Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Чувство безопасности

Джули Борт

Гигантское увеличение трафика, большая часть которого приходится на долю удаленных пользователей, заставило менеджеров информационных систем срочно искать решение проблем безопасности и привело к возникновению рыночной ниши для выделенных серверов защиты данных от несанкционированного доступа.

Производителям оригинального оборудования (OEM), ищущим новые рынки сбыта, следует обратить внимание на серверы защиты данных, в развитии которых наметилось несколько тенденций - от простых систем с аутентификацией по паролю до полноценных "противопожарных стен" - брандмауэров (firewall).

Повсеместное применение архитектуры клиент-сервер увеличило общее число выделенных серверов и заложило фундамент для рынка серверов защиты данных от несанкционированного доступа. Увеличение числа пользователей требует более сложных функций, которые возлагают на специально выделенное для этого оборудование. В настоящее время вместо простейшей конфигурации, состоящей из одного сервера и клиентских ПК, в корпоративных системах, как правило, применяют не только файл- и принт-серверы, но и серверы приложений, коммуникационные и другие выделенные серверные машины.

Несмотря на то, что такие службы защиты, как аутентификация по паролю, сегодня все еще обеспечиваются коммуникационными серверами, существует тенденция к вынесению этих служб в отдельные системы по мере увеличения требований к безопасности сети. Резко возросшее число запросов на доступ к удаленным системам и к сети Internet вынуждает менеджеров информационных служб "хвататься" за более сложные процедуры аутентификации.

Однако публикации о наличии брешей в системах защиты от несанкционированного доступа, в том числе и в Internet, вызвали в корпоративном мире серьезные сомнения по поводу их надежности. Так, известный хакер Кевин Митник был уличен во взломе компьютерной системы, созданной одним из виднейших мировых экспертов по безопасности, - Цитому Шимомурой.

Уэйд Кларк, вице-президент по маркетингу и продажам фирмы Cryptocard, производящей серверы безопасности и активно ищущей лицензионные соглашения с OEM-производителями, утверждает, что серверы безопасности - ходовой товар. Компании, желающие выйти в Internet, приходят в ужас от ее нерегулируемости.

Дэйв Каллинейн, старший консультант по безопасности недавно сформированной службы Internet Security Services корпорации Digital Equipment отметил, что стандарт Unix Distributed Computing Environment (DCE) требует выполнения аутентификации по паролю на выделенном сервере. Рабочий комитет Internet Engineering Task Force (IETF) разрабатывает стандарт базы данных Remote Authentication Dial-In User Service (Radius), предназначенной для управления защитой информации при удаленном доступе. Предполагается, что по мере увеличения базы данных Radius станет целесообразно размещать ее на выделенном сервере.

Удаленный доступ опасен тем, что пользователь остается "невидимым", а такая ситуация благоприятна для хакеров. По мере возрастания нагрузки на входе системы все труднее идентифицировать претендентов на удаленный доступ. Даже одной процедуры проверки паролей достаточно, чтобы оправдать выделение для этого сервера.

Многие государственные агентства, одними из первых начавшие использование систем безопасности, обратились к выделенным серверам аутентификации паролей. По утверждению Тьерри Коста из фирмы Hewlett-Packard, большие финансовые учреждения отстают в этом направлении совсем немного. По мере перехода больших банков к архитектуре клиент-сервер системные администраторы все чаще устанавливают серверы безопасности, выполняющие аутентификацию по паролю и авторизацию и обеспечивающие единственную точку входа в систему.

Для сервера аутентификации по паролю обычно требуется аппаратная платформа из числа высоко функциональных ПК или рабочих станций. Например, для сервера NetSP Secured Logon Coordinator версии 1.2 фирмы IBM необходимы RS/6000 с ОЗУ емкостью 32 Мбайт и жесткий диск емкостью не менее 1 Гбайт. OEM-производители имеют шанс заработать на ажиотаже вокруг систем безопасности.

Производители могут выйти на рынок с недорогими программными продуктами защиты данных, созданными такими производителями информационных систем, как PC Dynamics и Cryptocard, установив их на серийных компьютерных платформах. Например, фирма PC Dynamics предлагает свое ПО защиты данных для настольных систем по цене всего 10 дол. за копию при тираже 4000 копий.

Создан тип сервера аутентификации по паролю, где используются небольшие карточки с информацией о пароле. Регистрация происходит в тот момент, когда пользователь вставляет карточку и вводит персональный идентификационный номер. В таких устройствах размером с кредитную карточку, среди которых есть и производимые фирмами Cryptocard и Cambridge (отделение фирмы Security Dynamics Technologies), пароли изменяются часто и автоматически. В качестве альтернативного варианта серверы аутентификации могут использовать более развитые методы, такие, как проверка по голосу или отпечаткам пальцев.

Для разработчиков с большими амбициями "заградительные" системы с развитыми функциями безопасности предоставляют большие возможности. Рон Фрейзер, президент фирмы Information Security Systems, указывает на неоднозначность понятия "заградительные" системы. Одни пользователи хотят перекрыть путь хакерам. Другие защититься от вирусов. Есть даже такие, которые надеются, что "заградительные" системы будут читать текст в реальном времени и сразу же решать, допустима ли его передача.

Вице-президент фирмы Livermore Software Laboratories Джим Ливермор говорит, что конкретная реализация "заградительных" систем так же уникальна, как и защищаемая сеть, поэтому они, как правило, выделены в виде отдельного элемента и часто базируются на высоко функциональных платформах, таких, как PowerPC, занимающих верхние строчки в прайс-листах - по цене от 10 000 дол. и выше.

Джим Ливермор говорит также, что OEM-производители, предоставляющие консультации по защите данных, могут, по всей видимости, добавить к той сумме, которую пользователь должен заплатить за надежную сеть, еще 90 000 дол. Он утверждает, что знает примеры, когда включение в "заградительные" системы консультационных услуг увеличивало их цену до 100 000 дол.

Хотя требования к различным типам серверов защиты данных от несанкционированного доступа значительно варьируются, одно общее для них требование сохраняется неизменным - это шасси, которое нельзя взломать физически. Дэйв Каллинейн из фирмы Digital Equipment считает, что производители оригинального оборудования, использующие для создания устройств защиты данных компьютеры, должны сделать последние физически защищенными настолько, чтобы их нельзя было вскрыть или перезагрузить. Если можно добраться до системной консоли, то угроза нависает над всей сетью.


распечатать статью

Стоимость грецкие орехи сколько стоит грецкий орех.




  
4 '1996
СОДЕРЖАНИЕ

колонка редактора

• Всемирная либеральная революция в электросвязи

услуги сетей связи

• Система сигнализации № 7

• CTI: TAPI или TSAPI?

• Стандарт DECT: новые возможности для операторов сетей связи

• Широковещательные системы передачи данных домашним ПК

• Эволюция GSM

интернет и интрасети

• Мир TCP/IP. Традиционные приложения (часть 1)

• Какой вариант HTML "реальнее"?

• Южная Московская Опорная Сеть

• ПК для всего мира

• Как украсить страницу Web

• Планирование узла Web

корпоративные сети

• Тестирование модемов V.34

• Многопротокольная маршрутизация в сетях АТМ

• Маршрутизация в сетях АТМ. Кто победит?

• Удаленный доступ по TCP/IP

• Средства удаленного доступа

локальные сети

• Сетевые принтеры

• Стековые концентраторы

• Законы энтропии и сеть

• Системная политика - ключ к эффективному управлению

• Применение профилей пользователей в Windows 95

защита данных

• Размышления об электронных платежах

• Чувство безопасности

• "Скорпион" защищает сеть

новые продукты

• Недорогой маршрутизатор Vgate фирмы RND, Lotus Notes версии 4.0, Компьютеры UltraSPARC, Коммутаторы IGX фирмы StrataCom, Bay Networks всерьез берется за АТМ, Вперед по дороге АТМ



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх