Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

PremierAccess впереди всех

Майк Фратто

В процессе тестирования система единого (унифицированного) управления аутентификацией фирмы Secure Computing легко “обошла” аналогичные продукты конкурирующих компаний, но в любом случае вам придется потратить много сил, интегрируя ее с существующими приложениями.

Есть ли продукты, способные помочь администратору эффективно и рационально организовать политику аутентификации в корпоративной сети? Задавшись целью получить ответ на этот вопрос, мы сформировали несколько не синхронизированных между собой справочников и наборов правил аутентификации для нашей тестовой сети, в частности, решено было применить биометрическую аутентификацию на рабочих местах.

Мы искали такие пакеты программ, которые обеспечивали бы единую многоуровневую политику и поддерживали бы такие инструменты аутентификации, как пароли, биометрические средства, жетоны и цифровые сертификаты. Нам не требовались расширенные функции синхронизации справочников, единой регистрации и тому подобное, поскольку такие удобства, упрощая процесс администрирования и помогая конечному пользователю в работе, не решают основных задач в области политики аутентификации.

В лаборатории Real-World Сиракузского университета мы протестировали три продукта: BioNetrix Authentication Suite фирмы BioNetrix Systems, Novell Modular Authentication Service, или NMAS, фирмы Novell и SafeWord PremierAccess фирмы Secure Computing. Хотелось бы видеть в списке участников тестирования еще две компании — ActivCard и CryptoCard, — но они не успевали подготовить новые рабочие версии своих продуктов к установленному нами сроку. Подразделение Tivoli из состава IBM отказалось участвовать, сочтя наши требования слишком “узкими”. По-видимому, покупая продукт Tivoli, вы должны заодно приобрести и их “видение мира”.

Полную версию данной статьи смотрите в 13-ом номере журнала за 2002 год.

Итак, мы начинаем...

Создаваемая нами политика аутентификации должна была включать множество функций.

Во-первых, мы хотели иметь возможность разбивать пользователей на “группы допуска” к информации различного уровня конфиденциальности. Для каждой группы должны предусматриваться свои требования аутентификации. Так, большинство пользователей не нуждаются в биометрической аутентификации или аутентификации с помощью жетона, поскольку им требуется доступ лишь к ресурсам, обладающим малой ценностью. Парольной защиты в этом случае вполне достаточно, — если, конечно, у вас есть возможность принудительно устанавливать стойкость паролей. В этом отношении на высоте оказался продукт NMAS с механизмом Enhanced Passwords. С его помощью вы можете заставить пользователей придумывать трудные для отгадывания пароли. NMAS — это еще и единственный продукт, в котором есть опция, вынуждающая пользователей помещать дополнительные символы в середину пароля, а не в его начало или конец. Это очень полезная функция, поскольку часто, когда от пользователей требуется включить в состав пароля дополнительный символ, они просто добавляют к нему восклицательный знак (!) с той или другой стороны.

Во-вторых, для групп, имеющих доступ к сугубо конфиденциальным корпоративным ресурсам, должно быть предусмотрено несколько способов аутентификации. Все протестированные нами продукты позволяли усиливать политику безопасности, но разными методами. BioNetrix предлагает мощный инструмент на основе Булевой логики, формирующей как простые правила вроде “использовать пароль И жетон”, так и более сложные, например “использовать пароль И жетон ИЛИ биометрическое средство”. NMAS оперирует лишь простыми правилами — либо И, либо ИЛИ, но не оба сразу, — однако пользователям могут назначаться несколько наборов правил.

В-третьих, мы хотели, чтобы в наборах правил аутентификации учитывались такие факторы, как время суток или местонахождение пользователя, например “пользователь ЛВС”, “удаленный пользователь”.

В конце концов, проводя четкое разграничение между аутентификацией и управлением доступом, мы стремились обеспечить многоуровневую аутентификацию, т. е. возможность изменять уровень строгости аутентификации на основе того, к каким приложениям запрашивается доступ. Так, например, для просмотра электронной почты достаточно просто пароля, если же пользователь хочет работать с критически важным приложением или ресурсом, ему придется должным образом подтвердить свои полномочия. Здесь-то и нужны дополнительные разработки, обеспечивающие интеграцию механизмов аутентификации с существующими приложениями, и предпочтение отдается разработкам на основе Web-технологий.

