запускать на конечной рабочей станции специальное защитное ПО.

Мы были разочарованы, не обнаружив тесной интеграции с сетевой ОС NetWare, что вызывает необходимость использования специальных версий ATTACH и LOGIN для доступа авторизованных пользователей. И что еще хуже, для обеспечения прозрачного доступа нельзя переименовать замещающие программы SDATTACH и SDLOGIN компании Security Dynamics. Приложения, напрямую вызывающие функции API NetWare, никогда не смогут войти в систему.

При регистрации в защищенной компьютерной сети пользователь вводит пароль, представляющий собой слияние кода, отображенного в данный момент на экране, и значения PIN (обычно выбирается самим пользователем), которое в открытом виде посылается по каналу связи. Если код попадает в область допустимых значений, то пользователь получает допуск к компьютерной сети или хосту. Поскольку из-за неточности электронных часов, используемых в компьютерах, время на сервере и клиентской машине различается, то существует временное окно протяженностью от 3 до 5 мин, в течение которых система остается открытой для несанкционированного входа с помощью воспроизведения процесса аутентификации. Это самое уязвимое место аутентификации с привязкой по времени.

Большинство функций управления и контроля реализует программа sdadmin, использующая интерфейс Motif или символьный интерфейс. С ее помощью можно легко импортировать записи о новых карточках, назначать права доступа клиентам и формировать контрольные отчеты. Так как база данных SecurID находится в СУБД Progress, то для определения имен пользователей, совершивших определенные действия, легко объединить данные журналов аутентификации с данными регистрационных журналов ОС. Доступ к чтению данных в продукте SecureID достаточно прост, но возможности записи ограничены строже, чем в продукте SafeWord AS.

Компания Security Dynamics Technologies поддерживает множество распространенных пограничных устройств сети. Это единственный поставщик карточек с прямой поддержкой через службы Oracle Secure Network Services. Даже несмотря на нестандартность системы SecurID ее поддерживают многие независимые поставщики средств доступа.

Тесты, тесты

Мы тестировали модуль ACE/Server 2.0.106 на компьютере Sun SPARCstation 10 под управлением SunOS v5.4. После установки базы данных Progress было запущено приложение sdsetup для задания основных параметров сервера. Программа sdsetup импортирует также файлы карточек (с расширением .asc) — шифрованные файлы, в которых содержатся серийные номера и стартовые значения карточек. После установки модуля ACE/Server для доступа к Telnet и FTP требуется аутентификация с помощью SecurID. Вслед за вводом идентификатора пользователя и пароля появилось приглашение “PASSCODE:”. Мы ввели наш PIN и текущее шестизначное число из карточки SecurID и вошли в сеть как обычно.

Воспользовавшись файлом конфигурации sdconf.rec, созданным во время установки главного модуля ACE/Server, мы без труда установили ACE/Client v1.0 для NetWare на нашем сервере версии 3.12. Информация о пользователях и адресах MAC вводится через утилиту Windows 3.1.

SafeWord AS и DES Gold фирмы Enigma Logic

SafeWord AS — наиболее открытая и расширяемая из проверенных нами систем. Она допускает использование личных карточек различных производителей. Мы проводили тестирование с помощью карточек DES Gold, которые позволяют работать как в режиме “вызов/ответ”, так и в синхронном режиме. И поскольку вы сами выбираете устройство и механизм аутентификации, то сами и отвечаете за степень защиты.

При работе в синхронном режиме со счетчиком пароли последовательно выдаются из таблицы. Пользователь не вводит ничего, кроме PIN, что экономит время по сравнению с режимом “вызов/ответ” в системе фирмы Digital Pathways. По нашему мнению, личные карточки, использующие синхронный режим со счетчиком, надежнее, чем защита с помощью системы SecurID, и при этом не сложнее в употреблении. К тому же, при распределении и конфигурации личных карточек фирма Enigma Logic обеспечивает боўльшую гибкость.

Продукт SafeWord поддерживает множество устройств удаленного доступа, работающих со стандартными протоколами защиты. Он опознает все варианты TACACS и, в отличие от других протестированных продуктов, поддерживает протокол RADIUS. Компания предоставляет исходные коды и/или интерфейсы API для переноса на другие клиентские платформы. Базой данных о пользователях можно управлять через коммерческую базу данных, используя функции импорта и экспорта. Для выполнения функций контроля в продукте ACE/Server это решение является менее гибким, по сравнению с прямым доступом к базе данных, но — если вы применяете внешнюю СУБД для управления базами данных пользователей и карточек, гораздо более гибким.

