Понятие и назначение аутентификации, авторизации и администрирование действий пользователей

 

Сетевая инфраструктура предприятия представляет собой комплекс следующих устройств: активное оборудование (коммутаторы, маршрутизаторы и конверторы интерфейсов); пассивные устройства (различные монтажные шкафы, кабели, коммутационные панели, кабельные каналы, розетки информационного типа); периферийное оборудование и компьютеры (рабочие станции, копиры, серверы, сканеры и принтеры) [10, с. 622].

Самое основное место в СИ (сетевой инфраструктуре) занимает локальная вычислительная сеть. С её помощью осуществляется объединение вычислительных и локальных ресурсов с возможностью организации раздельного доступа к ним. Благодаря локальной сети осуществляется связь всех компьютерных установок. Она может быть, как проводной или беспроводной, так и комбинированной. Такая сеть может располагаться в одном помещении на различных этажах, в разных помещениях, а также на большом расстоянии друг от друга. Для связи всех её пользователей используются специальные устройства – коммутаторы и маршрутизаторы.

Сетевая инфраструктура бывает разных видов с различным оборудованием и назначением. Все зависит от требований организации. Насчитывается пять видов сетевой инфраструктуры:

Локальные вычислительные – сети передачи данных – это сети, предназначенные для обработки, хранения и передачи данных. представляет собой логически разделенную на структурные подсистемы кабельную систему здания или группы зданий, которая включает в себя кабельную локальную сеть, активное сетевое оборудование, серверы и рабочие станции.

Беспроводные сети передачи данных – Если сравнивать с кабельными сетями, то применение Wi-Fi оборудования обеспечивает большую гибкость. Беспроводная сеть Wi-Fi может быть без особых сложностей смонтирована в местах, где невозможно проложить кабель. Отсутствие необходимости прокладки кабелей дает Wi-Fi еще одно преимущество: создание такой сети стоит дешевле и занимает меньше времени. В случае, когда осуществляется переезд в другой офис, оборудование с легкостью можно перенести, не теряя средства, затраченные на устройство локальных сетей. Беспроводная сеть позволяет также добавлять и перемещать рабочие места сотрудников без перетаскивания оборудования и кабелей.

Территориально распределенные сети – как правило, объединяют офисы, подразделения и другие структуры компании, находящиеся на удалении друг от друга. При этом часто узлы корпоративной сети оказываются расположенными в различных городах, а иногда и странах. Принципы, по которым строится такая сеть, отличаются от тех, что используются при создании локальных сетей [4, с. 35].

Системы радиорелейной связи – принцип радиорелейной связи заключается в последовательной передаче информации от одной оконечной станции к другой через ряд промежуточных станций. Радиорелейная связь организуется путем строительства линии радиорелейной связи. Радиорелейной линией называется группа приемо-передающих станций, расположенных на местности на расстоянии прямой геометрической видимости их антенных систем, через которые последовательно проходят сигналы, несущие передаваемую абонентами информацию.

Системы широкополосного фиксированного радиодоступа – создание информационно-телекоммуникационной инфраструктуры на базе сетей широкополосного доступа, в том числе беспроводных, является основой для создания мульти сервисной телекоммуникационной сети во многих странах мира. Беспроводные сети требуют выделения радиочастотного ресурса, достаточного для предоставления всех видов телекоммуникационных услуг.

При большой локальной сети, а также при большом количестве сотрудников, необходимо проверять всех сотрудников что бы избежать утечки информации в руки злоумышленника.

С каждым зарегистрированным в компьютерной системе субъектом (пользователем или процессом, действующим от имени пользователя) связана некоторая информация, однозначно идентифицирующая его. Это может быть число или строка символов, именующие данный субъект. Эту информацию называют идентификатором субъекта. Если пользователь имеет идентификатор, зарегистрированный в сети, он считается легальным (законным) пользователем; остальные пользователи относятся к нелегальным пользователям. Прежде чем получить доступ к ресурсам компьютерной системы, пользователь должен пройти процесс первичного взаимодействия с компьютерной системой, который включает идентификацию и аутентификацию [7, с. 805].

Идентификация – процедура распознавания пользователя по его идентификатору (имени). Эта функция выполняется, когда пользователь делает попытку войти в сеть. Пользователь сообщает системе по ее запросу свой идентификатор, и система проверяет в своей базе данных его наличие.

Аутентификация – процедура проверки подлинности заявленного пользователя, процесса или устройства. Эта проверка позволяет достоверно убедиться, что пользователь (процесс или устройство) является именно тем, кем себя объявляет. При проведении аутентификации проверяющая сторона убеждается в подлинности проверяемой стороны, при этом проверяемая сторона тоже активно участвует в процессе обмена информацией. Обычно пользователь подтверждает свою идентификацию, вводя в систему уникальную, не известную другим пользователям информацию о себе (например, пароль или сертификат).

Для аутентификации в компьютерных системах традиционно используется сочетания имени пользователя и некой секретной фразы (пароля), позволяющей определить, что пользователь именно тот, за кого себя выдает.

Идентификация и аутентификация являются взаимосвязанными процессами распознавания и проверки подлинности субъектов (пользователей).

Именно от них зависит последующее решение системы: можно ли разрешить доступ к ресурсам системы конкретному пользователю или процессу. После идентификации и аутентификации субъекта выполняется его авторизация.

Авторизация – процедура предоставления субъекту определенных полномочий и ресурсов в данной системе. Иными словами, авторизация устанавливает сферу его действия и доступные ему ресурсы. Если система не может надежно отличить авторизованное лицо от неавторизованного, то конфиденциальность и целостность информации в этой системе могут быть нарушены. Организации необходимо четко определить свои требования к безопасности, чтобы принимать решения о соответствующих границах авторизации.

С процедурами аутентификации и авторизации тесно связана процедура администрирования действий пользователя [2, с. 112].

Администрирование – регистрация действий пользователя в сети, включая его попытки доступа к ресурсам. Хотя эта учетная информация может быть использована для выписывания счета, с позиций безопасности она особенно важна для обнаружения, анализа инцидентов безопасности в сети и соответствующего реагирования на них. Записи в системном журнале, аудиторские проверки и ПО accounting – все это может быть использовано для обеспечения подотчетности пользователей, если что-либо случится при входе в сеть с их идентификатором. Необходимый уровень аутентификации определяется требованиями безопасности, которые установлены в организации. Общедоступные Web-серверы могут разрешить анонимный или гостевой доступ к информации. Финансовые транзакции могут потребовать строгой аутентификации. Примером слабой формы аутентификации может служить использование IP-адреса для определения пользователя. Подмена (spoofing) IP-адреса может легко разрушить механизм аутентификации. Надежная аутентификация является тем ключевым фактором, который гарантирует, что только авторизованные пользователи получат доступ к контролируемой информации.

При защите каналов передачи данных должна выполняться взаимная аутентификация субъектов, т. е. взаимное подтверждение подлинности субъектов, связывающихся между собой по линиям связи. Процедура подтверждения подлинности выполняется обычно в начале сеанса установления соединения абонентов. Термин «соединение» указывает на логическую связь (потенциально двустороннюю) между двумя субъектами сети. Цель данной процедуры – обеспечить уверенность, что соединение установлено с законным субъектом и вся информация дойдет до места назначения [8, с. 356].

Процессы аутентификации можно также классифицировать по уровню обеспечиваемой безопасности. В соответствии с этим процессы аутентификации разделяются на следующие типы:

- аутентификация, использующая пароли и PIN-коды;

- строгая аутентификация на основе использования криптографических методов и средств;

- биометрическая аутентификация пользователей.

Пароль – это то, что знает пользователь и другой участник взаимодействия. Для взаимной аутентификации участников взаимодействия может быть организован обмен паролями между ними.

Персональный идентификационный номер PIN (Personal Identification Number) является испытанным способом аутентификации держателя пластиковой карты и смарт-карты. Секретное значение PIN-кода должно быть известно только держателю карты.

Динамический (одноразовый) пароль – это пароль, который после однократного применения никогда больше не используется. На практике обычно используется регулярно меняющееся значение, которое базируется на постоянном пароле или ключевой фразе.

Система запрос – ответ. Одна из сторон инициирует аутентификацию с помощью посылки другой стороне уникального и непредсказуемого значения «запрос», а другая сторона посылает ответ, вычисленный с помощью «запроса»и секрета. Так как обе стороны владеют одним секретом, то первая сторона может проверить правильность ответа второй стороны [9, с. 189].

Сертификаты и цифровые подписи. Если для аутентификации используются сертификаты, то требуется применение цифровых подписей на этих сертификатах. Сертификаты выдаются ответственным лицом в организации пользователя, сервером сертификатов или внешней доверенной организацией. В рамках Интернета появились коммерческие инфраструктуры управления открытыми ключами PKI (PublicKeyInfrastructure) для распространения сертификатов открытых ключей. Пользователи могут получить сертификаты различных уровней.

Для предотвращения таких атак при построении протоколов аутентификации применяются:

- использование механизмов типа «запрос-ответ», «отметка времени», случайных чисел, идентификаторов, цифровых подписей;

- привязка результата аутентификации к последующим действиям пользователей в рамках системы. Примером подобного подхода может служить осуществление в процессе аутентификации обмена секретными сеансовыми ключами, которые используются при дальнейшем взаимодействии пользователей;

- периодическое выполнение процедур аутентификации в рамках уже установленного сеанса связи и т.п.

Механизм «запрос-ответ» состоит в следующем. Если пользователь. А хочет быть уверенным, что сообщения, получаемые им от пользователя В, не являются ложными, он включает в посылаемое для В сообщение непредсказуемый элемент – запрос X (например, некоторое случайное число). При ответе пользователь. В должен выполнить над этим элементом некоторую операцию (например, вычислить некоторую функцию f(X). Это невозможно осуществить заранее, так как пользователю. В неизвестно, какое случайное число X придет в запросе. Получив ответ с результатом действий В,пользователь. А может быть уверен, что В – подлинный. Недостаток этого метода – возможность установления закономерности между запросом и ответом.

Механизм «отметка времени» подразумевает регистрацию времени для каждого сообщения. В этом случае каждый пользователь сети определяет, насколько «устарело» пришедшее сообщение, и решает не принимать его, поскольку оно может быть ложным. В обоих случаях для защиты механизма контроля следует применять шифрование, чтобы быть уверенным, что ответ послан не злоумышленником [3, с. 301].

При использовании отметок времени возникает проблема допустимого временного интервала задержки для подтверждения подлинности сеанса: сообщение с «временным штемпелем» в принципе не может быть передано мгновенно. Кроме того, компьютерные часы получателя и отправителя не могут быть абсолютно синхронизированы.

При сравнении и выборе протоколов аутентификации необходимо учитывать следующие характеристики:

- наличие взаимной аутентификации. Это свойство отражает необходимость обоюдной аутентификации между сторонами аутентификационного обмена;

- вычислительную эффективность. Это количество операций, необходимых для выполнения протокола;

- коммуникационную эффективность. Данное свойство отражает количество сообщений и их длину, необходимую для осуществления аутентификации;

- наличие третьей стороны. Примером третьей стороны может служить доверенный сервер распределения симметричных ключей или сервер, реализующий дерево сертификатов для распределения открытых ключей;

- гарантии безопасности. Примером может служить применение шифрования и цифровой подписи [1, с. 24].