Чем хороши они? Доступностью исходного кода и поддержкой принудительной аутентификации. И еще, Web-приложения — это, по существу, “тонкие” клиенты, поэтому от конечных пользователей не требуется никакого другого ПО, кроме браузера, возможно, с поддержкой ActiveX или Java. Конечно же, сопровождение Web-приложений — трудная задача, но существует множество продуктов, основной задачей которых является обеспечение аутентификации и управления доступом через Web (http://www.nwc.com/1211/1211f2.html).

Работа с пользователями

Начиная внедрять средства аутентификации или усиливать уже имеющиеся, вы сталкиваетесь со сложной задачей — управлением пользователями. Вы должны будете убедить их начать пользоваться новыми методами и научить этому. Как администратор, вы хотите обеспечить наилучшую аутентификацию, но, если чрезмерно усложнить ее, пользователи станут писать пароли и PIN-коды на бумажках, приклеивать их к жетонам и т. д. и т. п., другими словами, они постараются облегчить себе жизнь в ущерб корпоративной безопасности.

Еще одно замечание: появление одних пользователей и уход других — сложный процесс. Признайтесь, ведь у вас есть активные учетные записи пользователей, покинувших вашу организацию, не правда ли? Очень часто задача по внесению в БД учетных записей новых пользователей и удалению старых возложена на нескольких людей, что приводит к размыванию ответственности. Ни один из протестированных нами продуктов не умеет синхронизировать учетные записи пользователей с внешними справочниками, хотя два продукта — производства фирм Secure Computing и BioNetrix — могут импортировать пользователей, а NMAS синхронизируется с другими LDAP-справочниками. Если вместо нашей службы справочника использовать eDirectory от Novell, мы смогли бы создать единый справочник, но тогда у нас появились бы другие проблемы.

Имея единый источник данных аутентификации для всех пользователей, вы можете быстро и легко блокировать любую учетную запись, не заботясь о том, сколько отделов в вашей организации. Теоретически такой пользователь не сможет войти в систему. К сожалению, BioNetrix Authentication Server (BAS) не усиливал нашу парольную политику в случаях, когда в нем не было информации о пользователе, что, без сомнения, является серьезным упущением.

В конце концов, что такое аутентификация без учета использования ресурсов и без ведения журналов? Если ваша система распознает пользователя, она должна уметь и фиксировать его деятельность. Продукты обеих фирм — Secure Computing и BioNetrix — поддерживают детальное журналирование системных событий, включая действия администратора. К сожалению, нам не удалось запустить ПО Novell для ведения учета использования ресурсов, и после консультации с инженерами и специалистами компании мы выяснили, что натолкнулись на старую недоработку. Сейчас в Novell работают над этим, но к моменту нашего тестирования проблема еще не была решена.

В конце концов мы присудили первое место продукту компании Secure Computing, поскольку он оказался наиболее законченным решением с самым четким определением политики аутентификации. Впрочем, свои сильные стороны имеются и у продуктов Novell и BioNetrix. Если вы пользуетесь справочником eDirectory, то выбирайте NMAS, если же вам не нужна поддержка жетонов, вполне можно остановиться на BioNetrix.

SafeWord PremierAccess 3.1 фирмы Secure Computing

SafeWord PremierAccess — это гибкая система управления аутентификацией, справившаяся практически со всеми поставленными нами задачами. Несмотря на уникальность ее концептуальной структуры среди всех продуктов нашего обзора, она обеспечивает необходимую базу для адаптирования системы аутентификации к нуждам корпоративных пользователей. Впрочем, правдой является и то, что изучение возможностей PremierAccess займет немало времени, и, если у вас на руках нет четко определенной политики аутентификации, вам придется порядком потрудиться, чтобы создать ее. В конце концов, вы не построите дом без проекта.

PremierAccess представляет собой отдельную систему аутентификации. С ее помощью нельзя реализовать единую регистрацию для не основанных на Web приложений, и она не заменяет имеющиеся механизмы аутентификации. Эта система просто проводит аутентификацию до обращения к приложению. Нашими тестовыми приложениями были: программа входа в ОС Windows NT/2000, использующая агента для связи с PremierAccess; системы Solaris и Red Hat Linux 7.2, использующие заменитель оболочки (shell replacement) или подключаемый модуль аутентификации (Pluggable Authentication Module — PAM), а также программа входа в ОС NetWare, использующая NMAS. Для тех конечных пользователей, которые работают в среде Windows, фирма Secure Computing подменяет подсистему Microsoft GINA (Graphical Identification and Authentication) своей подсистемой. Серверы Windows 2000/NT и Unix требуют дополнительной настройки — нужно указать, кто из пользователей будет проходить аутентификацию посредством PremierAccess. В среде Windows пользователей добавляют в группу SafeWord_Users, а в среде Unix аутентификация настраивается в PAM или же пользователю назначается заменитель оболочки в файле /etc/passwd.

Благодаря поддержке технологий RADIUS и SecureID система PremierAccess может запрашивать аутентификацию у внешних систем. Для настройки нашего ПО RSA Ace/Server мы отредактировали XML-файл authbroker.cfg и установили уровень аутентификации по умолчанию. На стороне Ace/Server нам пришлось ввести информацию о хосте PremierAccess, поскольку запросы на аутентификацию будут поступать именно от него, а не от рабочих станций пользователей. Для связи с Ace/Server в PremierAccess используется сервер-посредник RADIUS.

При любой попытке осуществить аутентификацию данные о пользователе сверяются со списками (Access-Control Lists — ACL), содержащими записи управления доступом (Access-Control Entries — ACE). В этих записях определяются субъекты, ограничения и возвращаемые значения параметров аутентификации. Субъектами могут быть пользователи (либо они определяются как роли или группы пользователей); IP-адреса и их группы или запрашивающие аутентификацию приложения. Далее, в записях определяются все ограничения, например время суток, особенные даты и уровни строгости аутентификации.

Уровню строгости присваивается числовое значение от 1 до 20, в зависимости от применяемых средств аутентификации — паролей, жетонов или цифровых сертификатов. Пароли — слабое средство защиты, поэтому по умолчанию такому способу аутентификации соответствует уровень 5; жетоны без PIN-кода, вроде Silver fobs производства Secure Computing, немного надежнее, и им соответствует уровень 15, и, наконец, жетоны с PIN-кодом, вроде SecureID производства RSA и Platinum от Secure Computing, являются самыми надежными инструментами защиты, им соответствует числовое значение уровня строгости 20. Все эти цифры можно изменять по собственному усмотрению. Установка минимального уровня строгости аутентификации означает, что для получения доступа пользователю достаточно предоставить доказательства правомочности соответствующего уровня или более высокого. Например, уровню 20 соответствует аутентификация посредством пароля и жетона SecureID/Platinum.

Проводя тестирование, мы назначили всем нашим пользователям ролевые имена, в соответствии с которыми и формировались группы со схожими требованиями аутентификации. Например, у нас было ролевое имя General User, и членами группы с этим именем были все пользователи, имя же High Secure назначалось лишь нескольким пользователям. Каждому пользователю может назначаться одно или несколько ролевых имен, в зависимости от ваших требований. В дополнение к этому ролевые имена могут иметь приоритеты, в соответствии с которыми они обслуживаются системой, т. е. роли с высоким приоритетом будут обслуживаться в первую очередь. Во всех наших записях ACE мы пользовались ролевыми именами для указания ограничений, применяемых к проходящим аутентификацию пользователям.

