Серверге арналған аутентификация
МАЗМҰНЫ
КІРІСПЕ 3
1 ИДЕНТИФИКАЦИЯ ЖӘНЕ АУТЕНТИФИКАЦИЯ 5
1.1 Идентификациялау және аутентификациялаудың теориялық негіздері 5
1.1.1 Идентификациялау және аутентификациялау жүйесінің элементтері 5
1.1.2 Қорғалған клиент-сервер өзара әрекеттестігі 6
1.1.3 Желілік ортадағы шабуылдар 7
1.1.4 Қауіпсіздік сервисіне талап 7
1.1.5 Ашық желілердегі идентификациялау және аутентифика-циялау 10
1.1.6 Тікелей емес идентификация және аутентификация 13
1.2 Идентификациялау және аутентификациялаудың актуальді жүйесі 17
1.2.1 Кілттерді тарату орталығы 17
1.2.2 Керберос хаттамасы 18
1.2.3 Жұмыс станциялары мен қолданушыларды аутентифика-циялау 20
1.2.4 Мандат жіберу 22
1.2.5 Керберос хаттамасы бар жүйеге шабуыл 23
2 TCPIP ХАТТАМАЛАРЫНЫҢ СТЕГІ 25
2.1 OSI өзара байланысының жалпы моделі 25
2.2 TCPIP және OSI модельдері арасындағы сәйкестік 27
2.3 TCP хаттамасы 28
3 ЕСЕПТЕР ҚОЙЛЫМЫН ҚҰРУ 38
4.1 Кілтті құру алгоритмі 39
4.2 Бағдарламаның клиенттік бөлігінің алгоритмі 40
4.3 Бағдарламаның серверлік бөлігінің алгоритмі 41
4.4 Блок-схема алгоритма Клиент-серверное взаимодействие 43
5 Тәжірибелік бөлім 46
5.1 Тәжірибені жүргізудің кезеңдері 46
Қорытынды 49
Қолданылған әдебиеттер тізімі 50
А қосымшасы 51
В қосымшасы 59
С қосымшасы 67
КІРІСПЕ
Қазіргі кезде ашық байланыс каналдарымен жіберілетін деректер
көлемінің көптеп өсу шегі байқалады (соның ішінде жасырын). Әдеттегі
телефондық каналдармен банкі аралық, делдалдық кеңселер және биржалармен,
ұйымдардың алысталған бөлімдерімен құнды қағаздармен сауда өткізіледі.
Осыған байланысты жіберілетін деректерді қорғау проблемасы тұр. Себебі
ағымдағы деректерді активті немесе пассивті түрде ұстау қаупі бар. Пассивті
ұстауда деректі тек қана оқу ғана емес, сонымен қатар трафикті талдауды (
мекен-жайларды қолдану, тақырыптың басқа да деректерін, деректердің
ұзындықтарын және деректердің жиілігін) қосады. Активті ұстауда деректерді
өзгертуге болады (модификация, тежеу, қайталау, реквизиттерді заңсыз
қолдану немесе өшіру ).
Осы проблемаларды шешудің бір жолы байланысқа қатысушыларды
идентификациялау және аутентификациялау. Идентификациялау және
аутентификациялау желілік жүйелерде шамамен жиырма жылдан бері қолданылып
келеді.
Желілік идентификация және аутентификация көптеген қосымшаларда
қолданылуда және оны үш категорияға бөлуге болады:
- Трафикті желі шекарасында басқарушылар;
- Бір ретті қолданылатын парольдер;
- Желілік операциялық жүйенің қолданатын қорлары.
Қазіргі кезде кең таралған жүйелер арнайы жасалған хаттамалар арқылы
желілік идентификацияны қамтамасыз етуде. RADIUS желілік идентификацияны
орындаудың ашық стандарты болып саналады. Windows4.0.ОЖ-і домені тіркеу
құралдарында және Microsoft компаниясының Windows 2000 ОЖ-де қолданылатын
Kerberos протоколы да осындай қызмет атқарады. Бір ретті қолданылатын
парольдер жүйесінің жабдықтаушысы, мысалы, Secure Computing компаниясының
SafeWord және RCA Security компаниясының Secure ID өздері шығарған бір
немесе біірнеше желілік идентификация протоколдарына қосымша RADIUS .
протоколын да қолдайды.
Бұл бітіру жұмысында желілік өзара аутентификациялық хаттамасын қолдау
ұсынылып отыр.
Респонденттерді аутентификациялау үшін, олардың шынайылығын басқа
жаққа күәландыратын белгіге ие болуы керек. Сондай куәландыратын белгі -
байланыс сеансы басталғанға дейін екі жаққа да белгілі идентификациялаушы.
Осы бітіру жұмысы деректерді ашық байланысты каналдарымен жіберудің
проблемаларын шешуге арналған:
- ашық байланысты каналдарда респонденттерді өзара аутентификациялау
алгоритмі;
- алгоритмнің қорғаныштық деңгейін жоғарылататын бір рет қолданылатын
кілттерді қолданатын жаңа алгоритмі;
- тап осы алгоритмдік бағдарламаның хаттама түрінде орындалуы Windows
операциялық жүйе базасы TCPIP хаттамасының стегінде жұмыс істейді;
- әрбір Client (C) және Server (S ) респонденттері хаттамаларының
басқа жаққа белгілі (IC, IS ) өз идентификаторы болады.
- хаттамаға клиентік және Серверлік бағдарламалары өңделіп
енгізілген.
Бітіру жұмысының бірінші бөлімінде идентификация және
аутентификацияның теориялық негіздері қаралған. Кілттерді тарату
орталығына, жұмысшы станциялары және пайдаланушылар аутентификациясына,
мандат жіберуге анықтамалар берілген .
Екінші бөлімде OSI-дің әрекеттесуінің жалпы үлгісі, сонымен қатар OSI
және TCPIP үлгілерінің өзара сәйкестігі қаралған.
Үшінші бөлімде респонденттердің өзарааутентификациялау хаттамасын
құрудың негізгі кезеңдерін анықтайтын есептерді құруға арналған . Есепті
шешу тәсілдері мен әдістері көрсетілген .
Төртінші бөлімде өзарааутентификациялау хаттамасы жөнінде толық
жазылған .Бұл келесі алгоритмдерден тұрады:
- кілт жасау алгоритмі
- клиентік бөлім алгоритмі
- серверлік бөлім алгоритмі
Бұл хаттама ашық байланысты каналдарда жұмыс жасауға есептелген, яғни
хаттама пакеттері жарым-жарты немесе толық ұсталып қалуы мүмкін .
1 ИДЕНТИФИКАЦИЯ ЖӘНЕ АУТЕНТИФИКАЦИЯ
1.1 Идентификациялау және аутентификациялаудың теориялық негіздері
1.1.1 Идентификациялау және аутентификациялау жүйесінің элементтері
Аутентификация жүйесі компьютерлік екеніне тәуелсіз, әдетте әрқашан
бірнеше элемент қатысады және айқын оқиғалар болады. Біз ең алдымен
аутентификациялаудан өтетін нақтылы адамды немесе адамдардың тобын аламыз.
Сонымен қатар, бізге адамды немесе адамдардың тобын басқалардан
айырмашылығын көрсететін мінездеме қажет. Үшіншіден, жүйені қолдануға және
басқалардан авторланған қолданушыларды шектеуге жауап беретін админстратор
бар. Төртіншіден, бізге айырмашылдық мінездемелердің қатысуын тексеру үшін
аутентификациялау механизмі қажет. Бесіншіден, біз аутентификация табысты
өткен жағдайда енуді басқару механизмін қолданып жеңілдіктер беріледі, ал
егер сәтсіз болған жағдайда жеңілдіктер алынып тасталынады.
Компьютерді қорғаудың проблемаларын қарай отырып, әрқашан, не
істегіміз келеді және шын мәнінде не істей алатынымызды айыра алуымыз
керек. Әдетте бірінші сұрақ " біз нені қалаймыз?" қорғаныс мақсатында
айтылады. Администратор есептеуіш жүйеде тек қана авторланған
пайдаланушыларға рұқсат беру мақсатында болады. Тәжірибеде соған қарамастан
әрқашан саңылау болады. Қорған кімде кілттің керек данасы бар, соған рұқсат
береді. Қорған сырттан келген жағымсыз адамдарды ұстап қала алмайды. егер
жағымсыз адамдардың қолына кілттердің түсуін қақпайлай алмасақ. Егер
жағымсыз адамдар жүйеге енгісі келсе, бұл біз үшін қиын жұмыс болады. Және
де барлық жерге қорған қоя алмаймыз. Әдетте, кіретін есікте үлкен бір
қорған орнатамыз, және бізге ішке енуге рұқсат берген қолданушыларға сенуге
тура келеді.
Аутентификация және рұқсатты басқарудың компьютерлік жүйелерінде
әдетте жетілген әр түрлі екі нәрсе жүзеге асады. Бірақ кейде аралық
ысырма ерекшелігінің мәні бар, яғни есікті ысырмамен басқаратын қорғанмен
жабық ұстап қалады, сондай заттар бір механизмде орналасқан.
Компьютерлерде аутентификация процесі ары қарай қолдану үшін қоданушының
атын дұрыс орнатады, ал енуді басқару жеке жүзеге асады. Компьютерлік жүйе,
ережеге сай, рұқсатты белгілі бір файлға немесе басқа ресурсқа бағынған
пайдаланушы аттарын рұқсат ережелерімен салыстыру жолмен басқарады. Егер
ереже пайдаланушыға осы атпен рұқсат берсе, онда ол ресурсты пайдалану
мүмкіншілігін алады .
Біз аутентификациялау кезінде жүйені пайдалануға рұқсат беруді
қалайтын адамдарды идентифициялай аламыз, бірақ механизмдар кемеліне
жетпеген. Авторланбаған тұлғада әрқашан ресми пайдаланушының астынан
бүркемелену тәсілі болады.
Бірақ пайдаланушыларды аутентификациялау компьютерлік жүйелерге өз
алдына проблема болып табылады , және олар аутентификацияға жататын жалғыз
объектілер емес. Бізге сонымен қатар адамның қатысуынсыз компьютерлік
жүйелерді аутентификациялау қажетті, мысалы, Web-серверлер сияқты, әсіресе
егер біз қымбат бағалы қызметті орындауды сұрасақ. Пайдаланушыны
аутентификациялаудан айырмашылығы, мұнда аутентификацияны орындау үшін
сервердің жанында тұратын нақты адам жоқ. Біз де керек адамдардың немесе
кәсіпорынның қол астындағы, керек жабдықтаумен байланысқанымызға кепілдік
болғанын қалаймыз.
1.1.2 Қорғалған клиент-сервер өзара әрекеттестігі
Қазіргі клиентсервер сәулетінде құрылған ақпараттық жүйелерде үш
деңгейді көрсетуге болады:
- ұсыну деңгейі (деректкрді көрсету және енгізу функцияларын
орындайды);
- қолданбалы деңгей ( универсалды сервистерге, сонымен қатар белгілі
пәндік облыстарға арналған функцияларға жауап береді);
- ақпараттық қорларға рұқсат деңгейі ( ақпараттық - есептеуіш қорларды
басқару және сақтау функцияларын орындаушы ).
Деңгейлер аралық байланысты транзакция және коммуникация менеджері
қамтамасыздандырады. ИнтернетИнтранет технологиясын қолдану классикалық
схемаға өз өзгертулерін салды, яғни универсальды клиент деңгейіне - Web-
навигаторды ұсынды (мүмкін, қолданбалы аплеталармен толықты) және Web –
серверге ақпараттық концентратор функцияларын қойды(транзакция және
коммуникация менеджері міндеттерімен лайықты мақсатта біріктіру).
Клиентік жұмысшы орындар Web - сервермен және жергілікті және
глобальды желілермен байланыстырлады. Клиентік жүйелердің аппараттық
платформасы ретінде толық функционалды компьютерлер( стационарлық немесе
мобильді ), және өте қарапайым коммуникаторлар қызмет етеді.
Көпшілік ұйымдардың серверлік жүйелері ережеге сай, жалпы пайдалану
каналдармен байланысқан бірнеше өндіріс алаңдарына бөлінген.
Пайдаланушылардың көзқарасы бойынша мұндай бөліну білінбейді, бірақ
қорғаныс тұрғысынан қарағанда тап осы жағдай өте маңызды. Клиентік жұмысшы
орындардың бағдарламалық конфигурациясы қатаң емес. Оны желі бойынша
алынған аплеттер немесе басқа белсенді агенттер динамикалық толықтыру
жасайды.
Бұдан ары клиентсервердің қорғаныс конфигурациясын, яғни бөлінген, әр
тектілі, көпсервисті дамушы жүйелерін қарап шығамыз.
Олар үшін желілік шабуыл өте қауіпті, сондықтан пайдаланушылардың
серверлерде жұмыс жасауына рұқсат етілмейді . Егер қаскүнемдер серверге
рұқсатты алса, онда бір қорғау шекарасы жеңілген деген сөз[6].
1.1.3 Желілік ортадағы шабуылдар
Желілі ортада шабуылды келесі түрлерге бөлуге болады :
- желіні тыңдау;
- деректердің бірлескен потоктарын өзгерту:
- инфраструктуралық желілік сервиске әсер ету:
- желілі пакеттердің жалғандығы:
- аномалды пакеттерді жіберу:
- аномалдік трафикті генерациялау:
- жетілген әрекеттен бас тарту.
Қаскүнемдер үшін желіні тыңдау келесі мақсаттарға жетуін іске асырады:
- қайта жіберілген мәлімдемелерді ұстап қалу;
- аутентификацияланған деректі ұстап қалу:
- трафикті талдау.
Деректердің бірлескен потоктарын өзгерту келесі қауіпсіздіктің
бұзылуына әкеліп соғады :
- ұрлық, қайта реттеу , деректердің қайталануы ;
- өзгерту және өз деректерін қою(заңсыз делдал ).
Инфраструктуралық желілік сервиске әсер ету:
- аттардың сервис жұмысына қол сұғу ;
- деректердің бірлескен поток маршрутын өзгерту.
Желілі пакеттердің жалғандығы келесі түрде болады:
- мекенжайлардың жалғаны;
- қосулардың ұстап қалу:
- басқа серверлердің жұмысын қайталау.
Аномалды пакеттерді жіберу және аномалдік трафикті генерациялау қол
жетерлікке шабуыл жасауға мүмкіндік береді. Жетілген әрекеттен бас тарту -
бұл қолданбалы деңгейдегі шабуыл, ол әсіресе, клиент-сервер бөлінген
жүйелерінде маңызды[6].
1.1.4 Қауіпсіздік сервисіне талап
Клиент-сервер архитектурасында жасалған жүйені қорғау үшін клиенттер
де, серверлер де пайдалана алатын қауіпсіздік сервисі жиынын ерекшелеу
схемасын қолдану керек. Мұндай әрекет қолданбалы компоненттерді өзіне
арналмаған функцияларды орындаудан босатады, бұл олардың сенімділігінің
жоғарылауын, өңдеулер және жаңартулардың жеңілдеуі мене тездетуін
жақсартады. Әрине, кейбір функциялар( мысалы, енуге шек қою) қолданбалы
компоненттер немесе операциялық жүйенің аумағында іске асырылады[6].
Жиынтық қауіпсіздік сервисі жоғарыда айтылған қауіптерден қорғауға
арналған. Сонымен қатар, бұл жағдайдағы қажетті шарт – архитектуралық
қауіпсіздікті сақтау және қорғау құралдарын аралап шығу мүмкін еместігі .
Қауіпсіздік сервисі технологиялық болу керек, яғни қолданылып жүрген
жүйелерге қарапайым орнатуларды және оның өркендеу барысында дамуын
қамтамасыз етеді. Бұл мақсатқа жету үшін, стандарттарды, соның ішінде,
қазіргі кезде кең таралған және өміршең Интернет стандарттарын қолдану
керек.
Қауіпсіздік сервисінің бағдарламалық қамтамасыз етуді өндірушілердің
қолдауымен ыңғайлы, толық суреттелген бағдарламалық интерфейсі болуға тиіс.
Сонымен қатар, олар міндетті түрде басқарылады. Бұл бөлінген орта
желілік қауіпке қарсы тұра алатын орталықтандырылған конфигурациялау мен
аудитті жүзеге асырады. Сонымен қатар, қауіпсіздік сервисі көп таралған
басқару жүйелерімен интегралдануы керек.
Қауіпсіздік сервисі мейілінше анық, осы қызметті қолданғаннан
жиналған шығындар мен ыңғайсыздықтар аз болуы керек.
клиентсервер жүйесін қорғаудың ең басты сервисті идентификациялау
және аутентификациялау болып табылады.
Идентификациялау мен аутентификациялаудың қазіргі кездегі құралы
мынадай екі талапты қанағаттандыруы тиіс:
- желілік қауіпке қарсы тұру;
- желіге бірыңғай кіру концепциясын қолдау.
Бірінші талапты криптографиялық әдістерді қолдана отырып орындауға
болады . Бүгінде X .509. стандартты сертификаты бар каталогтер қызметі
немесе Kerberos жүйесіне негізделген әдістемелер жалпы қолданған.
Жүйеге бірыңғай кіру пайдаланушылар үшін анықтылық пен ыңғайлылықты
талап етеді. Корпоративті жүйеде тәуелсіз хабарласуларға жол беретін
ақпараттық сервистер көп болса, онда көпретті
идентификацияаутентификациялау өте қиын болады.
Жүйеге бірыңғай кіру қолданушылар өкілеттілігін анықтау, яғни
авторизациялау кезіндегі деректерді сақтау орталығы арқылы жүзеге
асырылады. Авторизациялау – бұл басқару және ақпараттық қауіпсіздік
арасындағы кеңістік, сондықтан кәсіпорын масштабын аутентификациялауға
арналған шешім басқаруға да, дәл осылай қорғау құралдарына да сүйене алады
[6].
Алдымен аутентификациялаудың теориялық аспектілерін қарастырамыз.
Пайдаланушының жүйеге кіру процедурасы үш бөлімнен тұрады :
- идентификация;
- аутентификация ;
- рұқсат құқықтарын беру .
1.1.4.1 Идентификация
Пайдаланушыны аутентификациялау үшін, алдымен оның кім екенін анықтау
керек. Пайдаланушыны идентификациялауға арналған қажетті ақпаратты сұрау
керек. Идентификация - бұл пайдаланушының өз статусын жариялауы.
Идентификациялау үшін келесілер орындалады : пайдаланушы аты, клиенттің
идентификацилық нөмірі және де пайдаланушылар туралы осы деректер базада
бірегей ерекше болуы керек. Пайдаланушы термині адамды, процесті немесе
жүйені білдіруі мүмкін, мысалы желі түйінін . Идентификация
аутентификациялау болып есептелмейді. Пайдаланушыны өзінің кім екені
туралы деректі жіберуі оның аутентификацияланғандығын білдірмейді.
Идентификация - аутентификациясыз күдік шақырады [6].
1.1.4.2 Aутентификация
Пайдаланушы идентификациялау кезінде ұсынған деректер растауды талап
етеді Осы кезде аутентификациялау жүйесі әрекетке кіріседі. Пайдаланушылар
аутентификациялаудың үш параметрінің біреуімен тексеріледі: олар не
біледі, нені иеленеді немесе өзі нені ұсынады. Ең жиі қолданылатын әдіс
'' олар не біледі '', біз осыған тоқталамыз . Пайдаланушы құпия сақтай
алатын парольді өзі таңдай алады немесе оған парольді тағайындайды.
Аутентификация пайдаланушының өзін парольмен растауына негізделген. Бұл
әдістеменің осал жағы, басқаларға белгіліні білу өте күрделі емес. Кейде
тіпті парольді теріп алуға болады(бұзуларда жиі болады ). WEB
қосымшаларда артықшылық және осы әдісті орындаудың қарапайымдылығы оған
потенциалды қауіп-қатер төндіреді.
1.1.4.3 Ену құқықтарын беру
Егер аутентификация табысты өтсе, жүйе пайдаланушыны тіркеуді
аяқтайды, енуді басқару деректерімен пайдаланушыны пайдаланушылық сеанспен
байланыстырады. Қарапайым қосымшаларда енуге құқық пайдаланушының
аутентификациядан табысты өткендігін білдіретін жалаушалар арқасында іске
асады. Күрделірек қосымшаларда жүйе әртүрлі пайдаланушыларға арналған
әртүрлі ену құқықтарын орындайды. Қажетті қауіпсіздік деңгейінен басқа
жүйеде алдын ала табысты немесе сәтсіз кіру құралдары ескерілген болу
мүмкін( мысалы, Security Standart С2 стандарты-жүйедегі барлық әрекеттерді
тіркеуді талап ететін, С2 қорғаныс деңгейінің стандарты)[6].
Бұрын да айтылғандай компьютерлік жүйе субъектілердің ( процестер,
пайдаланушылар )және объектілердің жиыны бола алады. Объектілер деп біз
жабдықтау құралдарын ( процессор, жад сегменттері, принтер, дискілер ) және
бағдарламалық ресурстарды айтамыз( файлдар , бағдарламалар , семафорлар).
Әрбір объект жүйедегі басқа объектілерден оны айыратын бірегей атқа ие,
және олардың әрқайсысы айқын және мәнді операция нәтижесінде жеткілікті.
Объектілер - абстрактылы деректер үлгісі .
Операциялар объектілерге тәуелді болады. Мысалы, процессор тек қана
командаларды орындай алады . Жад сегменттері жаза және оқи алады, ал карта
оқытушысы тек қана оқи алады. Файлдар жазылады, оқылады және аты
өзгертіледі.
Қорларға авторланған рұқсаты бар пайдаланушыларға ғана процеске рұқсат
етілетіндігі белгілі. Оның есепті шешуге қажетті ресурстарға ғана рұқсаты
болуына қол жеткізу керек. Бұл талап процестің жүйеге тигізетін бүлінулер
санын шектеу тұрғысынан қарағанда пайдалы жеңілдіктерді минимизациялау
принципіне байланысты. Мысалы, Р процесі А процедурасын шақырады, оған тек
қана айнымалы және формалды параметрлерге ғана рұқсат рұқсат етіледі , ал
басқа айнымалы процеске әсер ете алмайды. Ұқсас компилятор дербес
файлдарға әсер етпеу керек, тек қана компиляцияға қатысы бар анықталған
ішкі жиындарға(Негізгі файлдар, листингтер және т.б.). Басқа жағынан,
компилятор Р процесінің рұқсаты жоқ, оптимальданған мақсаттарға
қолданылатын жеке файлдарға ие бола алады.
Дискретті ( сайлау ) және өкілетті ( мандат ) енуді басқару тәсілін
айырады. Дискретті енуде субъектілерге немесе субъектілердің топтарына
белгілі қорларға белгілі әрекеттерді орындауды шектейді немесе рұқсат
етеді. Концептуальдық жағынан қарағанда дискретті басқарудың ену
құқықтарын, жолдарында субъектілер, ал бағаналарында – объектілер
орналасқан матрица ретінде қарауға болады .
Өкілеттілік басқаруда барлық деректер құпиялық дәрежесіне байланысты
деңгейлерге бөлінеді, ал барлық пайдаланушылар, осы дерекке кіру рұқсаты
деңгейімен сәйкес иерархия құрушы топтарға бөлінеді .
Операциялық жүйелердің көпшілігі осы дискретті енуді басқару тәсілін
қолданады. Оның негізгі артықшылығы-иілгіштігі, жетіспеушіліктері -
негізгі басқарудың шашыраңқылығы және орталықтандырылған бақылаудың
қиындығы, сонымен қатар ену құқықтарының деректерден алшақтығы, яғни құпия
деректерді жалпыға ортақ файлдардан көшіріп алу[7].
1.1.5 Ашық желілердегі идентификациялау және аутентифика-циялау
Ашық желілерде субъектілердің шынайылығын растауға және тексеруге
арналған әдістер, белсенсіз және белсенді желіні тыңдауға қарсы тұра алуы
тиіс . Олардың мәндері келесіге апарады .
- субъект құпия кілтті білетіндігін жариялайды , мұнда кілт желімен
берілмейді , немесе шифрланған түрде беріледі .
- субъект “сауал-жауап” тәртібінде жұмыс істейтін бір ретті
парольдерді генерациялаудың бағдарламалық немесе аппараттық құралымына ие
екендігін жариялайды. Сұраққа бір ретті парольді немесе жауапты ұстап
алып, қайтадан ойнату қаскүнемдерге ештеңе бермейтіндігін байқау қиын емес.
- субъект өзі тұрған жерінің шынайылығын жариялайды , мұнда жер
серіктерінің навигациялық жүйесі қолданылады .
Ең белгілі Интернет ашық желісінің идентификация және
аутентификациясын қарастырамыз. Интернет арқылы аутентификациялаудың
көптеген проблемалары бар. Өзіңді пайдаланушы ретінде беру үшін
идентификация және аутентификация деректерін(немесе кез келген деректі)
ұстап алып, оны қайталау - өте жәңіл. Аутентификациялау кезінде жалпы
онымен пайдаланушылар риза еместігін жиі айтады және қателерді жиі
жібереді, яғни идентификация деректерін әлеуметтік инженерия көмегімен
алуға мүмкіндік жасайды. Қосымша идентификациялау барысы интернетті
қолдану кезінде пайдаланушылар арасында идентификациялауға арналған деректі
таратуды қажет етеді, бұл олардың жұмысын күрделендіреді. Тағы бір
проблема аутентификациялаудан кейін пайдаланушы сеансы жүрмей қалуы мүмкін
[8].
Аутентификациялаудың үш түрі бар - статикалық , орнықты және тұрақты.
Статикалық аутентификация парольдерді және басқа технологияларды қолданады
, бүл деректі шабуылшының қайталауынан абыройы түсірілуі мүмкін . Бұл
парольдер көбінесе қайта қолданылатын парольдер деп аталады. Тұрақты
аутентификация жұмыс сеанстарын өткізу кезіндегі криптографияға немесе бір
ретті парольдердің жасаудың басқа тәсілдеріне қолданылады. Бұл тәсіл
байланысқа шабуылшының деректерді қоюынан абыройы түсірілуі мүмкін .
Тұрақты аутентификация шабуылшының деректерді қоюынан қорғайды .
Статикалық аутентификация
Статикалық аутентификация тек қана шабуылдардан қорғайды, яғни
аутентификациялауда және оның келесі сеансында , аутентифкацияланушы мен
аутентификациялаушы арасындағы деректерді көре алмайды. Бұл жағдайда
шабуылшы пайдаланушы аутентификациясына арналған деректі анықтау үшін
аутентификация процесін (заңды пайдаланушы не істей алады) және осы
деректерді табу әрекеттерін іске асыру . Парольдерді қолдану арқылы
дәстүрлі схема қорғаныштың осындай түрін қамтамасыздандырады , бірақ
аутентификация күші парольдерді табу қиындығына және олар қаншалықты жақсы
қорғалғандығына тікелей тәуелді болады [8].
Орнықты (Устойчивая)аутентификация
Аутентификацияның бұл класы аутентификацияның әрбір сеансы сайын
өзгеріп отыратын динамикалық деректерді қолданады. Шабуылшы
аутентификацияланушы мен аутентификацияландырушы арасындағы деректі ұстау
үшін заңды пайдаланушы атымен тығылу арқылы олардың аутентификация
деректерін қайталап жазу немесе аутентификацияландырушымен жаңа
аутентификация сеансын құру әрекеттерін жүзеге асыруы мүмкін. 1 деңгейдің
күшейтілген аутентификациясы мынадай шабуылдардан қорғайды, яғни алдындағы
аутентификациялау сеансына қолданған деректер осылай келесі
аутентификациялау сеанстарында қолданылмайды .
Әйткенмен, тұрақты аутентификация белсенді шабуылдардан
қорғамайды,яғни аутентификациялаудан кейін серверді пайдаланушыларға
деректерді беру кезінде, шабуылшылар деректерді немесе комндаларды өзгерте
алады. Cервер логикалық байланыс деректерімен аутентификацияланған
пайдаланушы деректерін уақытша байланыстырады, өйткені осы байланыс
кезіндегі барлық командаларды сол қабылдады деп ойлайды. Дәстүрлі парольдер
тұрақты аутентификацияны қамтамасыздандыра алмайды, өйткені пайдаланушы
парольдерін ұстап алуға және бұдан кейін де қолдануға болады . Ал бір ретті
парольдер және электрондық қол қоюлар осындай қорғаныс деңгейін
қамтамасыздандыра алады[8].
Тұрақты(Постоянная) аутентификация
Бұл аутентификация түрі шабуылдан қорғанышты қамтамасыз етеді, яғни
аутентификацияланушы мен аутентификацияландырушы арасындағы , тіпті
аутентификациялаудан кейін беріліетін деректерді жолдан ұстап алу ,
деректер потогіндегі ақпаратты өзгерту немесе қою. Мұндай шабуылдарды
белсенді шабуылдар деп атайды, өйткені шабуылшы клиент пен сервер
арасындағы байланысқа белсенді әсер ете алады. Мұны орындау тәсілдерінің
бірі, пайдаланушыдан серверге жіберілетін әрбір деректер битін электрондық
қол қоюларды генерациялау алгоритмі көмегімен өңдеу. Криптография
негізіндегі басқа да комбинациялар осы аутентификация түрін іске асыруы
мүмкін , бірақ ағымдағы осы стратегияны криптографияда әрбір дерек битін
өңдеуге қолданады . Болмаса, деректер потогінің қорғалмаған бөлімдері
күдікті көрінеді [8].
1.1.5.1 Интернетте аутентификацилаудың жалпы саясаты
Бірақ парольдерді табу жеңіл болғанмен, ұйым қауіптің болуы төмен,
яғни оқиғадан кейін бұрынғы қалпына келтіру күрделі емес және оқиға
критикалық жүйелерге әсер етпейді деп есептейді (қорғаныштың басқа
механизмдері).
Төменгі тәуекел
Ұйым жүйелеріне рұқсат алу үшін интернеттен аутентификация керек.
Аутентификацияға арналған ең аз стандарт парольдерді қолдану.
Орташа тәуекел .
