Безопасность в розподілених системах

САНКТ-ПЕТЕРБУРЗЬКА ИНЖЕНЕРНАЯ.

ШКОЛА ЭЛЕКТРОНИКИ.

КУРСОВА РАБОТА.

за курсом «СЕТЕВЫЕ ТЕХНОЛОГИИ».

Тема.

Безпека в розподілених системах.

Група 386-ф.

Ковпак Л.В.

Санкт-Петербург.

Концентрація інформацією комп’ютерах — аналогічно концентрації готівки у трилітрові банки — змушує дедалі більше посилювати контроль з метою захисту. Юридичні питання, приватна таємниця, національна безпеку — всі ці міркування вимагають посилення внутрішнього контролю у комерційних й урядових організаціях. Роботи у цьому напрямі призвели до появи нової дисципліни: безпеку інформації. Фахівець в сфері безпеки інформації відпо-відає розробку, реалізацію і експлуатацію системи забезпечення информсционной безпеки, спрямованої для підтримки цілісності, придатності і конфіденційності накопиченої в організації інформації. У його функції входить забезпечення фізичної (технічні засоби, лінії зв’язку й віддалені комп’ютери) і логічного (дані, прикладні програми, операційна система) захисту інформаційних ресурсов.

Складність створення захисту залежить від того, що дані може бути викрадено з комп’ютера та одночасно залишатися на місці; цінність деяких даних залежить від володінні ними, а чи не в знищенні чи изменении.

Проблема захисту комп’ютерних мереж із несанкціонованого доступу придбала особливої гостроти. Розвиток комунікаційних технологій дозволяє будувати мережі розподіленої архітектури, що об'єднають дуже багато сегментів, розташованих значній відстані видаленні друг від друга. Усе це викликає збільшити кількість вузлів мереж, розкиданих у світі, і кількості різних ліній зв’язок між ними, що, своєю чергою, підвищує ризик несанкціонованого підключення до неї для доступу до важливою інформації. Особливо неприємної така перспектива може бути для банківських чи державними структурами, об-ладающих секретної інформацією комерційного чи іншого характеру. І тут необхідні спеціальні кошти ідентифікації користувачів у мережі, щоб забезпечити доступом до інформації у випадку цілковитої певності щодо у користувача прав доступу до ней.

Є низка розробок, дозволяють з високим рівнем надійності ідентифікувати користувача біля входу до систему. У тому числі, наприклад, є технології, ідентифікують користувача по сітківці очі або відбиткам пальців. З іншого боку, ряд систем використовують технології, засновані на застосуванні спеціального ідентифікаційний код, постійно переданого через мережу. Так, При використанні пристрою SecureID (фірми Security Dinamics) забезпечується додаткову інформацію про користувачі як шестизначного коду. У разі робота у мережі неможлива без наявності спеціальної карти SecureID (схожій кредитну), яка забезпечує синхронізацію мінливого коду користувача з хранящимися на UNIX-хосте, У цьому доступ до мережі і у ній може здійснюватися лише при знанні поточного значення коду, який відображається на дисплеї устрою SecureID. Проте основною вадою цієї й подібних до неї систем необхідно у спеціальній устаткуванні, що викликає незручності у роботі та створює додаткові затраты.

У статті розглядаються деякі можливості забезпечення безпеки в системах — шифрування інформації під час передачі каналами зв’язку й використання надійних (достовірних, довірчих) (Trusted) систем — з прикладу СУБД ORACLE, а як і система захисту від несанкционированого доступу до неї Kerberos.

Безпека серед баз данных.

Очевидні гідності баз даних у сучасній середовищі обробки даних служать гарантією розвитку і видів використання. Контроль доступу у цій галузі важливий через колосальної концентрації информации.

Нині «хребтом» базових систем обробки інформації в багатьох великих організаціях є локальна мережу, що поступово займає таку ж місце й у фірмах меншого розміру. Дедалі більша популярність локальних мереж потребує відповідної захисту, але історично вони були спроектовані саме для розмежування, а полегшення доступу та колективного використання ресурсів. Серед локальних мереж в межах будівлі району (містечка) співробітник, має доступом до фізичної лінії, може переглядати дані, не призначені йому. З метою захисту у різних комбінаціях використовуються контроль доступу, авторизація і шифрування інформації, доповнені резервированием.

Визначення потреби у захисту информации.

Безпека інформації — дороге справа, не стільки зза витрат за закупівлю чи установку коштів, як із те, що важко кваліфіковано визначити кордону розумної безпеки і відповідного підтримки системи в працездатному состоянии.

Якщо локальна мережу розроблялися з метою спільного використання ліцензійних програмних средсов, дорогих кольорових принтерів чи надання великих файлів загальнодоступною інформації, то немає жодної потреби навіть у мінімальних системах шифрования/дешифрования информации.

Засоби захисту інформації не можна проектувати, купувати чи встановлювати до того часу, доки зроблено відповідний анализ.

Аналіз ризику має дати об'єктивна оцінка багатьох чинників (схильність появі порушення роботи, можливість появи порушення роботи, виміряти ціну комерційних втрат, зниження коефіцієнта готовності системи, суспільні відносини, юридичні проблеми) і подати інформацію визначення підхожих типів і рівнів безпеки. Комерційні організації в дедалі більшому ступеня переносять критичну корпоративну інформацію з великих обчислювальних систем у середу відкритих систем і зустрічаються з новими і складними проблемами при реалізації і експлуатації системи безпеки. Сьогодні більшає організацій розгортають потужні розподілені бази даних, і докладання клиент/сервер керувати комерційними даними. При збільшенні розподілу зростає ще й ризик неавторизованного доступу до даних та його искажения.

Шифрування даних традиційно використовувалося урядовими і оборонними департаментами, та у зі зміною потреб і пояснюються деякі найсолідніші компанії починають скористатися наявними можливостями, надані шифруванням задля забезпечення конфіденційності информации.

Фінансові служби компаній (насамперед у США) представляють важливу й велику користувальницьку базу і найчастіше специфічні вимоги висуваються до алгоритму, використовуваному у процесі шифрування. Опубліковані алгоритми, наприклад DES (Див. нижче), є обов’язковими. У той самий час, ринок комерційних систем який завжди вимагає такої суворої захисту, як урядові чи оборонні відомства, тому можливо застосування продуктів чи іншого типу, наприклад PGP (Pretty Good Privacy).

Шифрование.

Шифрування даних може здійснюватися у режимах On-Line (в темпі надходження інформації) і Off-Line (автономному). Зупинимося докладніше на першому типі, представляє більше зацікавлення. Найпоширеніші два алгоритма.

Стандарт шифрування даних DES (Data Encryption Standard) був розроблений фірмою IBM на початку 1970;х років й у час є урядовим стандартом для шифрування цифрової інформації. Він рекомендований Асоціацією Американських Банкірів. Складний алгоритм DES використовує ключ довжиною 56 біт і побачили 8-го бітов перевірки на парність і жадає від зловмисника перебору 72 квадрильйонів можливих ключових комбінацій, забезпечуючи високий рівень захисту при невеликих витратах. При часту зміну ключів алгоритм задовільно розв’язує проблеми перетворення конфіденційної комп’ютерної інформації в недоступную.

Алгоритм RSA було винайдено Ривестом, Шамиром і Альде-маном в 1976 року і становить значний крок у криптографії. Цей алгоритм також було ухвалено ролі стандарту Національним Бюро Стандартов.

DES, технічно, є СИМЕТРИЧНИМ алгоритмом, а RSA — АСИМЕТРИЧНИМ, тобто він використовує різні ключі при шифруванні і дешифровании. Користувачі мають два ключа і може широко поширювати свій відкритий ключ. Відкритий ключ використовується для шифрування повідомлення користувачем, але певний одержувач може дешифрувати його своїм секретним ключем; відкритий ключ непотрібний для дешифрування. Це робить непотрібними секретні домовленості про передачу ключів між кореспондентами. DES визначає довжину даних, і ключа в бітах, а RSA може бути реалізований за будь-якої довжині ключа. Чим довші ключ, то вище рівень безпеки (але стає триваліша та інформаційний процес шифрування і дешифрування). Якщо ключі DES можна згенерувати за мікросекунди, то зразкову час генерації ключа RSA — десятки секунд. Тому відкриті ключі RSA воліють розробники програмних засобів, а секретні ключі DES — розробники аппаратуры.

Деякі решения.

Прикладом архітектури клиент/сервер, яку добре доповнюють кошти шифрування, можуть бути Oracle Server, мережні продукти (SQMNet) і програмне забезпечення клиента.

Мережевий служба безпеки (SNS — Secure Network Services) пропонує стандартний, оптимізований алгоритм шифрування DES з ключем довжиною 56 біт для організацій, яких потрібно використовувати стандарт DES. Для замовників поза межами Сполучених Штатів або Канади SNS пропонує DES40, в якому комбінується використання алгоритму шифрування DES з загальноприйнятим ключем довжиною 40 біт (експорт технологій шифрування США законодавчо обмежений). Поруч із DES можливо також використання алгоритму шифрування RSA RC4.

Таємний, генерований випадково ключ кожної сесії SQL* Net зберігає весь мережевий трафік — включаючи паролі, значення даних, SQLзатвердження, ідучи збережені виклики і результаты.

Для виявлення модифікації чи підміни даних під час передачі SNS генерує криптографически захищене значення, вычисляемое по вмісту повідомлення, і включає їх у кожен пакет, рухаючись через мережу. При отриманні пакета у пункті призначення SNS негайно виробляє перевірку цілісності кожного пакета.

Стійкість до спотворення даних забезпечується так: 1) криптографически захищена контрольна сума кожному пакеті SQL*.

Net забезпечує захисту від модифікації даних, і заміни операції; 2) для виявлення порушень операції негайно автоматично завершуються; 3) інформацію про всіх порушеннях реєструється в журнале.

Поруч із забезпечується многопротокольная перекодування даних, тобто. повністю підтримується Oracle Multiprotocol Interchange — під час роботи з зашифрованої сесією можна починати роботи з одним мережним протоколом, а закінчувати з іншим, у своїй непотрібен дешифрування чи перешифрование інформації. SNS повністю підтримується наскрізними шлюзами, Oracle Transparent Gateways, і процедурними шлюзами, Oracle Procedural Gateways, які дозволяють організовувати повністю зашифровані сесії клиент/сервер до відмінними від Oracle джерелам даних, включаючи Adabas, CADatacom, DB2, DRDA, FOCUS, IDMS, IMS, ISAM, MUMPS, QSAM, Rdb, RMS, SAP, SQL/DS, SQL/400, SUPRA, Teradata, TOTAL, VSAM і другие.

SNS працює з усіма основними протоколами, підтримуючими SQL* Net, включаючи AppleTalk, Banyan, DECnet, LU6.2, MaxSix, NetBIOS, SPX/IPX, TCP/IP, X.25 і другие.

Забезпечується незалежність від топології мережі — SNS працює переважають у всіх основних мережевих середовищах, підтримуваних SQL-Net.

SNS є додатковий продукт до стандартному пакету SQL* Net, тобто потрібно попередньо придбати ліцензію на SQL* Net. Продукт треба купувати й у клієнта, й у сервера.

Разом тим СУБД Oracle, починаючи з версії 7.1, пароль передається по мережі в зашифрованому виде.

Це означає, що з організації зв’язку клиент/сервер використовується новий протокол встановлення, у якому застосовується сеансовый ключ, придатний лише єдиною спроби з'єднання з базою даних, і вживаний у ролі ключа для шифрування пароля, перш ніж буде переданий клієнтам. Oracle-сервер знаходить зашифрований пароль при цьому користувача і який використовує його як ключа, яким він зашифровує сеансовый ключ. Потім сервер пересилає цей зашифрований сеансовый ключ клієнту. Клієнт шифрує (застосовуючи той самий односторонній алгоритм, що використовується сервером) пароль, запроваджений користувачем, і з його допомогою дешифрує зашифрований сеансовый ключ. Виявивши цей сеансовый ключ, він використовує його — це спільним секретом імені клієнта й серверу — для шифрування пароля користувача. Цей зашифрований пароль потім передається через мережу серверу. Сервер дешифрує пароль і далі зашифровує його, використовуючи односторонній алгоритм серверу; результат цих обчислень звіряється багатозначно, збереженим у Словнику даних. Якщо вони самі збігаються, клієнту надається доступ. Такий їхній підхід реалізується як і з'єднаннях типу клиент/сервер, і сервер/сервер, де сеанси встановлюються через звані повноважні ланки баз даних (тобто. ланки баз даних без вкладених імен користувачів і паролей).

Поняття ідентифікації і аутентификации.

в достовірних системах.

Відомі великі вигоди, що дає перехід до відкритих системам. Але у тому числі немає безпеку інформації. І це зрозуміло — центр обробки даних передає що з своїх можливостей контролю над системою відділам і користувачам і тим самим розсіює об'єкт безопасности.

Зберегти необхідний рівень безпеки системи можливо, за використанні операційними системами класу В1 (Trusted), що дозволяють адміністратору системи привласнити кожному користувачеві рівень доступності об'єктів системи (Secret, Confidential, Unclassified).

Обробка секретної і конфіденційної комп’ютерної інформації жадає від системи використовувати механізм гарантії відповідної ідентифікації і аутентифікації користувачів. Усі можливі підходи до ідентифікації і аутентифікації «би мало бути ідентифіковані, розглянуть зрівняні з Критерієм Оцінки Достовірності Обчислювальних Систем (TCSEC), чи з «Помаранчевої Книгою» (у Європі — Критерієм Оцінки Безпеки Інформаційних Технологій, чи «Білої Книгой»).

TCSEC ділиться чотирма класу: D, З, У й О. Ці класи упорядковані, причому найвищий клас (А) зарезервований за системами, мають найвищого рівня захисту. Усередині класів У і З є підкласи, теж упорядковані відповідно до забезпечуваним рівнем захисту. Коротко кажучи, приналежність до класу D означає, що систему не має засобів захисту інформації (неклассифицированная), до класу З — що вона не має певні кошти виборчої захисту (класифікована), до класу У — що згаданим раніше засобам додаються гарантії безпеки і вони описуються як «повноважні» (секретна інформація), ну і якщо система віднесена до класу Отже, засоби захисту раніше перевірені (цілком секретна інформація). Багато популярні операційні системи (наприклад, різні варіанти PС UNIX, Sun Solaris 2.3 тощо.) відповідають класу С.

В1 — перший класифікації рівень, у якому має місце контроль доступу й переносу даних, заснований на рівнях конфіденційності. Для непривілейованих користувачів використовуються дані ідентифікації і аутентифікації визначення рівня авторизації поточного користувача, які Достовірна Комп’ютерна База (ТСВ — Trusted Computer Base) порівнює зі своїми базою даних користувачів, що містить ранги авторизації кожному за користувача. Якщо інформація, зазначена при входження у зв’язок, коректна та її рівень визнаний відповідним запиту, ТСВ допускає користувача до системи. При спробі доступу до файлам ТСВ виступає у ролі арбітра, у своїй ТСВ полягає в рівні користувача і мітці файла чи об'єкта, яких користувач намагається отримання доступу. Оскільки рівень конфіденційності представляється рівнем прозорості й категорією доступу, а дозволу доступом до об'єкту визначається конфіденційністю і об'єкта, і суб'єкта (зовнішній п (відношення до ТСВ), авторизація суб'єкта стає компонентом вимог до авторизации.

Помаранчева Книжка фокусує увагу до законченны обчислювальних системах яких і визначає шість ключових вимог безпеки інформації: 1) система повинен мати чіткий сертифікат безпеки 2) кожен об'єкт, асоційований з цим сертифікаті! повинен мати мітку контролю доступу; 3) індивідуальні користувачі мали бути зацікавленими ідентифіковані; 4) система повинна підтримувати сукупність відомостей нагромаджуються згодом і що використовуються спрощений перевірки засобів захисту; 5) система мають бути відчинені для незалежного оцінювання безпеки інформації; 6) система мусить бути постійно захищена від измененений конфігурації або інших изменений.

З часу випуску Помаранчевої книжки було опубліковано багато інших документів з різними квітами обкладинок. Ця «райдужна серія» охоплює питання Інтерпретації Достовірних Сетей (Trusted Network Interpretation), Інтерпретації Достовірних Баз Даних (Trusted DataBase Interpretation), посібники з паролям, посібник з виборчому контролю доступу і Перелік Оцінених Средств.

Деякі реализации.

Корпорація Oracle розробила реляционную СУБД із забезпеченням багаторівневої захисту (Multi-Level Security — MLS) — Trusted ORACLE7, що має, зокрема, та всіма стандартними можливостями ORACLE7.

У минулому компанії, які бажали захистити секретну чи конфіденційну інформацію, змушені були використовуватиме цього спеціальне чи виділений устаткування. З появою таких продуктів, як Trusted ORACLE7, ця необхідність відпала. Trusted ORACLE7 дозволяє розміщувати важливу для конкурентів інформацію базі даних, у якій зберігається загальна інформація, це без будь-якого ризику, що якийсь користувач випадково, чи навмисно отримає доступом до секретної чи конфіденційної информации.

Trusted ORACLE7 функціонує з двох наборів правил: Виборче Управління Доступом (DAC — Discretionary Access Control) і Повноважне Управління Доступом (MAC — Mandatory Access Control). Використання DAC обмежується такими об'єктами баз даних, як таблиці, види, послідовності і збережені процедури, засновані на ідентифікації користувачів, і групові асоціації. Творець об'єктів баз даних — наприклад, таблиць — може надавати доступ іншому пользователю.

MAC є крок уперед проти DAC і позначає зміст об'єктів баз даних. MAC обмежує доступом до об'єкту шляхом порівняння так званої мітки об'єкта з рівнем авторизації користувача. Крім міток MAC Trusted ORACLE7 позначає такі елементи об'єктів, як рядки — і таблиці. Внаслідок цього властивості навіть за умови, що DAC намагається дати користувачеві доступом до позначеному об'єкту, йому буде вирішено доступ, лише коли його авторизації буде нижче, ніж рівень авторизації інформації, до котрої я намагається отримання доступу пользователь.

Зверніть увагу, що Trusted ORACLE7 повинна функціонувати над ОС з багаторівневої захистом інформації, щоб забезпечити рівні захисту інформації, закладені у ній під час проектування. Обмін між системами з багаторівневої захистом (меточной), і навіть між системою з багаторівневої захистом звичайним системою, не використовує мітки, можлива лише у вигляді меточного мережного протоколу. Такі протоколи передають у доповнення решти атрибутам захисту, подібно идентификаторам користувачів чи груп, мітки пакетів, які зазвичай народжуються з міток передавального процесу. Більшість загальних меточных протоколів є варіантами протоколу MaxSix, це сукупність мережевих протоколів захисту і програмних інтерфейсів, теоретично спроектованого на підтримку мереж OSI і TCP/IP, хоча у час є лише реалізації MaxSix. Протоколи MaxSix відповідають RIPCO, CIPCO і DNSIX. Більшість постачальників робочих станцій MLS з Таким режимом Поділу на Секції (CMW — Compartamented Mode Workstation) реалізували протоколи MaxSix у захищених ОС. MaxSix забезпечує як служби расставления міток і трансляції, а й допускає єдину заздалегідь певну мітку MLS.

Отже, позначений сервер насправді діє і як сторож; аналогічно, БД Trusted ORACLE7 у цьому сервері працює як сторож серверу СУБД.

САМІ Як і звичайні протоколи, SQL* Net підтримує ці меточные протоколи у вигляді протокольних адаптерів; наприклад, є реалізації адаптерів протоколів SQL* Net для TNET фірми Sun, MaxSix фірми DEC і MaxSix фірми HP. На станціях, де багаторівнева середовище сполучається з неметочной середовищем, на одному боці сполуки (багаторівневої) працює адаптер SQL* Net для варіанта MaxSix, але в інший — адаптер SQL* Net для протоколу TCP/IP (неметочная среда).

Усі продукти корпорації Oracle Developer 2000, Designer 2000 та інших. можна використовувати з Trusted ORACLE7.

Перспективи развития.

З появою Oracle RDBMS версії 7.2 розробники додатків зможуть поставляти код PL/SQL в згорнутому (Wrapped) форматі. Розробник, який планує поширювати докладання на PL/SQL, большє нє повинен відправляти вихідний код PL/SQL. Приховання вихідного коду полегшує захист інтелектуальної власності зменшує можливі чи спотворення приложений.

Захищені СУБД інших поставщиков.

Informix поставляє OnLine/Secure 5.0, який, подібно іншим конкуруючим продуктам у сфері, є реляционную СУБД, що забезпечує багаторівневу захист інформацією БД і працюючу з використанням двох наборів правил DAC і MAC.

Аналогічні механізми підтримує Sybase в продукті Secure SQL Server Version 10.0.

Система Kerberos.

Система Kerberos (російською — Цербер), розроблена учасниками проекту Athena, забезпечує захист мережі від несанкціонованого доступу, базуючись виключно на програмних рішеннях, і передбачає багатократну шифрування переданої через мережу керуючої інформації. Kerberos забезпечує ідентифікацію користувачів сіті й серверів, не виходячи з мережевих адреси та особливостях операційними системами робочих станцій користувачів, не вимагаючи фізичного захисту інформації усім машинах сіті й виходячи з того, що пакети у мережі може бути легко прочитані й за бажання изменены.

Клієнт/ Kerberos/ Cepвep.

Kerberos має структуру типу клиент/сервер і складається з клієнтських частин, встановлених попри всі машини мережі (робочі станції користувачів і сервери), і Kerberos-сервера (чи серверів), располагающегося на якомусь (необов'язково виділеному) комп’ютері. Kerberos-сервер, своєю чергою, ділиться на дві рівноправні частини: сервер ідентифікації (authentication server) і сервер видачі дозволів (ticket granting server). Слід зазначити, що є в третій сервер Kerberos, який, проте, не бере участь у ідентифікації користувачів, а призначений для адміністративних цілей. Область дії Kerberos (realm) поширюється мали на той ділянку мережі, все користувачі якого зареєстровані під своїми власними іменами і паролями у базі Kerberosсерверу та де всі сервери мають загальним кодовою ключем з ідентифікаційної частиною Kerberos. Ця сфера необов’язково мусить бути ділянкою локальної мережі, оскільки Kerberos не накладає певні обмеження на той тип використовуваних комунікацій (спосіб доступу в галузі дії одного Kerberos-сервера до області дії іншого буде вказано трохи ниже).

Спрощено модель роботи Kerberos можна описати так. Користувач (Kerberos-клиент), бажаючи одержати доступ ресурсу мережі, спрямовує запит идентификационному серверу Kerberos. Останній ідентифікує користувача з допомогою його імені і пароля видає дозволу доступом до серверу видання дозволів, який, своєю чергою, дає «добро» використання необхідних ресурсів мережі. Проте ця модель і не відповідає питанням над надійністю захисту, оскільки, з одного боку, користувач неспроможна посилати идентификационному серверу свій пароль через мережу, з другого — дозволу доступом до обслуговування в мережі може бути послано користувачеві як звичайного повідомлення. У обох випадках інформація то, можливо перехоплена і використана для несанкціонованого доступу до мережі. А, щоб уникнути подібних неприємностей Kerberos, застосовує складна система багаторазового шифрування під час передачі будь-який керуючої інформацією сети.

Доступ користувачів до мережним серверам, файлам, додатків, принтерам тощо. здійснюється за наступній схеме.

Клієнт (під що у надалі розумітись клієнтська частина Kerberos, встановлена робочої станції користувача) спрямовує запит идентификационному серверу видачу «врегулювання отримання дозволу» (ticket-granting ticket), яке можна буде звернутися до сервера видання дозволів. Ідентифікаційний сервер адресується до бази даних, яке береже інформацію про всіх користувачів, і підставі що міститься в запиті імені користувача визначає її пароль. Потім клієнту відсилається «дозволу отримання дозволу» і спеціальний код сеансу (session key), які шифруються з допомогою пароля користувача як ключа. При отриманні цієї інформації користувач з його робочої станції повинен запровадити свій пароль, і коли він збігаються з хранящимися у базі Kerberos-сервера, «дозволу отримання дозволу» і код сеансу будуть успішно розшифровані. Отже вирішується з захистом пароля — у цьому випадку він не передається по сети.

Коли клієнт зареєструвався з допомогою ідентифікаційного серверу Kerberos, він надсилає запит серверу видання дозволів на отримання доступу до необхідних ресурсів мережі. Цей запит (чи «дозволу отримання дозволу») містить ім'я користувача, його мережевий адресу, оцінку часу, тривалість життя цього вирішення і код сеансу. «Дозвіл на отримання дозволу» зашифровується двічі: спочатку з допомогою спеціального коду, що лише идентификационному серверу і серверу видання дозволів, та був, як було зазначено, з допомогою пароля користувача. Це запобігає як зокрема можливість використання цього дозволу за його перехоплення, а й робить її недоступним самому користувачеві. Щоб сервер видання дозволів дав клієнту доступом до потрібним ресурсів, недостатньо лише «врегулювання отримання дозволу». Разом з нею клієнт посилає так званий аутентикатор (authenticator), зашифровываемый з допомогою коду сеансу і у якому ім'я користувача, його мережевий адреса київська і ще одне оцінку времени.

