Література. 1. Барсуков В.С. Безпека: технології, засоби, послуги / В.С

1. Барсуков В.С. Безпека: технології, засоби, послуги / В.С. Борсуків. – М., 2001 – 496 с.

2. Ярочкин В.И. Інформаційна безпека. Підручник для студентів вузів / 3 е изд. – М.: Академічний проект: Трікста, 2005. – 544 с.

3. Барсуков В.С. Сучасні технології безпеки / В.С. Борсуків, В.В. Водолазській. – М.: Нолідж, 2000. – 496 с., мул.

4. Зегжда Д.П. Основи безпеки інформаційних систем / Д.П. Зегжда, А.М. Івашко. – М.: Гаряча лінія – телеком, 2000. – 452 с., мул.

5. Комп'ютерна злочинність і інформаційна безпека / А.П. Леонов [і др.]; під общ. Ред. А.П. Леонова. – Мінськ: АРІЛ, 2000. – 552 с.

Безпека 2 в Windows XP (частина 6)

Четвер, 23 червня 2008

Ipsec в роботі
Перед передачею будь-яких даних комп'ютер з підтримкою Ipsec погоджує з партнером по зв'язку рівень захисту, використовуваний в сеансі. У процесі узгодження визначаються методи аутентифікації, кешування, туннелірування (при необхідності) і шифрування (також при необхідності). Секретні ключі перевірки достовірності створюються на кожному комп'ютері локально на підставі інформації, якою вони обмінюються. Ніякі реальні ключі ніколи не передаються по мережі. Після створення ключа виконується перевірка достовірності і починається сеанс захищеного обміну даними.

Рівень безпеки (високий або низький) визначається політиками IP-безпеки комп'ютерів, що обмінюються. Скажімо, для зв'язку між комп'ютером з Windows XP Professional і комп'ютером, що не підтримує Ipsec, створення захищеного каналу не потрібне. З іншого боку, в сесії обміну між Windows 2000-сервером, що містить конфіденційні дані, і комп'ютером в інтрамережі зазвичай потрібний високий ступінь безпеки.

Підтримка смарт-карт
Смарт-карта - це пристрій з інтегральною схемою, що а розміром схожа на кредитну картку, призначений для безпечного зберігання відкритих і закритих ключів, паролів та іншої особистої інформації. Вона служить для операцій шифрування з відкритим ключем, перевірки достовірності, введення цифрового підпису і обміну ключами.

Смарт-карта надає наступні функції:

особливо захищене сховище для закритих ключів та іншої приватної інформації;
ізоляцію надзвичайно важливих для безпеки обчислень, зокрема перевірки достовірності, цифрового підпису і обміну ключами, від інших компонентів системи, які безпосередньо не працюють з цими даними;
свободу переміщення реквізитів користувачів та іншої приватної інформації між комп'ютерами на роботі й удома, а також віддаленими комп'ютерами.
PIN замість пароля
Для активізації смарт-карт застосовуються PIN-коды (Personal Identification Number - персональний ідентифікаційний номер), а не паролі. Код відомий тільки власникові смарт-карты, що підвищує надійність захисту. Для активізації смарт-карты користувач вводить її в підключений до комп'ютера пристрій читання і у відповідь на запит системи вводить свій PIN-код.

PIN-код надійніший за звичайні мережеві паролі. Паролі (або їх похідні, наприклад, кеш-кодування) передаються по мережі і схильні до атак. Стійкість пароля до злому залежить від його довжини, надійності механізму захисту пароля і від того, наскільки важко його вгадати. З іншого боку, PIN-код ніколи не передається по мережі і тому його не можна перехопити аналізатором пакетів. Додатковий засіб захисту - блокування смарт-карти після декількох невдалих спроб підряд ввести PIN-код, що сильно утрудняє підбір коду. Розблоковувати смарт-карту може тільки адміністратор системи.

Стандарти смарт-карт
Windows 2000 працює зі стандартними смарт-картами і пристроями читання смарт-карт, що підтримують специфікацію Pc/sc (Personal Computer/smart Card), визначену робочою групою Pc/sc Workgroup, а також технологію Plug and Play. Для підтримки специфікації Pc/sc 1.0 в Windows смарт-карта повинна конструктивно і по електричних характеристиках відповідати стандартам ISO 7816-1, 7816-2 і 7816-3.

Пристрої читання смарт-карт підключають до стандартних інтерфейсів периферійних пристроїв персонального комп'ютера, таким як Rs-232, Ps/2, PCMCIA і USB. Деякі пристрої читання смарт-карт з інтерфейсом Rs-232 обладнані додатковим кабелем, що підключається до порту Ps/2 і використовуваним для живлення пристрою. Ps/2-порт застосовується тільки для живлення, але не для передачі даних.

Пристрої читання смарт-карт вважаються стандартними пристроями Windows зі своїм дескриптором безпеки і PnP-ідентифікатором. Вони управляються стандартними драйверами пристроїв Windows і встановлюються і віддаляються засобами майстра Hardware wizard.

У Windows 2000 Server і Windows XP Professional є драйвери для багатьох комерційних PnP-пристроїв читання смарт-карт з логотипом сумісності з Windows. Деякі виробники постачають драйвери для несертифікованих пристроїв читання, які в даний час працюють з Windows. Та все ж для забезпечення постійної підтримки Microsoft рекомендується придбати пристрої читання смарт-карт, що мають логотип сумісності з Windows.

Вхід у систему з використанням смарт-карти
Смарт-карти застосовуються для входу тільки під доменними, але не локальними обліковими записами. Якщо вхід в систему в інтерактивному режимі під обліковим записом домена в Windows 2000 Server і Windows XP Professional виконується за допомогою пароля, використовується протокол перевірки достовірності Kerberos v5. При вході із смарт-картой ОС використовує Kerberos v5 з сертифікатами X.509 v3, якщо тільки контроллер домена не працює під Windows 2000 Server.

Якщо замість пароля застосовується смарт-карта, пара ключів, що зберігається на ній, замінюється загальним секретним ключем, створеним на основі пароля. Закритий ключ є тільки на смарт-карті. Відкритий ключ надається всім, з ким потрібно обмінюватися конфіденційною інформацією.

Застосування смарт-карт для адміністрування
Адміністратори виконують свою звичайну роботу під обліковим записом простого користувача, а привілейований адміністративний обліковий запис застосовують для адміністрування. Такі інструментальні засоби і утиліти, як Net.exe і Runas.exe, дозволяють їм працювати з додатковими реквізитами. У Windows XP Professional службові програми також застосовуються для управління реквізитами на смарт-картах.

Kerberos v5
У Windows 2000 і Windows XP Professional реквізити надаються у вигляді пароля, квитка Kerberos або смарт-карти (якщо комп'ютер обладнаний для роботи зі смарт-картами).

Протокол Kerberos v5 забезпечує взаємну перевірку достовірності клієнта (наприклад, користувача, комп'ютера або служби) і сервера. Kerberos v5 надає для серверів високоефективні засоби аутентифікації клієнтів навіть у величезних і надзвичайно складних мережевих середовищах.

Протокол Kerberos заснований на припущенні, що початковий обмін між клієнтами і серверами виконується у відкритій мережі, тобто в такій, де будь-яког неавторизованого користувача може імітувати клієнт або сервер, перехоплювати або підроблявати повідомлення між повноважними клієнтами і серверами. Kerberos v5 підтримує захищений і ефективний механізм перевірки достовірності в складних мережах з клієнтами і ресурсами.

У Kerberos v5 застосовується секретний (симетричний) ключ шифрування для захисту передаваних по мережі реквізитів входу в систему. Цей же ключ використовує одержувач для розшифрування реквізитів. Розшифрування і всі подальші кроки виконуються службою центру розповсюдження ключів Kerberos, що працює на кожному контроллері домена у складі Active Directory.

Аутентіфікатор
Аутентіфікатор - це інформація (наприклад, мітка часу), унікальна для кожного сеансу перевірки і приєднувана до зашифрованих реквізитів входу в систему для гарантії того, що передане раніше повідомлення з реквізитами не використається повторно. Для підтвердження отримання і ухвалення початкового повідомлення генерується новий аутентіфікатор і приєднується до зашифрованої відповіді KDC клієнтові. Якщо реквізити входу в систему і аутентіфікатор задовольняють KDC, він випускає квиток TGT (ticket-granting ticket), на підставі якого диспетчер локальної безпеки (Local Security Authority, LSA) отримує квитки служб. Квитки служб містять зашифровані дані, що підтверджують достовірність клієнта, і застосовуються для отримання доступу до мережевих ресурсів без додаткової перевірки достовірності на весь час дії квитка. Початкове введення пароля або реквізитів із смарт-карти "видно" користувачеві, решта відбувається автоматично ("прозоро") без його участі.

Служба центру розповсюдження ключів Kerberos
Ця служба застосовується спільно з протоколом перевірки достовірності Kerberos для аутентифікації запитів на вхід в систему відповідно до даних в Active Directory.

Kerberos v5 використовується в Windows 2000 Server і Windows XP Professional за умовчанням, але для нормальної роботи цього протоколу потрібно, щоб і контроллери домена, і клієнтські комп'ютери працювали під управлінням Windows 2000 або Windows XP Professional. Якщо ця умова не дотримується, для перевірки достовірності використовується протокол NTLM.