|
МУ_ЛР_БОС. А. С. Новиковым и обсуждены на заседании кафедры
1. Цель работы
Изучение понятия аутентификации на основе паролей, политики безопасности в области паролей, методов подбора паролей, средств и методов защиты операционной системы от подбора паролей. 2. Теоретические сведения
Аутентификация (authentication) предотвращает доступ к сети нежелательных лиц и разрешает вход для легальных пользователей. Аутентификация — это процедура доказательства пользователем того, что он есть тот, за кого себя выдает, в частности, доказательство того, что именно ему принадлежит введенный им идентификатор.
Сетевые службы аутентификации строятся на основе различных приемов (биопараметрическая идентификация, идентификация с помощью физических носителей уникальной информации пользователя и т.д.), но чаще всего для доказательства идентичности пользователя используются пароли. Простота и логическая ясность механизмов аутентификации на основе паролей в какой-то степени компенсирует известные слабости паролей. Это, во-первых, возможность раскрытия и разгадывания паролей, а во-вторых, возможность “подслушивания” пароля путем анализа сетевого трафика. Для снижения уровня угрозы от раскрытия паролей администраторы, как правило, применяют такие встроенные программные средства для формирования политики назначения и использования паролей как: задание максимального и минимального сроков действия пароля, хранение списка уже использованных паролей, управление поведением системы после нескольких неудачных попыток логического входа и т. п. Перехват паролей по сети можно предупредить путем их шифрования перед передачей.
Легальность пользователя может устанавливаться по отношению к различным системам. Так, работая в сети, пользователь может проходить процедуру аутентификации и как локальный пользователь, который претендует на использование ресурсов только данного компьютера, и как пользователь сети, который хочет получить доступ ко всем сетевым ресурсам. При локальной аутентификации пользователь вводит свои идентификатор и пароль, которые автономно обрабатываются операционной системой, установленной на данном компьютере. При логическом входе в сеть данные о пользователе (идентификатор и пароль) передаются на сервер, который хранит учетные записи обо всех пользователях сети.
В качестве объектов, требующих аутентификации, могут выступать не только пользователи, но и различные устройства, приложения, текстовая и другая информация. Так, например, пользователь, обращающийся с запросом к корпоративному серверу, должен доказать ему свою легальность, но он также должен убедиться сам, что ведет диалог действительно с сервером своего предприятия. Другими словами, сервер и клиент должны пройти процедуру взаимной аутентификации. Здесь мы имеем дело с аутентификацией на уровне приложений. При установлении сеанса связи между двумя устройствами также часто предусматриваются процедуры взаимной аутентификации на более низком, канальном уровне. Примером такой процедуры является аутентификация по протоколам РАР и CHAP, входящим в семейство протоколов РРР. Аутентификация данных означает доказательство целостности этих данных, а также того, что они поступили именно от того человека, который объявил об этом. Для этого используется механизм электронной подписи.
Под политикой безопасности понимается совокупность документированных концептуальных решений, направленных на защиту информации и ассоциированных с ней ресурсов. Эта политика разрабатывается людьми, ответственными за поддержание информационно-компьютерной безопасности, и утверждается руководством организации.
Политика безопасности должна включать следующие разделы:
стратегические цели обеспечения информационно-компьютерной безопасности и требования к защищаемой информации; глобальная концепция защиты информации в компьютерной сети; организационные мероприятия по созданию условий безопасной обработки информации; меры ответственности и должностные обязанности сотрудников организации по защите информации.
При недостаточной проработке перечисленных разделов политика безопасности может иметь существенные недостатки, которые с успехом могут использоваться для несанкционированного доступа. Недостатки могут обнаруживаться как в концепциях предупреждения и своевременного обнаружения воздействий на компьютерные ресурсы, так и в концепции восстановления безопасности после возникновения воздействия.
Большинство атак, связанных с аутентификацией нелегального пользователя базируется на переборе паролей при фиксированном имени пользователя. Основными методами перебора паролей являются:
Простой перебор, основанный на последовательной подстановке паролей, удовлетворяющих требованиям к паролям, предъявляемым системой аутентификации. При этом имя пользователя (login) остается неизменным и заранее известен злоумышленнику; Случайный перебор. Отличается от простого перебора случайным характером выбора пароля из всех возможных вариантов. В этом методе перебора возникает задача предотвращения повторной подстановки пароля системе аутентификации; Перебор паролей, представляющих собой осмысленные фразы на основе некоторого справочника; Перебор паролей из множества наиболее часто встречающихся; Перебор из множества мнемонических (хорошо запоминающихся) паролей либо из списка, либо на основе известной процедуры их создания; Перебор паролей из множества “подслушанных” злоумышленником в результате анализа трафика.
Основными методами повышения защищенности операционных систем от подбора пароля являются:
Защита паролей от прослушивания в трафике системы (шифрование паролей, защита канала от прослушивания на физическом уровне); Защита от перебора паролей на основе анализа поведения отдельных пользователей. Отключение системы аутентификации на значительное время при нескольких неудачных попытках введения различных паролей для одного имени пользователя или всех имен; Исследование защищенности паролей от подбора с целью выбора времени их жизни. Отработавший в течение установленного срока пароль меняется на новый;
Смена пароля и имени пользователя с уведомлением владельца в случае превышения критического числа неудачных попыток подбора его пароля. 3. Оборудование
Персональный компьютер с установленной операционной системой MSWindows 2000 SP4, XPSP2, Vista или 7 и средами разработки ПО BorlandC++ Builder или MSVisualStudio 2005/2008/2010. 4. Задание на работу
1. Изучить теоретические положения по данной лабораторной работе.
2. Разработать программное обеспечение для оценки степени безопасности паролей пользователей согласно заданию преподавателя. Варианты заданий:
№
| Алгоритм
| Правила, устанавливаемые для пароля системы
| 1
| Простой перебор паролей
| Символы: A-Z,a-z,0-9. Длина пароля: 8 символов.
| 2
| Расчет минимально-необходимой длины пароля.
| Символы: A-Z,a-z,0-9.
| 3
| Случайный перебор
| Символы: А-Я,а-я,’_’. Длина пароля: 6 символов.
| 4
| Перебор паролей по словарю
| Словарь 150-200 тыс. слов
| 5
| Комбинированный (случайный, по словарю)
| Словарь 10 тыс. слов + добавление 3-х случайных символов (в начале и конце слова). Символы: А-Я,A-Z.
| 6
| Формирование словаря на основе статистики для некоторого текста
| min размер слова – 3 буквы
max размер слова – 8 букв
Слова встречаются в тексте не менее 3-х раз
| Примечание: при расчете минимально необходимой длины пароля должны учитываться следующие факторы: время, затрачиваемое злоумышленником на подбор и подстановку одного пароля; процентное соотношение перебранных паролей по отношению к общему числу вариантов для успешного взлома; время жизни пароля. Минимально необходимая длина пароля вычисляется исходя из того, что время взлома системы должно превышать время жизни пароля. 5. Оформление отчета
Отчет должен содержать:
название и цель работы; вариант задания; алгоритм функционирования разработанного ПО; результаты работы созданного программного обеспечения; листинг программы, реализующей задание.
6 Контрольные вопросы
6.1. Что такое аутентификация?
6.2. Что такое парольная политика безопасности?
6.3. Назовите основные варианты атак на систему аутентификации?
6.4. Каковы основные методы перебора паролей?
6.5. Перечислите критерии и параметры, участвующие в определении минимально необходимой длины пароля и времени его жизни?
6.6. Как организовать случайный перебор паролей без повторения?
6.7. Расскажите о методах предотвращения подбора паролей. 7. Библиографическийсписок
1. Олифер В.Г. Сетевые операционные системы: Учеб. пособие для вузов / В.Г. Олифер, Н.А. Олифер .— М.: Питер, 2003. — 544с.
2. Таненбаум Э. Современные операционные системы / Э. Таненбаум.— 2-е изд. — М.: Питер, 2006 .— 1038с.
3. Монадьеми П. Защита от хакеров в Windows XP/ П. Монадьеми, Б. Мюллер; пер. с нем. под ред. С.Н. Банникова.— М.: БИНОМ, 2005 .— 320с.
4. Немет Э. UNIX: Руководство системного администратора/ Э. Немет, Г. Снайдер, С. Сибасс, Т.Р. Хейн. 3-е изд. — М.: Питер, 2003 .— 925с.
|
|
|