ХХХ класты ақпаратқа рұқсат алу және оны интернетте өңдеу үшін (оны
заңсыз модификациялағанда , ашуда немесе жоюда кішкене зиян орын алады)
парольдерді қолдану талап етіледі , ал қалған барлық қорлардың түрлеріне
рұқсат алу үшін тұрақты аутентификацияны қолдануды талап етеді .
Интернеттегі корпоративті қорларға telnet тәртібінде рұқсат алу
тұрақты аутентификацияны қолдануды талап етеді .
Жоғарғы тәуекел .
Интернеттен барлық жүйелергебрандмауэрден рұқсат алу үшін тұрақты
аутентификацияны қолдану талап етіледі. ХХХ ақпаратына және оны өңдеуге
рұқсат алу үшін(оның қауіпсіздігі бұзуы жанында ұйым үлкен зиянды апарады )
тұрақты (постоянной) аутентификацияны қолдану талап етіледі[8].
1.1.5.2 Орнықты аутентификацияға арналған саясат
Егер сіздер орнықты аутентификацияны қолдануды шешсеңіздер, онда
сіздерге қауіпсіздік ненің арқасында жетеді және пайдаланушыларды оқытуға
және қосымша басқаруға кететін шығындарды білуіңіз керек. Пайдаланушылар
аутентификация құралдарын анағұрлым сауатты қолданады, егер оларға нақ
осыларды неге қолдану керек екендігі лайықты оқытылып, оларды қалай қолдану
оларға түсіндірілген болса [8].
Тұрақты аутентификацияны орындауға арналған технологиялар көп,
динамикалық парольдердің генераторлары, криптографиялау негізіндгі сауал -
жауапты жүйесі, смарт - карт, сонымен қатар цифрлік қолтаңбалар және
сертификаттар. Электрондық қолтаңбаларды және сертификаттарды қолдану
кезінде жаңа сұрақтар пайда болады - сертификаттарға арналған қауіпсіздікті
қамтамасыз ету талаптары қандай?
Тұрақты аутентификация қолданушылары бұл әдісті пайдаланбас бұрын
курстарды тыңдауы керек .
Қызметкерлер ұйымға жататын барлық аутентификация құрылғыларының
қауіпсіз қолдануына және сақталуына жауап береді.Ұйым компьютерлеріне
рұқсат алуға арналған смарт-карталар компьютермен бірге сақталмауы тиіс.
жанында Смарт-карталар жоғалғанда немесе ұрланғанда, оның қолданылуын
тоқату үшін әрқашқан қауіпсіздік қызметіне хабарлау керек.
1.1.6 Тікелей емес идентификация және аутентификация
Мұндай жүйелерде аутентификациялау пайдланушылар туралы жалғыз базасы
бар коллективті серверлерді қолдану арқылы шешіледі. Егер Кэтти коммутация
жасаушы линиямен байланыс орнатқысы келсе , онда оған телефон қоңырауына
қандай рұқсат сервері жауап беретіндігіне тынышсызданып екрек емес.
Өйткені оны жалғыз аутентификациялау сервері аутентификациялайды. Егер ол
туралы дерек осы аутентификациялау серверінің пайдаланушыларының
базасында шықса, онда оны басқа кез келген рұқсат сервері біледі .
Аутентификация сервері оның түп нұсқалығын растай алады , ол брандмауэр
арқылы іске қосыла алады ма енуге шек қойылған принтерге файл жібере ала
ма немесе файл - сервермен байланыса алады ма[1].
Тікелей емес аутентификация желілік жүйелерде жиырма жылдан бері
қолданылып келеді. Алғашқыларының бірі ARPANET желісіндегі TIP-кіру
процедурасы. ARPANET желісін құрған коммутация желілі түйіндері интегралды
көппротоколды процессоры деп аталды, және де терминальді IMР немесе TIP
құрылғыларының арнайы стндарты болды. Телефон арқылы жақын арадағы ТІР
түйінімен байланысуға болады және содан кейін желідегі кез келген
компьютермен байланысуға болады. Алғашқыда админстраторлар бөлек ТІР
түйіндерін , телефондық нөмірлерді құпиялау жолымен олардың қолданылуын
бақылады . Бірақ бұл зиянкестермен күресте аз көмектесті.
Мұнымен күресте ТІР түйіндерін жаңарту өткізілді, яғни жүйеге кіруді
аутентификациялау функциясы енгізілді. Ол кезде мұны істеу мүлдем оңай
болмады. Адамдарға жалғыз белгілісі тікелей аутентификация болды , ал ол
ТІР түйін жағдайында жарамсыз болды . Сол уақытта есептеуіш техникалары
өте қымбат болатын , және процессорда парольдер тізімін айтпағанда,
парольдерді тексеру бағдарламасын орнату үшін қарапайым жады жетпеді.
Бұл проблеманы BBNкомпаниясы шығарған (IMP және TIP –ті шығарған),
терминалға рұқсатты басқару контроллерін қолданатын, рұқсатты басқару
жүйесі протоколі көмегімен шешті. Мысалы, Кэтти ТІР түйінімен
байланысқанда, ол одан пайдаланушы аты және парольін енгізе отырып
тіркелуді талап етті. Бұл ақпаратты ТІР түйіні ARPANET желісіндегі хост -
машинаға жіберді, яғни осы ТІР түйіннің аутентификация сервері ретінде
жұмыс істеді. Мұндай хост-машиналарда ТІР түйінінің авторланған
қолданушыларының деректер базасын қолдайтын серверлік "tacacsd"
аутентификациялау бағдарламасы орындалды. Егер Кэтти пайдаланушының аты
және оның паролі табылса, онда сервер TIP түйінге пайдаланушыға рұқсат
беру туралы хабарлады [1].
Сол уақыттан бері тікелей емес аутентификация көптеген қосымшаларда
қолданылуда. Оны үш категорияға бөлуге болады :
- желі шекарасындағы трафикті басқару;
- бір ретті парольдерді қолдану;
- Желілік операциялық жүйенің қорларын қолдану.
1.1.6.1 Желі шекарасындағы трафикті басқару
Қазіргі кездегі көпшілік желілердң шекарасында аутентификацияны талап
ететін қорғаныш құрылғылары орнатылған. Желілік рұқсат сервері (Network
Access Server, NAS ), мысалы , ол да ескі ТІР түйіні орындаған қызметті
атқарады: ол әрбір байланыс орнатушыны, желіге кірмес бұрын
аутентификациялайды. Айырмашылық символдықтар терминалдарды ғана қолдаған
ТІР түйініне қарағанда, NAS-сервер қазіргі желілер қолдайтын қызмет, яғни
бір немесе бірнеше протоколдардың туннельдеуін қолдайды. NAS-сервер
қолдайтын бірнеше туннельдеу протоколдары :
- SLIP тізбектелген каналына арналған желіаралық хаттамасы ;
- РРР қоснүктелі байланыс хаттамасы ;
- РРТР туннельденген қоснүктелі байланыс хаттамасы;
- L2TP туннельденген 2 деңгей хаттамасы;
- IPSEC қорғалған IP хаттамалары;
Ережеге сәйкес, Internet-протоколдарын қолданатын желілік экрандар
немесе брандмауэрлар әртүрлі желілераралық шекараны қондырады. Әдетте
ұйымның ішкі желілері Internet-протоколдарын қолданып, Internet глобальды
желісіне брандмауэр арқылы қосылады. Брандмауэр Internet-тен ұйымның
есептеуіш жүйесіне жасалатын шабуылдарды азайтады. Кейбір ұйымдар
брандмауэрді ұйым желісінен Internet желісіне қосылатын пайдаланушылардың
әрекеттеріне шек қою үшін қолданады. Кейбір брандмауэрлер шифрленген
туннельдеу хаттамаларын қолдайды , мысалы , ұйым желісіне қосыла алатын,
және де сол желі компьютерлерімен ақпарат алмасқанда деректерді қорғай
алатын IPSEC және РРР хаттамалары [1].
Брандмауэр физикалық тұлғаларға ережелер орнату керек болса, онда
оған сол адамды немесе басқа адамды аутентификациялау керек. Кейбір
брандмауэрлер хост-машинаның хабар келген IP-адрестерін тексереді, бірақ
қиындығы — ол пайдаланушыға рұқсат бермес бұрын аутентификациялауды
орындайды. Мысалы, кейбір брандмауэрлер World Wide Web-те жүру құқығына
немесе файлдарды жіберу протоколын қолдану құқығына аутентификацияны талап
етеді. Басқалар алдымен хост-машинаның нақты IP-адрестерімен байланысқан
адамды аутентификациялайды, ал сонан соң лайықты рұқсаттарды IP-
адрестеріне сәйкес хабарлаулар арқылы жібереді.
Бүгінде NAS-серверлерде және аутентификациялау брандмауэрлерінде бір
ғана жақсы таныс хаттамалар жиыны қолданылады. Маршрутизатор шығаратын
Cisco компаниясы, байланыстың коммутация каналдарымен байланысты
аутентификациялайтын рұқсат серверлерін шығара бастағанда TACACS хаттамасын
қолданды. Қорытындысында Cisco компаниясы өз рұқсат серверлерінің арнайы
қажеттіліктерін қанағаттандыру үшін, осы хаттаманың өңделген, жаңартылған
версиясы XTACACS және TACACS+ хаттамаларын жасады . Рұқсат серверлері
қолданатын тағы бір кең таралған хаттама, бұл RADIUS телефон желісін
қолданушылардың алысталған аутентификациялау қызметінің хаттамасы , яғни
Internet (IETF) инженерлік проблемалары бойынша жұмыс жасайтын жұмысшылар
тобы жасаған және қолданатын ашық хаттама. Windows-домендер серверлерінде
және пайдаланушылардың тұлғасын верификациялауда сауалдарды орындау үшін
SMB хаттамасының әр түрлі нұсқалары кейбір бұйымдармен қолданылады[1].
2. Бір ретті парольдерді қолданатын бұйым
Егер парольдерді верификациялау жеңіл болса, (символдардың екі тізбегі
сәйкстікке тексеріледі) онда бір ретті қолданылатын парольдерді тексеру
қиын болады. Верикациялау процесі өте нәзік, қиын және шығарушылар әр түрлі
жолмен шығарады. Осындай жүйелердің жабдықтаушылары, ережеге сәйкес, өз
тауарларын өздері шығарған аутентификациялау сервері бағдарламасы
айналасына біріктіреді. Мысал ретінде кең таралған SafeWord Security Server
және RSA АсеServer серверін алуға болады. Бір ретті парольдерді қолданатын
бұйымдарды сатып алушылар, серверлі бағдарламалық қамтамасыз етуді бір
немесе сенімділік үшін бірнеше компьютерге қондырады. Барлық басқа
серверлер, желілік экрандар, рұқсат серверлері және басқа құрылғылар
аутентификация туралы өз сауалдарын осы аутентификацияланған серверге
жібереді .Және де осы серверде бір ретті парольдердің верификациялауға
қажетті барлық деректер және процедуралар ұсынылған. RADIUS хаттамасының
соңғы версиясын қолдайтын рұқсат серверлері және брандмауэрлар, әдетте бір
ретті парольдердің кез келген жүйесімен жұмыс істейді. Басқа серверлер үшін
аутентификациялау агенті бағдарламасын орнату керек. Агент сервердегі
регистрацияның стандартты прцедурасын өзгертеді , яғни аутентификациялық
деректерді аутентификация серверіне жібертеді [1].
Аутентификациялаудың орталықтандырылған сервері түйін ролінен басқа,
жүйелерде бір ретті парольдердің негізінде маңызды роль атқарады : ол
олардың сенімділігін күшейтеді. Cағаттық және есептеуіш жүйе қолданушының
жеке профилінің жасалуын қарастырады , яғни базалық құпиямен бірге бір
ретті парольдерді аутентификациялайды. Мысалы , есептеуіш жүйе
есептеуіштің көрсетулерін сақтайды , ал сағаттық жүйелер әрбір
аутентификация құрылғысына кеткен уақытты көрсетеді. Егер әрбір
аутентификациялау құрылғысына профиль туралы ақпарат жетпесе, система
сенімсіздену, тіпті қолдануға келмеуі мүмкін. Орталықтанған сервер осындай
ақпаратты сенімді және нәтижелі қолдаудың практикалық тәсілі болып
саналады.
Серверлерде бір ретті парольдермен жұмыс жасау үшін бірінші әзірлеуші-
компаниялар өздері шығарған хаттамаларды қоданады. Қазіргі кездегі
әзірлеуші-компаниялар RADIUS хаттамасын қолдайды ( жиі және TACACS+
хаттамасы). Тек кейбіреулері ғана өзіне меншікті хаттамаларды қолдануды
жалғастыруда, өйткені ескі агенттік бағдарламалық қамтамасыздандырумен
байланысты сақтау мақсаты үшін[1].
3. Желілік қорларды басқару
Локальдік желілер кішкентай болғанда, желілік қорларды басқару
проблема болмады: әрбір бөлімшелер әдеттегі ережелерді білді. Локальді
желілердің өсу шегінің ұлғаюы ұйым ішінде бірнеше бөлімшелердің көбеюіне
әкелді. Қорытындысында бір бөлімшедегі адамдар басқалар ақша төлейтін
қорларды басқара алатындығын жылдам ұқты. Бірақ мұндай жағдайы нақты
жағымсыздықтың себеп-салдары болмауы мүмкін , сонда да көптеген ұйымдар
желілі операциялық жүйелерді қолдануда
Үлкен емес желілер үшін де жеке парольді файлдарды қолдау , —
жеткілікті ауыр, сондықтан қазіргі желілік операциялық жүйелерде тікелей
емес аутентификациялау механизмдерін қолданады. аутентификамен түзу NetWare
соналарына кации. Novell компаниясы ОЖ NetWare 3.-те тікелей
аутентификациялауды қолданды, бірақ ОЖ NetWare 4.-те тікелей емес
аутентификациялауды қолданды. LAN Manager және ОЖ Windows NT-ң ескі
версияларында тікелей аутентификациялауды ұсынды. Microsoft компаниясы
тікелей емес аутентификациялауды LAN Manager тауарының қосымша модулінің
желілік домен элементі ретінде қолданды.Домендер ОЖ Windows NT.3-ң
стандартты элементіне айналды.
Бірақ, бір ретті парольдерді қолданатын желілік құрылғылардан және
жүйелерден айырмашылығы, желілік қорларды коллективті қолдану үшін
жалпығаортақ ашық стандартты хаттамасы жоқ. Novell , Microsoft және Apple
сияқты өндірушілермен өзіне меншікті аутентификациялау және қорларды
коллективті қолдану протоколы жасалды. Қолда бар хаттамалардың ішінде
қорларды коллективті қолдану қорғалған процедурасының ашық стандартына
Kerberos хаттамасы жақынырақ келеді., бірақ ол ең алдымен кілттерді басқару
мақсаттын шешеді. Kerberos хаттамасы Microsoft компаниясымен Windows2000 ОЖ-
не Windows-тегі домендік аутентификация хаттамасын алмастыру мақсатында
енгізілген болатын[1].
1.2 Идентификациялау және аутентификациялаудың актуальді жүйесі
1.2.1 Кілттерді тарату орталығы
1980 жылдары банкілік сфераларда қорғаныс үшін ақшаны электронды
аудару трафигін DES алгоритмы көмегімен шифрлеуді қолдана бастады. Бірақ
банктердегі трафиктің өсу шегі шифрлеу кілттерімен қауіпсіз және нәтижелі
қызмет көрсету проблемасымен күресуге әкелді. Желілік қауіпсіздік сұрағына
арналған Деннис Брэнстэдтің (Dennis Branstad) жұмыстары негізінде,
кілттерді тарату орталығына (key distribution center, KDC) арналған
стандарт құрылды. Банкілер KDC-ті офисаралық хабарды шифрлеуге арналган
уақытша кілттерді генерациялау үшін қолданды. Бұл бір-бірімен сенімді
серверлер үшін барлық хабарға бірыңғай шифрлеу кілтін қолданудың
қауіпсіздігін қамтамасыз етті. Және де бірегей кілттерді әрбір банкілік
офистарға тарату шығындар қатарын төмендетті. Банкілік әдіс ANSI X 9.17.
стандарты түрінде формализацияланған болатын.
Уақытша шифрлеу кілттері бір ретті кілттер секілдіартықшылықтарды
береді: олар бұзушылар келтіретін шығындар көлемін азайтады. Әрбір бір-
біріне сенетін машина KDC-пен бірге қолданылатын бірегей мастер-кілтке ие.
Мастер-кілт қауіпсіздік серверіне KDC-пен деректер алмасуды қамтамасыз
етеді. Сонымен қатар, KDC мастер-кілтті қолданып, кілттерді криптографиялық
қаптай алады. Нәтижесінде , сервер дұрыс кілттерді қауіпсіз басқа
серверге жібере алады. Бұл желілік хабарлама санын азайтады, яғни тікелей
емес хабарласуды қамтамасыз етеді. [1].
Бұл талқылаулар аутентификациялау тақырыбын алыстатуы мүмкін, бірақ
коллективті қолданылатын уақытша кілттер базалық құпия болғандықтан, яғни
KDC рөлі түсінікті болады. Егер екі компьютерге хабарламаны бір-біріне
аутентификациялау керек болса, онда KDC бұл үшін коллективті қолданатын
құпияны алып бере алады. Мысалы, Джонға почталық серверден өзінің
электронды почтасын алу керек болсын. Дәстүрлі әдісте Джон өз серверіне
көпретті қолданылатын құпия кілтін жібереді, ал срвер оны Джонды
аутентификациялау үшін қолданады немесе парольді жеке аутентификациялау
серверіне жібереді.
1.2.2 Керберос хаттамасы
1983 жылы МТИ-да (Массачусетстік технологиялық институт) Академиялық
ұйымдар үшін келесі буынның бөлінген есептеу ортасының мүмкін үлгісін құру
мақсатында "Афина" проектісі басталды. "Афина" проектісіне қатысушы топ,
KDC-пен байланысты қауіпсіздік мақсатын , Нидхэм-Шредер хаттамасы негізінде
, және де Деннинг пен Сакконың жұмыстарының негізінде шешті. Керберос
хаттамасы үлкенмасштабтағы ортаны қамтамасыз ету үшін, "Афина" проектісі
клиенттік жұмыс станцияларында тіркеу процедураларын өңдеу және серверлерді
Керберос хаттамасында жұмыс істеуге икемдеу үшін қамтамасыз ету
бағдарламаларын ұсыну керек болды. Керберос хаттамасымен жұыс істеуді
икемдеуді қамтамасыз ететін бағдарламаны керберезденген деп атайды.
1989 жылы Стив Миллер(Steve Miller) және Клиффорд Ньюмен (Clifford Neu
mann ) МТИ-дің басқа қызметкерлерінің көмегімен Керберос хаттамасының 4
версиясын жасады. 4 версия ортақ қолдануға арналып шығарылған алғашқы
версия болды және қазірге дейін қолданылып келеді. Бірақ Интернет-
қоғамдастықтың стандартты версиясы ретінде 5 версиясы алынды. Және 5-ші
версия осы курстық жұмыста қарастырылады.
1.2.2.1 Аутентификациялау сервері
Керберос протоколының KDC кілттерді тарату орталығының(key
distribution center) құрамында әр түрлі функцияны орындайтын бірнеше
серверлері бар. Аутентификациялау сервері Нидхем – Шредер хаттамасына ұқсас
хаттаманы іске асырады. Теориялық тұрғысында бұл сервер керберезденген
қызметпен деректер алмасуға мандат бере алады. Практикада көптеген жұмыс
станциялары тек қана мандат алуға рұқсат беретін қызметтермен байланысу
үшін мандат беру мақсатында аутентификациялау серверін қолданады. Макс
аутентификациялау серверінен мандат алу үшін KRB_AS_REQ хабарын құрастыруы
керек. Нидхем – Шредер хаттамасы жағдайында да мандат сұрау мақсатында өзі,
сервер аты және кездейсоқ бір ретті сан туралы деректі ұсынады. Хаттама
Керберос хаттамасында сеанс кілті деп аталатын коллективті қолданылатын
кілт әрекет ететін уақытша периодты орнатады. Сонымен қатар хаттама кілтпен
шифрленетін жұмыс станциясы идентификаторының бөлігін енгізеді, яғни ол
мандатты қандай жұмыс станциясымен орындауға рұқсат етілгендігін басқара
алады. Бұл бұзушылардың мандатты жаман ойда қолдану мүмкіндігін
төмендетеді. Аутентификациялау сервері KRB_AS_REP хабары арқылы жауап
береді. Онда мандат және сәйкес ақпарат жайлы мазмұн берілген.
Макс мандаттың дұрыстығына сервер жіберген KRB_AS_REP хабарындағы
статустық ақпаратты тексергенде көзі жетеді. Жауаптағы сервер аты,
кездейсоқ сан және әрекет периоды дұрыс екендігін тексеру керек. Осыдан
кейін сервермен байланысу үшін мандатты және сеанс кілтін пайдалана алады.
1.2.2.2 Серверге арналған аутентификация
Почталық серверге өзін аутентификациялау үшін Макс, Керберос
хаттамасының мандатын және KRB_AS_REQ хабарламасын құратын сеансқа сәйкес
кілтті пайдаланады. Макс мандаттан басқа, Керберос хаттамасының
аутентификаторын ұсынады. Ол қолданушы атымен(Макс) уақытша белгіден
тұратын шифрленген деректер элементі. Макс аутентификаторды шифрлеу үшін
мандатта болған сеанс кілтін қолданады. Аутентификация шифрын ашу үшін,
сервер, алынған мандатты ашып, одан сеанс кілтін алады. Аутентификатордағы
қолданушы атымен мандаттағы қолданушы аты сәйкес келу керек, ал уақытша
белгі соңғы 5 минут аралығында болу керек. Егер сұрақ осы тесттен өтсе,
онда сервер жауап KRB_AS_REP хабарламасын жібереді. Бұл жауапта сеанс
кілтін қолданып шифрленген сұрақтағы уақытша белгі жіберіледі.
3. Мандат алуға рұқсат беру қызметі
Белгілі бір қызметтегі жұмыста мандатты генерациялау үшін Керберос
хаттамасының аутентификациялау серверін қолдануға болады, бірақ бір кедергі
бар. Керберос хаттамасы хабарламаны өңдеу үшін кілт шеберін пайдалануды
талап етеді. Егер кілт шебері қолданушы жұмыс жасап отырған жұмыс
станциясында сақталған болса, онда оны ұрлау қаупі бар. Бұл проблеманы шешу
үшін кілт шеберін аз уақыт аралығында қолданып, оны жұмыс станциясынан
жылдам алып тастау керек. Бірақ бұл басқа кедергіге әкеледі: егер біз бір
серверге қосылуды аяқтағаннан кейін кілт шеберін өшіріп тастасақ, онда
келесі серверге қосыларда қайтадан қолдануымыз керек. Керберос хаттамасында
кілт шебері ретінде тез есте сақталатын парольдер қолданылады.
Келтірілгендердің барлығы практикалық емес. Сондықтан, біз тағы сеанс
кілтінің пайда болуына келеміз, яғни басқа уақытша кілттерді алу үшін
пайдаланылатын уақытша кілтті енгізу керек.
Шындығында, проблема былай шешіледі: Макс тіркеліп жатқан кезде жұмыс
станциясына кілт шеберін тастағанша, оның орнына мндатты шығару үшін
қолданылатын сеанстың арнаулы кілті енгізіледі. Керберос хаттамасында бұл
қосымша уақытша кілт мандат алуға рұқсат беретін сервер деп аталатын
арнаулы серверді KDC серверіне қосу арқылы жүзеге асады. Бұл сервер мандат
алуға рұқсат деп аталатын мандатпен жұмыс жасайды. Қолданушылар басқа
қызметтер үшін мандат сұрау үшін өздерінің TGT арнаулы серверге жібере
алады. Алдыңғы мысалдарда Макстың KDC арқылы почта серверімен байланыс
орнатқан жағдайы қарастырылды. Іс жүзінде, әрине, Макс тек почта серверімен
байланыс орнатумен шектелмейді. Керісінше, ол әдеттегідей екі немесе оданда
көп файл-серверлерге, қолтаңба серверіне және басқа да қызмет түрлеріне
қосылады. Сөзсіз, Макстың жұмыс станциясы бұл қызметтердің кейбіреуіне
системаға тіркелу кезінде автоматты түрде қосылуы мүмкін. Бірақ, қажет
кезде ғана қосылатын және жиі қолданыла бермейтін қызмет түрлері де бар.
Мандат алуға рұқсат беру серверінің арқасында қолданушыға қауіпсіз және
ыңғайлы бір реттік тіркеу механизмі жұмыс жасайды. Макс өзінің жұмыс
станциясында тіркеліп жатқан кезде, ол тездетіп Керберос хаттамасының KDC
аутентификациялау серверімен байланысады да TGT алады(немесе басқа
аутентификациялау деректерді) да, оны аутентификациялау серверінен алынған
жауапты ашу үшін пайдаланады. Сосын мандат алуға рұқсат серверіне TGT
жібереді, өйткені Макске қолтаңба сервері, почта сервері, әдетте қолданылып
жүрген файл-сервері қызметтеріне кіру үшін мандат алу керек. Кейінірек,
егер Макске қосымша сервер керек болса, қосымша жұмыс станциясы рұқсат беру
сервисіне мандат алу үшін хабарласуына болады. Жұмыс станциясы, ендігі
жерде, Макстың парольді енгзуін сұрамай-ақ қосымша мандат алу үшін TGT және
сәйкес сеанс кілтін пайдаланады. Макс аутентификатор, TGT және қандай
сервер, қашан және қанша уақыт қолданылатыны , кездейсоқ бір ретті сан
жайлы сұрақ жібереді. Рұқсат беру серверінде Керберос хаттамасының мандатты
шифрлеуге қолданылатын жеке кілті бар. TGT алғаннан кейін, сервер оны ашып
оқиды да, мандат беруге арналған кілт деп аталатын Макске мандат беру
кезінде қолданылатын сеанс кілтін алады. Сервер кілтті мандаттар беруге
аутентификациялауды шифрлеу және оның шынайылығын тексеру үшін пайдаланады.
Сонымен қатар сервер TGT әрекет кезеңін ағымдағы уақытпен салыстырады және
жаңа мандат үшін Макстың жұыс станциясымен сұралған әрекет кезеңін
тексереді. Келесі кезеңде сервер Макстың жұмыс станциясы қолданатын сеанс
кілтін басқарады. Рұқсат беру сервері Макстың қайтып алатын деректерін
алады да, жеткізу үшін шифрлейді. Алдымен сервер почталық сервер мандатын
құрады және оны почталық сервердің кілт шебері көмегімен шифрлейді. Сосын
сервер жауапқа қажет қалған деректерді топтайды да, Макске рұқсат беру
кілтін пайдалану арқылы ашып оқиды. Ашылып оқылған екі блок деректері
қосылып, сервердің Макске жолдаған жауап хабарламасын құрайды.
1.2.3 Жұмыс станциялары мен қолданушыларды аутентифика-циялау
KDC хаттамасы Керберос хаттамасы сияқты, желі қызметін қолданушыларды
аутентификациялауға негізгі назар аударады. Классикалық хаттамалар KDC және
жұмыс станциясы үшін қолданушының тұлғасын анықтай алмайды. Бұл жағдайда
аутентификациялау үшін белгілі бір серверге мандат алуға сұраныс жіберу
бұзушыларға да, кез келген қолданушыға да қиын емес. Макстың KDC –н
байланысуға мүмкіндігі бар кез келген адам, өзін Макспін деп, хабарлама
жіберуі және почталық серверде аутентификациялауға мандат алуы мүмкін.
Соңғы кезде қаралып жүрген хаттамалар бұрыс жолмен алынған мандатты
қолдануға жол бермейді. Бұл жағдайдың екі себеп-салдары бар. Біріншіден,
Керберос хаттамасы жұмыс станцияларын аутентификациялауды талап ететін жеке
обьектілер ретінде қарастырмайды. Екіншіден, бұзушылардың жеке адамның кілт
шеберіне шабуыл жасау үшін, оған қатысты жеткілікті мандат алуға мүмкіндігі
бар. Бірақ, Керберос хаттамасының жұмыс жасау варианттарының әр түрлілігі
мұндай кері жағдайларға жол бермейді.
1.2.3.1 Жұмысшы станцияларын аутентификациялау
KDC хаттамасының негізгі ерекшелігі, жұмыс станциялары әрекетінің
қауіпсіздігін қамтамасыз етуді бір кілтті қолдануға негізделген. Windows NT
ОЖ хаттамасына қарағанда, жұмыс станциясында KDC-пен немесе басқа қорғаныс
қызметімен деректер алмасуға арналған жеке кілттері жоқ. Керберос
хаттамасында тікелей емес аутентификациялау моделі жұмыс жасайтын
болғандықтан, ол жұмыс станциясына жекелеген қолданушыларды
аутентификациялауға көмектеспейді. Авторланған қолданушылар транспорт
құралы ретіндег жұмыс станциясы көмегімен, сервердегі қорларды басқара
алады. Сондықтан, кез келген адам жұмыс станциясын пайдалана алады, себебі
Керберос хаттамасы жұмыс станциясына арналған аутентификациямен қамтамасыз
етпейді.
Егер клиенттік жұмыс станциялары желіде жай және біртекті болса, онда
олар өзара алмаса алады. Сондықтан, қолданушының қай жұмыс станциясын
қолданғаны ... жалғасы
Сіз бұл жұмысты біздің қосымшамыз арқылы толығымен тегін көре аласыз.
КІРІСПЕ 3
1 ИДЕНТИФИКАЦИЯ ЖӘНЕ АУТЕНТИФИКАЦИЯ 5
1.1 Идентификациялау және аутентификациялаудың теориялық негіздері 5
1.1.1 Идентификациялау және аутентификациялау жүйесінің элементтері 5
1.1.2 Қорғалған клиент-сервер өзара әрекеттестігі 6
1.1.3 Желілік ортадағы шабуылдар 7
1.1.4 Қауіпсіздік сервисіне талап 7
1.1.5 Ашық желілердегі идентификациялау және аутентифика-циялау 10
1.1.6 Тікелей емес идентификация және аутентификация 13
1.2 Идентификациялау және аутентификациялаудың актуальді жүйесі 17
1.2.1 Кілттерді тарату орталығы 17
1.2.2 Керберос хаттамасы 18
1.2.3 Жұмыс станциялары мен қолданушыларды аутентифика-циялау 20
1.2.4 Мандат жіберу 22
1.2.5 Керберос хаттамасы бар жүйеге шабуыл 23
2 TCPIP ХАТТАМАЛАРЫНЫҢ СТЕГІ 25
2.1 OSI өзара байланысының жалпы моделі 25
2.2 TCPIP және OSI модельдері арасындағы сәйкестік 27
2.3 TCP хаттамасы 28
3 ЕСЕПТЕР ҚОЙЛЫМЫН ҚҰРУ 38
4.1 Кілтті құру алгоритмі 39
4.2 Бағдарламаның клиенттік бөлігінің алгоритмі 40
4.3 Бағдарламаның серверлік бөлігінің алгоритмі 41
4.4 Блок-схема алгоритма Клиент-серверное взаимодействие 43
5 Тәжірибелік бөлім 46
5.1 Тәжірибені жүргізудің кезеңдері 46
Қорытынды 49
Қолданылған әдебиеттер тізімі 50
А қосымшасы 51
В қосымшасы 59
С қосымшасы 67
КІРІСПЕ
Қазіргі кезде ашық байланыс каналдарымен жіберілетін деректер
көлемінің көптеп өсу шегі байқалады (соның ішінде жасырын). Әдеттегі
телефондық каналдармен банкі аралық, делдалдық кеңселер және биржалармен,
ұйымдардың алысталған бөлімдерімен құнды қағаздармен сауда өткізіледі.
Осыған байланысты жіберілетін деректерді қорғау проблемасы тұр. Себебі
ағымдағы деректерді активті немесе пассивті түрде ұстау қаупі бар. Пассивті
ұстауда деректі тек қана оқу ғана емес, сонымен қатар трафикті талдауды (
мекен-жайларды қолдану, тақырыптың басқа да деректерін, деректердің
ұзындықтарын және деректердің жиілігін) қосады. Активті ұстауда деректерді
өзгертуге болады (модификация, тежеу, қайталау, реквизиттерді заңсыз
қолдану немесе өшіру ).
Осы проблемаларды шешудің бір жолы байланысқа қатысушыларды
идентификациялау және аутентификациялау. Идентификациялау және
аутентификациялау желілік жүйелерде шамамен жиырма жылдан бері қолданылып
келеді.
Желілік идентификация және аутентификация көптеген қосымшаларда
қолданылуда және оны үш категорияға бөлуге болады:
- Трафикті желі шекарасында басқарушылар;
- Бір ретті қолданылатын парольдер;
- Желілік операциялық жүйенің қолданатын қорлары.
Қазіргі кезде кең таралған жүйелер арнайы жасалған хаттамалар арқылы
желілік идентификацияны қамтамасыз етуде. RADIUS желілік идентификацияны
орындаудың ашық стандарты болып саналады. Windows4.0.ОЖ-і домені тіркеу
құралдарында және Microsoft компаниясының Windows 2000 ОЖ-де қолданылатын
Kerberos протоколы да осындай қызмет атқарады. Бір ретті қолданылатын
парольдер жүйесінің жабдықтаушысы, мысалы, Secure Computing компаниясының
SafeWord және RCA Security компаниясының Secure ID өздері шығарған бір
немесе біірнеше желілік идентификация протоколдарына қосымша RADIUS .
протоколын да қолдайды.
Бұл бітіру жұмысында желілік өзара аутентификациялық хаттамасын қолдау
ұсынылып отыр.
Респонденттерді аутентификациялау үшін, олардың шынайылығын басқа
жаққа күәландыратын белгіге ие болуы керек. Сондай куәландыратын белгі -
байланыс сеансы басталғанға дейін екі жаққа да белгілі идентификациялаушы.
Осы бітіру жұмысы деректерді ашық байланысты каналдарымен жіберудің
проблемаларын шешуге арналған:
- ашық байланысты каналдарда респонденттерді өзара аутентификациялау
алгоритмі;
- алгоритмнің қорғаныштық деңгейін жоғарылататын бір рет қолданылатын
кілттерді қолданатын жаңа алгоритмі;
- тап осы алгоритмдік бағдарламаның хаттама түрінде орындалуы Windows
операциялық жүйе базасы TCPIP хаттамасының стегінде жұмыс істейді;
- әрбір Client (C) және Server (S ) респонденттері хаттамаларының
басқа жаққа белгілі (IC, IS ) өз идентификаторы болады.
- хаттамаға клиентік және Серверлік бағдарламалары өңделіп
енгізілген.
Бітіру жұмысының бірінші бөлімінде идентификация және
аутентификацияның теориялық негіздері қаралған. Кілттерді тарату
орталығына, жұмысшы станциялары және пайдаланушылар аутентификациясына,
мандат жіберуге анықтамалар берілген .
Екінші бөлімде OSI-дің әрекеттесуінің жалпы үлгісі, сонымен қатар OSI
және TCPIP үлгілерінің өзара сәйкестігі қаралған.
Үшінші бөлімде респонденттердің өзарааутентификациялау хаттамасын
құрудың негізгі кезеңдерін анықтайтын есептерді құруға арналған . Есепті
шешу тәсілдері мен әдістері көрсетілген .
Төртінші бөлімде өзарааутентификациялау хаттамасы жөнінде толық
жазылған .Бұл келесі алгоритмдерден тұрады:
- кілт жасау алгоритмі
- клиентік бөлім алгоритмі
- серверлік бөлім алгоритмі
Бұл хаттама ашық байланысты каналдарда жұмыс жасауға есептелген, яғни
хаттама пакеттері жарым-жарты немесе толық ұсталып қалуы мүмкін .
1 ИДЕНТИФИКАЦИЯ ЖӘНЕ АУТЕНТИФИКАЦИЯ
1.1 Идентификациялау және аутентификациялаудың теориялық негіздері
1.1.1 Идентификациялау және аутентификациялау жүйесінің элементтері
Аутентификация жүйесі компьютерлік екеніне тәуелсіз, әдетте әрқашан
бірнеше элемент қатысады және айқын оқиғалар болады. Біз ең алдымен
аутентификациялаудан өтетін нақтылы адамды немесе адамдардың тобын аламыз.
Сонымен қатар, бізге адамды немесе адамдардың тобын басқалардан
айырмашылығын көрсететін мінездеме қажет. Үшіншіден, жүйені қолдануға және
басқалардан авторланған қолданушыларды шектеуге жауап беретін админстратор
бар. Төртіншіден, бізге айырмашылдық мінездемелердің қатысуын тексеру үшін
аутентификациялау механизмі қажет. Бесіншіден, біз аутентификация табысты
өткен жағдайда енуді басқару механизмін қолданып жеңілдіктер беріледі, ал
егер сәтсіз болған жағдайда жеңілдіктер алынып тасталынады.
Компьютерді қорғаудың проблемаларын қарай отырып, әрқашан, не
істегіміз келеді және шын мәнінде не істей алатынымызды айыра алуымыз
керек. Әдетте бірінші сұрақ " біз нені қалаймыз?" қорғаныс мақсатында
айтылады. Администратор есептеуіш жүйеде тек қана авторланған
пайдаланушыларға рұқсат беру мақсатында болады. Тәжірибеде соған қарамастан
әрқашан саңылау болады. Қорған кімде кілттің керек данасы бар, соған рұқсат
береді. Қорған сырттан келген жағымсыз адамдарды ұстап қала алмайды. егер
жағымсыз адамдардың қолына кілттердің түсуін қақпайлай алмасақ. Егер
жағымсыз адамдар жүйеге енгісі келсе, бұл біз үшін қиын жұмыс болады. Және
де барлық жерге қорған қоя алмаймыз. Әдетте, кіретін есікте үлкен бір
қорған орнатамыз, және бізге ішке енуге рұқсат берген қолданушыларға сенуге
тура келеді.
Аутентификация және рұқсатты басқарудың компьютерлік жүйелерінде
әдетте жетілген әр түрлі екі нәрсе жүзеге асады. Бірақ кейде аралық
ысырма ерекшелігінің мәні бар, яғни есікті ысырмамен басқаратын қорғанмен
жабық ұстап қалады, сондай заттар бір механизмде орналасқан.
Компьютерлерде аутентификация процесі ары қарай қолдану үшін қоданушының
атын дұрыс орнатады, ал енуді басқару жеке жүзеге асады. Компьютерлік жүйе,
ережеге сай, рұқсатты белгілі бір файлға немесе басқа ресурсқа бағынған
пайдаланушы аттарын рұқсат ережелерімен салыстыру жолмен басқарады. Егер
ереже пайдаланушыға осы атпен рұқсат берсе, онда ол ресурсты пайдалану
мүмкіншілігін алады .
Біз аутентификациялау кезінде жүйені пайдалануға рұқсат беруді
қалайтын адамдарды идентифициялай аламыз, бірақ механизмдар кемеліне
жетпеген. Авторланбаған тұлғада әрқашан ресми пайдаланушының астынан
бүркемелену тәсілі болады.
Бірақ пайдаланушыларды аутентификациялау компьютерлік жүйелерге өз
алдына проблема болып табылады , және олар аутентификацияға жататын жалғыз
объектілер емес. Бізге сонымен қатар адамның қатысуынсыз компьютерлік
жүйелерді аутентификациялау қажетті, мысалы, Web-серверлер сияқты, әсіресе
егер біз қымбат бағалы қызметті орындауды сұрасақ. Пайдаланушыны
аутентификациялаудан айырмашылығы, мұнда аутентификацияны орындау үшін
сервердің жанында тұратын нақты адам жоқ. Біз де керек адамдардың немесе
кәсіпорынның қол астындағы, керек жабдықтаумен байланысқанымызға кепілдік
болғанын қалаймыз.
1.1.2 Қорғалған клиент-сервер өзара әрекеттестігі
Қазіргі клиентсервер сәулетінде құрылған ақпараттық жүйелерде үш
деңгейді көрсетуге болады:
- ұсыну деңгейі (деректкрді көрсету және енгізу функцияларын
орындайды);
- қолданбалы деңгей ( универсалды сервистерге, сонымен қатар белгілі
пәндік облыстарға арналған функцияларға жауап береді);
- ақпараттық қорларға рұқсат деңгейі ( ақпараттық - есептеуіш қорларды
басқару және сақтау функцияларын орындаушы ).
Деңгейлер аралық байланысты транзакция және коммуникация менеджері
қамтамасыздандырады. ИнтернетИнтранет технологиясын қолдану классикалық
схемаға өз өзгертулерін салды, яғни универсальды клиент деңгейіне - Web-
навигаторды ұсынды (мүмкін, қолданбалы аплеталармен толықты) және Web –
серверге ақпараттық концентратор функцияларын қойды(транзакция және
коммуникация менеджері міндеттерімен лайықты мақсатта біріктіру).
Клиентік жұмысшы орындар Web - сервермен және жергілікті және
глобальды желілермен байланыстырлады. Клиентік жүйелердің аппараттық
платформасы ретінде толық функционалды компьютерлер( стационарлық немесе
мобильді ), және өте қарапайым коммуникаторлар қызмет етеді.
Көпшілік ұйымдардың серверлік жүйелері ережеге сай, жалпы пайдалану
каналдармен байланысқан бірнеше өндіріс алаңдарына бөлінген.
Пайдаланушылардың көзқарасы бойынша мұндай бөліну білінбейді, бірақ
қорғаныс тұрғысынан қарағанда тап осы жағдай өте маңызды. Клиентік жұмысшы
орындардың бағдарламалық конфигурациясы қатаң емес. Оны желі бойынша
алынған аплеттер немесе басқа белсенді агенттер динамикалық толықтыру
жасайды.
Бұдан ары клиентсервердің қорғаныс конфигурациясын, яғни бөлінген, әр
тектілі, көпсервисті дамушы жүйелерін қарап шығамыз.
Олар үшін желілік шабуыл өте қауіпті, сондықтан пайдаланушылардың
серверлерде жұмыс жасауына рұқсат етілмейді . Егер қаскүнемдер серверге
рұқсатты алса, онда бір қорғау шекарасы жеңілген деген сөз[6].
1.1.3 Желілік ортадағы шабуылдар
Желілі ортада шабуылды келесі түрлерге бөлуге болады :
- желіні тыңдау;
- деректердің бірлескен потоктарын өзгерту:
- инфраструктуралық желілік сервиске әсер ету:
- желілі пакеттердің жалғандығы:
- аномалды пакеттерді жіберу:
- аномалдік трафикті генерациялау:
- жетілген әрекеттен бас тарту.
Қаскүнемдер үшін желіні тыңдау келесі мақсаттарға жетуін іске асырады:
- қайта жіберілген мәлімдемелерді ұстап қалу;
- аутентификацияланған деректі ұстап қалу:
- трафикті талдау.
Деректердің бірлескен потоктарын өзгерту келесі қауіпсіздіктің
бұзылуына әкеліп соғады :
- ұрлық, қайта реттеу , деректердің қайталануы ;
- өзгерту және өз деректерін қою(заңсыз делдал ).
Инфраструктуралық желілік сервиске әсер ету:
- аттардың сервис жұмысына қол сұғу ;
- деректердің бірлескен поток маршрутын өзгерту.
Желілі пакеттердің жалғандығы келесі түрде болады:
- мекенжайлардың жалғаны;
- қосулардың ұстап қалу:
- басқа серверлердің жұмысын қайталау.
Аномалды пакеттерді жіберу және аномалдік трафикті генерациялау қол
жетерлікке шабуыл жасауға мүмкіндік береді. Жетілген әрекеттен бас тарту -
бұл қолданбалы деңгейдегі шабуыл, ол әсіресе, клиент-сервер бөлінген
жүйелерінде маңызды[6].
1.1.4 Қауіпсіздік сервисіне талап
Клиент-сервер архитектурасында жасалған жүйені қорғау үшін клиенттер
де, серверлер де пайдалана алатын қауіпсіздік сервисі жиынын ерекшелеу
схемасын қолдану керек. Мұндай әрекет қолданбалы компоненттерді өзіне
арналмаған функцияларды орындаудан босатады, бұл олардың сенімділігінің
жоғарылауын, өңдеулер және жаңартулардың жеңілдеуі мене тездетуін
жақсартады. Әрине, кейбір функциялар( мысалы, енуге шек қою) қолданбалы
компоненттер немесе операциялық жүйенің аумағында іске асырылады[6].
Жиынтық қауіпсіздік сервисі жоғарыда айтылған қауіптерден қорғауға
арналған. Сонымен қатар, бұл жағдайдағы қажетті шарт – архитектуралық
қауіпсіздікті сақтау және қорғау құралдарын аралап шығу мүмкін еместігі .
Қауіпсіздік сервисі технологиялық болу керек, яғни қолданылып жүрген
жүйелерге қарапайым орнатуларды және оның өркендеу барысында дамуын
қамтамасыз етеді. Бұл мақсатқа жету үшін, стандарттарды, соның ішінде,
қазіргі кезде кең таралған және өміршең Интернет стандарттарын қолдану
керек.
Қауіпсіздік сервисінің бағдарламалық қамтамасыз етуді өндірушілердің
қолдауымен ыңғайлы, толық суреттелген бағдарламалық интерфейсі болуға тиіс.
Сонымен қатар, олар міндетті түрде басқарылады. Бұл бөлінген орта
желілік қауіпке қарсы тұра алатын орталықтандырылған конфигурациялау мен
аудитті жүзеге асырады. Сонымен қатар, қауіпсіздік сервисі көп таралған
басқару жүйелерімен интегралдануы керек.
Қауіпсіздік сервисі мейілінше анық, осы қызметті қолданғаннан
жиналған шығындар мен ыңғайсыздықтар аз болуы керек.
клиентсервер жүйесін қорғаудың ең басты сервисті идентификациялау
және аутентификациялау болып табылады.
Идентификациялау мен аутентификациялаудың қазіргі кездегі құралы
мынадай екі талапты қанағаттандыруы тиіс:
- желілік қауіпке қарсы тұру;
- желіге бірыңғай кіру концепциясын қолдау.
Бірінші талапты криптографиялық әдістерді қолдана отырып орындауға
болады . Бүгінде X .509. стандартты сертификаты бар каталогтер қызметі
немесе Kerberos жүйесіне негізделген әдістемелер жалпы қолданған.
Жүйеге бірыңғай кіру пайдаланушылар үшін анықтылық пен ыңғайлылықты
талап етеді. Корпоративті жүйеде тәуелсіз хабарласуларға жол беретін
ақпараттық сервистер көп болса, онда көпретті
идентификацияаутентификациялау өте қиын болады.
Жүйеге бірыңғай кіру қолданушылар өкілеттілігін анықтау, яғни
авторизациялау кезіндегі деректерді сақтау орталығы арқылы жүзеге
асырылады. Авторизациялау – бұл басқару және ақпараттық қауіпсіздік
арасындағы кеңістік, сондықтан кәсіпорын масштабын аутентификациялауға
арналған шешім басқаруға да, дәл осылай қорғау құралдарына да сүйене алады
[6].
Алдымен аутентификациялаудың теориялық аспектілерін қарастырамыз.
Пайдаланушының жүйеге кіру процедурасы үш бөлімнен тұрады :
- идентификация;
- аутентификация ;
- рұқсат құқықтарын беру .
1.1.4.1 Идентификация
Пайдаланушыны аутентификациялау үшін, алдымен оның кім екенін анықтау
керек. Пайдаланушыны идентификациялауға арналған қажетті ақпаратты сұрау
керек. Идентификация - бұл пайдаланушының өз статусын жариялауы.
Идентификациялау үшін келесілер орындалады : пайдаланушы аты, клиенттің
идентификацилық нөмірі және де пайдаланушылар туралы осы деректер базада
бірегей ерекше болуы керек. Пайдаланушы термині адамды, процесті немесе
жүйені білдіруі мүмкін, мысалы желі түйінін . Идентификация
аутентификациялау болып есептелмейді. Пайдаланушыны өзінің кім екені
туралы деректі жіберуі оның аутентификацияланғандығын білдірмейді.
Идентификация - аутентификациясыз күдік шақырады [6].
1.1.4.2 Aутентификация
Пайдаланушы идентификациялау кезінде ұсынған деректер растауды талап
етеді Осы кезде аутентификациялау жүйесі әрекетке кіріседі. Пайдаланушылар
аутентификациялаудың үш параметрінің біреуімен тексеріледі: олар не
біледі, нені иеленеді немесе өзі нені ұсынады. Ең жиі қолданылатын әдіс
'' олар не біледі '', біз осыған тоқталамыз . Пайдаланушы құпия сақтай
алатын парольді өзі таңдай алады немесе оған парольді тағайындайды.
Аутентификация пайдаланушының өзін парольмен растауына негізделген. Бұл
әдістеменің осал жағы, басқаларға белгіліні білу өте күрделі емес. Кейде
тіпті парольді теріп алуға болады(бұзуларда жиі болады ). WEB
қосымшаларда артықшылық және осы әдісті орындаудың қарапайымдылығы оған
потенциалды қауіп-қатер төндіреді.
1.1.4.3 Ену құқықтарын беру
Егер аутентификация табысты өтсе, жүйе пайдаланушыны тіркеуді
аяқтайды, енуді басқару деректерімен пайдаланушыны пайдаланушылық сеанспен
байланыстырады. Қарапайым қосымшаларда енуге құқық пайдаланушының
аутентификациядан табысты өткендігін білдіретін жалаушалар арқасында іске
асады. Күрделірек қосымшаларда жүйе әртүрлі пайдаланушыларға арналған
әртүрлі ену құқықтарын орындайды. Қажетті қауіпсіздік деңгейінен басқа
жүйеде алдын ала табысты немесе сәтсіз кіру құралдары ескерілген болу
мүмкін( мысалы, Security Standart С2 стандарты-жүйедегі барлық әрекеттерді
тіркеуді талап ететін, С2 қорғаныс деңгейінің стандарты)[6].
Бұрын да айтылғандай компьютерлік жүйе субъектілердің ( процестер,
пайдаланушылар )және объектілердің жиыны бола алады. Объектілер деп біз
жабдықтау құралдарын ( процессор, жад сегменттері, принтер, дискілер ) және
бағдарламалық ресурстарды айтамыз( файлдар , бағдарламалар , семафорлар).
Әрбір объект жүйедегі басқа объектілерден оны айыратын бірегей атқа ие,
және олардың әрқайсысы айқын және мәнді операция нәтижесінде жеткілікті.
Объектілер - абстрактылы деректер үлгісі .
Операциялар объектілерге тәуелді болады. Мысалы, процессор тек қана
командаларды орындай алады . Жад сегменттері жаза және оқи алады, ал карта
оқытушысы тек қана оқи алады. Файлдар жазылады, оқылады және аты
өзгертіледі.
Қорларға авторланған рұқсаты бар пайдаланушыларға ғана процеске рұқсат
етілетіндігі белгілі. Оның есепті шешуге қажетті ресурстарға ғана рұқсаты
болуына қол жеткізу керек. Бұл талап процестің жүйеге тигізетін бүлінулер
санын шектеу тұрғысынан қарағанда пайдалы жеңілдіктерді минимизациялау
принципіне байланысты. Мысалы, Р процесі А процедурасын шақырады, оған тек
қана айнымалы және формалды параметрлерге ғана рұқсат рұқсат етіледі , ал
басқа айнымалы процеске әсер ете алмайды. Ұқсас компилятор дербес
файлдарға әсер етпеу керек, тек қана компиляцияға қатысы бар анықталған
ішкі жиындарға(Негізгі файлдар, листингтер және т.б.). Басқа жағынан,
компилятор Р процесінің рұқсаты жоқ, оптимальданған мақсаттарға
қолданылатын жеке файлдарға ие бола алады.
Дискретті ( сайлау ) және өкілетті ( мандат ) енуді басқару тәсілін
айырады. Дискретті енуде субъектілерге немесе субъектілердің топтарына
белгілі қорларға белгілі әрекеттерді орындауды шектейді немесе рұқсат
етеді. Концептуальдық жағынан қарағанда дискретті басқарудың ену
құқықтарын, жолдарында субъектілер, ал бағаналарында – объектілер
орналасқан матрица ретінде қарауға болады .
Өкілеттілік басқаруда барлық деректер құпиялық дәрежесіне байланысты
деңгейлерге бөлінеді, ал барлық пайдаланушылар, осы дерекке кіру рұқсаты
деңгейімен сәйкес иерархия құрушы топтарға бөлінеді .
Операциялық жүйелердің көпшілігі осы дискретті енуді басқару тәсілін
қолданады. Оның негізгі артықшылығы-иілгіштігі, жетіспеушіліктері -
негізгі басқарудың шашыраңқылығы және орталықтандырылған бақылаудың
қиындығы, сонымен қатар ену құқықтарының деректерден алшақтығы, яғни құпия
деректерді жалпыға ортақ файлдардан көшіріп алу[7].
1.1.5 Ашық желілердегі идентификациялау және аутентифика-циялау
Ашық желілерде субъектілердің шынайылығын растауға және тексеруге
арналған әдістер, белсенсіз және белсенді желіні тыңдауға қарсы тұра алуы
тиіс . Олардың мәндері келесіге апарады .
- субъект құпия кілтті білетіндігін жариялайды , мұнда кілт желімен
берілмейді , немесе шифрланған түрде беріледі .
- субъект “сауал-жауап” тәртібінде жұмыс істейтін бір ретті
парольдерді генерациялаудың бағдарламалық немесе аппараттық құралымына ие
екендігін жариялайды. Сұраққа бір ретті парольді немесе жауапты ұстап
алып, қайтадан ойнату қаскүнемдерге ештеңе бермейтіндігін байқау қиын емес.
- субъект өзі тұрған жерінің шынайылығын жариялайды , мұнда жер
серіктерінің навигациялық жүйесі қолданылады .
Ең белгілі Интернет ашық желісінің идентификация және
аутентификациясын қарастырамыз. Интернет арқылы аутентификациялаудың
көптеген проблемалары бар. Өзіңді пайдаланушы ретінде беру үшін
идентификация және аутентификация деректерін(немесе кез келген деректі)
ұстап алып, оны қайталау - өте жәңіл. Аутентификациялау кезінде жалпы
онымен пайдаланушылар риза еместігін жиі айтады және қателерді жиі
жібереді, яғни идентификация деректерін әлеуметтік инженерия көмегімен
алуға мүмкіндік жасайды. Қосымша идентификациялау барысы интернетті
қолдану кезінде пайдаланушылар арасында идентификациялауға арналған деректі
таратуды қажет етеді, бұл олардың жұмысын күрделендіреді. Тағы бір
проблема аутентификациялаудан кейін пайдаланушы сеансы жүрмей қалуы мүмкін
[8].
Аутентификациялаудың үш түрі бар - статикалық , орнықты және тұрақты.
Статикалық аутентификация парольдерді және басқа технологияларды қолданады
, бүл деректі шабуылшының қайталауынан абыройы түсірілуі мүмкін . Бұл
парольдер көбінесе қайта қолданылатын парольдер деп аталады. Тұрақты
аутентификация жұмыс сеанстарын өткізу кезіндегі криптографияға немесе бір
ретті парольдердің жасаудың басқа тәсілдеріне қолданылады. Бұл тәсіл
байланысқа шабуылшының деректерді қоюынан абыройы түсірілуі мүмкін .
Тұрақты аутентификация шабуылшының деректерді қоюынан қорғайды .
Статикалық аутентификация
Статикалық аутентификация тек қана шабуылдардан қорғайды, яғни
аутентификациялауда және оның келесі сеансында , аутентифкацияланушы мен
аутентификациялаушы арасындағы деректерді көре алмайды. Бұл жағдайда
шабуылшы пайдаланушы аутентификациясына арналған деректі анықтау үшін
аутентификация процесін (заңды пайдаланушы не істей алады) және осы
деректерді табу әрекеттерін іске асыру . Парольдерді қолдану арқылы
дәстүрлі схема қорғаныштың осындай түрін қамтамасыздандырады , бірақ
аутентификация күші парольдерді табу қиындығына және олар қаншалықты жақсы
қорғалғандығына тікелей тәуелді болады [8].
Орнықты (Устойчивая)аутентификация
Аутентификацияның бұл класы аутентификацияның әрбір сеансы сайын
өзгеріп отыратын динамикалық деректерді қолданады. Шабуылшы
аутентификацияланушы мен аутентификацияландырушы арасындағы деректі ұстау
үшін заңды пайдаланушы атымен тығылу арқылы олардың аутентификация
деректерін қайталап жазу немесе аутентификацияландырушымен жаңа
аутентификация сеансын құру әрекеттерін жүзеге асыруы мүмкін. 1 деңгейдің
күшейтілген аутентификациясы мынадай шабуылдардан қорғайды, яғни алдындағы
аутентификациялау сеансына қолданған деректер осылай келесі
аутентификациялау сеанстарында қолданылмайды .
Әйткенмен, тұрақты аутентификация белсенді шабуылдардан
қорғамайды,яғни аутентификациялаудан кейін серверді пайдаланушыларға
деректерді беру кезінде, шабуылшылар деректерді немесе комндаларды өзгерте
алады. Cервер логикалық байланыс деректерімен аутентификацияланған
пайдаланушы деректерін уақытша байланыстырады, өйткені осы байланыс
кезіндегі барлық командаларды сол қабылдады деп ойлайды. Дәстүрлі парольдер
тұрақты аутентификацияны қамтамасыздандыра алмайды, өйткені пайдаланушы
парольдерін ұстап алуға және бұдан кейін де қолдануға болады . Ал бір ретті
парольдер және электрондық қол қоюлар осындай қорғаныс деңгейін
қамтамасыздандыра алады[8].
Тұрақты(Постоянная) аутентификация
Бұл аутентификация түрі шабуылдан қорғанышты қамтамасыз етеді, яғни
аутентификацияланушы мен аутентификацияландырушы арасындағы , тіпті
аутентификациялаудан кейін беріліетін деректерді жолдан ұстап алу ,
деректер потогіндегі ақпаратты өзгерту немесе қою. Мұндай шабуылдарды
белсенді шабуылдар деп атайды, өйткені шабуылшы клиент пен сервер
арасындағы байланысқа белсенді әсер ете алады. Мұны орындау тәсілдерінің
бірі, пайдаланушыдан серверге жіберілетін әрбір деректер битін электрондық
қол қоюларды генерациялау алгоритмі көмегімен өңдеу. Криптография
негізіндегі басқа да комбинациялар осы аутентификация түрін іске асыруы
мүмкін , бірақ ағымдағы осы стратегияны криптографияда әрбір дерек битін
өңдеуге қолданады . Болмаса, деректер потогінің қорғалмаған бөлімдері
күдікті көрінеді [8].
1.1.5.1 Интернетте аутентификацилаудың жалпы саясаты
Бірақ парольдерді табу жеңіл болғанмен, ұйым қауіптің болуы төмен,
яғни оқиғадан кейін бұрынғы қалпына келтіру күрделі емес және оқиға
критикалық жүйелерге әсер етпейді деп есептейді (қорғаныштың басқа
механизмдері).
Төменгі тәуекел
Ұйым жүйелеріне рұқсат алу үшін интернеттен аутентификация керек.
Аутентификацияға арналған ең аз стандарт парольдерді қолдану.
Орташа тәуекел .
ХХХ класты ақпаратқа рұқсат алу және оны интернетте өңдеу үшін (оны
заңсыз модификациялағанда , ашуда немесе жоюда кішкене зиян орын алады)
парольдерді қолдану талап етіледі , ал қалған барлық қорлардың түрлеріне
рұқсат алу үшін тұрақты аутентификацияны қолдануды талап етеді .
Интернеттегі корпоративті қорларға telnet тәртібінде рұқсат алу
тұрақты аутентификацияны қолдануды талап етеді .
Жоғарғы тәуекел .
Интернеттен барлық жүйелергебрандмауэрден рұқсат алу үшін тұрақты
аутентификацияны қолдану талап етіледі. ХХХ ақпаратына және оны өңдеуге
рұқсат алу үшін(оның қауіпсіздігі бұзуы жанында ұйым үлкен зиянды апарады )
тұрақты (постоянной) аутентификацияны қолдану талап етіледі[8].
1.1.5.2 Орнықты аутентификацияға арналған саясат
Егер сіздер орнықты аутентификацияны қолдануды шешсеңіздер, онда
сіздерге қауіпсіздік ненің арқасында жетеді және пайдаланушыларды оқытуға
және қосымша басқаруға кететін шығындарды білуіңіз керек. Пайдаланушылар
аутентификация құралдарын анағұрлым сауатты қолданады, егер оларға нақ
осыларды неге қолдану керек екендігі лайықты оқытылып, оларды қалай қолдану
оларға түсіндірілген болса [8].
Тұрақты аутентификацияны орындауға арналған технологиялар көп,
динамикалық парольдердің генераторлары, криптографиялау негізіндгі сауал -
жауапты жүйесі, смарт - карт, сонымен қатар цифрлік қолтаңбалар және
сертификаттар. Электрондық қолтаңбаларды және сертификаттарды қолдану
кезінде жаңа сұрақтар пайда болады - сертификаттарға арналған қауіпсіздікті
қамтамасыз ету талаптары қандай?
Тұрақты аутентификация қолданушылары бұл әдісті пайдаланбас бұрын
курстарды тыңдауы керек .
Қызметкерлер ұйымға жататын барлық аутентификация құрылғыларының
қауіпсіз қолдануына және сақталуына жауап береді.Ұйым компьютерлеріне
рұқсат алуға арналған смарт-карталар компьютермен бірге сақталмауы тиіс.
жанында Смарт-карталар жоғалғанда немесе ұрланғанда, оның қолданылуын
тоқату үшін әрқашқан қауіпсіздік қызметіне хабарлау керек.
1.1.6 Тікелей емес идентификация және аутентификация
Мұндай жүйелерде аутентификациялау пайдланушылар туралы жалғыз базасы
бар коллективті серверлерді қолдану арқылы шешіледі. Егер Кэтти коммутация
жасаушы линиямен байланыс орнатқысы келсе , онда оған телефон қоңырауына
қандай рұқсат сервері жауап беретіндігіне тынышсызданып екрек емес.
Өйткені оны жалғыз аутентификациялау сервері аутентификациялайды. Егер ол
туралы дерек осы аутентификациялау серверінің пайдаланушыларының
базасында шықса, онда оны басқа кез келген рұқсат сервері біледі .
Аутентификация сервері оның түп нұсқалығын растай алады , ол брандмауэр
арқылы іске қосыла алады ма енуге шек қойылған принтерге файл жібере ала
ма немесе файл - сервермен байланыса алады ма[1].
Тікелей емес аутентификация желілік жүйелерде жиырма жылдан бері
қолданылып келеді. Алғашқыларының бірі ARPANET желісіндегі TIP-кіру
процедурасы. ARPANET желісін құрған коммутация желілі түйіндері интегралды
көппротоколды процессоры деп аталды, және де терминальді IMР немесе TIP
құрылғыларының арнайы стндарты болды. Телефон арқылы жақын арадағы ТІР
түйінімен байланысуға болады және содан кейін желідегі кез келген
компьютермен байланысуға болады. Алғашқыда админстраторлар бөлек ТІР
түйіндерін , телефондық нөмірлерді құпиялау жолымен олардың қолданылуын
бақылады . Бірақ бұл зиянкестермен күресте аз көмектесті.
Мұнымен күресте ТІР түйіндерін жаңарту өткізілді, яғни жүйеге кіруді
аутентификациялау функциясы енгізілді. Ол кезде мұны істеу мүлдем оңай
болмады. Адамдарға жалғыз белгілісі тікелей аутентификация болды , ал ол
ТІР түйін жағдайында жарамсыз болды . Сол уақытта есептеуіш техникалары
өте қымбат болатын , және процессорда парольдер тізімін айтпағанда,
парольдерді тексеру бағдарламасын орнату үшін қарапайым жады жетпеді.
Бұл проблеманы BBNкомпаниясы шығарған (IMP және TIP –ті шығарған),
терминалға рұқсатты басқару контроллерін қолданатын, рұқсатты басқару
жүйесі протоколі көмегімен шешті. Мысалы, Кэтти ТІР түйінімен
байланысқанда, ол одан пайдаланушы аты және парольін енгізе отырып
тіркелуді талап етті. Бұл ақпаратты ТІР түйіні ARPANET желісіндегі хост -
машинаға жіберді, яғни осы ТІР түйіннің аутентификация сервері ретінде
жұмыс істеді. Мұндай хост-машиналарда ТІР түйінінің авторланған
қолданушыларының деректер базасын қолдайтын серверлік "tacacsd"
аутентификациялау бағдарламасы орындалды. Егер Кэтти пайдаланушының аты
және оның паролі табылса, онда сервер TIP түйінге пайдаланушыға рұқсат
беру туралы хабарлады [1].
Сол уақыттан бері тікелей емес аутентификация көптеген қосымшаларда
қолданылуда. Оны үш категорияға бөлуге болады :
- желі шекарасындағы трафикті басқару;
- бір ретті парольдерді қолдану;
- Желілік операциялық жүйенің қорларын қолдану.
1.1.6.1 Желі шекарасындағы трафикті басқару
Қазіргі кездегі көпшілік желілердң шекарасында аутентификацияны талап
ететін қорғаныш құрылғылары орнатылған. Желілік рұқсат сервері (Network
Access Server, NAS ), мысалы , ол да ескі ТІР түйіні орындаған қызметті
атқарады: ол әрбір байланыс орнатушыны, желіге кірмес бұрын
аутентификациялайды. Айырмашылық символдықтар терминалдарды ғана қолдаған
ТІР түйініне қарағанда, NAS-сервер қазіргі желілер қолдайтын қызмет, яғни
бір немесе бірнеше протоколдардың туннельдеуін қолдайды. NAS-сервер
қолдайтын бірнеше туннельдеу протоколдары :
- SLIP тізбектелген каналына арналған желіаралық хаттамасы ;
- РРР қоснүктелі байланыс хаттамасы ;
- РРТР туннельденген қоснүктелі байланыс хаттамасы;
- L2TP туннельденген 2 деңгей хаттамасы;
- IPSEC қорғалған IP хаттамалары;
Ережеге сәйкес, Internet-протоколдарын қолданатын желілік экрандар
немесе брандмауэрлар әртүрлі желілераралық шекараны қондырады. Әдетте
ұйымның ішкі желілері Internet-протоколдарын қолданып, Internet глобальды
желісіне брандмауэр арқылы қосылады. Брандмауэр Internet-тен ұйымның
есептеуіш жүйесіне жасалатын шабуылдарды азайтады. Кейбір ұйымдар
брандмауэрді ұйым желісінен Internet желісіне қосылатын пайдаланушылардың
әрекеттеріне шек қою үшін қолданады. Кейбір брандмауэрлер шифрленген
туннельдеу хаттамаларын қолдайды , мысалы , ұйым желісіне қосыла алатын,
және де сол желі компьютерлерімен ақпарат алмасқанда деректерді қорғай
алатын IPSEC және РРР хаттамалары [1].
Брандмауэр физикалық тұлғаларға ережелер орнату керек болса, онда
оған сол адамды немесе басқа адамды аутентификациялау керек. Кейбір
брандмауэрлер хост-машинаның хабар келген IP-адрестерін тексереді, бірақ
қиындығы — ол пайдаланушыға рұқсат бермес бұрын аутентификациялауды
орындайды. Мысалы, кейбір брандмауэрлер World Wide Web-те жүру құқығына
немесе файлдарды жіберу протоколын қолдану құқығына аутентификацияны талап
етеді. Басқалар алдымен хост-машинаның нақты IP-адрестерімен байланысқан
адамды аутентификациялайды, ал сонан соң лайықты рұқсаттарды IP-
адрестеріне сәйкес хабарлаулар арқылы жібереді.
Бүгінде NAS-серверлерде және аутентификациялау брандмауэрлерінде бір
ғана жақсы таныс хаттамалар жиыны қолданылады. Маршрутизатор шығаратын
Cisco компаниясы, байланыстың коммутация каналдарымен байланысты
аутентификациялайтын рұқсат серверлерін шығара бастағанда TACACS хаттамасын
қолданды. Қорытындысында Cisco компаниясы өз рұқсат серверлерінің арнайы
қажеттіліктерін қанағаттандыру үшін, осы хаттаманың өңделген, жаңартылған
версиясы XTACACS және TACACS+ хаттамаларын жасады . Рұқсат серверлері
қолданатын тағы бір кең таралған хаттама, бұл RADIUS телефон желісін
қолданушылардың алысталған аутентификациялау қызметінің хаттамасы , яғни
Internet (IETF) инженерлік проблемалары бойынша жұмыс жасайтын жұмысшылар
тобы жасаған және қолданатын ашық хаттама. Windows-домендер серверлерінде
және пайдаланушылардың тұлғасын верификациялауда сауалдарды орындау үшін
SMB хаттамасының әр түрлі нұсқалары кейбір бұйымдармен қолданылады[1].
2. Бір ретті парольдерді қолданатын бұйым
Егер парольдерді верификациялау жеңіл болса, (символдардың екі тізбегі
сәйкстікке тексеріледі) онда бір ретті қолданылатын парольдерді тексеру
қиын болады. Верикациялау процесі өте нәзік, қиын және шығарушылар әр түрлі
жолмен шығарады. Осындай жүйелердің жабдықтаушылары, ережеге сәйкес, өз
тауарларын өздері шығарған аутентификациялау сервері бағдарламасы
айналасына біріктіреді. Мысал ретінде кең таралған SafeWord Security Server
және RSA АсеServer серверін алуға болады. Бір ретті парольдерді қолданатын
бұйымдарды сатып алушылар, серверлі бағдарламалық қамтамасыз етуді бір
немесе сенімділік үшін бірнеше компьютерге қондырады. Барлық басқа
серверлер, желілік экрандар, рұқсат серверлері және басқа құрылғылар
аутентификация туралы өз сауалдарын осы аутентификацияланған серверге
жібереді .Және де осы серверде бір ретті парольдердің верификациялауға
қажетті барлық деректер және процедуралар ұсынылған. RADIUS хаттамасының
соңғы версиясын қолдайтын рұқсат серверлері және брандмауэрлар, әдетте бір
ретті парольдердің кез келген жүйесімен жұмыс істейді. Басқа серверлер үшін
аутентификациялау агенті бағдарламасын орнату керек. Агент сервердегі
регистрацияның стандартты прцедурасын өзгертеді , яғни аутентификациялық
деректерді аутентификация серверіне жібертеді [1].
Аутентификациялаудың орталықтандырылған сервері түйін ролінен басқа,
жүйелерде бір ретті парольдердің негізінде маңызды роль атқарады : ол
олардың сенімділігін күшейтеді. Cағаттық және есептеуіш жүйе қолданушының
жеке профилінің жасалуын қарастырады , яғни базалық құпиямен бірге бір
ретті парольдерді аутентификациялайды. Мысалы , есептеуіш жүйе
есептеуіштің көрсетулерін сақтайды , ал сағаттық жүйелер әрбір
аутентификация құрылғысына кеткен уақытты көрсетеді. Егер әрбір
аутентификациялау құрылғысына профиль туралы ақпарат жетпесе, система
сенімсіздену, тіпті қолдануға келмеуі мүмкін. Орталықтанған сервер осындай
ақпаратты сенімді және нәтижелі қолдаудың практикалық тәсілі болып
саналады.
Серверлерде бір ретті парольдермен жұмыс жасау үшін бірінші әзірлеуші-
компаниялар өздері шығарған хаттамаларды қоданады. Қазіргі кездегі
әзірлеуші-компаниялар RADIUS хаттамасын қолдайды ( жиі және TACACS+
хаттамасы). Тек кейбіреулері ғана өзіне меншікті хаттамаларды қолдануды
жалғастыруда, өйткені ескі агенттік бағдарламалық қамтамасыздандырумен
байланысты сақтау мақсаты үшін[1].
3. Желілік қорларды басқару
Локальдік желілер кішкентай болғанда, желілік қорларды басқару
проблема болмады: әрбір бөлімшелер әдеттегі ережелерді білді. Локальді
желілердің өсу шегінің ұлғаюы ұйым ішінде бірнеше бөлімшелердің көбеюіне
әкелді. Қорытындысында бір бөлімшедегі адамдар басқалар ақша төлейтін
қорларды басқара алатындығын жылдам ұқты. Бірақ мұндай жағдайы нақты
жағымсыздықтың себеп-салдары болмауы мүмкін , сонда да көптеген ұйымдар
желілі операциялық жүйелерді қолдануда
Үлкен емес желілер үшін де жеке парольді файлдарды қолдау , —
жеткілікті ауыр, сондықтан қазіргі желілік операциялық жүйелерде тікелей
емес аутентификациялау механизмдерін қолданады. аутентификамен түзу NetWare
соналарына кации. Novell компаниясы ОЖ NetWare 3.-те тікелей
аутентификациялауды қолданды, бірақ ОЖ NetWare 4.-те тікелей емес
аутентификациялауды қолданды. LAN Manager және ОЖ Windows NT-ң ескі
версияларында тікелей аутентификациялауды ұсынды. Microsoft компаниясы
тікелей емес аутентификациялауды LAN Manager тауарының қосымша модулінің
желілік домен элементі ретінде қолданды.Домендер ОЖ Windows NT.3-ң
стандартты элементіне айналды.
Бірақ, бір ретті парольдерді қолданатын желілік құрылғылардан және
жүйелерден айырмашылығы, желілік қорларды коллективті қолдану үшін
жалпығаортақ ашық стандартты хаттамасы жоқ. Novell , Microsoft және Apple
сияқты өндірушілермен өзіне меншікті аутентификациялау және қорларды
коллективті қолдану протоколы жасалды. Қолда бар хаттамалардың ішінде
қорларды коллективті қолдану қорғалған процедурасының ашық стандартына
Kerberos хаттамасы жақынырақ келеді., бірақ ол ең алдымен кілттерді басқару
мақсаттын шешеді. Kerberos хаттамасы Microsoft компаниясымен Windows2000 ОЖ-
не Windows-тегі домендік аутентификация хаттамасын алмастыру мақсатында
енгізілген болатын[1].
1.2 Идентификациялау және аутентификациялаудың актуальді жүйесі
1.2.1 Кілттерді тарату орталығы
1980 жылдары банкілік сфераларда қорғаныс үшін ақшаны электронды
аудару трафигін DES алгоритмы көмегімен шифрлеуді қолдана бастады. Бірақ
банктердегі трафиктің өсу шегі шифрлеу кілттерімен қауіпсіз және нәтижелі
қызмет көрсету проблемасымен күресуге әкелді. Желілік қауіпсіздік сұрағына
арналған Деннис Брэнстэдтің (Dennis Branstad) жұмыстары негізінде,
кілттерді тарату орталығына (key distribution center, KDC) арналған
стандарт құрылды. Банкілер KDC-ті офисаралық хабарды шифрлеуге арналган
уақытша кілттерді генерациялау үшін қолданды. Бұл бір-бірімен сенімді
серверлер үшін барлық хабарға бірыңғай шифрлеу кілтін қолданудың
қауіпсіздігін қамтамасыз етті. Және де бірегей кілттерді әрбір банкілік
офистарға тарату шығындар қатарын төмендетті. Банкілік әдіс ANSI X 9.17.
стандарты түрінде формализацияланған болатын.
Уақытша шифрлеу кілттері бір ретті кілттер секілдіартықшылықтарды
береді: олар бұзушылар келтіретін шығындар көлемін азайтады. Әрбір бір-
біріне сенетін машина KDC-пен бірге қолданылатын бірегей мастер-кілтке ие.
Мастер-кілт қауіпсіздік серверіне KDC-пен деректер алмасуды қамтамасыз
етеді. Сонымен қатар, KDC мастер-кілтті қолданып, кілттерді криптографиялық
қаптай алады. Нәтижесінде , сервер дұрыс кілттерді қауіпсіз басқа
серверге жібере алады. Бұл желілік хабарлама санын азайтады, яғни тікелей
емес хабарласуды қамтамасыз етеді. [1].
Бұл талқылаулар аутентификациялау тақырыбын алыстатуы мүмкін, бірақ
коллективті қолданылатын уақытша кілттер базалық құпия болғандықтан, яғни
KDC рөлі түсінікті болады. Егер екі компьютерге хабарламаны бір-біріне
аутентификациялау керек болса, онда KDC бұл үшін коллективті қолданатын
құпияны алып бере алады. Мысалы, Джонға почталық серверден өзінің
электронды почтасын алу керек болсын. Дәстүрлі әдісте Джон өз серверіне
көпретті қолданылатын құпия кілтін жібереді, ал срвер оны Джонды
аутентификациялау үшін қолданады немесе парольді жеке аутентификациялау
серверіне жібереді.
1.2.2 Керберос хаттамасы
1983 жылы МТИ-да (Массачусетстік технологиялық институт) Академиялық
ұйымдар үшін келесі буынның бөлінген есептеу ортасының мүмкін үлгісін құру
мақсатында "Афина" проектісі басталды. "Афина" проектісіне қатысушы топ,
KDC-пен байланысты қауіпсіздік мақсатын , Нидхэм-Шредер хаттамасы негізінде
, және де Деннинг пен Сакконың жұмыстарының негізінде шешті. Керберос
хаттамасы үлкенмасштабтағы ортаны қамтамасыз ету үшін, "Афина" проектісі
клиенттік жұмыс станцияларында тіркеу процедураларын өңдеу және серверлерді
Керберос хаттамасында жұмыс істеуге икемдеу үшін қамтамасыз ету
бағдарламаларын ұсыну керек болды. Керберос хаттамасымен жұыс істеуді
икемдеуді қамтамасыз ететін бағдарламаны керберезденген деп атайды.
1989 жылы Стив Миллер(Steve Miller) және Клиффорд Ньюмен (Clifford Neu
mann ) МТИ-дің басқа қызметкерлерінің көмегімен Керберос хаттамасының 4
версиясын жасады. 4 версия ортақ қолдануға арналып шығарылған алғашқы
версия болды және қазірге дейін қолданылып келеді. Бірақ Интернет-
қоғамдастықтың стандартты версиясы ретінде 5 версиясы алынды. Және 5-ші
версия осы курстық жұмыста қарастырылады.
1.2.2.1 Аутентификациялау сервері
Керберос протоколының KDC кілттерді тарату орталығының(key
distribution center) құрамында әр түрлі функцияны орындайтын бірнеше
серверлері бар. Аутентификациялау сервері Нидхем – Шредер хаттамасына ұқсас
хаттаманы іске асырады. Теориялық тұрғысында бұл сервер керберезденген
қызметпен деректер алмасуға мандат бере алады. Практикада көптеген жұмыс
станциялары тек қана мандат алуға рұқсат беретін қызметтермен байланысу
үшін мандат беру мақсатында аутентификациялау серверін қолданады. Макс
аутентификациялау серверінен мандат алу үшін KRB_AS_REQ хабарын құрастыруы
керек. Нидхем – Шредер хаттамасы жағдайында да мандат сұрау мақсатында өзі,
сервер аты және кездейсоқ бір ретті сан туралы деректі ұсынады. Хаттама
Керберос хаттамасында сеанс кілті деп аталатын коллективті қолданылатын
кілт әрекет ететін уақытша периодты орнатады. Сонымен қатар хаттама кілтпен
шифрленетін жұмыс станциясы идентификаторының бөлігін енгізеді, яғни ол
мандатты қандай жұмыс станциясымен орындауға рұқсат етілгендігін басқара
алады. Бұл бұзушылардың мандатты жаман ойда қолдану мүмкіндігін
төмендетеді. Аутентификациялау сервері KRB_AS_REP хабары арқылы жауап
береді. Онда мандат және сәйкес ақпарат жайлы мазмұн берілген.
Макс мандаттың дұрыстығына сервер жіберген KRB_AS_REP хабарындағы
статустық ақпаратты тексергенде көзі жетеді. Жауаптағы сервер аты,
кездейсоқ сан және әрекет периоды дұрыс екендігін тексеру керек. Осыдан
кейін сервермен байланысу үшін мандатты және сеанс кілтін пайдалана алады.
1.2.2.2 Серверге арналған аутентификация
Почталық серверге өзін аутентификациялау үшін Макс, Керберос
хаттамасының мандатын және KRB_AS_REQ хабарламасын құратын сеансқа сәйкес
кілтті пайдаланады. Макс мандаттан басқа, Керберос хаттамасының
аутентификаторын ұсынады. Ол қолданушы атымен(Макс) уақытша белгіден
тұратын шифрленген деректер элементі. Макс аутентификаторды шифрлеу үшін
мандатта болған сеанс кілтін қолданады. Аутентификация шифрын ашу үшін,
сервер, алынған мандатты ашып, одан сеанс кілтін алады. Аутентификатордағы
қолданушы атымен мандаттағы қолданушы аты сәйкес келу керек, ал уақытша
белгі соңғы 5 минут аралығында болу керек. Егер сұрақ осы тесттен өтсе,
онда сервер жауап KRB_AS_REP хабарламасын жібереді. Бұл жауапта сеанс
кілтін қолданып шифрленген сұрақтағы уақытша белгі жіберіледі.
3. Мандат алуға рұқсат беру қызметі
Белгілі бір қызметтегі жұмыста мандатты генерациялау үшін Керберос
хаттамасының аутентификациялау серверін қолдануға болады, бірақ бір кедергі
бар. Керберос хаттамасы хабарламаны өңдеу үшін кілт шеберін пайдалануды
талап етеді. Егер кілт шебері қолданушы жұмыс жасап отырған жұмыс
станциясында сақталған болса, онда оны ұрлау қаупі бар. Бұл проблеманы шешу
үшін кілт шеберін аз уақыт аралығында қолданып, оны жұмыс станциясынан
жылдам алып тастау керек. Бірақ бұл басқа кедергіге әкеледі: егер біз бір
серверге қосылуды аяқтағаннан кейін кілт шеберін өшіріп тастасақ, онда
келесі серверге қосыларда қайтадан қолдануымыз керек. Керберос хаттамасында
кілт шебері ретінде тез есте сақталатын парольдер қолданылады.
Келтірілгендердің барлығы практикалық емес. Сондықтан, біз тағы сеанс
кілтінің пайда болуына келеміз, яғни басқа уақытша кілттерді алу үшін
пайдаланылатын уақытша кілтті енгізу керек.
Шындығында, проблема былай шешіледі: Макс тіркеліп жатқан кезде жұмыс
станциясына кілт шеберін тастағанша, оның орнына мндатты шығару үшін
қолданылатын сеанстың арнаулы кілті енгізіледі. Керберос хаттамасында бұл
қосымша уақытша кілт мандат алуға рұқсат беретін сервер деп аталатын
арнаулы серверді KDC серверіне қосу арқылы жүзеге асады. Бұл сервер мандат
алуға рұқсат деп аталатын мандатпен жұмыс жасайды. Қолданушылар басқа
қызметтер үшін мандат сұрау үшін өздерінің TGT арнаулы серверге жібере
алады. Алдыңғы мысалдарда Макстың KDC арқылы почта серверімен байланыс
орнатқан жағдайы қарастырылды. Іс жүзінде, әрине, Макс тек почта серверімен
байланыс орнатумен шектелмейді. Керісінше, ол әдеттегідей екі немесе оданда
көп файл-серверлерге, қолтаңба серверіне және басқа да қызмет түрлеріне
қосылады. Сөзсіз, Макстың жұмыс станциясы бұл қызметтердің кейбіреуіне
системаға тіркелу кезінде автоматты түрде қосылуы мүмкін. Бірақ, қажет
кезде ғана қосылатын және жиі қолданыла бермейтін қызмет түрлері де бар.
Мандат алуға рұқсат беру серверінің арқасында қолданушыға қауіпсіз және
ыңғайлы бір реттік тіркеу механизмі жұмыс жасайды. Макс өзінің жұмыс
станциясында тіркеліп жатқан кезде, ол тездетіп Керберос хаттамасының KDC
аутентификациялау серверімен байланысады да TGT алады(немесе басқа
аутентификациялау деректерді) да, оны аутентификациялау серверінен алынған
жауапты ашу үшін пайдаланады. Сосын мандат алуға рұқсат серверіне TGT
жібереді, өйткені Макске қолтаңба сервері, почта сервері, әдетте қолданылып
жүрген файл-сервері қызметтеріне кіру үшін мандат алу керек. Кейінірек,
егер Макске қосымша сервер керек болса, қосымша жұмыс станциясы рұқсат беру
сервисіне мандат алу үшін хабарласуына болады. Жұмыс станциясы, ендігі
жерде, Макстың парольді енгзуін сұрамай-ақ қосымша мандат алу үшін TGT және
сәйкес сеанс кілтін пайдаланады. Макс аутентификатор, TGT және қандай
сервер, қашан және қанша уақыт қолданылатыны , кездейсоқ бір ретті сан
жайлы сұрақ жібереді. Рұқсат беру серверінде Керберос хаттамасының мандатты
шифрлеуге қолданылатын жеке кілті бар. TGT алғаннан кейін, сервер оны ашып
оқиды да, мандат беруге арналған кілт деп аталатын Макске мандат беру
кезінде қолданылатын сеанс кілтін алады. Сервер кілтті мандаттар беруге
аутентификациялауды шифрлеу және оның шынайылығын тексеру үшін пайдаланады.
Сонымен қатар сервер TGT әрекет кезеңін ағымдағы уақытпен салыстырады және
жаңа мандат үшін Макстың жұыс станциясымен сұралған әрекет кезеңін
тексереді. Келесі кезеңде сервер Макстың жұмыс станциясы қолданатын сеанс
кілтін басқарады. Рұқсат беру сервері Макстың қайтып алатын деректерін
алады да, жеткізу үшін шифрлейді. Алдымен сервер почталық сервер мандатын
құрады және оны почталық сервердің кілт шебері көмегімен шифрлейді. Сосын
сервер жауапқа қажет қалған деректерді топтайды да, Макске рұқсат беру
кілтін пайдалану арқылы ашып оқиды. Ашылып оқылған екі блок деректері
қосылып, сервердің Макске жолдаған жауап хабарламасын құрайды.
1.2.3 Жұмыс станциялары мен қолданушыларды аутентифика-циялау
KDC хаттамасы Керберос хаттамасы сияқты, желі қызметін қолданушыларды
аутентификациялауға негізгі назар аударады. Классикалық хаттамалар KDC және
жұмыс станциясы үшін қолданушының тұлғасын анықтай алмайды. Бұл жағдайда
аутентификациялау үшін белгілі бір серверге мандат алуға сұраныс жіберу
бұзушыларға да, кез келген қолданушыға да қиын емес. Макстың KDC –н
байланысуға мүмкіндігі бар кез келген адам, өзін Макспін деп, хабарлама
жіберуі және почталық серверде аутентификациялауға мандат алуы мүмкін.
Соңғы кезде қаралып жүрген хаттамалар бұрыс жолмен алынған мандатты
қолдануға жол бермейді. Бұл жағдайдың екі себеп-салдары бар. Біріншіден,
Керберос хаттамасы жұмыс станцияларын аутентификациялауды талап ететін жеке
обьектілер ретінде қарастырмайды. Екіншіден, бұзушылардың жеке адамның кілт
шеберіне шабуыл жасау үшін, оған қатысты жеткілікті мандат алуға мүмкіндігі
бар. Бірақ, Керберос хаттамасының жұмыс жасау варианттарының әр түрлілігі
мұндай кері жағдайларға жол бермейді.
1.2.3.1 Жұмысшы станцияларын аутентификациялау
KDC хаттамасының негізгі ерекшелігі, жұмыс станциялары әрекетінің
қауіпсіздігін қамтамасыз етуді бір кілтті қолдануға негізделген. Windows NT
ОЖ хаттамасына қарағанда, жұмыс станциясында KDC-пен немесе басқа қорғаныс
қызметімен деректер алмасуға арналған жеке кілттері жоқ. Керберос
хаттамасында тікелей емес аутентификациялау моделі жұмыс жасайтын
болғандықтан, ол жұмыс станциясына жекелеген қолданушыларды
аутентификациялауға көмектеспейді. Авторланған қолданушылар транспорт
құралы ретіндег жұмыс станциясы көмегімен, сервердегі қорларды басқара
алады. Сондықтан, кез келген адам жұмыс станциясын пайдалана алады, себебі
Керберос хаттамасы жұмыс станциясына арналған аутентификациямен қамтамасыз
етпейді.
Егер клиенттік жұмыс станциялары желіде жай және біртекті болса, онда
олар өзара алмаса алады. Сондықтан, қолданушының қай жұмыс станциясын
қолданғаны ... жалғасы
Сіз бұл жұмысты біздің қосымшамыз арқылы толығымен тегін көре аласыз.
Ұқсас жұмыстар
Пәндер
- Іс жүргізу
- Автоматтандыру, Техника
- Алғашқы әскери дайындық
- Астрономия
- Ауыл шаруашылығы
- Банк ісі
- Бизнесті бағалау
- Биология
- Бухгалтерлік іс
- Валеология
- Ветеринария
- География
- Геология, Геофизика, Геодезия
- Дін
- Ет, сүт, шарап өнімдері
- Жалпы тарих
- Жер кадастрі, Жылжымайтын мүлік
- Журналистика
- Информатика
- Кеден ісі
- Маркетинг
- Математика, Геометрия
- Медицина
- Мемлекеттік басқару
- Менеджмент
- Мұнай, Газ
- Мұрағат ісі
- Мәдениеттану
- ОБЖ (Основы безопасности жизнедеятельности)
- Педагогика
- Полиграфия
- Психология
- Салық
- Саясаттану
- Сақтандыру
- Сертификаттау, стандарттау
- Социология, Демография
- Спорт
- Статистика
- Тілтану, Филология
- Тарихи тұлғалар
- Тау-кен ісі
- Транспорт
- Туризм
- Физика
- Философия
- Халықаралық қатынастар
- Химия
- Экология, Қоршаған ортаны қорғау
- Экономика
- Экономикалық география
- Электротехника
- Қазақстан тарихы
- Қаржы
- Құрылыс
- Құқық, Криминалистика
- Әдебиет
- Өнер, музыка
- Өнеркәсіп, Өндіріс
Қазақ тілінде жазылған рефераттар, курстық жұмыстар, дипломдық жұмыстар бойынша біздің қор #1 болып табылады.
Ақпарат
Қосымша
Email: info@stud.kz