Академический Документы
Профессиональный Документы
Культура Документы
Теория и практика
обеспечения безопасного доступа
к информационным ресурсам
Под редакцией
А. А. Шелупанова, С. Л. Груздева, Ю. С. Нахаева
Москва
Горячая линия - Телеком
2012
УДК 004.732.056(075.8)
ББК 32.973.2-018.2я73
А93
А в т о р ы : А. А. Афанасьев, Л. Т. Веденьев, А. А. Воронцов, Э. Р. Газизова, А. Л.
Додохов, А. В. Крячков, О. Ю. Полянская, А. Г. Сабанов, М. А. Скида, С. Н.
Халяпин, А. А. Шелупанов
Редактор И. Н. Андреева
Компьютерная верстка Н. В. Дмитриева
Обложка художника В. Г. Ситникова
Подписано в печать 14.03.12. Формат 70x100/16. Усл. печ. л. 45,75. Тираж 100 экз. (1-й завод 50 экз.)
ООО «Научно-техническое издательство «Горячая линия-Телеком»
ПРЕДИСЛОВИЕ................................................................................................................................ 7
ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ.........................................................................................9
Глава 1. ОБЩИЕ СВЕДЕНИЯ.................................................................................................. 10
1.1. Основные понятия и определения...................................................................................... 10
1.2. Роль и задачи аутентификации. Место аутентификации
в структуре основных направлений защиты информации........................................ 10
1.3. Факторы аутентификации................................................................................................... 13
Контрольные вопросы......................................................................................................... 15
Глава 2. ПАPОЛЬНАЯ АУТЕНТИФИКАЦИЯ....................................................................... 16
2.1. Аутентификация с помощью запоминаемого пароля....................................................... 16
2.2. Методы парольной аутентификации.................................................................................. 16
2.3. Парольные политики........................................................................................................... 19
2.4. Недостатки методов аутентификации с запоминаемым паролем.................................... 19
Контрольные вопросы......................................................................................................... 22
Глава 3. АУТЕНТИФИКАЦИЯ С ПОМОЩЬЮ
БИОМЕТPИЧЕСКИХ ХАPАКТЕPИСТИК............................................................................ 23
3.1. Биометрические характеристики.......................................................................................23
3.2. Как работают биометрические системы............................................................................ 24
3.3. Аутентификация и биометрическое распознавание......................................................... 26
3.4. Реализация биометрических систем.................................................................................. 27
3.5. Недостатки аутентификации с помощью биометрических характеристик.
Возможные атаки.......................................................................................................... 28
Контрольные вопросы......................................................................................................... 29
Глава 4. АУТЕНТИФИКАЦИЯ С ПОМОЩЬЮ
ОДНОPАЗОВЫХ ПАPОЛЕЙ...................................................................................................30
4.1. Аппаратно-программные OTP-токены..............................................................................32
4.2. Как работают OTP-токены..................................................................................................32
4.3. Методы аутентификации с помощью OTP-токенов..........................................................32
4.4. Сравнение методов OTP-аутентификации.........................................................................36
4.5. Системы одноразовых паролей.......................................................................................... 37
4.6. Недостатки методов аутентификации с помощью OTP.
Возможные атаки......................................................................................................... 41
Контрольные вопросы......................................................................................................... 42
Глава 5. КPИПТОГPАФИЯ С ОТБЫТЫМ КЛЮЧОМ........................................................... 43
5.1. Общие сведения о криптографии с открытым ключом.................................................... 43
3
5.2. Авторизация и обеспечение юридической значимости электронных
документов....................................................................................................................47
5.3. Конфиденциальность и контроль целостности передаваемой
информации...................................................................................................................48
5.4. Аутентификация связывающихся сторон.......................................................................... 48
5.5. Установление аутентичного защищенного соединения....................................................48
5.6. Инфраструктура открытых ключей (PKI)..........................................................................49
5.7. Аутентификация с помощью открытого ключа на основе сертификатов . . . 49
5.8. Организация хранения закрытого ключа........................................................................... 50
5.9. Интеллектуальные устройства и аутентификация с помощью
открытого ключа...........................................................................................................52
5.10. Недостатки аутентификации с помощью открытых ключей.