Вот тут-то и начинается самое интересное. Обработка ACL — это двухступенчатый процесс. ACL, а затем ACE обрабатываются до тех пор, пока не завершится аутентификация с соблюдением всех ограничений или не появится сообщение об ошибке. Ошибка сразу же останавливает процесс и запрещает аутентификацию пользователя. Вам не нужно указывать в файле политики устройства, посредством которых пользователь должен проходить аутентификацию, чего требуют продукты NMAS и BioNetrix. Если удостоверяющие личность пользователя данные соответствуют требованиям определенного уровня аутентификации, ему разрешается доступ к системе.

Гибкость процесса аутентификации подразумевает его сложность, поэтому по мере возрастания сложности решение становится все более подверженным ошибкам. Средства журналирования Secure Computing — отличные инструменты для мониторинга и поиска ошибок. Хотя журнал ведется не очень подробно и в нем не указываются источники проблем, но с его помощью можно, например, определить набор правил и номер записи ACE в случае неудачного завершения процедуры аутентификации. Так, изучив журнал, мы выявили пользователя, проходившего аутентификацию по умолчанию, которая завершилась ошибкой. Множество системных событий могут заноситься в журнал и экспортироваться для просмотра.

Единственное, чего действительно не хватает в системе PremierAccess, так это широкой поддержки устройств биометрической аутентификации. Компания Secure Computing поддерживает устройство распознавания отпечатков пальцев Sony FIU-710 Puppy, репозитарий и процессор цифровых сертификатов, но в последнем случае вы аутентифицируетесь посредством устройства Puppy, которое, в свою очередь, разблокирует цифровой сертификат. Это не совсем подходит под определение устройства биометрической аутентификации. Есть еще одна функция, которой, по нашему мнению, не хватает данному продукту, — это поддержка единой регистрации (SSO) для аутентификации на серверах приложений. Компания Secure Computing утверждает, что PremierAccess используется преимущественно для усиления имеющейся стратегии аутентификации, но, на наш взгляд, все, что упрощает работу пользователей, приводит к уменьшению числа обращений в службу поддержки и способствует укреплению безопасности.

Modular Authentication Service 2.0 Enterprise Edition фирмы Novell

NMAS — усовершенствованный пакет аутентификации, дополняющий eDirectory, корпоративную службу справочника Novell. Этот пакет интегрирует средства аутентификации сторонних производителей, называемые методами, с eDirectory. Он также позволяет администраторам определять политику аутентификации. Объединение же NMAS с eDirectory и SSO-приложением SecureLogin предоставляет в их распоряжение поистине мощнейший набор инструментов. Самый большой недостаток такого решения заключается в следующем: все названные выше инструменты принадлежат к различным линиям продуктов, и, чтобы заставить их работать вместе, нам пришлось приложить неимоверные усилия. Как только все заработало, мы начали формировать и реализовывать политику аутентификации, добиваясь при этом интеграции компонентов и удобства работы с ними для пользователей, лучших по сравнению с таковыми в случае с продуктом PremierAccess.

Пакет NMAS был не на высоте в части ведения журналов системных событий — ни нам, ни специалистам Novell не удалось инсталлировать Novell Advanced Audit Service (NAAS).

С помощью SecureLogin мы могли проводить аутентификацию на серверах приложений, что было достаточно сложно, поскольку, во-первых, необходимо добиться высокой степени контроля над конфигурацией настольной системы, а во-вторых, нужна эффективная стратегия аутентификации.

NMAS Enterprise Edition устанавливается в виде компонентов ПО eDirectory и Client32 (Standard Edition работает с eDirectory, но не поддерживает методы сторонних производителей). NMAS добавляет к контейнеру безопасности несколько компонентов, например Login Methods, определяющий продукты и процессы, доступные для выполнения регистрации пользователя в системе, и Post Login Methods, определяющий доступные после входа в систему службы, например механизм блокировки доступа к компьютеру. Для написания кода аутентификации Novell предлагает специальный программный интерфейс. Фактически, если у вас возникнет проблема с применением метода стороннего производителя, служба поддержки Novell переадресует вас к нему. У нас были проблемы с тем, чтобы заставить Ace/Server работать с NMAS, и специалисты из службы технической поддержки Novell заявили, что с этим вопросом нам следует обратиться к RSA. Оказалось, что мы не скопировали файл sdconf.rec в eDirectory.

Мы использовали биометрическое ПО SafModule производства SafLink, устройство считывания отпечатков пальцев от SecuGen и сканер радужной оболочки глаза фирмы Iridian Technologies. Фирма SafLink предоставляет драйверы устройств и NMAS-методы для компании Novell. Процесс добавления методов заключается в их простой установке поверх ПО eDirectory и Client32 и в формировании последовательностей регистрации (Login Sequences). Последние определяют действия, которые должны предпринять пользователи с целью аутентификации посредством eDirectory. Эти последовательности могут быть простыми или сложными, состоять из нескольких последовательностей, объединенных логическими операторами И либо ИЛИ. Например, мы создали следующий метод с высоким уровнем безопасности: “усиленный пароль (Enhanced Password) И отпечаток пальца И жетон SecureID”. Успешное завершение процесса аутентификации требует выполнения каждого из методов, которые предлагаются пользователю в указанном порядке. Поскольку нельзя использовать более сложные логические конструкции, определение политики аутентификации не может быть таким широким, как в случае BioNetrix. Компоненты Login Methods также могут задавать градацию уровней регистрации (Login Grade) для организации управления доступом посредством eDirectory.

Мы определили Login Methods для пользователей eDirectory, чтобы они могли применять ограниченный набор методов. Когда пользователи запускают Client32, они могут выбирать методы регистрации из установленного набора или применять метод по умолчанию.

SecureLogin — это клиентский компонент, требующий аутентификации на прикладном уровне посредством сценария. Компания Novell предлагает несколько предопределенных сценариев; их можно разрабатывать и самостоятельно, а затем распределять пользователям посредством eDirectory. В сценарии определяются действия, которые должен выполнить пользователь до запуска приложения. Например, мы взяли предопределенный сценарий, чтобы добавить аутентификацию пользователя для доступа к разделяемой папке Windows NT. Модифицировав сценарий, мы сделали его глобальным для eDirectory. Каждый раз при регистрации пользователя в системе данный сценарий будет выполняться приложением SecureLogin.

Хотя у решения, предложенного Novell, есть много достоинств, все же мы столкнулись с рядом серьезных проблем. Нам не удалось получить никаких данных о системных событиях из eDirectory. Пытаясь установить службу NAAS, мы не смогли инициализировать ее БД. Специалисты Novell сказали, что уже однажды сталкивались с такой же проблемой, и теперь, когда она возникла вновь, они будут искать ее решение.

Мы также обнаружили, что при установке новых клиентских методов компоненты Client32 становятся нестабильными и может потребоваться переустановка клиента NMAS.

BioNetrix Authentication Suite 4.1 фирмы BioNetrix Systems

Из всех протестированных нами продуктов BioNetrix Authentication Suite (BAS) оказался самым простым в использовании. Единственное, с чем в этом случае имеет дело пользователь, — это новое окно GINA в среде Windows. Продукт BAS аутентифицирует пользователей и от их лица “представляется” конечным системам. Как и в случае с PremierAccess, мы смогли определить довольно сложную политику аутентификации в BAS, но не смогли настроить ее правила для времени суток и IP-адресов. Если принять во внимание обещание компании встроить поддержку SSO в следующую версию этого продукта, то, возможно, BAS будет неплохим выбором для управления аутентификацией в среде Windows. К сожалению, для поддержки других ОС потребуются услуги профессионалов, и вы должны знать об одной вещи, которую мы считаем большим недостатком этого продукта: если BAS “не знает” пользователя, система вообще не будет выполнять никаких действий. BAS просто уведомит агента GINA, чтобы тот провел аутентификацию требуемым способом — это сильно снизило оценку продукта в части реализации политики аутентификации. Если, например, пользователь, числящийся в Active Directory, а не в БД BAS, попробует войти в систему, BAS, не обнаружив у себя информации о нем, передаст его для аутентификации обратно средствам Active Directory. Специалисты BioNetrix заявляют, что в данном случае речь идет не об аутентификации, а об управлении доступом. Мы же считаем, что, если вы реализуете политику, в соответствии с которой все пользователи должны аутентифицироваться посредством BAS, то ее необходимо неукоснительно соблюдать. По крайней мере, администратор должен иметь возможность решать, что делать с не известным BAS пользователем.

В дополнение ко всему прочему выяснилось, что на серверах, таких, как основной контроллер домена Windows NT, Active Directory или NDS, не требуется устанавливать вообще никаких модулей. В BioNetrix нам сказали, что это сделано во благо пользователей — им не нужны никакие программы-агенты на серверах. Да, в этом случае на работу производственных систем не будет влиять еще какое-то дополнительное ПО, хотя это также означает, что синхронизация и репликация справочников становятся невозможными. Мы могли импортировать пользователей Windows NT/AD и NDS, но не могли экспортировать или синхронизировать учетные записи. Таким образом, вам придется иметь дело еще с одной БД.

Пользователи импортируются или добавляются в области (realms). Область определяет приложение и ассоциированных с ним пользователей. BAS поддерживает идентификаторы, с помощью которых пользователи нескольких областей группируются в пределах одного объекта. Пользователи могут быть и членами групп, которым соответственно назначаются правила аутентификации. Поддерживаются простые и сложные логические конструкции правил, а также условные правила на основе пороговых значений биометрических показателей (но такое есть только у BioNetrix). Пороговые значения определяют качество полученных биометрических данных, необходимое для аутентификации. Сравните две операции: включение в систему нового пользователя и аутентификацию существующего. Чем более точным должно быть биометрическое распознавание, тем выше его пороговое значение. Например, пороговое значение 9 означает, что палец надо прикладывать к считывающему устройству с максимальной точностью, чтобы свести к минимуму число ошибочных отказов (false negative). И наоборот, порог с цифрой 1 означает, что палец можно прикладывать не очень точно, но при этом повышается вероятность ошибочных ответов “распознано” (false positive).

Журналы системных событий ведутся, как им и полагается, и учет аутентификации (authentication accounting) очень прост. Удавшиеся и неудавшиеся попытки аутентификации выделяются зеленым и красным цветом соответственно. Когда же мы стали подробно изучать одну неудавшуюся попытку аутентификации, то смогли точно выяснить, какой именно метод не сработал, и определить пороговые значения его параметров. Сами по себе пороговые значения не имеют никакого смысла, но при биометрической аутентификации именно они определяют ее успех и неудачу. Например, когда мы аккуратно помещали пальцы на считыватель SecuGen, то всегда получали пороговое значение 9. Если же мы делали это кое-как, порог был ниже. Зная, какой метод не удался и почему, мы могли модифицировать политику аутентификации и снижать число неудавшихся попыток.

Самыми большими недостатками BioNetrix оказались ограниченная поддержка клиентов (только ПО Windows) и возможность аутентификации пользователей, не известных BAS. Если у вас все построено на ОС Windows, то первый недостаток не играет никакой роли, второй же — можно устранить на месте силами администратора, но вероятность ошибки все же остается. Мы предпочли бы иметь систему, защищенную от подобных неожиданностей.





  
13 '2002
СОДЕРЖАНИЕ

бизнес

• Большая сеть и большие перемены

• Интеграция с неограниченной расширяемостью

локальные сети

• Маркировать СКС становится проще

• Кабельные системы категории 6 и оборудование Gigabit Ethernet

• Оптические сети - это доступно всем

• Сетевые адаптеры Gigabit Ethernet с обработкой трафика TCP/IP

корпоративные сети

• XML приручает информационный хаос

• Радиосистемы типа “точка—точка”

• SAN против NAS - следующий раунд

услуги сетей связи

• Прольем свет на оптические сети

• Как нести бродбэнд в массы?

защита данных

• Защитите свой IP-телефон

• Аутентификация - основа безопасности

• PremierAccess впереди всех

• ИБП-гиганты

новые продукты

• Новые коммутаторы HardLink -- менее 9 долл. за порт!; Радиорелейные станции Altium MX


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх