Расположение ресурсов в dmz-сетях
1) внешние доступные серверы - располагаются во внешней DMZ, при этом ПР обеспечивает для них фильтрацию трафика и предварительное управление доступом, а основной FW (МСЭ 1) должен предотвращать установку соединения от внешних серверов с внутренними системами;
2) внутренние серверы – должны быть размещены во внутренней сети, при этом на внутреннем FW (2) должен быть реализован Proxy Server, управляющий доступом к внутренним серверам;
3) DNS-сервер – сервер, которые хранят информацию о соотношении IP адреса и доменного имени. Т.к. DNS-сервер является критическим сервисом, необходимо применять дополнительные меры безопасности. Наиболее распространенным методом защиты является применение 2-х DNS-серверов (внутренний и внешний).
Внутренний DNS-сервер должен быть отделен от внешнего и содержать в большинстве своем статические записи. Он не обеспечивает доступ к внутренним ресурсам сети по их именам.
Внешний DNS-сервер не должен иметь записей о внутренних системах, к которым не предполагается доступ из вне.
4) SNTP-сервер. Если в организации существует собственный mail-сервер, обеспечивающий получение почты для внутренних пользователей, информация, хранящаяся на нем, является критичной и располагать этот сервер следует во внутренней DMZ-сети.
Для установления соединения с ним из сети на МСЭ 1 (основной FW) устанавливается специальный CNTP proxy, который позволяет допустить во внутреннюю сеть только разрешенные запросы на соединение протокола SNTP.
Служба аутентификации keeberos
Служба аутентификации применяется, чтобы пользователи в распределенной сети могли получать доступ к ее сервисам, при этом обеспечивалась защита от следующих угроз:
-
НСД;
-
Подмена IP (IP spoofing);
-
Воспроизведение ранее перехваченных сообщений.
KERBEROS v.4
В данной системе для аутентификации используется третья сторона, так называемый сервер аутентификации (AS), который хранит пароли всех пользователей в централизованной БД, причем распределение паролей осуществляется физическим способом. Также сервер хранит секретный ключ, уникальный для каждого сервера или ресурса сети, позволяющего его идентифицировать.
Для обеспечения конфиденциальности ПД используется симметричная система шифрования (DES на пример). Процедура аутентификации реализуется с помощью специального диалога, состоящего из нескольких шагов.
Простейший диалог аутентификации
1) С→AS; IDc||Pc||IDv;
2) AS
→С: мандат, мандат =
,
ADc –
сетевой адрес клиента;
3) С→V: IDc||мандат
«-»:
-
Данный диалог требует от клиента проходить процедуру аутентификации каждый раз при обращении к сервису с введением пароля;
-
Пароль передается в открытом виде;
-
Мандат может быть использован злоумышленником для подмены IP
Для устранения этих «-» используется защищенный алгоритм аутентификации.
Для реализации более защищенного диалога аутентификации будет использован дополнительный сервер TGS или сервер выдачи мандатов. Этот TGS выдает мандаты пользователям, которые были идентифицированы сервером AS. Т.е. пользователь однократно запрашивает мандат на получение мандата у сервера AS и каждый раз его использует для запроса у сервера TGS мандата для доступа к конкретному сервису.
Однократно в ходе сеанса доступа
1) С→AS; IDc||IDTGS;
2) AS→ С: ЕКС[МандатTGS;]
МандатTGS=ЕКTGS[IDc||ADc||IDTGS||TS1||Cрок1]
Однократно для каждого сервиса
3) С→TGS: IDc||IDv||МандатTGS;
4) TGS→С: Мандатv
Мандатv=ЕКv[IDc||ADc||IDv||TS2||Cрок2]
Каждый раз выполняется при каждом использовании сервиса
5) С→V: IDc||Мандатv
«-»:
МандатTGS передается в открытом виде на 3 шаге, соответственно может быть перехвачен и использован им до истечения срока действия мандата, используя подмену IDC и ADC легального пользователя. Все упирается в сроки действия. Нет взаимной аутентификации К и С.