Сервер видання дозволів розшифровує одержаний клієнта «дозволу отримання дозволу», перевіряє, не сплив його «придатності», та був порівнює ім'я користувача та її мережевий адресу, перебувають у вирішенні, з цими, які зазначені у заголовку пакета який прийшов повідомлення. Однак цим перевірки не закінчуються. Сервер видання дозволів розшифровує аутентикатор з допомогою коду сеансу і ще раз порівнює ім'я користувача та її мережевий адресу з двома значеннями, і лише тоді позитивного результату може мати певності нарешті, що тут клієнта той самий, проти всіх себе видає. Оскільки аутентикатор використовується для ідентифікації клієнта лише разів, і лише протягом певного періоду часу, стає практично неможливим одночасний перехоплення «врегулювання отримання дозволу» і аутентикатора для наступних спроб несанкціонованого доступу до ресурсів мережі. Щоразу, за необхідності доступу до сервера мережі, клієнт посилає «дозволу отримання дозволу» багаторазового використання коштів і новий аутентикатор.

Після успішної ідентифікації клієнти на ролі джерела запиту сервер видання дозволів відсилає користувачеві дозволу доступом до ресурсів мережі (що може використовуватися багаторазово протягом деякого періоду часу) і розпочнеться новий код сеансу. Це дозвіл зашифроване з допомогою коду, відомого лише серверу видання дозволів і серверу, до якому вимагає доступу клієнт, і має всередині себе копію нового коду сеансу. Усі повідомлення (дозвіл новий код сеансу) зашифроване з допомогою старого коду сеансу, тому розшифрувати його лише клієнт. Після розшифровки клієнт посилає цільовому серверу, ресурси якого потрібні користувачеві, дозволу доступ і аутентикатор, зашифровані з допомогою нового коду сеанса.

Задля більшої ще більше високого рівні захисту, клієнт, на свій чергу, вимагатиме ідентифікації цільового серверу, щоб убезпечитися від можливого перехоплення інформації, дає декларація про доступом до ресурсів мережі. І тут він від серверу висилки значення позначки часу, збільшеного на одиницю і зашифрованого з допомогою коду сеансу. Сервер дістає копію коду сеансу, що зберігається всередині врегулювання доступ до сервера, використовує її розшифровки аутентикатора, додає до позначці часу одиницю, зашифровує одержану інформацію з допомогою коду сеансу і відсилає її клиенту.

Розшифровка цих слів дозволяє клієнту ідентифікувати сервер. Використання як коду позначки часу забезпечує у тому, що який прийшов клієнту відповідь від серверу перестав бути повтором відповіді будь-якої попередній запрос.

Тепер клієнт і сервер готові до передавання необхідної інформації з належної ступенем захисту. Клієнт поводиться з запитами до цільовому серверу, використовуючи отримане дозвіл. Наступні повідомлення зашифровуються, так з допомогою коду сеанса.

Складнішою є ситуація, коли клієнту треба дати серверу право користуватися певними ресурсами від імені. Як прикладу можна навести ситуацію, коли клієнт посилає запит серверу друку, якому потім необхідно одержати доступом до файлам користувача, розташованим на файл-сервере. З іншого боку, біля входу до найвіддаленіші систему користувачеві необхідно, щоб усе ідентифікаційні процедури виконувалися як і, як і з локальної машини. Проблема вирішується установкою спеціальних прапорів в «вирішенні отримання дозволу» (дають одноразове дозволу доступом до серверу від імені клієнта на першому прикладу і забезпечувальних постійну роботу у цьому режимі на другому). Оскільки, як уже зазначалося вище, дозволу суворо прив’язані до мережному адресою яка має ними станції, за наявності подібних прапорів сервер видачі дозволів повинен зазначити у вирішенні мережевий адресу того серверу, якому передаються повноваження до дій від імені клиента.

Слід зазначити також, що всім описаних вище процедур ідентифікації необхідно забезпечити доступом до базі даних Kerberos лише для читання. Але часом потрібно змінювати базу, наприклад, у разі зміни ключів чи додавання нових користувачів. Тоді використовується третій сервер Kerberos — адміністративний (Kerberos Administration Server). He вдаючись деталі його роботи, треба сказати, що його реалізації можуть сильно відрізнятися (так, можливо ведення кількох копій бази одновременно).

Зв’язок між Kerberos-областями.

Як було вказано вище, під час використання Kerberos-серверов мережу ділиться на області дії Kerberos. Схема доступу клієнта, що у області дії одного Kerberos-сервера, до ресурсів мережі, розміщеним у області дії іншого Kerberos, здійснюється наступним образом.

Цільовий сервер

Обидва Kerberos-сервера мали бути зацікавленими є обопільним зареєстровані, тобто знати загальні секретні ключі і, отже, мати доступом до баз користувачів одне одного. Обмін цими ключами між Kerberos-серверами (для роботи у кожному напрямі використовується свій ключ) позво-ляет зареєструвати сервер видання дозволів кожної сфери як клієнти на іншої галузі. Після цього клієнт, вимагає доступу до ресурсів, які у області дії іншого Kerberos-сервера, може мати простий дозвіл від серверу видання дозволів свого Kerberos по описаного вище алгоритму. Це дозвіл, своєю чергою, дає права доступу до сервера видання дозволів іншого Kerberos-сервера і у собі оцінку у тому, як і Kerberos-области зареєстрований користувач. Віддалений сервер видання дозволів використовує одне із загальних секретних ключів для розшифровки цього дозволу (який, природно, відрізняється від ключа, використовуваного не більше цій галузі) і за успішної розшифровці може мати певності, що дозвіл видано клієнту відповідної Kerberos-области. Отримане дозволу доступом до ресурсів мережі пред’являється цільовому серверу для отримання відповідних услуг.

Слід, проте, враховувати, що велика кількість Kerberos-серверов в мережі веде до підвищення кількості переданої ідентифікаційної інформації під час між різними Kerberos-областями. У цьому збільшується навантаження мережу і самі Kerberos-серверы. Тому більш ефективним можна вважати його присутність серед великий мережі всього кілька Kerberos-серверов з більшими на областями дії, ніж використання безлічі Kerberos-серверов. Тая, Kerberos-система, встановлена компанією Digital Equipment для великий банківської мережі, об'єднуючою відділення у НьюЙорку, в Парижі й Римі, має лише один Kerberos-сервер. У цьому, незважаючи на його присутність серед мережі глобальних комунікацій, робота Kerberos-системы мало відбилася на продуктивності сети.

Kerberos-5.

На цей час Kerberos витримав вже чотири модифікації, з яких четверта отримала найбільшого поширення. Нещодавно група, яка продовжує роботу над Kerberos, опублікувала специфікацію п’ятої версії системи, основні особливості якій відбиті у стандарті RFC 1510. Ця модифікація Kerberos має низку нових властивостей, із яких виділити следующие.

Вже розглянутий раніше механізму передачі повноважень серверу на дії від імені клієнта, значно який полегшує ідентифікацію у мережі в ряді складних випадків, є нововведенням п’ятої версии.

П’ята версія забезпечує більш спрощену ідентифікацію користувачів в віддалених Kerberos-областях, зі скороченою числом передач секретних ключів між тими областями. Дане властивість, своєю чергою, виходить з механізмі передачі полномочий.

Якщо попередніх версіях Kerberos для шифрування використовувався виключно алгоритм DES (Data Encryption Standard — Стандарт Шифрування Даних), надійність якого викликала деякі сумніви, то даної версії можливо використання різних алгоритмів шифрування, відмінних DES.

Заключение

.

Багато виробників мережного і телекомунікаційного устаткування забезпечують підтримку роботи з Kerberos у устройствах.

Слід, проте, відзначити, що використання Kerberos перестав бути вирішенням усіх проблем, що з спробами несанкціонованого доступу в мережу (наприклад, він безсилий, якщо хтось дізнався пароль користувача), тому його наявність виключає інших стандартних коштів підтримки відповідного рівня таємності в сети.

Жодна комп’ютерну систему захисту перестав бути абсолютно безпечної. Проте адекватні захисту значно ускладнюють доступом до системи та знижують ефективність зусиль зловмисника (ставлення середніх витрат за зламування захисту системи та очікуваних результатів) отже насичення систему стає недоцільним. Ключовим елементом в системі безпеки є адміністратор системи. Хоч би які кошти ви ні набували, якість захисту залежатиме спроможності й зусиль цього человека.

Дяченка В.І. «Теорія систем безпеки даних», ТОВ «Джерело», М.- 1995 г.

Information Security Service DATAPRO International,.

McGraw-HTl, Inc.

ORACLE7 Server Concepts Manual. P/N 6693−70.

Trusted ORACLE7 Server Administrator «p.s Guide. P/N d610−70.

Trusted ORACLE7 Technical Overview. P/N Al 4774.

Computer Security and Evaluations Criteria White Paper. P/NA12944.

SQL* Net v. 4 Administrator «p.s Guide. P/N 6545−20.

Multiprotocol Interchange Administrator «p.s Guide. P/N 6544−10.

Журнали (№ 3−10) «Мережі» за 1998 год.

Журнал «Відкриті системи» за 1997;1998 годы.