Відмінності між версіями «Аутентифікація»
Рядок 1: | Рядок 1: | ||
− | ''' | + | {| |
+ | |[[Файл:Ready_anim2.gif|210 px]] | ||
+ | |Безпека мережі охоплює не лише Internet, але і будь-яке мережеве підключення або інтерфейс. Наскільки строго забезпечується захист будь-яких інтерфейсів, залежить від вимог, що пред'являються до них, їх функціонального призначення і міри довіри між обома сторонами під'єднування. Правила захисту всієї мережі і внутрішньомережевих підключень є частиною програми безпеки мережі, яка охоплює такі питання, як адресація мережі, підмережі і засоби управління підключеннями до мережі. | ||
+ | |||
+ | Довірчі взаємини встановлюються шляхом чіткого визначення того, яку інформацію можна передавати через внутрішні з'єднання. Що стосується доступу до інформаційних ресурсів, то стержнем проблеми управління доступом є забезпечення доступу до системи і до всієї мережі. Аутентифікація використовується для підтвердження цього права доступу. | ||
+ | |} | ||
+ | |||
+ | ==Управління доступом до мережі== | ||
+ | Перед обговоренням аутентифікації користувачів мережі необхідно розробити правила управління доступом до мережі. Мережі вже не є монолітними об'єктами. В більшості випадків є одна зовнішня точка доступу — підключення до Internet за допомогою ISP (Internet Service Provider — постачальник послуг Internet). Правила упраатенія доступом до мережі визначатимуть, який захист необхідно встановити на вхідних крапках в мережу. | ||
+ | |||
+ | <center>'''ШЛЮЗИ'''</center> | ||
+ | |||
+ | Шлюзи є пунктами, в яких мережевий трафік передасться з мережі організації в іншу мережу. Відносно шлюзових пунктів правила управління доступом повинні враховувати природу мережі, в якій встановлюється міст. | ||
+ | |||
+ | *Правила управління доступом для що входять і витікаючих телефонних дзвінків (Dial-in і Dial-out) . Охоплюють вимоги по аутентифікації. Приховати точку телефонного доступу в мережу досить складно. Тому поважно визначити засоби управління цим доступом. Існує безліч міркувань відносно правил доступу, таких як створення модемів виняткове для обробки витікаючих сигналів (out-bound-only) для доступу dial-out. Необхідно написати пункт правив, який наказуватиме вживання відповідних засобів управління. | ||
+ | Весь телефонний доступ в мережу має бути захищений за допомогою засобів строгого контролю аутентифікації. Модеми необхідно конфігурувати для одного з доступів dial-in або dial-out, але у жодному випадку не для обох. Адміністратор мережі повинен забезпечити процедури гарантованого доступу до модемних систем. Користувачі не повинні встановлювати модеми в інших точках мережі білий відповідних санкцій. | ||
+ | |||
+ | *Інші зовнішні підключення. Можливі різні підключення до мережі ззовні організації. Правилами можна звести наклеп прямий доступ клієнтів в мережу через віртуальну приватну мережу VPN (Virtual Private Network) і через розширення мережі організації, відомі як екстрамережі. | ||
+ | |||
+ | *Підключення до Internet. Відрізняється від інших підключень, оскільки люди хочуть мати відкритий доступ в Internet, тоді як дозвіл доступу забезпечується службами організації. | ||
+ | |||
+ | Як і для будь-яких правил, потрібно чекати, що з'являтимуться запити на зміну правил управління доступом. Незалежно від причин, що вимагають коректування правив, слід передбачити можливість вносити виключення до правил за допомогою механізму того, що передивляється правив. | ||
+ | |||
+ | Будь-який шлюз, пропонований для установки мережі компанії, якщо він може порушити правила або процедури, наказані цими правилами, не повинен встановлюватися без попереднього затвердження комітетом управління безпекою. | ||
+ | |||
+ | <center>'''ВІРТУАЛЬНІ ПРИВАТНІ МЕРЕЖІ І ЕКСТРАМЕРЕЖІ'''</center> | ||
+ | |||
+ | Збільшення кількості мереж в організації вимушує шукати нові варіанти підключення видалених офісів, клієнтів і спрощення доступу обслуговуючих контрагентів або потенційних контрагентів. Це зростання породило двох типів зовнішніх з'єднань: віртуальні приватні мережі (VPN — Virtual Private Network) і екстрамережі. VPN є недорогим способом встановити інформаційний зв'язок між двома і більш підрозділами організації, розташованими на різних територіях. Організації створюють VPN шляхом підключення всіх підрозділів до Internet і установок пристроїв, які здійснюватимуть шифрування і дешифровку інформації в обох підрозділах, що зв'язуються між собою. Для користувачів робота через VPN виглядатиме так, як ніби обоє підрозділу знаходяться на одній території і працюють в єдиній мережі. | ||
− | |||
==Механізм Автентифікації== | ==Механізм Автентифікації== |
Версія за 11:35, 16 грудня 2011
Зміст
Управління доступом до мережі
Перед обговоренням аутентифікації користувачів мережі необхідно розробити правила управління доступом до мережі. Мережі вже не є монолітними об'єктами. В більшості випадків є одна зовнішня точка доступу — підключення до Internet за допомогою ISP (Internet Service Provider — постачальник послуг Internet). Правила упраатенія доступом до мережі визначатимуть, який захист необхідно встановити на вхідних крапках в мережу.
Шлюзи є пунктами, в яких мережевий трафік передасться з мережі організації в іншу мережу. Відносно шлюзових пунктів правила управління доступом повинні враховувати природу мережі, в якій встановлюється міст.
- Правила управління доступом для що входять і витікаючих телефонних дзвінків (Dial-in і Dial-out) . Охоплюють вимоги по аутентифікації. Приховати точку телефонного доступу в мережу досить складно. Тому поважно визначити засоби управління цим доступом. Існує безліч міркувань відносно правил доступу, таких як створення модемів виняткове для обробки витікаючих сигналів (out-bound-only) для доступу dial-out. Необхідно написати пункт правив, який наказуватиме вживання відповідних засобів управління.
Весь телефонний доступ в мережу має бути захищений за допомогою засобів строгого контролю аутентифікації. Модеми необхідно конфігурувати для одного з доступів dial-in або dial-out, але у жодному випадку не для обох. Адміністратор мережі повинен забезпечити процедури гарантованого доступу до модемних систем. Користувачі не повинні встановлювати модеми в інших точках мережі білий відповідних санкцій.
- Інші зовнішні підключення. Можливі різні підключення до мережі ззовні організації. Правилами можна звести наклеп прямий доступ клієнтів в мережу через віртуальну приватну мережу VPN (Virtual Private Network) і через розширення мережі організації, відомі як екстрамережі.
- Підключення до Internet. Відрізняється від інших підключень, оскільки люди хочуть мати відкритий доступ в Internet, тоді як дозвіл доступу забезпечується службами організації.
Як і для будь-яких правил, потрібно чекати, що з'являтимуться запити на зміну правил управління доступом. Незалежно від причин, що вимагають коректування правив, слід передбачити можливість вносити виключення до правил за допомогою механізму того, що передивляється правив.
Будь-який шлюз, пропонований для установки мережі компанії, якщо він може порушити правила або процедури, наказані цими правилами, не повинен встановлюватися без попереднього затвердження комітетом управління безпекою.
Збільшення кількості мереж в організації вимушує шукати нові варіанти підключення видалених офісів, клієнтів і спрощення доступу обслуговуючих контрагентів або потенційних контрагентів. Це зростання породило двох типів зовнішніх з'єднань: віртуальні приватні мережі (VPN — Virtual Private Network) і екстрамережі. VPN є недорогим способом встановити інформаційний зв'язок між двома і більш підрозділами організації, розташованими на різних територіях. Організації створюють VPN шляхом підключення всіх підрозділів до Internet і установок пристроїв, які здійснюватимуть шифрування і дешифровку інформації в обох підрозділах, що зв'язуються між собою. Для користувачів робота через VPN виглядатиме так, як ніби обоє підрозділу знаходяться на одній території і працюють в єдиній мережі.