Сервер SafeWord AS обычно устанавливается на Unix-машине. Возможна работа и с сервером NetWare, хотя чаще всего он используется для защиты доступа через NetWare Connect. Агенты могут располагаться на других Unix-машинах, на компьютерах VAX или серверах доступа. Они, как и серверы, поддерживают связь по закрытому каналу, используя протоколы TCP/IP или IPX.

Мы установили SafeWord AS для SunOS на Sun SPARCstation 10. Приложение idutil проверяет подлинность пользователя и сопоставляет данные с предъявленной личной карточкой. После создания основного конфигурационного файла мы запустили демон-процесс sasd, приведя, таким образом, сервер в действие.

Для тестирования доступа с личной карточкой DES Gold мы сначала запрограммировали карточку через ее встроенную клавиатуру, выбрав синхронный режим, задав PIN и ключ DES. Затем с помощью приложения idutil ввели значение ключа в базу данных пользователей, после чего все было готово к работе. При использовании синхронного режима карточка готова выдать пароль после ввода в нее PIN. Даже если пользователь пропустит несколько паролей, сервер автоматически определит нужный — и это при вероятность взлома меньше одного случая на миллион (около 16 паролей перед последним введенным значением).

Defender Security Server и SecureNet Keys фирмы Digital Pathways

Вполне возможно, что здесь, под грудами не относящегося к делу ПО, похоронена хорошая технология защиты. Мы просто не смогли ее найти. Фирма Digital Pathways хорошо известна благодаря своим защищенным серверам удаленного доступа Defender серии 5000. Она попыталась выделить его компоненты защиты в универсальный механизм, но пока эта работа не завершена. Мы бы не стали рекомендовать этот продукт тем, кто не использует сервер удаленного доступа марки Defender.

Модуль Defender Security Server устанавливается на сервере NetWare и использует для аутентификации пользователя механизм вызова/ответа. Когда пользователь пытается получить доступ, сервер передает ему случайное значение вызова. Последнее вводится в устройство SecureNet Keys, которое в ответ выдает пароль сеанса. Это великолепная, но дорогая защита: груды цифр затрудняют ее использование и по меньшей мере на 30 с удлиняют каждую аутентификацию. Устройства SecureNet Keys программируются администратором, который назначает ключ шифра DES. Обычно пользователи дают устройству свой собственный PIN. Программы-агенты, выполняемые в защищенных точках доступа (NT RAS, NetWare Connect, маршрутизатор TACACS+ или собственные серверы доступа Digital Pathways), запрашивают аутентификацию по TCP/IP или IPX/SPX, используя закрытый канал DES. Большинство функций управления обеспечивается WinDMS — утилитой клиента сети Windows 3.1, работающей в качестве монитора сервера защиты. Несмотря на достаточную гибкость этого продукта, его освоение требует больших затрат времени. Мы обнаружили таинственные недокументированные параметры конфигурации и пиктограммы, которые ни с чем не связаны. В программах и документации было много неверных ссылок на продукцию Defender. В конце концов, нам пришлось позвонить в службу технической поддержки фирмы и потратить уйму времени на поиск ответов на наши вопросы.

После запуска сервер Defender Security функционировал правильно в паре с сервером NT RAS. Произвольные восьмизначные последовательности, выдаваемые хостом, вводились в устройство SecureNet Keys, которое в ответ выдавало другое восьмизначное число, предназначенное для обратного ввода в компьютер. После аутентификации на сервере доступа мы смогли свободно общаться с любым хостом в сети нашей лаборатории.

В противоположность этому, система SafeWord AS защищает процедуры входа в компьютеры Unix и VMS, а система SecurID — в Unix и NetWare. Фирма Digital Pathways поставляет полезный инструмент DMS Reports, накапливающий хронологию аутентификации. Однако эти данные трудно объединить с регистрационными журналами ОС. С помощью программы WinDMS мы задали параметры конфигурации сервера и агентов, завели пользователей и запрограммировали в личные карточки значение ключа DES.




  

 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх