Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Безопасность Windows 2000: дальше в лес — больше дров

Росс М. Гринберг

Приобретя некоторый опыт программирования систем, использующих технологию аутентификации Kerberos, и поняв, как это делается в компании Microsoft, я также узнал несколько важных вещей об ее интерфейсе SSPI (Security Support Provider Interface). Желание разобраться с ним досконально было обусловлено вовсе не наличием потенциальной “слабины”, а, напротив, открывающимися горизонтами для развития систем безопасности. Оказалось, что для этого существует гораздо больше возможностей, чем я мог себе представить. И наконец, благодаря этому интерфейсу попытки проникновения взломщиков в вашу сеть перестанут беспокоить вас... может быть...

Я хочу здесь привести высказывание представителя одной фирмы, занимающейся электронной коммерцией (имя и название своей компании он раскрыть не пожелал): “Нам нужно было что-то предпринять, так как система защиты ОС Windows NT — это сущий пустяк для опытного взломщика. Мы работаем в довольно агрессивной среде Интернет с полномасштабными финансовыми транзакциями и используем ОС Windows 2000. Нас больше устраивает бета-версия Windows 2000, в которой уделено должное внимание вопросам безопасности, чем относительно слабая в этом отношении Windows NT. И хотя я доверяю системе безопасности Windows 2000, однако не настолько, чтобы подставлять себя в качестве мишени. Ко всему прочему это пока еще бета-версия”.

Так какими же преимуществами в области безопасности обладает ОС Windows 2000? Самый простой способ понять структуру системы защиты информации или по крайней мере безопасной транспортировки сообщений — разбить ее на три главные составляющие — это аутентификация, гарантия целостности и конфиденциальность. Под аутентификацией понимается, что вы и есть тот, за кого себя выдаете. Гарантия целостности означает, что вы получили именно то, что было послано. Соблюдение конфиденциальности требует, чтобы сообщение было получено и прочитано только тем пользователем, кому оно адресовано.

Хотя протокол аутентификации Kerberos ОС Windows 2000 отлично справляется с работой по аутентификации пользователей и безопасной транспортировке сертификатов, на языке данной технологии именуемых билетами, он оставляет в стороне два других не менее важных аспекта безопасности: в дополнение к стандартному пакету Kerberos должны быть обеспечены конфиденциальность передаваемых сообщений посредством “усиленного” шифрования и контроль их целостности, не поддерживаемый по умолчанию при инсталляции бета-версии Windows 2000.

На первый взгляд кажется, что при разработке SSPI были “заделаны” все известные “дыры”, тем не менее добавить новые функции и программы к уже имеющемуся пакету довольно легко.

Применение компонентов SSPI должно быть санкционировано посредством проверки цифровых подписей у всех модулей CSP (Cryptography Service Provider) перед тем, как система загрузит их. Компания Microsoft подписывает эти модули, используя секретный ключ своей ключевой пары PKI для того, чтобы продемонстрировать свое согласие с экспортным законодательством США. SSPI поддерживает множество модулей CSP, включая протоколы транспортного уровня, такие, как Microsoft Message Queue (MSMQ). Включение протокола MSMQ гарантирует автоматическую безопасную аутентифицируемую транспортировку сообщений через небезопасные и ненадежные среды, такие, как Интернет. Отличный подход!

Другие модули CSP, используемые в ОС Windows 2000, включают механизм Schannel Security Support Provider (Schannel SSP), который объединяет популярный протокол SSL (часто используемый для шифрования соединений между браузерами и узлами Web с целью обеспечения безопасности карточных транзакций), стандартную схему аутентификации Distributed Computing Environment, Kerberos и “вездесущий” протокол NTLM фирмы Microsoft. Используя возможности CryptoAPI, можно выбрать наиболее подходящий протокол для защиты соединений между узлами. Во многих случаях этот механизм является почти “прозрачным” для приложений, т. е. службы аутентификации, обеспечения конфиденциальности и целостности сообщений могут быть добавлены ко всем существующим приложениям, в том числе к приложениям производства третьих фирм, для которых недоступен исходный код. Я полагаю, что это просто великолепно! Не говоря уже об использовании протоколов VPN, таких, как Point-to-Point Tunneling Protocol, или инсталляции файловой системы EFS на удаленных машинах, работающих под управлением ОС Windows 2000, физическую безопасность которых гарантировать невозможно.

Еще одним важным компонентом интерфейса SSPI является протокол Distributed Password Authentication (DPA). Я, правда, не уверен, что он просуществует в этом статусе сколько-нибудь продолжительное время в составе Windows 2000, особенно после выбора Kerberos в качестве основного механизма аутентификации, но думаю, что он по-прежнему будет поддерживаться, как и протокол NTLM. И Kerberos, и DPA для обеспечения единой регистрации пользователя в системе используют технологию “общего секрета”. Kerberos имеет дело с технологией, основанной на обеспечении целостности переданных сертификатов, или билетов , которая, по-моему, превосходит технологию DPA. Вместе с тем я все еще рассматриваю инфраструктуру PKI как более удобную для реализации, нежели механизм Kerberos. Но, как бы то ни было, на текущий момент последний более пригоден для применения в гетерогенной среде и хорошо встроен в Windows 2000, а это значит, что я, скорее всего, стану использовать Kerberos, по крайней мере для аутентификации.

Вызовы функций, имеющиеся в исходном коде, делают реализацию технологий безопасности, к примеру тех, которые предоставляются SSPI-службами Windows 2000, более легкой, чем использование многочисленных продуктов третьих фирм. Базовая последовательность действий включает выполняемую операционной системой регистрацию пользователя. Последний после входа в систему получает набор удостоверений, дающий их обладателю определенные привилегии и права доступа к объектам как на локальной, так и на удаленной системе. Системный вызов AcquireCredentialsHandle возвращает вызывающей программе ссылку, которая обеспечивает аутентифицированному на данном узле пользователю доступ к системным объектам. Этот же вызов применяется для возврата локальной ссылки по внешнему маркеру доступа.

Параметр Credentials Handle Returned обозначает пользовательский контекст (изолированную структуру данных, содержащую сеансовые ключи и другие относящиеся к конкретному соединению сведения), который определяет права пользователя по отношению и к локальной, и к удаленным системам, а также к их пользователям. Контекст также определяет такие важные термины, как “имперсонализация” и “делегирование”. Имперсонализация — это возможность уже аутентифицированного пользователя работать с программами от имени другого лица главным образом на локальной машине. Делегирование — передача данных контекста, в том числе и аутентификационных, на удаленные машины для доступа к имеющимся на них службам.

Обычно делегирование аутентификации осуществляется в то время, когда клиентская машина обращается к серверу от имени пользователя, т. е. имперсонализирует его в системе. Если этому серверу нужно обратиться к другому серверу, чтобы выполнить транзакцию, он тоже, в свою очередь, может воспользоваться имперсонализацией. Такой механизм позволяет ему выступать от имени аутентифицированного пользователя. Делегирование дает возможность совершать последовательную имперсонализацию аутентифицированного пользователя локальной системы по отношению к другим удаленным серверам.

Концепция скрытой имперсонализации позволяет вам выступать от имени другого пользователя, как если бы вы на самом деле были им. Мне не представилось удобного случая, чтобы выяснить, может ли такой пользователь делегировать данные аутентификации, так как моя голова все еще идет кругом от того, что я пытаюсь постичь, как это все согласуется со списками контроля доступа (Access Control List) и службой Active Directory.

Перед назначением указателя или ссылки для контекста SSPI или выдачей удостоверения личности аутентифицированному пользователю должны быть проверены ресурсы системы защиты, а именно список резидентных пакетов безопасности. Это делается посредством однократного вызова функции EnumerateSecurityPackages, которая в ответ выдает вызывающей программе информацию о резидентных пакетах в данной системе. Затем из списка, представляющего собой массив данных типа SecPkgInfo, выбирается наиболее подходящий пакет. Одна из самых важных частей этой структуры включает в себя информацию о том, обеспечивает ли проверяемый пакет поддержку целостности и конфиденциальности сообщений. Думаю, что поддержка аутентификации и шифрования очень важна для любой заслуживающей внимания системы безопасности.

В данной статье не рассмотрено множество другой полезной информации о ресурсах системы защиты, так как выбор наиболее подходящего пакета в системе с широкими функциональными возможностями, как правило, весьма труден. Windows 2000 не всегда делает более легким системное и сетевое администрирование. Но разве богатство возможностей следует считать препятствием? Лично я предпочел бы регулярно сталкиваться с проблемой выбора в своей жизни.





  
16 '1999
СОДЕРЖАНИЕ

колонка редактора

• Выбирайте лучшее

локальные сети

• Преимущества Novell NDS 8

• Будущее стандарта Ethernet 100Base-SX

• Словарь терминов СКС

бизнес

• Симбиоз науки и бизнеса - успех на рынке

• Этот электронный, электронный, электронный, электронный мир

интернет и интрасети

• Лучшие среды разработки Web-приложений

защита данных

• Безопасность Windows NT 2000: дальше в лес - больше дров

корпоративные сети

• Собираетесь модернизировать ЛВС? Не забудьте про АТМ

• Cредства управления SNMP для рабочих групп

услуги сетей связи

• Интеграция речи и данных. В начале долгого пути

• Чудесное превращение Alcatel

• Сетевые модемы и маршрутизаторы ISDN для филиалов предприятий

• В 2000 год - с новыми тарифами

• Тарификация услуг Frame Relay - с точностью до байта

• Мобильность - сила

новые продукты

• Высококачесвенный сервер NAS начального уровня, Intel Express 460T: широкие возможности в компактном корпусе



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх