СодержаниеВВЕДЕНИЕ..........................4
ГЛАВА 1. ОПИСАНИЕ ТЕХНОЛОГИЙ АУТЕНТИФИКАЦИИ..9
1.1 Общие положения аутентификации ...........9
1.2 Классификация протоколов аутентификации......11
1.3 Технологии аутентификации...............13
1.3.1 Пароли операционных систем..........13
1.3.2 Система S/KEY................14
1.3.3 Служба аутентификации RADIUS.........15
1.3.4 Система управления доступом TACACS/XTACACS..............16
1.3.5 Расширенная система управления доступом TACACS+...................17
1.3.6 Технология единого доступа SSO../.......18
1.3.7 Протокол Kerberos...............21
1.3.8 Цифровые сертификаты..............22
1.3.9 Безопасный протокол SSL..............29
1.4 Классификация веб-ресурсов по способу представления информации.......................35
1.5 Схемы аутентификации пользователей при доступе к веб-ресурсам........................41
1.5.1 Анонимная аутентификация...........41
1.5.2 Базовая аутентификация............42
1.5.3 Аутентификация дайджест.............45
1.5.4 Встроенная аутентификация windows......46
1.5.5 Аутентификация цифровыми сертификатами...47
1.5.6 Механизмы аутентификации в рамках поддержания сессии....................48
ГЛАВА 2. АРХИТЕКТУРА ПРЕДЛАГАЕМОГО РЕШЕНИЯ...54
2.1 Компоненты предлагаемого решения...........54
2.2 Техническая реализация предлагаемого решения....54
2.2.1 Установка пакета OpenSSL.............54
2.2.2 Генерация корневого сертификата.........57
2.2.3 Выработка серверного и клиентских сертификатов 60
2.3 Установка и настройка Apache и mod_ssl.........69
ГЛАВА 3. ВОЗМОЖНЫЕ АТАКИ .................73
3.1 Атаки отказа в обслуживании...............74
3.1.1 Атаки TCP SYN................75
3.1.2 Атаки типа «smurf»...............76
3.1.3 Атаки с помощью диагностики протокола UDP..78
3.1.4 Атаки типа «teardrop» «ping of death» «boink»
и «land» ..........................78
3.2 Атаки на уполномоченных по сертификатам.......79
3.2.1 Криптоаналитическая атака...........79
3.2.2 Атака на отметку времени............80
3.2.3 Атака на аппаратное оборудование........80
3.3 Атаки на протокол SSL..................81
3.3.1 Атака открытого текста.............81
3.3.2 Атака отклика.................83
3.3.3 Человек по середине(man-in-the-middle).....83
ЗАКЛЮЧЕНИЕ.......................85
СПИСОК ИСТОЧНИКОВ И ЛИТЕРАТУРЫ..........86ВведениеНаш век с полным правом может считаться веком тотальной информатизации общества – роль информации в современном мире настолько велика, что информационная индустрия стала одной из ведущих отраслей наших дней, а получившие огромное распространение устройства для обработки цифровых данных – компьютеры – являются одним из символов нашей цивилизации. Информация, представленная в самых различных формах, подобно другим товарам производится, хранится, транспортируется к потребителю, продается, покупается, наконец, потребляется, устаревает, портится, и т.д.. На протяжении жизненного цикла информационные массивы могут подвергаться различным нежелательным для их потребителя воздействиям, проблемам борьбы с которыми и посвящена данная статья.
Так как информация имеет нематериальный характер, массивы данных не несут на себе никаких отпечатков, по которым можно было бы судить об их прошлом – о том, кто является автором, о времени создания, о фактах, времени и авторах вносимых изменений. Модификация информационного массива не оставляет осязаемых следов на нем и не может быть обнаружена обычными методами. «Следы модификации» в той или иной форме могут присутствовать только на материальных носителях информации – так, специальная экспертиза вполне способна установить, что сектор X на некоей дискете был записан позже всех остальных секторов с данными на этой же дорожке дискеты, и эта запись производилась на другом дисководе. Указанный факт, будучи установленным, может, например, означать, что в данные, хранимые на дискете, были внесены изменения. Но после того, как эти данные будут переписаны на другой носитель, их копии уже не будут содержать никаких следов модификации. Реальные компьютерные данные за время своей жизни многократно меняют физическую основу представления и постоянно кочуют с носителя на носитель, в силу чего их не обнаружимое искажение не представляет серьезных проблем. Поскольку создание и использование информационных массивов практически всегда разделены во времени и/или в пространстве, у потребителя всегда могут возникнуть обоснованные сомнения в том, что полученный им массив данных создан нужным источником и притом в точности таким, каким он дошел до него.
Таким образом, в системах обработки информации помимо обеспечения ее секретности важно гарантировать следующие свойства для каждого обрабатываемого массива данных:
• подлинность – он пришел к потребителю именно таким, каким был создан источником и не претерпел на своем жизненном пути несанкционированных изменений;
• авторство – он был создан именно тем источником, каким предполагает потребитель.
Актуальность проблемы обеспечения информационной безопасности при работе в веб с каждым днем возрастает все сильнее.
Обеспечение безопасности сети требует постоянной работы и пристального внимания к деталям. Пока все спокойно, эта работа заключается в предсказании возможных действий злоумышленников, планировании мер защиты и постоянном обучении пользователей. Если же вторжение состоялось, то администратор безопасности должен обнаружить брешь в системе защиты, ее причину и метод вторжения
Формируя политику обеспечения безопасности, администратор, прежде всего, проводит инвентаризацию ресурсов, защита которых планируется; идентифицирует пользователей, которым требуется доступ к каждому из этих ресурсов, и выясняет наиболее вероятные источники опасности для каждого из этих ресурсов. Имея эту информацию, можно приступать к построению политики обеспечения безопасности, которую пользователи будут обязаны выполнять.
Политика обеспечения безопасности - это не обычные правила, которые и так всем понятны. Она должна быть представлена в форме серьезного печатного документа. А чтобы постоянно напоминать пользователям о важности обеспечения безопасности, можно разослать копии этого документа по всему офису, чтобы эти правила всегда были перед глазами сотрудников.
Хорошая политика обеспечения безопасности включает несколько элементов, в том числе следующие:
• Оценка риска. Что именно мы защищаем и от кого? Нужно идентифицировать ценности, находящиеся в сети, и возможные источники проблем.
• Ответственность. Необходимо указать ответственных за принятие тех или иных мер по обеспечению безопасности, начиная от утверждения новых учетных записей и заканчивая расследованием нарушений.
• Правила использования сетевых ресурсов. В политике должно быть прямо сказано, что пользователи не имеют права употреблять информацию не по назначению, использовать сеть в личных целях, а также намеренно причинять ущерб сети или размещенной в ней информации.
• Юридические аспекты. Необходимо проконсультироваться с юристом и выяснить все вопросы, которые могут иметь отношение к хранящейся или генерируемой в сети информации, и включить эти сведения в документы по обеспечению безопасности.
• Процедуры по восстановлению системы защиты. Следует указать, что должно быть сделано в случае нарушения системы защиты и какие действия будут предприняты против тех, кто стал причиной такого нарушения.
Одной из важнейших задач системы защиты информации в сетях является установление подлинности пользователей работающих в ней и обеспечение им соответствующих привилегий доступа. В настоящее время уже существует множество способов достижения данной задачи, включая и способы, отличающиеся своей новизной и надежностью.
? Серверы RADIUS (v1.0 и v2.0) - запрашиваемый пароль сравнивается с хранимым в RADIUS сервере;
? Серверы TACACS/TACACS+ - запрашиваемый пароль сравнивается с хранимым на серверах TACACS;
? Вариант одноразовых паролей/ключей - S/Key;
? Обычный пароль операционной системы;
? Внутренний пароль, известный только в системе VPN;
? SecurID - пользователь набирает в качестве пароля номер, высвечиваемый в текущий момент карточкой Security Dynamics SecurID;
? X.509 digital certificates - пользователь аутентифицируется, передавая подписанный доверенным сертификационным центром свой сертификат.
Для подробного освещения проблемы аутентификации пользователей автор ставит перед собой следующую цель:
Реализовать надежную схему аутентификации пользователей при доступе к web ресурсам.
Для достижения сформулированных целей автору предстоит решить следующие задачи:
• проанализировать существующие технологии аутентификации и определить их уязвимости
• реализовать схему аутентификации на основе цифровых сертификатов
• провести анализ защищенности такой схемы от типовых атак.
С целью обеспечения решения поставленных задач структура дипломной работы содержит 5 разделов.
Введение. В ведении к данной дипломной работе представлено научное и практическое обоснование значения и актуальности выбранной темы, вытекающие из этого цели и задачи работы. Так же приведен краткий анализ использованной литературы и Internet-источников.
Глава 1. В данной главе содержится общее описание аутентификации, типовые схемы и решения, обзор существующих технологий.
Глава 2. Во второй главе дипломной работы представлена схема реализации поставленной задачи, подробное освещение всех этапов достижения аутентификации пользователей.
Глава 3. В данной главе рассматриваются возможные атаки на используемую технологию аутентификации.
Заключение. В заключении дипломной работы обобщены результаты и выводы, а так же содержится авторская оценка результатов с точки зрения соответствия их поставленным целям и задачам исследования.
Среди использованной при подготовке дипломной работы литературы следует отметить статьи «Аутентификация и авторизация. Новый взгляд»[] А.А. Грушо и «Авторизация с помощью клиентских сертификатов» [], А. Чекушкина
При написании первой главы главы большую помощь оказали книга Стивена Брауна «Виртуальные частные сети», а также книга Поля Дюбуа «Применение MySQL и Perl в Web-приложениях».
В работе над дипломом весьма полезными оказались материалы электронных источников, в частности сайта www.citforum.ru, на котором представлено большое количество документации, так или иначе касающейся темы диплома и сайтов www.opennet.ru, на котором также можно найти большое количество справочных материалов и статей по исследуемой в дипломной работе проблематикеЛитература
|
|
