Информация. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ. В. Ф. Шаньгининформационная безопасность компьютерных систем

ком диапазоне точек доступа и приложений. Такая система ре­
шает многие проблемы контроля доступа, с которыми сталкива­
ются организации, обеспечивая при этом удобный доступ и вы­
сокую безопасность.
13.1. Управление идентификацией и доступом
Для реализации растущих потребностей электронного бизне­
са необходимо построить надежную с точки зрения безопасно­
сти среду для осуществления электронного бизнеса в режиме on-line. Технологии, которые дают возможность осуществлять электронный бизнес, выполняют четыре основные функции:
• аутентификацию, или проверку подлинности пользователя;
• управление доступом, позволяющее авторизованным поль­
зователям получать доступ к требуемым ресурсам;
• шифрование, гарантирующее, что связь между пользовате­
лем и базовой инфраструктурой защищена;
• неотказуемость, означающую, что пользователи не могут позднее отказаться от выполненной транзакции (обычно реализуется с помощью цифровой подписи и инфраструк­
туры открытых ключей) (рис. 13.1).
Только решение, которое выполняет все эти четыре функ­
ции, может создать доверенную среду, способную по-настояще­
му обеспечить реализацию электронного бизнеса.
Управление доступом является критическим компонентом общей системы безопасности. Система управления доступом обеспечивает авторизованным пользователям доступ к надлежа­
щим ресурсам. Проектирование этой инфраструктуры требует тонкого баланса между предоставлением доступа к критическим ресурсам только авторизованным пользователям и обеспечением необходимой безопасности этих ресурсов, известных большому числу пользователей.
Аутентификации
Рис. 13.1. Технологии, обеспечивающие электронный бизнес

1 3 .1 .1 . Особенности управления доступом
В распределенной корпоративной сети обычно применяются два метода управления доступом:
• управление сетевым доступом (регулирует доступ к ресур­
сам внутренней сети организации);
• управление Web-доступом (регулирует доступ к Web-cepee- рам и их содержимому).
Все запросы на доступ к ресурсам проходят через один или более списков контроля доступа ACL (Access Control List). ACL является набором правил доступа, которые задают для набора защищаемых ресурсов. Ресурсы с низким риском будут иметь менее строгие правила доступа, в то время как высококритичные ресурсы должны иметь более строгие правила доступа. ACL, по существу, определяют политику безопасности.
Доступ к сетевым ресурсам организации можно регулировать путем создания списков контроля доступа Login ACL, которые позволяют точно определить конкретные разрешения и условия для получения доступа к ресурсам внутренней сети.
Средства контроля и управления Web-доступом позволяют создавать и исполнять политику Web-доступа. Создавая конкрет­
ные списки контроля Web доступа Web ACL, администраторы безопасности определяют, какие пользователи могут получить доступ к Web-серверам организации и их содержимому и при каких заранее установленных условиях.
Управление доступом упрощается при применении единой централизованной инфраструктуры контроля и управления до­
ступом, которая может разрешить пользователям «самообслужи­
вание», поручая им такие задачи управления, как регистрация, редактирование профиля, восстановление пароля и управление подпиской. Она может также обеспечить делегирование адми­
нистрирования, передачу функций управления пользователями, людям, наиболее осведомленным о конкретной группе пользо­
вателей как внутри — в бизнес-подразделениях организации, так и вне ее — у клиентов и в подразделениях бизнес-партнеров.
Чтобы облегчить поддержку системы безопасности масштаба предприятия, средства управления доступом могут получать данные пользователей и политик, уже хранимых в таких сущест­
вующих хранилищах данных, как каталоги LDAP и реляцион­
ные БД.

13.1.2. Ф ункционирование системы управления доступом
Централизованные системы управления доступом выпуска­
ются рядом компаний, в частности Secure Computing, RSA
Security Inc., Baltimore и др.
Рассмотрим функционирование системы управления досту­
пом на примере системы PremierAccess компании Secure
Computing. Эта система осуществляет управление Web и сете­
вым доступом всех пользователей, включая внутренних пользо­
вателей, удаленных сотрудников, клиентов, поставщиков и биз­
нес-партнеров. Она базируется на политике безопасности, кото­
рая позволяет персонализировать права доступа пользователей.
Пользователи получают доступ только к тем ресурсам, на кото­
рые было дано разрешение в соответствии с их правами досту­
па, через Web-доступ, VPN-доступ или удаленный доступ с ис­
пользованием серверов RADIUS. В системе реализованы осно­
ванные на применении каталогов процессы аутентификации, авторизации и администрирования действий пользователей.
Система поддерживает различные типы аутентификаторов — от многоразовых паролей до биометрических средств аутенти­
фикации. Предпочтение отдается методам и средствам строгой аутентификации.
Средства управления пользователями позволяют управлять большим числом пользователей. Сервер регистрации дает воз­
можность самим пользователям регистрироваться в сети, ис­
пользуя стандартные Web-браузеры. В процессе регистрации пользователям назначаются роли. Роли являются ярлыками, идентифицирующими группы пользователей, которые разделяют одинаковые права доступа. Иначе говоря, роли определяют на­
боры правил доступа, применяемые к конкретным группам пользователей. Категорирование пользователей по ролям можно выполнить на основе их функциональных обязанностей.
Средства управления сетевым доступом
В системе управления доступом используются так называе­
мые агенты. Агент системы — это программный модуль, инстал­
лированный на соответствующий сервер в рамках корпоратив­
ной сети (рис. 13.2).
В качестве таких агентов выступают агенты удаленного дос­
тупа, агенты VPN-доступа, агенты серверов RADIUS, Novel,

Сервер
PremierAccess
AAA
Web-сервер
Рис. 13.2. Схема управления доступом к сети
RAS, Citrix и др. При попытке пользователя подключиться к внутренней сети, агенты системы перехватывают запрос пользо­
вателя на вход в сеть.
Агенты действуют как точки аутентификации пользователей
UAPs (User Authentication Points) на линиях коммуникации с сер­
вером PremierAccess. В ответ на запрос пользователя агент запра­
шивает у пользователя его верительные данные — идентификатор пользователя и аутентификатор. Отвечая на запрос агента, поль­
зователь вводит свои данные. Эти верительные данные передают­
ся AAA-серверу (AAA — Authentication, Authorization, Accounting).
AAA-сервер сравнивает идентификатор ID пользователя или сертификат с данными, хранимыми в каталоге LDAP, с целью

проверки их тождественности. Если идентификатор ID пользо­
вателя совпадает с хранимым, запись пользователя в БД прове­
ряется по роли (или ролям) и ресурсам, к которым они автори­
зуются. Для аутентификации могут применяться фиксирован­
ный пароль, аппаратный или программный аутентификаторы.
Если пользователь успешно проходит все шаги подтверждения своей подлинности, он получает доступ к ресурсу сети.
Средства управления W eb -доступом
Система PremierAccess использует универсальный Web-агент
UWA (Universal Web Agent), который инсталируется на хост-ма­
шине каждого защищаемого Web-cepeepa. В рассматриваемом примере в качестве пользователя выступает бизнес-партнер, ко­
торый запрашивает доступ к защищаемому Web-pecypcy компа­
нии (рис. 13.3).
Управление Web-доступом реализуется в виде процесса, со­
стоящего из двух этапов.
1.
Пользователь пытается войти в систему, используя сервер
WLS (Web Login Server). Запрос пользователя на доступ к защи-
Рис. 13.3. Схема управления Web-доступом

щенному Web-pecypcy компании перехватывается агентом UWA, который для обработки этого запроса обращается к серверу
WLS. Сервер WLS запрашивает результат аутентификации у сер­
вера ААА. В случае успешной аутентификации сервер WLS гене­
рирует сеансовый cookie, который содержит сеансовый иденти­
фикатор пользователя.
2.
Пользователь пытается получить доступ к Web-pecypcy.
Сервер WLS использует сеансовый идентификатор в cookie для запроса у AAA-сервера данных сеанса пользователя. Чтобы вы­
полнить запрос на доступ, сервер WLS передает пользователю се­
ансовый cookie с правами на сеанс. Агент UWA получает сеансо­
вый ID, затем получает от AAA-сервера данные сеанса. Основы­
ваясь на ролях пользователя и политике доступа, он принимает решение, давать или запретить пользователю доступ к Web-pe­
cypcy.
При построении систем управления доступом важное значе­
ние имеют:
• средства и протоколы аутентификации удаленных пользо­
вателей;
• средства управления доступом по схеме однократного вхо­
да с авторизацией Single Sign-On;
• инфраструктуры управления открытыми ключами РКІ.
Перечисленные средства и системы рассматриваются в по­
следующих разделах данной главы.
13.2. Организация защищенного удаленного доступа
Удаленный доступ к компьютерным ресурсам стал в настоя­
щее время таким же актуальным и значимым, как и доступ в ре­
жиме непосредственного подключения. Удаленный доступ к корпоративной сети осуществляется из незащищенного внешне­
го окружения через открытые сети. Поэтому средства построе­
ния защищенной корпоративной сети должны обеспечить безо­
пасность сетевого взаимодействия при подключении к сети уда­
ленных компьютеров.
Удаленный доступ к корпоративной сети возможен через глобальную компьютерную сеть или через среду передачи ин­
формации, образованную цепочкой из телефонной и глобальной компьютерной сетей. Доступ через глобальную сеть Internet яв­

ляется достаточно эффективным способом, причем для подклю­
чения удаленного пользователя к Internet может использоваться канал телефонной связи. Основные достоинства удаленного дос­
тупа к корпоративной сети через Internet:
• обеспечение масштабируемой поддержки удаленного дос­
тупа, позволяющей мобильным пользователям связываться с Internet-провайдером и затем через Internet входить в свою корпоративную сеть;
• сокращение расходов на информационный обмен через от­
крытую внешнюю среду (удаленные пользователи, подклю­
чившись к Internet, связываются с сетью своей организа­
ции с минимальными затратами);
• управление трафиком удаленного доступа осуществляется так же, как любым другим трафиком Internet.
В корпоративной сети для взаимодействия с удаленными пользователями выделяется сервер удаленного доступа, который служит:
• для установки соединения с удаленным компьютером;
• аутентификации удаленного пользователя;
• управления удаленным соединением;
• посредничества при обмене данными между удаленным компьютером и корпоративной сетью.
Среди протоколов удаленного доступа к локальной сети наи­
большее распространение получил протокол «точка—точка» РРР
(Point-to-Point Protocol), который является открытым стандартом
Internet. Протокол РРР предназначен для установления удален­
ного соединения и обмена информацией по установленному ка­
налу пакетами сетевого уровня, инкапсулированными в РРР-кад- ры. Используемый в протоколе РРР метод формирования кадров обеспечивает одновременную работу через канал удаленной свя­
зи нескольких протоколов сетевого уровня.
Протокол РРР поддерживает следующие важные функции:
• аутентификации удаленного пользователя и сервера уда­
ленного доступа;
• компрессии и шифрования передаваемых данных;
• обнаружения и коррекции ошибок;
• конфигурирования и проверки качества канала связи;
• динамического присвоения адресов IP и управления этими адресами.
На основе протокола РРР построены часто используемые при удаленном доступе протоколы РРТР, L2F и L2TP. Эти протоколы

позволяют создавать защищенные каналы для обмена данными между удаленными компьютерами и локальными сетями, функ­
ционирующими по различным протоколам сетевого уровня — IP,
IPX или NetBEUI. Для передачи по телефонным каналам связи пакеты этих протоколов инкапсулируются в РРР-кадры. При не­
обходимости передачи через Internet защищенные РРР-кадры инкапсулируются в IP-пакеты сети Internet. Криптозащита тра­
фика возможна как в каналах Internet, так и на протяжении всего пути между компьютером удаленного пользователя и сервером удаленного доступа локальной сети.
13.2.
1. Протоколы аутентификации удаленны х
пользователей
Контроль доступа пользователей к ресурсам корпоративной сети должен осуществляться в соответствии с политикой безо­
пасности организации, которой принадлежит данная сеть. Эф­
фективное разграничение доступа к сетевым ресурсам может быть обеспечено только при надежной аутентификации пользо­
вателей. Требования к надежности аутентификации удаленных пользователей должны быть особенно высокими, так как при взаимодействии с физически удаленными пользователями зна­
чительно сложнее обеспечить доступ к сетевым ресурсам. В от­
личие от локальных пользователей удаленные пользователи не проходят процедуру физического контроля при допуске на тер­
риторию организации.
При удаленном взаимодействии важна аутентификация не только пользователей, но и оборудования, поскольку подмена пользователя или маршрутизатора приводит к одним и тем же последствиям — данные из корпоративной сети передаются не тем лицам, которым они предназначены.
Для обеспечения надежной аутентификации удаленных поль­
зователей необходимо выполнение следующих требований:
• проведение аутентификации обеих взаимодействующих сторон — как удаленного пользователя, так и сервера уда­
ленного доступа — для исключения маскировки злоумыш­
ленников;
• оперативное согласование используемых протоколов аутен­
тификации;

• осуществление динамической аутентификации взаимодейст­
вующих сторон в процессе работы удаленного соединения;
• применение криптозащиты передаваемых секретных паро­
лей либо механизма одноразовых паролей для исключения перехвата и несанкционированного использования аутен­
тифицирующей информации.
Протокол РРР имеет встроенные средства, которые могут быть использованы для организации аутентификации при уда­
ленном взаимодействии. В стандарте RFC 1334 определены два протокола аутентификации:
• по паролю — PAP (Password Authentication Protocol);
• по рукопожатию — CHAP (Challenge Handshake Authenti­
cation Protocol).
В процессе установления удаленного соединения каждая из взаимодействующих сторон может предложить для применения один из стандартных протоколов аутентификации — РАР или
CHAP [9].
Иногда компании создают собственные протоколы аутенти­
фикации удаленного доступа, работающие вместе с протоколом
РРР. Эти фирменные протоколы обычно являются модифика­
циями протоколов РАР и CHAP.
Широкое применение для аутентификации по одноразовым паролям получил протокол S/Key. В программных продуктах, обеспечивающих связь по протоколу РРР, протоколы РАР и
CHAP, как правило, поддерживаются в первую очередь.
Протокол РАР
Суть работы протокола РАР довольно проста. В процессе ау­
тентификации участвуют две стороны — проверяемая и прове­
ряющая. Протокол РАР использует для аутентификации переда­
чу проверяемой стороной идентификатора и пароля в виде открытого текста. Если проверяющая сторона обнаруживает сов­
падение идентификатора и пароля с записью, имеющейся у него в БД легальных пользователей, то процесс аутентификации счи­
тается успешно завершенным, после чего проверяемой стороне посылается соответствующее сообщение. В качестве стороны, чья подлинность проверяется, как правило, выступает удаленный пользователь, а в качестве проверяющей стороны — сервер уда­
ленного доступа.

Для инициализации процесса аутентификации на базе про­
токола РАР сервер удаленного доступа после установления сеан­
са связи высылает удаленному компьютеру пакет LCP (Link
Control Protocol) — протокол управления каналом, указывающий на необходимость применения протокола РАР. Далее осуществ­
ляется обмен пакетами РАР. Удаленный компьютер передает по каналу связи проверяющей стороне идентификатор и пароль, введенные удаленным пользователем. Сервер удаленного досту­
па по полученному идентификатору пользователя выбирает эта­
лонный пароль из БД системы защиты и сравнивает его с полу­
ченным паролем. Если они совпадают, то аутентификация счи­
тается успешной, что сообщается удаленному пользователю.
Следует особо отметить, что протокол аутентификации РАР, согласно которому идентификаторы и пароли передаются по ли­
нии связи в незашифрованном виде, целесообразно применять только совместно с протоколом, ориентированным на аутенти­
фикацию по одноразовым паролям, например совместно с про­
токолом S/Key. В противном случае пароль, передаваемый по каналу связи, может быть перехвачен злоумышленником и ис­
пользован повторно в целях маскировки под санкционированно­
го удаленного пользователя.