NETSGUIDES

КОМПЬЮТЕРНЫЕ СЕТИ

Поиск:

 

Идентификация пользователей

Статьи / Локальные сети / Глава 15. Защита сетей / Защита от несанкционированного доступа / Идентификация пользователей

Для предотвращения доступа в сеть незарегистрированных пользователей прежде всего следует установить учетную запись (user account). Пока пользователь не введет достоверное имя и пароль, указанные в учетной записи, он не сможет войти в сеть. Например, в сетях Windows NT каждому пользователю назначают персональную учетную запись с внутренним защитным кодом (SID — Security Identifier), по которому операционная система однозначно идентифицирует пользователя. Исключения из этого правила обычно делают только для учетной записи Guest (гость), которая может использоваться кем угодно, кто знает ее пароль.
Однако в ныне действующих сетях по этой учетной записи предоставляют весьма ограниченный доступ к системе.
Защитный код (SID) определяет, что может делать в сети данный пользователь. Например, когда кто-то пытается открыть файл, подсистема защиты (security subsystem) проверяет этот файл, сверяет личность пользователя со списком тех, кому разрешен доступ к файлу, а затем устанавливает тип доступа, который ему предоставлен.

Примечание:
Тонкости работы средств организации разрешений на доступ зависят от операционной системы, установленной на сервере.

Конец маскарада

Одна из проблем доступа заключается не только в создании средств, принуждающих пользователей предъявлять "верительные грамоты" на право использовать сетевые ресурсы, но также и в гарантии того, что злоумышленник не подделает достоверную учетную запись и не присвоит себе личность пользователя — не замаскируется под пользователя. Одним словом, важно удостовериться, что учетные записи пользователя защищены, и никто не может замаскироваться под зарегистрированного пользователя.
С этой целью можно скрывать имена пользователей и защищать пароли.

Скрытие имен пользователей. Прежде всего, следует защитить имена и пароли пользователей. Идентификация пользователя выполняется сопоставлением его имени с конкретным паролем, а не просто назначением пароля. Если злоумышленник не знает имени учетной записи пользователя, он не сможет войти в систему, даже если узнает пароль.

Совет:
Измените имена учетных записей, которым предоставлены особенно большие права, например, администраторов Windows NT.

Правила защиты паролей. Пароли следует защищать еще в большей степени, чем имена пользователей. При назначении пароля необходимо следовать некоторым общим правилам.

Примечание:
Заставляя пользователей следовать этим правилам, ни в коем случае не полагайтесь на хорошие личные отношения. Любая правильно спроектированная NOS обеспечивает парольную защиту, контроль повторного использования (reuse cycles) пароля и т.п. Некоторые дополнительные типы программ позволят указывать пароли, которые невозможно применять.

Во-первых, регулярно заменяйте пароли. Это означает, что пароль действителен, скажем, в течение 30 дней, после чего отправляется в "Дом Престарелых Паролей". Кроме того, это означает, что вы обязаны установить правила повторного использования паролей, согласно которым нужно выжидать некоторый период времени, прежде чем можно будет использовать старый пароль. В противном случае половина пользователей будут снова и снова назначать один и тот же пароль, чтобы упростить себе вход в систему. Использование же устаревших паролей рискованно.
Пароли должны быть трудны для отгадывания. Поэтому короткие и благозвучные пароли неприемлемы; кроме того, установите для паролей некую минимальную длину (Microsoft рекомендует не менее 11 символов) и не позволяйте людям использовать ни одно из следующих слов.

● Имя пользователя, его супруги (супруга) либо имена детей.
● Дату рождения.
● Название любимой спортивной команды.
● Слова, так или иначе связанные с работой пользователя.
● Имена домашних животных.

Совет:
Немедленно заменяйте все используемые стандартные пароли. Списки стандартных паролей для конкретного оборудования (в том числе пароли BIOS, которые вы можете назначить для компьютера) можно без труда получить в онлайновом режиме (online).

Чтобы затруднить угадывание паролей, вы можете записать их в необычной форме.
Например, записывайте пароль задом наперед, придумывайте бессмысленные слова либо вставляйте в них произвольные символы, например, mort$ician (mortician — гробовщик). Кроме того, если ваша NOS и система идентификации способны различать регистры символов паролей, используйте в пароле произвольные регистры букв, скажем, FrOggiE. Наиболее защищенные пароли создаются генератором случайных паролей (random password generator). К сожалению, такие пароли не нравятся пользователям — например, JO%de)(Iwi832 — их трудно запомнить и точно ввести.
Наконец, последнее правило защиты пароля гласит: никогда не записывайте пароль.
Все наши уловки затрудняют людям корректный ввод их собственных паролей (они имеют обыкновение записывать пароли и приклеивать липучкой к монитору или под клавиатурой).
Отбейте у них всякую охоту делать это.
Реализовать данные рекомендации нелегко, особенно потому, что иногда они противоречат друг другу. Нелегко придумывать через каждые 30 дней новое слово из 10 букв. Однако если следовать приведенным рекомендациям, угадать пароль для вашей сети будет весьма нелегко.

Итак, теперь я в безопасности, правда? Пароль, назначенный надлежащим образом, затрудняет случайный доступ по вашей учетной записи. Однако он не может предотвратить намеренную попытку прорыва в систему и вы по-прежнему не должны допускать посторонних в сеть.
Пароли, которые трудно угадать людям, уязвимы, тем не менее, со стороны словарной атаки (dictionary attack), когда специальная программа вводит случайные комбинации символов в экран входного диалога (login screen), пока одна из них не совпадет с подлинным паролем.
Кроме того, пароли, пересылаемые по сети, могут перехватывать программы-анализаторы (sniffers). Если пароли представляют собой простой текст, оператор программы-анализатора без малейшего труда их перехватит. (Простой текст незашифрован.
Подробнее о том, что это значит, вы узнаете в разделе "Шифрование данных".) Если пароли зашифрованы, они, разумеется, тоже потенциально опасны при перехвате, поскольку средства взлома паролей общедоступны (см. ниже).

Идеалы L0pht

Организация, называемая L0pth (да, именно нуль) создала множество инструментов, для испытания средств защиты продуктов в тяжелых режимах. В частности, один из них, называемый L0phtcrack, предназначен для оценки уязвимости шифрования паролей Windows NT.
Суть дела в следующем: Windows NT поддерживает два метода выполнения вызовов/откликов (challenge/response techniques): NTML2 и LM (систему вызова/отклика LAN Manager). Средства идентификации паролей LM весьма уязвимы с точки зрения дешифрования.
Проблема заключается в способе, которым намеренно зашумленные (т.е. зашифрованные) пароли разбиваются на части и идентифицируются. Система идентификации LM позволяет при взломе разделять пароли на блоки размером в семь байт. Напротив, система идентификации NTLM намного устойчивее к взлому. Никакой пароль не устоит перед грубыми силовыми методами, однако для взлома системы вызова/отклика NTLM требуется намного больше времени, чем для LM — несколько дней вместо нескольких секунд.
Единственный путь полностью обойти проблемы LM: использовать в сети только компьютеры Windows NT, а также установить пакет SP4. (Если используется хотя бы один клиент Windows 95, следует поддерживать систему идентификации LM.) Подробное описание проблемы и возможные решения можно найти по адресам:
http://www.l0pht.com/10phtcrack/rant.html http://support.microsoft.com/support/kb/articles/ql47/7/06.asp.
И эти инструменты работают. Введите в L0phtcrack пароль, зашифрованный с помощью технологии LM —программа расшифрует его за несколько секунд (в зависимости от мощности компьютера).

Биометрические устройства и интеллектуальные карты

Для идентификации доступа пользователей в систему иногда используют средства, не требующие ввода паролей. В некоторых сетях с повышенными мерами защиты для идентификации личности используют интеллектуальные карты (smart cards), биометрические устройства (biometric devices) или и то, и другое. Кроме того, такие устройства могут обеспечить защитную аутентификацию (secure authentication) пользователей, которые не приучены обращаться с паролями. Их можно также применять, если защита паролями слишком громоздка, но, тем не менее, необходима.

Медосмотр с помощью системы защиты. Биометрические устройства однозначно идентифицируют пользователя на основе некоторых физиологических характеристик, например, отпечатков пальцев или ладони, рисунка сетчатки глаза, "отпечатка" голоса (voice print).
Встречаются и другие методы идентификации подобного рода. Главное — предельно упростить ввод пароля в систему. Человеческий мозг может воспринимать пароли длиной не более И символов. Структура же кровеносных сосудов человеческого глаза абсолютно уникальна, а подделать ее весьма трудно. Эту, а также и другие структуры, свойственные только вам, можно отсканировать и оцифровать, т.е. преобразовать в единицы и нули — точно так же, как модем "переводит" аналоговые данные в цифровые, необходимые для работы компьютера. Затем оцифрованные изображения сохраняются точно так же, как файл со списком паролей. Когда вы предоставляете сканеру отпечатки вашего пальца (глаза, руки, голоса), оригинал сканируется и оцифровывается, а затем сравнивается с образцом, хранящимся в системе. Если соответствие достаточно близкое, система позволяет войти в сеть (или сегмент сети).
До недавних пор биометрические устройства использовались исключительно в правительственных сетях с высшей степенью защиты. Идентификация по отпечатку голоса "страдает" недостатком, обусловленным тем, что голос человека звучит по-разному в зависимости от времени дня и настроения человека. Сканирование сетчатки нередко ведет к ошибкам, если, скажем, глаз человека наливается кровью из-за сенной лихорадки. Поэтому на случай отказа механизма биометрической идентификации следует предусмотреть какой-либо иной код (ID) — иначе вам просто не войти в систему. Система идентификации, которая пылится на полке, никому не нужна.
Последние усовершенствования программных средств распознавания голоса и другие технологии значительно подняли доверие к инструментам биометрической аутентификации (biometric authentication tools). По мере роста надежности эти средства стали все шире применяться для идентификации личности. Тем не менее, пока что они не слишком популярны и главным образом потому, что создают неудобства людям. Возможно, вам повезет, и вы сумеете убедить их в обратном ("Мы установим систему, в которой не надо вводить пароли!!!"). В частности, удобства таких систем в большей мере ощущают люди, далекие от техники. Кроме того, "щадящие" биометрические устройства, вроде сканеров отпечатков пальцев, воспринимаются благожелательнее, чем, например, сканеры сетчатки глаза.

Использование интеллектуальных карт. Все большее число фирм в крупных городах США требуют от служащих обзавестись идентификационными карточками (badges). Федеральное правительство добивается этого целую вечность. С недавних пор этого же требуют частные фирмы и даже общественные школы. Как правило, на идентификационные карточки помещают фотографии владельцев, а также их имена либо иной идентификатор (в особо защищенных картах имена не указывают). Нередко в идентификационных карточках предусмотрена цветовая кодировка, позволяющая охраннику с одного взгляда установить, имеет ли владелец право находиться в данной части здания или местности.
В простейшем случае карточка содержит только фотографию и код, вроде того, что содержится на водительских удостоверениях. Интеллектуальные карты (smart cards) помимо этой информации включают своего рода электронную подпись (electronic signature), хранящуюся на магнитной полосе (magnetic strip) карты. Примером интеллектуальной карты может быть кредитная карточка, в которой на магнитной полосе хранится номер вашего счета. Еще один пример, когда ввод данных пользователем необязателен — это запирающая система (gate system). Здесь владелец карточки, чтобы отпереть дверь, должен протянуть ее через цифровой сканер (digital scanner). Независимо от того, должен ли пользователь вводить код либо просто протянуть карточку через щель, при несовпадении введенного кода с записанным в памяти доступ воспрещается.

Примечание:
В качестве интеллектуальных карт тоже можно использовать биометрические устройства.
Некоторые фирмы производят карты, которые в качестве цифровой сигнатуры используют оцифрованный отпечаток пальцев (digitized fingerprint).

Все мы уже привыкли использовать интеллектуальные карты в качестве кредитных карточек, а также для входа в здание. Кроме того, их постепенно начинают использовать и для доступа в компьютеры и сети. Основные операционные системы оснащают средствами поддержки интеллектуальных карт, а в некоторых они уже реализованы.

Организация прав пользователей

Итак, наконец пользователь, так или иначе, идентифицирован и получил доступ в систему. Это отнюдь не означает, что он автоматически получает все права на доступ к файлам. В любой достаточно защищенной сетевой операционной системе доступ пользователя определяется группой, в которую он входит. Хитрость заключается в использовании преимуществ этой системы путем ограничения прав пользователя на доступ к функциональным средствам, которые ему необходимы. В гл. 10 рассматривались некоторые методы, используемые в серверах Windows NT и NetWare для организации прав пользователей и разрешений. Мы вернемся к этому вопросу.

Домены Windows NT и средство обслуживания Active Directory. Независимо от того, предусмотрена ли в серверах доменная структура или средство Active Directory (Активный каталог), в операционных системах Windows NT и Windows 2000 используются по существу одинаковые методы организации работы пользователей. Пользователем (user) называют члена одной или нескольких групп, причем каждой группе назначают код группы (Group ID — GID) и предоставляют определенные права. В зависимости от назначенных прав и разрешений, члены данной группы могут читать имеющиеся файлы, создавать новые, использовать сетевые устройства, запускать утилиты администрирования (administration utilities), а также пользоваться многими другими правами и разрешениями, предусмотренными операционной системой.
Кроме того, пользователям можно предоставлять индивидуальные права и разрешения, однако каждый пользователь должен входить, по крайней мере, в одну группу.

Примечание:
На жаргоне Windows NT действия пользователя, определяются его правами, а объекты, к которым он может получить доступ, - разрешениями.

Если пользователь входит сразу в несколько групп, имеющих разные права, применяется наиболее полный набор прав (они "суммируются"). Единственное исключение — запрет группе выполнять какое-либо действие (пользователю запрещается исполнять это действие, даже если оно разрешено другой группе, в которую он входит).

Средство обслуживания NetWare (NDS) фирмы Novell. Вместо предоставления прав пользователям и группам, в системе NDS (NetWare Directory Services — средство обслуживания каталогов NetWare) организует их в соответствии с организационными единицами (OU — Organizational Unit ). Как правило, OU представляет собою группу коллег по работе или одно подразделение фирмы, однако она определена на пользовательской основе, а потому численность OU не ограничена и допускает любую структуру организации.
В отличие от доменной системы Windows NT, система NDS позволяет пользователю одновременно входить в единственную OU. Таким образом, чтобы изменить массив разрешений для конкретного пользователя, его следует перевести в другую OU. При последующем входе в систему пользователь получит для работы новый набор разрешений.