Механізм Автентифікації
Один із способів автентифікації в інформаційній системі полягає у попередній ідентифікації на основі користувацького ідентифікатора («логіна» — реєстраційного імені користувача) і пароля — певної конфіденційної інформації, знання якої передбачає володіння певним ресурсом в мережі. Отримавши введений користувачем логін и пароль, комп'ютер порівнює їх зі значенням, яке зберігається в спеціальній захищеній базі даних і, у випадку успішної автентифікації проводить авторизацію з подальшим допуском користувача до роботи в системі.
Види Автентифікації
Слабка Автентифікація
Традиційну автентифікацію за допомогою пароля називають ще однофакторною або слабкою. Оскільки за наявності певних ресурсів перехоплення або підбір пароля є справою часу. Не останню роль в цьому грає людський чинник — чим стійкішим до взлому методом підбору є пароль, тим важче його запам'ятати людині і тим вище ймовірність що він буде додатково записаний, що підвищить ймовірність його перехоплення або викрадення. І навпаки — легкі для запам'ятовування паролі (наприклад часто вживані слова або фрази, як приклад, дати народження, імена близьких, назви моніторів чи найближчого обладнання) в плані стійкості до злому є дуже не вдалими. Як вихід, впроваджуються одноразові паролі, проте їхнє перехоплення також можливе.
Сильна Автентифікація
Паралельно, за необхідності, використовується сильна або багатофакторна автентифікація — на основі двох чи більше факторів. В цьому випадку для автентифікації використостовується не лише інформація відома користувачеві, а й додаткові фактори. Наприклад:
- властивість, якою володіє суб'єкт;
- знання - інформація, яку знає суб'єкт;
- володіння - річ, якою володіє суб'єкт.
Способи Автентифікації
Парольна
Здійснюється на основі володіння користувачем певної конфіденційноїх інформації.
Біометрична
Біометрична аутентифікація основана на унікальності певних антропометричних характеристик людини. У галузі інформаційних технологій термін біометрія застосовується в значенні технології ідентифікації особистості. Біометричний захист більш ефективний ніж такі методи як, використання смарт-карток, паролів, PIN-кодів. Найбільш часто використовуються:
- Параметри голосу.
- Візерунок райдужної оболонки ока і карта сітчатки ока.
- Риси обличчя.
- Форма долоні.
- Відбитки пальців.
- Форма і спосіб підпису.
За допомогою унікального предмета
Здійснюється за допомогою додаткових предметів (токен, смарт-карта) або атрибутів (криптографічний сертифікат).
Електронний цифровий підпис
Метою застосування систем цифрового підпису є автентифікація інформації – захист учасників інформаційного обміну від нав’язування хибної інформації, встановлення факту модифікації інформації, яка передається або зберігається, й отримання гарантії її справжності, а також вирішення питання про авторство повідомлень. Система цифрового підпису припускає, що кожен користувач мережі має свій таємний ключ, який використовується для формування підпису, а також відповідний цьому таємному ключу відкритий ключ, відомий решті користувачів мережі й призначений для перевірки підпису. Цифровий підпис обчислюється на основі таємного ключа відправника інформації й власне інформаційних бітів документу (файлу). Один з користувачів може бути обраним в якості «нотаріуса» й завіряти за допомогою свого таємного ключа будь-які документи. Решта користувачів можуть провести верифікацію його підпису, тобто пересвідчитися у справжності отриманого документу. Спосіб обчислення цифрового підпису такий, що знання відкритого ключа не може призвести до підробки підпису. Перевірити підпис може будь-який користувач, що має відкритий ключ, в тому числі незалежний арбітр, якого уповноважено вирішувати можливі суперечки про авторство повідомлення (документу). Що таке “сертифікат ключа” ? Для чого він призначений? Сертифікат являє собою електронний документ, який пов’язує дані для перевірки електронних підписів з певною особою, підтверджує ідентичність цієї особи й завіряється електронним цифровим підписом надавача послуг – центром сертифікації ключів. Посилений сертифікат являє собою сертифікат, який відповідає спеціальним вимогам Закону України “Про електронний цифровий підпис” щодо обов’язкових полів.