Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Доверяя, проверяй

Кёртис Франклин-младший

В основе политики сетевой безопасности и электронной коммерции лежит концепция доверительных отношений. Если я в достаточной мере уверен в том, кто вы такой, — а эта самая “мера” сильно варьируется от того, в какой организации вы работаете, — то я позволяю вам взаимодействовать с моей сетью и приложениями, согласно установленным мною правилам.

Администратор должен следить за тем, чтобы доверие оказывали исключительно тому, кто заслуживает его. А это нелегко: пройдет всего несколько лет и, согласно прогнозам компании Gartner, половина нынешних “добротных” методов аутентификации станут недостаточно надежными для защиты конфиденциальной информации от “выуживания”. При этом цена потерь стремительно растет вместе с объемами сетевых транзакций; границы корпоративных сетей размываются вследствие увеличения числа сотрудников, партнеров и клиентов, устанавливающих соединения посредством удаленных/беспроводных терминальных устройств; руководству же компаний необходимо обеспечить соблюдение всякого рода регулирующих актов, множащихся день ото дня. Неудивительно, что наряду с авторизацией, администрированием и аудитом менеджеры корпоративных сетей все больше значения придают аутентификации в качестве ключевого компонента безопасности.

При работе в сети для установления подлинно доверительных отношений администратору необходимо быть уверенным как в личности пользователя, так и — с достаточной вероятностью — в аутентичности пользовательского устройства. Вопрос заключается лишь в том, как убедиться, что личность пользователя будет именно той, которой можно разрешить доступ к сети или приложениям, и как определить меру этой уверенности, которая может варьироваться в зависимости от ситуации. Многие компании даже не стремятся к тому, чтобы достичь этой уверенности “на все сто” — их вполне удовлетворило бы ее частичное повышение. В самом деле, к концу 2005 г. 62% опрошенных нами читателей кроме паролей намерены задействовать дополнительные средства защиты. Причем большинство из них (34%) выбрали бы для этого смарт-карты, а остальные (26%) предпочли бы USB-ключи или средства биометрической аутентификации.

Полную версию данной статьи смотрите в 7-ом номере журнала за 2005 год.

По данным компании IDC, рынок продуктов управления идентификацией и контроля доступа в 2003 г. “стоил” 1,21 млрд долл., и, по ее прогнозам, его рост может достичь примерно 3,5 млрд долл. к 2008 г. Все эти деньги будут распределены между различными технологическими компонентами аутентификации, начиная от БД информации о пользователях до серверов аутентификации и от связующего ПО до аппаратных ключей. По мере интеграции всех этих компонентов предполагается усиление аутентификации за счет требования введения двух, трех и более факторов для подтверждения личности пользователя. Этому также будет способствовать внедрение решений единой регистрации (Single Sign-On — SSO), избавляющих от необходимости без конца вводить пароли для доступа к различным сетям и приложениям, вместо этого пользователю достаточно будет пройти аутентификацию только один раз в начале рабочего дня.

Эволюция идентификации

Сначала для аутентификации достаточно было одного имени пользователя. Затем его дополнил пароль, с которым пришла однофакторная аутентификация, т. е. ваша личность подтверждалась чем-то, известным (теоретически) только вам одному. В большинстве опрошенных нами организаций для аутентификации по-прежнему требуется лишь имя пользователя и пароль,— что ж, для некоторых приложений достаточно и этого. Однако, когда организации пытаются усилить защиту, требуя частой смены паролей или составления их из цифр и букв и при этом запрещая использовать словарные слова, они сталкиваются с ограниченными возможностями человеческой памяти. Пользователи начинают записывать свои пароли в блокноты, звонить в службу поддержки, — а ведь, по разным оценкам, каждый такой звонок стоит от 10 до 35 долл. Если принять во внимание риск “кражи” паролей либо из этих записей, либо в момент их использования в удаленных и беспроводных приложениях, а также с помощью “червей” и клавиатурных перехватчиков, то становится совершенно очевидной необходимость повышения уровня надежности идентификации пользователей.

Это подводит нас к идее двухфакторной аутентификации, при которой к тому, что известно только вам (пароль), добавляется нечто, чем владеете только вы, — обычно это аппаратный ключ (жетон). Именно такую комбинацию защиты выбирают многие компании, желающие перейти от усложненных парольных схем к обеспечению безопасности с помощью жетонов.

Среди двухфакторных решений аутентификации наибольшее распространение получили устройства таких компаний, как ActivCard, Aladdin Knowledge Systems, RSA Security, SafeNet, Secure Computing и Vasco. Они генерируют числовой код, имеющий ограниченный срок действия или годящийся только для разового использования. В некоторых системах, прежде чем сгенерировать парольный код, пользователь должен ввести в жетон строку запроса (challenge string), что, однако, незначительно влияет на уровень защиты.

Что касается двухфакторной аутентификации, то, по мнению Стива Ханта, вице-президента и директора по исследованиям в области безопасности компании Forrester Research, жетоны никоим образом не отвечают требованиям безопасности в перспективе. Как утверждает Хант, жетоны — это всего лишь переходный этап на пути к смарт-картам.

Мы согласны с этим: смарт-карты имеют то преимущество, что являются многоцелевыми устройствами, поскольку, помимо аутентификации с целью доступа к сети и приложениям, они также позволяют контролировать физический доступ в помещения (phy-sical-premises access). Кроме того, они хорошо знакомы пользователям и напоминают им кредитки как по форме, так и по функциям. Так почему же использование смарт-карт до сих пор не стало нормой? Потому что для считывания смарт-карт в отличие от USB-ключей нужны карт-ридеры, а такого рода периферия есть еще далеко не на всех корпоративных рабочих станциях. И до тех пор пока такие компании, как Dell и IBM, не начнут снабжать карт-ридерами все свои ноутбуки и клавиатуры корпоративных ПК, жетоны останутся основным средством двухфакторной аутентификации.

Что знают двое...

Когда двухфакторной аутентификации уже недостаточно, в игру вступает третий фактор — нечто, свойственное исключительно лично вам, т. е. биометрика или идентификация по биологическим характеристикам, например, распознавание по голосу или по сканированию сетчатки глаза. Поставщики ищут способы сделать эту технологию более экономичной и доступной, например используя для этого

USB-сканеры отпечатков пальцев. Однако на данный момент биометрика — это дорогостоящий метод, спо-собный заинтересовать только те организации, которым нужна защита очень ценной информации — например, правительственные или финансовые учреждения.

Кроме того, по данным Национального института по стандартам и тестированию (NIST), степень точности биометрических дактилоскопических систем сильно разнится. Так, последнее тестирование NIST выявило некоторые интересные результаты. Например, оказалось, что распознавание по отпечаткам нескольких пальцев значительно точнее, чем по отпечатку одного. И что, вероятно, еще важнее, точность распознавания зависит не столько от качества аутентифицирующего устройства, сколько от качества изображения отпечатков, хранящихся в БД (см. результаты тестов NIST по адресу http://fpvte.nist.gov/). Несмотря на падение цен на сканеры, снятие отпечатков, настройка БД и использование биометрических решений в целом остаются дорогостоящими процессами, их окупаемость достигается только в том случае, если защищаемые системы и данные имеют исключительно высокую ценность.

И наконец, хотя биометрическая информация и обеспечивает лучшую защиту, чем пароли, но и ее можно похитить. Как мы уже говорили (см.: Сети и системы связи. 2003. № 8. С. 90), отпечатки пальцев, несложным образом воспроизведенные на резиновом муляже, позволяют “обмануть” некоторые биометрические сканеры, при этом учтите, что в отличие от пароля отпечатки нельзя поменять.

Цена и польза

Практически все ОС и многие приложения снабжены средствами однофакторной аутентификации. Например, та же служба RADIUS, используемая многими автономными системами аутентификации, является общей для этих систем. Так зачем же, спрашивается, искать что-то еще, кроме встроенных средств? В число причин, побуждающих к этому поиску, входит как усиление защиты, так и удобство ее использования. Но, чтобы по-настоящему оценить пользу от применения специализированных решений аутентификации, нужно первым делом соотнести их преимущества и связанные с их внедрением затраты.

Трудно подсчитать стоимость информации, утечка которой стала следствием неавторизованного сетевого доступа, — эта цифра колеблется от нескольких миллионов долларов до приблизительной стоимости минеральных запасов на планете Нептун. Суть в том, что, когда дело коснется лично вас, статистика не позволит оценить, сколько именно вы потеряете.

Собираясь построить надежную систему аутентификации, проанализируйте следующие четыре пункта, которые помогут вам оценить ее окупаемость в реалиях управления затратами и рисками, а именно: требуемую степень надежности; ценность транзакций; удобство использования системы; затраты на ее развертывание и сопровождение.

Первые два пункта тесно взаимосвязаны друг с другом и непосредственно определяют, чем полезна система. Внизу шкалы оценки находятся транзакции, имеющие минимальную экономическую ценность, и, следовательно, здесь требуется невысокая надежность идентификации — например, такая, как при регистрации в бесплатной беспроводной сети местной библиотеки. По мере продвижения по этой шкале вверх к электронной коммерции ценность транзакций растет вплоть до крупных институциональных финансовых транзакций, при этом степень требуемой надежности идентификации повышается резкими скачками. Ну и, разумеется, нужно соотнести выгоды с затратами, для чего и служат два последних пункта нашего списка.

Определяя полную стоимость владения (Total Cost of Ownership — TCO) системы аутентификации, люди склонны в первую очередь учитывать чисто финансовые затраты, включая стоимость лицензии сервера аутентификации и индивидуальных аппаратных жетонов, тогда как, с точки зрения пользователя, львиная доля издержек приходится на так, называемый фактор “головной боли”, вызываемой разными неудобствами, которые причиняет им новая система. Причем некоторые организации эту “головную боль” своим пользователям усиливают еще больше, например требуя ввода множества сложных для запоминания паролей, к тому же часто меняемых. Если, как говорится, двигаться этой дорогой, то рано или поздно пользователи станут искать способы обойти систему аутентификации или, выбрав более простой путь, начнут “забрасывать” звонками службу поддержки.

Любая система аутентификации связана с затратами, даже если вы пользуетесь встроенными средствами аутентификации своей сетевой ОС или корпоративного приложения. Аутентификация, поддерживаемая в рамках базовой связующей среды, все еще является нормой, и ведущими поставщиками здесь остаются компании Computer Associates, IBM и VeriSign. Но даже при самых простых схемах аутентификации необходимо учесть расходы на формирование БД пользователей, обучение и поддержку их, назначение прав доступа, а также сопровождение системы.

В ближайшие годы минимизация цены решений аутентификации будет способствовать проявлению двух главных тенденций в этом сегменте ИТ-рынка: уходу корпоративного пользователя от индивидуальных встроенных средств аутентификации и росту применения смарт-карт и прочих аппаратных способов аутентификации, таких, как жетоны, которыми можно пользоваться где угодно. Ценность встроенной технологии аутентификации заключается в том, что, приобретая ее единожды, вы больше уже не платите за нее, причем покупка ее обходится вам по цене, как правило, очень низкой. Но все эти выгоды быстро нивелируются расходами на системную интеграцию, ведь вам наверняка захочется увязать БД аутентификации и ее механизмы в единую согласованную схему, и чтобы при этом не возникало противоречий в требованиях для разных уровней пользовательских привилегий.

Вместе с тем поддерживающие самые разнообразные сети и приложения продукты, такие, как NavisRadius от Lucent, Nsure SecureLogin от Novell, SecurID от RSA и SafeWorld PremierAccess от Secure Computing, требуют обычных расходов на приобретение и сопровождение ПО. Последние компенсируются их возможностями, облегчающими интеграцию системы аутентификации с множеством корпоративных платформ (обзор некоторых таких продуктов см. в следующем номере журнала).

Снижение расходов на интеграцию приобретет особое значение, если организации всерьез заинтересуются преимуществами SSO и федеративной идентификации — identity federation (но об этом чуть позже), а пользователи начнут настойчиво требовать от своих работодателей, чтобы процесс аутентификации, при всей своей строгости, был бы еще и удобным. Стремление к снижению интеграционных расходов должно побудить многие организации к рассмотрению систем аутентификации от третьих фирм, предоставляющих более богатые наборы средств и возможностей для сведения нескольких аутентифицирующих транзакций в одну пользовательскую процедуру.

Те же самые причины, делающие аутентификацию от третьих фирм привлекательной для организаций, делают и смарт-карты предпочтительным выбором для реализации двухфакторной аутентификации. Пользователи уже привыкли к ним (точнее, к их формату), поэтому расходы на внутрикорпоративные обучение и реорганизацию будут низкими. Но, учитывая еще и человеческий фактор, поскольку смарт-карты уже используются в коммерческих приложениях и в системах безопасности зданий, интегрировать их с другими системами будет проще, нежели аппаратные жетоны или USB-ключи. А, добавив средства радиочастотной идентификации, смарт-карты можно будет использовать и с радиосистемами авторизации ближнего действия (proximity authorization), предоставляя с их помощью доступ к устройствам, не снабженным клавиатурой или карт-ридерами.

Как будет развиваться аутентификация?

Цикличность процессов, происходящих на рынке продуктов безопасности, обусловливает быстрый рост интереса к аутентификации, так полагает Стив Хант из компании Forrester. Он добавляет, что массовое развертывание систем безопасности происходит волнообразно: аутентификация, авторизация, администрирование и аудит. По его словам, сейчас мы переживаем фазу аудита: повсеместно разворачиваются системы с целью продемонстрировать соблюдение законов, защищающих личные данные клиентов и врачебную тайну. Как только эта фаза минует, на смену ей немедленно придет фаза аутентификации. Г-н Хант считает, что, согласно прогнозам Forrester, максимум этой фазы придется на конец 2005 г. и продлится она до 2007 г. включительно.

К счастью, разрабатывающие стандарты организации уже предпринимают усилия, направленные на привнесение некоего порядка на этом рынке, значит, скоро должны появиться и продукты, отвечающие требованиям этих первых стандартов. Возьмем, к примеру, архитектуру OATH (Open Authentication Reference Architecture). Сейчас промышленный консорциум Initiative for Open Authentication, основанный компанией VeriSign, к которому присоединились такие поставщики, как ActivCard, Aladdin, Aventail, BEA Systems, Hewlett-Packard и IBM, прорабатывает ее в качестве стандарта строгой аутентификации. Некоторые ведущие производители, например RSA и Secure Computing, пока не присоединились к консорциуму и не сделали каких-либо публичных заявлений по поводу OATH, о чем можно только сожалеть — ведь принятый в масштабе всей отрасли стандарт на аппаратные ключи стал бы огромным благом для потребителей.

Архитектура OATH базируется на двухфакторной аутентификации. При этом в качестве второго фактора можно использовать целый ряд средств — от одноразовых паролей до аппаратных ключей, смарт- и SIM-карт, наподобие тех, которые уже используются в сотовых телефонах. Цель консорциума — открытая архитектура, благодаря которой отдельные компоненты, например жетоны, произведенные одним поставщиком, могли бы применяться для аутентификации на сервере, созданном другим поставщиком. Компании IBM и Aladdin уже объявили о выпуске продуктов, поддерживающих этот стандарт, а упомянутый консорциум заявил о своих планах по передаче предложенного стандарта на утверждение в IETF. Интригующая перспектива.

Зарегистрируйте меня один раз

Двухфакторная аутентификация привлекает сейчас всеобщее внимание, тем не менее “усиленные” пароли, безопасно хранящиеся и транспортируемые, способны обеспечить вполне достаточный уровень защиты для многих сред. Что же делает пароль “сильным”? Мы уже упоминали о требовании использовать наборы цифр и прочих символов таким образом, чтобы ни одна часть пароля не совпадала с каким-либо словом из словаря. Пароль должен храниться в защищенной, зашифрованной БД и не должен передаваться “открытым текстом” во время удаленного сеанса связи.

Проблемы конечных пользователей, забывающих пароли или записывающих их на чем попало, усугубляются, если организация работает с несколькими приложениями, каждое из которых требует своего собственного “усиленного” пароля. Для таких сред важнейшим шагом вперед к достижению гармонии между требованиями безопасности и нуждами пользователей станет единая регистрация (SSO). По мере усиления аутентификации и совершенствования стандартов все больше компаний начинают всерьез рассматривать корпоративные SSO-решения, в которых все сети (проводные, беспроводные и VPN) и все приложения проводят аутентификацию по мандату (credentials) пользователя, сформированному после его единовременной регистрации в начале сеанса связи.

Главное препятствие на пути внедрения SSO лежит в области технологий: как передавать данные аутентификации сетям и приложениям и как безопасно хранить их с момента регистрации пользователя и на протяжении всего сеанса связи, чтобы позже ими могли воспользоваться приложения? Именно SSO вызывает наиболее жаркие дискуссии по поводу специализированных продуктов обеспечения безопасности. Так, продукт eTrust компании Computer Associates (CA) поддерживает, например, модель SSO в рамках корпоративной связующей среды (CA enterprise framework). Другие же поставщики, включая фирмы IBM, Novell и Sun, при встраивании в свои продукты SSO-средств используют разные расплывчатые формулировки, вроде “управления идентификацией”.

Управление политикой безопасности тоже играет немаловажную роль, поскольку устройства так же, как и пользователи, проходят аутентификацию на уровне сети или приложений. Например, в средах, описываемых спецификациями NAC (Network Admission Control) компании Cisco и NAP (Network Access Protection) компании Microsoft, устройства, запрашивающие доступ к сетевым сервисам, должны проходить аутентификацию и наделяться уровнем “доверия”, аналогичным тому, который получает пользователь.

Пока нет никаких серьезных предложений по объединению процедур и механизмов аутентификации устройств и пользователей в сети. Что, впрочем, не удерживает архитекторов сетевой безопасности от продвижения к следующему уровню унификации — федеративной идентификации.

SSO без границ

Что если сеть вашего бизнес-партнера станет получать SSO-информацию из вашей системы сетевой регистрации? А если интерактивная форма для ввода заказа вашего поставщика будет принимать идентифицирующие вас данные из вашей интрасети? Все это — примерные сценарии федеративной идентификации, при которой одна организация доверяет другой в плане проведения должной аутентификации и авторизации пользователей. Здесь, правда, помимо технических вопросов, возникает множество политических и юридических. Зато и преимущества для компаний окажутся весьма значительными, поскольку критически важная информация о пользователях и их паролях сохраняется единожды и не передается по потенциально небезопасным каналам связи. Вместо этого сети принимают друг у друга мандаты в качестве доказательства того, что личность пользователя была установлена с достаточной степенью точности.

Компания Microsoft уже продвигает федеративную идентификацию на потребительский уровень, внедряя свою платформу .Net и сервисы Passport. Трудности установления такого рода взаимоотношений можно проследить на примере компании eBay, которая отказалась от участия в альянсе Passport после внесения корпорацией Microsoft изменений в базовую технологию. Конкурирующие системы федеративной идентификации, например система организации Liberty Alliance (основана фирмой Sun Microsystems и включает поставщиков финансовых услуг, таких, как American Express и Fidelity), имеют свои собственные стандарты и не поддерживают альянс Passport. Что ж, пользователи уже привыкли к смарт-картам, их формату и технологиям; со временем и федеративная идентификация, ориентированная на потребителей, обеспечит ту связующую среду, которой сможет пользоваться бизнес.

Глобальная федеративная идентификация, при которой пользователи будут идентифицироваться один раз, а ее результаты признаваться всеми сетями и приложениями,— идея, конечно, вдохновляющая, но в данный момент безопасная аутентификация, обеспечивающая приемлемый уровень надежности идентификации для одной организации, выглядит более разумно. От “усиленных” паролей к двухфакторной аутентификации и далее к SSO — вы уже должны следовать этим путем или хотя бы планировать его..





  
7 '2005
СОДЕРЖАНИЕ

бизнес

• «Правила присоединения...» в вопросах и ответах

• Перспективные решения Allied Telesyn

• Основное направление — проектная дистрибуция

инфраструктура

• Когда становится жарко... оборудованию

• Телефонные гарнитуры для call-центров

• Тестируем терминальные серверы

• Переход на новую систему хранения данных

информационные системы

• Магия шести сигм

• Теория и практика математического описания очередей вызовов

сети связи

• Передача ОКС7 через IP

кабельные системы

• Тестирование сетей Ethernet

• Средства трассировки кабелей соответствуют новым требованиям

защита данных

• Доверяя, проверяй


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх