24. Механизмы защиты данных в сетях эвм. Аутентификация в сети на примере Kerberos.
Основной механизм защиты данных в сетях - шифрование информации.
При помощи процедуры шифрования отправитель сообщения преобразует его из простого текста в набор символов, не поддающийся прочтению без применения специального ключа, известного получателю. Получатель сообщения, используя ключ, преобразует переданный ему набор символов обратно в текст. Т.о., если информация в зашифрованном виде попадет к злоумышленнику, он просто не сможет ей воспользоваться.
Авторизационный сервер (authentication server), обрабатывает все запросы пользователей на предмет получения того или иного вида сетевых услуг, получая запрос от пользователя, обращается к БД и определяет, имеет ли пользователь право на совершение данной операции. Пароли пользователей по сети не передаются, что также повышает степень защиты информации.
Ticket-granting server (сервер выдачи разрешений) получает от авторизационного сервера "пропуск", содержащий имя пользователя и его сетевой адрес, время запроса и ряд др. параметров, уникальный сессионный ключ. Пакет, содержащий "пропуск", передается также в зашифрованном виде. После получения и расшифровки "пропуска" сервер выдачи разрешений проверяет запрос и сравнивает ключи и затем дает "добро" на использование сетевой аппаратуры или программ.
Есть так же firewall(brandmauer):
Так же существует МСЭ(межсетевой защитный экран):
МСЭ:
1) пакетный фильтр
2) шлюз приложений
3) шлюз уровня соединений
4) Proxy-server
Протокол Kerberos предлагает механизм взаимной аутентификации клиента и сервера перед установлением связи м/у ними, причём в протоколе учтён тот факт, что начальный обмен информацией м/у клиентом и сервером происходит в незащищённой среде, а передаваемые пакеты могут быть перехвачены и модифицированы. Идеально подходит для применения в Интернет и аналогичных сетях.
Основная концепция — если есть секрет, известный только двоим, то любой из его хранителей может с лёгкостью удостовериться, что имеет дело со своим напарником. Для этого ему достаточно проверить, знает ли его собеседник общий секрет. Простой протокол аутентификации с секретным ключом вступает в действие, когда кто-то стучится в сетевую дверь и просит впустить его. Чтобы доказать своё право на вход, пользователь предъявляет аутентификатор (authenticator) в виде набора данных, зашифрованного секретным ключом. Получив аутентификатор, привратник расшифровывает его и проверяет получен информацию, чтобы убедиться в успешности дешифрования. Содержание набора данных должно постоянно меняться, иначе злоумышленник может просто перехватить пакет и воспользоваться его содержимым для входа в систему.
Если проверка прошла успешно, то это значит, что посетителю известен секретный код, а так как этот код знает только он и привратник, следовательно, пришелец на самом деле тот, за кого себя выдаёт.
Три участника безопасной связи: клиент, сервер и доверенный посредник м/у ними. Роль посредника здесь играет так называемый центр распределения ключей Key Distribution Center, KDC- служба, работающая на физически защищённом сервере. Она ведёт БД с информацией об учётных записях всех главных абонентов безопасности своей области. Вместе с информацией о любом абоненте безопасности в БД KDC сохраняется криптографический ключ, известный только этому абоненту и службе KDC. Этот ключ, кот называют долговременным, используется для связи пользователя системы безопасности с центром распределения ключей. В большинстве практических реализаций протокола Kerberos долговременные ключи генерируются на основе пароля пользователя, указываемого при входе в систему. Когда клиенту нужно обратиться к серверу, он, прежде всего, направляет запрос в центр KDC. В ответ на запрос клиента, который намерен подключиться к серверу, служба KDC направляет обе копии сеансового ключа клиенту. Сообщение, предназначенное клиенту, шифруется посредством долговременного ключа, общего для данного клиента и KDC, а сеансовый ключ для сервера вместе с информацией о клиенте вкладывается в блок данных, получивший название сеансового мандата (session ticket). Затем сеансовый мандат целиком шифруется с помощью долговременного ключа, который знают только служба KDC и данный сервер. Вся ответственность за обработку мандата, несущего в себе шифрованный сеансовый ключ, возлагается на клиента, который должен доставить его на сервер.
То что давал Гараев про Kerberos:
Сервер-аутентификатор Kerberos, был разработан в Америке, и был разработан для открытых сетей.
Тут предполагается, ввести еще сервер аутентификации(AS), для защиты от хакеров.
Клиент посылает «логин» в AS (и еще с каким серверами хотим соединиться).
Сеансовый ключ (СК) так же сюда вводят для более лучшей защиты. Используют для процедуры аутентификации, так же для защиты.
Используют 2 режима:
1) С помощью СК – меняется всё. Передача конфедициальна.
2) Защищенная передача, имеется электронная подпись.
Тут используется персональный ключ клиента, и при передаче информации можно его украсть(если много передавать).
Далее придумали:
Выдает билет для использования определенного сервера.
25. ОС вычислительных сетей, сравнительная характеристика, взаимодействие между собой, поддержка аппаратных средств (UNIX/Linux, Novell NetWare, Windows95/98/ME, Windows NT, Windows 2000/XP/Vista). Инсталляция, основные протоколы, службы, функционирование, сопровождение.
Novell NetWare 4.1. Специализированная операционная система, оптимизированная для работы в качестве файлового сервера и принт-сервера Ограниченные средства для использования в качестве сервера приложений: не имеет средств виртуальной памяти и вытесняющей многозадачности, а поддержка симметричного мультипроцесcирования отсутствовала до самого недавнего времени.
Серверные платформы: компьютеры на основе процессоров Intel, рабочие станции RS/6000 компании IBM под управлением операционной системы AIX с помощью продукта NetWare for UNIX. Поставляется с оболочкой для клиентов: DOS, Macintosh, OS/2, UNIX, Windows (оболочка для Windows NT разрабатывается компанией Novell в настоящее время, хотя Microsoft уже реализовала клиентскую часть NetWare в Windows NT).
Организация одноранговых связей возможна с помощью ОС PersonalWare. Имеет справочную службу NetWare Directory Services (NDS), поддерживающую централизованное управление, распределенную, полностью реплицируемую, автоматически синхронизируемую и обладающую отличной масштабируемостью. Поставляется с мощной службой обработки сообщений Message Handling Service (MHS), полностью интегрированную (начиная с версии 4.1) со справочной службой.
Поддерживаемые сетевые протоколы: TCP/IP, IPX/SPX, NetBIOS, Appletalk. Поддержка удаленных пользователей: ISDN, коммутируемые телефонные линии, frame relay, X.25 - с помощью продукта NetWare Connect (поставляется отдельно).
Безопасность: аутентификация с помощью открытых ключей метода шифрования RSA; сертифицирована по уровню C2. Хороший сервер коммуникаций. Встроенная функция компрессии диска. Сложное обслуживание
Microsoft Windows NT Server 3.51 и 4.0.
Серверные платформы: компьютеры на базе процессоров Intel, PowerPC, DEC Alpha, MIPS. Клиентские платформы: DOS, OS/2, Windows, Windows for Workgroups, Macintosh.
Организация одноранговой сети возможна с помощью Windows NT Workstation и Windows for Workgroups. Windows NT Server представляет собой отличный сервер приложений: он поддерживает вытесняющую многозадачность, виртуальную память и симметричное мультипроцессирование, а также прикладные среды DOS, Windows, OS/2, POSIX.
Справочные службы: доменная для управления учетной информацией пользователей (Windows NT Domain Directory service), справочные службы имен WINS и DNS.
Хорошая поддержка совместной работы с сетями NetWare: поставляется клиентская часть (редиректор) для сервера NetWare (версий 3.х и 4.х в режиме эмуляции 3.х, справочная служба NDS поддерживается, начиная с версии 4.0), выполненная в виде шлюза в Windows NT Server или как отдельная компонента для Windows NT Workstation. Служба обработки сообщений - Microsoft Exchange Server, интегрированная с остальными службами Windows NT Server.
Поддерживаемые сетевые протоколы: TCP/IP, IPX/SPX, NetBEUI, Appletalk. Поддержка удаленных пользователей: ISDN, коммутируемые телефонные линии, frame relay, X.25 - с помощью встроенной подсистемы Remote Access Server (RAS).
Служба безопасности: мощная, использует избирательные права доступа и доверительные отношения между доменами; узлы сети, основанные на Windows NT Server, сертифицированы по уровню C2. Простота установки и обслуживания. Отличная масштабируемость.
Cравнительные характеристики сетевых операционных систем
Наименование: |
NetWare 4.1 |
Windows NT Server 4.0 |
Unix |
Многозадачность |
кооперативная |
вытесняющая |
вытесняющая |
Защита памяти отдельного процесса |
нет |
есть |
есть |
Многопоточность |
есть |
есть |
есть |
Поддержка SMP |
есть |
есть |
есть |
Кластеры |
нет |
нет |
есть |
Избыточная отказоустойчивость |
SFT III |
нет |
есть для некоторых версий |
Сертификация по C2 |
сеть |
рабочая станция (NT 3.51) |
разные варианты для различных версий |
Поддержка алфавитно-цифровых терминалов |
нет |
нет |
есть |
Сетевой графический интерфейс |
нет |
у независимых фирм |
есть |
Логическая организация ресурсов |
служба каталогов |
домены |
домены (NIS) |
Быстродействие сетевой файловой системы |
отличное |
очень хорошее |
низкое (NFS) |
И так…тут много разных ОС, описать все надо, но так как я и так много расписал и вставил дополнительного, сами найдете отличия.