Постановка задачи систем обеспечения информационной безопасности

Правила идентификации и  аутентификации в  достоверных системах .

Переход к  открытым системам, конечно, даёт большие  выгоды, но среди них не значится безопасность информации, потому что  центр обработки данных передает некоторые из своих функций по контролю за системой отделам и пользователям  и тем самым рассеивает объект безопасности.

При использовании  операционных систем класса В1 (Trusted), которые  позволяют администратору системы  присвоить каждому пользователю уровень доступности объектов системы (Secret, Confidential, Unclassified) возможно сохранить  требуемый уровень безопасности системы.

Обработка секретной  и конфиденциальной информации требует  от системы использовать механизм гарантии соответствующей идентификации  и аутентификации пользователей. Все  возможные подходы к идентификации  и аутентификации" должны быть идентифицированы, рассмотрены и сравнены с Критерием  Оценки Достоверности Вычислительных Систем (TCSEC), или с “Оранжевой Книгой” (в Европе — Критерием Оценки Безопасности Информационных Технологий, или “Белой Книгой”).

Оранжевая книга.

Оранжевая Книга  специализируется на законченных вычислительных системах. Со времени выпуска Оранжевой  книги было опубликовано множество  других документов с различными цветами  обложек. Эта “радужная серия” охватывает вопросы Интерпретации Достоверных  Сетей (Trusted Network Interpretation), Интерпретации  Достоверных Баз Данных (Trusted DataBase Interpretation), руководства по паролям, руководство  по избирательному контролю доступа  и Перечень Оцененных Средств.

Оранжевая книга  определяет шесть ключевых требований безопасности информации:

1) система  должна иметь четкий сертификат  безопасности 

2) каждый  объект, ассоциированный с этим  сертификате! должен иметь метку  контроля доступа; 

3) индивидуальные  пользователи должны быть идентифицированы;

4) система  должна поддерживать совокупность  сведений накапливающихся со  временем и используемых для  упрощен проверки средств защиты;

5) система  должна быть открыта для независимой  оценки безопасности информации;

6) система  должна быть постоянно защищена  от изменений конфигурации или  каких-либо других изменений. 

Критерий  Оценки Достоверности  Вычислительных Систем (TCSEC)

TCSEC делится  на четыре упорядоченных класса: D, С, В и А. 

Самый высокий  класс (А) зарезервирован за системами, имеющими наивысший уровень защиты информации. Если система отнесена к классу А, значит, средства защиты ранее проверены (совершенно секретная  информация). Принадлежность к классу В означает, что к упомянутым ранее  средствам добавляются гарантии безопасности и они описываются  как “полномочные” (секретная информация). Если система отнесена к классу С, она имеет некоторые средства избирательной защиты (классифицированная). Многие популярные операционные системы (например, различные варианты PС UNIX, Sun Solaris 2.3 и т.п.) соответствуют классу С. Внутри классов В и С имеются упорядоченные в соответствии с обеспечиваемым уровнем защиты подклассы. Принадлежность к классу D означает, что система не имеет средств защиты информации (неклассифицированная)

Первый в  классификации уровень, в котором  имеет место контроль доступа  и переноса данных, основанный на уровнях  конфиденциальности - это В1.

Данные идентификации  и аутентификации для определения  уровня авторизации текущего пользователя, которые Достоверная Компьютерная База (ТСВ — Trusted Computer Base) сравнивает со своей базой данных пользователей, содержащей ранги авторизации для  каждого пользователя используются для непривилегированных пользователей. Если информация, указанная при вхождении  в связь, корректна и ее уровень  признан соответствующим запросу, ТСВ допускает пользователя в  систему. При попытке доступа  к файлам ТСВ выступает в роли арбитра, при этом ТСВ основывается на уровне пользователя и метке файла  или объекта, к которым пользователь пытается получить доступ. Поскольку  уровень конфиденциальности представляется уровнем прозрачности и категорией доступа, а разрешение на доступ к  объекту определяется конфиденциальностью  и объекта, и субъекта, авторизация  субъекта становится компонентом требований к авторизации.

Система защиты сети от несанкционированного доступа Kerberos.

Разработанная участниками проекта Athena система Kerberos (по-русски — Цербер) предполагает многократную шифрование передаваемой по сети управляющей  информации и обеспечивает защиту сети от несанкционированного доступа, базируясь  исключительно на программных решениях. Не основываясь на сетевых адресах  и особенностях операционных систем рабочих станций пользователей, не требуя физической защиты информации на всех машинах сети и исходя из предположения, что пакеты в сети могут быть легко прочитаны и  при желании изменены Kerberos обеспечивает идентификацию пользователей сети и серверов.

Kerberos имеет  структуру типа клиент/сервер  и состоит из клиентских частей, установленных на все машины  сети (рабочие станции пользователей  и серверы), и Kerberos-сервера (или  серверов), располагающегося на каком-либо (не обязательно выделенном) компьютере.

Kerberos-сервер  делится на две равноправные  части: сервер идентификации (authentication server) и сервер выдачи разрешений (ticket granting server). Существует в третий  сервер Kerberos, который, однако, не  участвует в идентификации пользователей,  а предназначен для административных  целей. 

Оба Kerberos-сервера  должны быть обоюдно зарегистрированы, то есть знать общие секретные  ключи и, следовательно, иметь доступ к базам пользователей друг друга. Обмен этими ключами между Kerberos-серверами (для работы в каждом направлении  используется свой ключ) позволяет  зарегистрировать сервер выдачи разрешений каждой области как клиента в  другой области. После этого клиент, требующий доступа к ресурсам, находящимся в области действия другого Kerberos-сервера, может получить разрешение от сервера выдачи разрешений своего Kerberos по описанному выше алгоритму. Это разрешение, в свою очередь, дает право доступа к серверу выдачи разрешений другого Kerberos-сервера и содержит в себе отметку о том, в какой Kerberos-области зарегистрирован пользователь. Удаленный сервер выдачи разрешений использует один из общих секретных ключей для расшифровки этого разрешения (который, естественно, отличается от ключа, используемого в пределах этой области) и при успешной расшифровке может быть уверен, что разрешение выдано клиенту соответствующей Kerberos-области. Полученное разрешение на доступ к ресурсам сети предъявляется целевому серверу для получения соответствующих услуг.

Следует, однако, учитывать, что большое число Kerberos-серверов в сети ведет к увеличению количества передаваемой идентификационной информации при связи между разными Kerberos-областями. При этом увеличивается нагрузка на сеть и на сами Kerberos-серверы. Поэтому  более эффективным следует считать  наличие в большой сети всего  нескольких Kerberos-серверов с большими областями действия, нежели использование  множества Kerberos-серверов. Тая, Kerberos-система, установленная компанией Digital Equipment для большой банковской сети, объединяющей отделения в Нью-Йорке, Париже и  Риме, имеет всего один Kerberos-сервер. При этом, несмотря на наличие в  сети глобальных коммуникаций, работа Kerberos-системы практически не отразилась на производительности сети.

При использовании Kerberos-серверов сеть делится на области  действия Kerberos. Схема доступа клиента, находящегося в области действия одного Kerberos-сервера, к ресурсам сети, расположенным в области действия другого Kerberos, осуществляется следующим  образом.

Область действия Kerberos (realm) не обязательно должна быть участком локальной сети, поскольку Kerberos не накладывает ограничения  на тип используемых коммуникаций (о  способе доступа из области действия одного Kerberos-сервера в область  действия другого будет сказано  чуть ниже), она распространяется на тот участок сети, все пользователи которого зарегистрированы под своими именами и паролями в базе Kerberos-сервера  и где все серверы обладают общим кодовым ключом с идентификационной  частью Kerberos.

Модель  работы.

Представим  упрощенно модель работы Kerberos.

Желая получить доступ к ресурсу сети, пользователь (Kerberos-клиент) посылает запрос идентификационному серверу Kerberos, который идентифицирует пользователя с помощью его имени  и пароля и выдает разрешение на доступ к серверу выдачи разрешений, который, в свою очередь, дает “добро”  на использование необходимых ресурсов сети.

На вопрос о надежности защиты информации данная модель не отвечает, поскольку, с одной  стороны, пользователь не может посылать идентификационному серверу свой пароль по сети, а с другой — разрешение на доступ к обслуживанию в сети не может быть послано пользователю в виде обычного сообщения. Информация в обоих случаях может быть перехвачена и использована для  несанкционированного доступа в  сеть.

Для того, чтобы  избежать подобных неприятностей Kerberos, реализует сложную систему многократного  шифрования при передаче любой управляющей  информации в сети.

Систему многократного шифрования при передаче любой  управляющей информации в сети.

Доступ пользователей  к сетевым серверам, файлам, приложениям, принтерам и т.д. осуществляется по следующей схеме:

Проблема  с защитой пароля решается следующим  образом. Прежде, чем обратиться к  серверу разрешений, клиент посылает запрос идентификационному серверу  на выдачу “разрешения на получение  разрешения” (ticket-granting ticket), которое  даст возможность обратиться к серверу  выдачи разрешений. Адресуясь к базе данных, хранящей информацию о всех пользователях, идентификационный  сервер на основании содержащегося  в запросе имени пользователя определяет его пароль. Затем клиенту  отсылается “разрешение на получение  разрешения” и специальный код  сеанса (session key), шифрованные с помощью  пароля пользователя как ключа. При  получении этой информации пользователь на его рабочей станции должен ввести свой пароль, и если он совпадает  с хранящимися в базе Kerberos-сервера, “разрешение на получение разрешения”  и код сеанса будут успешно  расшифрованы. Таким образом пароль не передается по сети.

После регистрации  клиента с помощью идентификационного сервера Kerberos, он отправляет запрос серверу  выдачи разрешений на получение доступа  к требуемым ресурсам сети. Этот запрос (или “разрешения на получение  разрешения”) содержит имя пользователя, его сетевой адрес, отметку времени, срок жизни этого разрешения и  код сеанса. “Разрешение на получение  разрешения” зашифровывается два  раза: сначала с помощью специального кода, который известен только идентификационному серверу и серверу выдачи разрешений, а затем, как уже было сказано, с помощью пароля пользователя. Это  предотвращает не только возможность  использования этого разрешения при его перехвате, но и делает его недоступным самому пользователю. Для того чтобы сервер выдачи разрешений дал клиенту доступ к требуемым  ресурсам, недостаточно только “разрешения  на получение разрешения”. Вместе с  ним клиент посылает так называемый аутентикатор (authenticator), зашифровываемый  с помощью кода сеанса и содержащий имя пользователя, его сетевой  адрес и еще одну отметку времени.

Сервер выдачи разрешений расшифровывает полученное от клиента “разрешение на получение  разрешения”, проверяет, не истек ли срок его “годности”, а затем  сравнивает имя пользователя и его  сетевой адрес, находящиеся в  разрешении, с данными, которые указаны  в заголовке пакета пришедшего сообщения. Однако на этом проверки не заканчиваются. Сервер выдачи разрешений расшифровывает аутентикатор с помощью кода сеанса и еще раз сравнивает имя пользователя и его сетевой адрес с предыдущими  двумя значениями, и только в случае положительного результата может быть уверен наконец, что клиент именно тот, за кого себя выдает. Поскольку аутентикатор используется для идентификации  клиента всего один раз и только в течение определенного периода  времени, становится практически невозможным  одновременный перехват “разрешения  на получение разрешения” и аутентикатора  для последующих попыток несанкционированного доступа к ресурсам сети. Каждый раз, при необходимости доступа  к серверу сети, клиент посылает “разрешение на получение разрешения” многоразового использования и новый аутентикатор.

В качестве источника  запроса сервер выдачи разрешений, после успешной идентификации клиента, отсылает пользователю разрешение на доступ к ресурсам сети (которое  может использоваться многократно  в течение некоторого периода  времени) и новый код сеанса. Это  разрешение зашифровано с помощью  кода, известного только серверу выдачи разрешений и серверу, к которому требует доступа клиент, и содержит внутри себя копию нового кода сеанса. Все сообщение (разрешение и новый  код сеанса) зашифровано с помощью  старого кода сеанса, поэтому расшифровать его может только клиент. После  расшифровки клиент посылает целевому серверу, ресурсы которого нужны  пользователю, разрешение на доступ и  аутентикатор, зашифрованные с помощью  нового кода сеанса.