Возможные атаки..........................................................................................................54
Контрольные вопросы......................................................................................................... 56
Глава 6. ПРОТОКОЛЫ АУТЕНТИФИКАЦИИ В ЛОКАЛЬНОЙ СЕТИ.............................. 57
6.1. Протоколы LAN Manager и NT LAN Manager...................................................................57
6.2. Протокол Kerberos...............................................................................................................62
6.3. Протокол Kerberos + PKINIT..............................................................................................73
Контрольные вопросы.........................................................................................................76
Глава 7. МЕХАНИЗМЫ АУТЕНТИФИКАЦИИ ОТИ ОСУЩЕСТВЛЕНИИ
ПОДКЛЮЧЕНИЙ............................................................................................................... 77
7.1. Протокол PPP PAP................................................................................................................77
7.2. Протокол PPP CHAP............................................................................................................78
7.3. Протокол PPP EAP...............................................................................................................79
7.4. Протокол TACACS+............................................................................................................81
7.5. Протокол RADIUS...............................................................................................................84
7.6. Стандарт IEEE 802.1x и протокол EAPOL.........................................................................86
7.7. Протокол EAP-TLS с использованием российской криптографии..................................89
7.8. Стандарт IEEE 802.1x в операционных системах Microsoft............................................93
7.9. Cisco NAC.............................................................................................................................94
Контрольные вопросы......................................................................................................... 97
Глава 8. АУТЕНТИФИКАЦИЯ В ЗАЩИЩЕННЫХ СОЕДИНЕНИЯХ............................... 98
8.1. Протоколы SSL, TLS...........................................................................................................98
8.2. Протокол SSH.....................................................................................................................100
8.3. Протокол S-HTTP..............................................................................................................101
8.4. Протокол SOCKS...............................................................................................................102
8.5. Семейство протоколов IPSec............................................................................................103
8.6. Протоколы защищенного взаимодействия и аутентификации
для корпоративных беспроводных локальных сетей...............................................116
Контрольные вопросы....................................................................................................... 124
4
Глава 9. ПРИМЕНЕНИЕ АППАРАТНЫХ СРЕДСТВ АУТЕНТИФИКАЦИИ И
ХPАНЕНИЯ КЛЮЧЕВОЙ ИНФОPМАЦИИ................................................................. 125
9.1. Аппаратные средства защиты в современных PKI-решениях.......................................125
9.2. Необходимость применения аппаратных средств аутентификации
и хранения ключевой информации...........................................................................126
9.3. Типовые требования к средствам аутентификации и хранения
ключевой информации...............................................................................................135
9.4. Особенности корпоративного использования персональных средств
аутентификации и хранения ключевой информации...............................................139
9.5. Централизованная система управления средствами аутентификации
и хранения ключевой информации пользователей..................................................142
9.6. Типовые требования к системе управления токенами................................................... 145
9.7. Token Management System (TMS) компании Aladdin......................................................146
9.8. Практика: комплексная система на базе единого персонального
средства аутентификации и хранения ключевой информации............................... 149
Контрольные вопросы....................................................................................................... 153
Список использованной литеpатуpы............................................................................................ 153
5
Глава 3. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ДОСТУПА К ДАННЫМ И
ПРИЛОЖЕНИЯМ ИНФОРМАЦИОННОЙ СИСТЕМЫ ОРГАНИЗАЦИИ НА ОСНОВЕ
ПРОДУКТОВ КОМПАНИИ CITRIX SYSTEMS...........................................................226
3.1. Описание продуктов компании Citrix Systems................................................................226
3.2. Компоненты систем, постpоенных с использованием XenApp.....................................228
Список использованной литературы............................................................................................ 244
Источники....................................................................................................................................... 245
7
Специалистам, уже знакомым с данными технологиями, книга поможет систематизировать
и расширить свои знания в части прикладного применения средств аутентификации и
интеграции их с другими продуктами и решениями для защиты информации.
Развивать рынок аутентификации, способствовать повышению уровня и качества проектов
в области ИТ-безопасности, а, главное, содействовать формированию четкого понимания
ценности информации в современном мире — основная цель данной книги.
Мы искренне благодарим всех, кто поддерживал и продолжает поддерживать этот проект,
помогает в его продвижении, а также распространении книги.
Особую благодарность выражаем Федеральной службе безопасности России (ФСБ Рос-
сии), Федеральной службе по техническому и экспортному контролю России (ФСТЭК
России), Совету Безопасности Российской Федерации и Учебно-методическому объединению
по образованию в области информационной безопасности за проявленный интерес, полезные
замечания и конструктивную критику.
Отдельно хочется отметить вклад в работу при подготовке рукописи данной книги
безвременно ушедшего из жизни руководителя аналитического отдела компании Aladdin,
кандидата физико-математических наук Нахаева Ю.С.
Мы не планируем останавливаться на достигнутом результате и рассматриваем идею
выпуска второго расширенного издания данной книги. Приглашаем к сотрудничеству всех
заинтересованных специалистов, компании, ВУЗы.
С уважением,
А. А. ШЕЛУПАНОВ,
Директор Института системной интеграции
и безопасности ТУСУР, доктор технических
наук, профессор
С. Л. ГРУЗДЕВ, Генеральный директор
компании Aladdin
ЧАСТЬ I
ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
Глава 1
ОБЩИЕ СВЕДЕНИЯ ОБ АУТЕНТИФИКАЦИИ
10
Глава 1. Общие сведения об аутентификации
Сорок разбойников стремились к тому, чтобы в пещеру имели доступ только члены
шайки, но их механизм не мог предотвратить использование пароля другими людьми. Эта
проблема свойственна как процессу аутентификации, так и механизму управления доступом.
Механизмы аутентификации несовершенны. Неавторизованные люди могут замаски-
роваться под легального пользователя.
Такая же проблема возникает и при управлении доступом: необходимо авторизовать на
пользование системой только определенных людей и именно для этого устанавливается
система управления доступом. В идеальном мире техники со средствами защиты доступ
выдается по принципу «наименьшей привилегии», в соответствии с которым люди имеют
ровно столько разрешений и привилегий, сколько им требуется: не больше и не меньше. Но в
реальном мире система управления доступом не может дать людям ровно столько привилегий,
сколько им требуется: мы вынуждены либо предоставлять им слишком много привилегий,
либо отнимать некоторые из тех, которые действительно необходимы. На практике мера
доверия авторизованным пользователям обычно расширяется, так что у них есть
инструментарий для выполнения своей работы, даже если технически это позволяет им делать
такие вещи, которые они делать не должны.
Управление доступом может быть очень сложным даже в отсутствие попытки добиться
выполнения принципа наименьших привилегий. Современные вычислительные системы
обеспечивают широкий диапазон подходов и механизмов управления доступом. Механизмы
управления доступом даже в таких относительно простых системах, как Unix или Windows,
позволяют пользователям и администраторам устанавливать весьма сложные наборы правил
получения и лишения прав на использование различных ресурсов компьютера. Однако многие
организации придерживаются относительно простого подхода, связывая управление доступом
и аутентификацию, так что прошедшие аутентификацию пользователи имеют всего лишь
небольшое количество ограничений доступа.
Хотя проблема аутентификации пользователей сама по себе является серьезной проблемой
для компьютерных систем, пользователи не являются единственными субъектами, которые
подлежат аутентификации.
12
Фактор Классификация типов факторов
аутентификации Примеры факторов аутентификации
аутентификации NCSC-TG-0171
1
NCSC-TG-017 — документ «A Guide to Understanding Identification and Authentication in Trusted
Systems», опубликованный U.S. National Computer Security Center. Руководство содержит комплект
рекомендуемых инструкций по процедурам идентификации и аутентификации.
13
ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
14
Глава 1. Общие сведения об аутентификации
Контрольные вопросы
1. Назовите процедуры, выполняемые при регистрации пользователя в системе.
2. Что такое аутентификация?
3. Что такое идентификация?
4. Что такое авторизация?
5. Что такое аудит?
6. Что такое администрирование?
7. Перечислите элементы аутентификации.
8. Для чего служит механизм управления доступом?
9. Перечислите факторы аутентификации.
10. Приведите примеры факторов аутентификации.
Глава 2
ПАРОЛЬНАЯ АУТЕНТИФИКАЦИЯ
2.1. Аутентификация с
помощью запоминаемого пароля
Для проверки подлинности пользователей в информационных системах наиболее широко
используется аутентификация по секретной информации, которая неизвестна непосвященным
людям. При некомпьютерном использовании это может быть произносимый голосом пароль
или запоминаемая комбинация для замка. В компьютерных системах — это пароль, вводимый
с помощью клавиатуры.
Парольная аутентификация — аутентификация на основе обладания неким секретным
знанием («на основе знания чего-либо»).
В системах различной степени защищенности используют постоянные, условно-пос-
тоянные и временные пароли.
Чем длиннее пароль, тем он более стойкий (сложнее поддается подбору и другим типам
атак). Не меньшее значение имеют алфавит пароля, предельное количество попыток его ввода,
минимальное время, которое должно пройти между попытками, и другие параметры
механизма аутентификации.
К сожалению, длинные и сложные пароли обладают и недостатками:
• их труднее запомнить;
• их медленнее набирают — соответственно, их проще подсмотреть.
Современные парольные политики (см. раздел 2.3) задают минимальную длину паролей
(обычно 6—8 символов) и их рекомендуемую длину (10—12 символов). Максимальная длина
пароля, как правило, ограничена особенностями реализации механизма аутентификации.
16
Глава 2. Парольная аутентификация
17
Описание атаки Защита от данной атаки
19
Продолжение таблицы 2.1
Атака со словарем
Злоумышленник, перебирая
пароли, производит в файле Безопасность файла
паролей или его копии поиск,
используя слова из большого Доступ на чтение к файлу паролей должен быть предоставлен лишь
заранее подготовленного им небольшому числу доверенных пользователей.
словаря. Злоумышленник вы- Хэшированные с шумами (помехами) пароли
числяет хэш-значение для каждого Генерирование хэш-значения различным способом для каждого
пробного пароля с помощью того пользователя намного усложняет атаку со словарем: злоумышленник
же алгоритма, что и программа должен при подборе пароля каждого пользователя еще и подбирать
аутентификации. способ хэширования пароля. Это достигается в системах с помощью
использования меняющегося значения, называемого шумом.
Правила формата пароля
Такие правила могут требовать, чтобы пароль содержал как минимум
одну цифру, как минимум один «специальный» символ, комбинации
заглавных и строчных букв, и т.д.
Подбор пароля
Исходя из знаний личных данных
пользователя, злоумышленник Правила формата пароля
пытается войти в систему с
помощью имени пользователя и Как для «атаки со словарем» выше.
одного или нескольких паролей, Изменение пароля, установленного по умолчанию
которые он мог бы использовать Пароль, установленный по умолчанию, должен изменяться сразу
(в том числе пароля, ус- после первого использования. По возможности следует вовсе
тановленного по умолчанию). исключить практику использования общеизвестных паролей.
Автоматическое блокирование
После нескольких безуспешных попыток входа система или бло-
кирует учетную запись пользователя на некоторое время, или вовсе
аннулирует ее.
Социотехника
Принуждение
20
Продолжение таблицы 2.1
Троянский конь
Злоумышленник скрытно уста- Особый режим интерактивного взаимодействия для механизма
навливает программное обеспе- аутентификации
чение, имитирующее обычный В некоторых системах механизм аутентификации вызывается
механизм аутентификации, но специально выделенным для этого сочетанием клавиш, недоступным
собирающее имена пользователей для других программ. В ОС Microsoft Windows в качестве такого
и пароли при попытках сочетания клавиш используется [Ctrl]—[Alt]—[Delete]. Антивирусное
пользователей войти в систему. программное обеспечение
Организация может обнаруживать программы типа «троянский конь»
с помощью антивирусного программного обеспечения. Средства
обеспечения контроля целостности файлов В организации может
использоваться система обнаружения вторжений (intrusion detection
system) для определения модификации важных файлов, например,
программы регистрации.
Трассировка памяти
Злоумышленник использует Защита памяти
программу для копирования Некоторые ОС используют аппаратную защиту буферов клавиатуры
пароля пользователя из буфера от возможности ее трассировки.
клавиатуры.
Для предотвращения использо- Безопасность файлов
вания компьютеров не по на- Доступ на чтение к журналам должен быть предоставлен лишь
значению некоторые организации узкому кругу доверенных пользователей (администраторов) с по-
используют программное мощью собственной или резидентной службы контроля доступа.
обеспечение, следящее за на-
жатием клавиш. Злоумышленник
может для получения паролей
просматривать журналы
Отслеживание нажатия клавиш программными средствами
соответствующей программы.
21
Описание атаки Защита от данной атаки
Вим Ван Эк описал метод, ко- Неотображение пароля
торым злоумышленник может Как для «подглядывания из-за плеча» выше.
перехватывать информацию с
монитора путем регистрации его Безопасность излучений
излучения. Вин Швартау высказал Модернизация устройств для уменьшения излучения с помощью
идею приемников Ван Эка, использования современных микрокомпонент, специально раз-
регистрирующих не только работанных с учетом необходимости уменьшения излучения.
видеосигналы. Проектирование помещений и планирование расположения
оборудования в нем с учетом предотвращения возможности утечки
Регистрация излучения (перехват Ван Эка
информации или паразитное
через фрикинг Ванизлучение
Эка) оборудования.
Контрольные вопросы
1. Назовите методы парольной аутентификации.
2. Приведите пример аутентификации пользователя на основе открытого пароля.
3. Что такое однонаправленные хэш-функции?
4. Что такое PIN-код?
5. Назовите области и условия использования PIN-кода.
6. Для чего необходимы парольные политики?
7. Приведите примеры атак на системы, в которых используется аутентификация на основе
пароля.
22
Глава 3
АУТЕНТИФИКАЦИЯ С ПОМОЩЬЮ
БИОМЕТРИЧЕСКИХ ХАРАКТЕРИСТИК
Издавна люди узнавали друг друга по чертам лица, по голосу и другим приметам, харак-
терным только для определенного человека. Даже сейчас лицо является основным признаком,
по которому производят удостоверение личности человека, когда проверяют его паспорт,
водительские права, пропуск для доступа в организацию — все они содержат фотографию
человека, предъявляющего данные документы.
Современные технологии способны обеспечить удостоверение личности человека,
используя характерные только ему одному характеристики. Данные технологии основаны на
использовании знаний биометрики (или биометрии). Данная дисциплина занимается
статистическим анализом биологических наблюдений и явлений.
Биометрическая характеристика — это измеримая физиологическая или поведенческая
черта живого человека, которую можно использовать для установления личности или
проверки декларируемых личных данных.
Поскольку биометрический параметр уникален для данного человека, его можно исполь-
зовать для однофакторной аутентификации пользователя. Его можно использовать совместно с
паролем или с устройством аутентификации (например, таким, как смарт-карта) для
обеспечения двухфакторной аутентификации.
Биометрическая аутентификация обычно является одним из наиболее простых методов
для пользователей, которые должны проходить аутентификацию. В большинстве случаев
хорошо спроектированная биометрическая система просто снимает показания с человека и
правильно выполняет аутентификацию.
23
ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
24
01011 1 010
10010 Пользователь 100
11001 10 Глава 3. Аутентификация с помощью биометрических характеристик
01110 7
011 Н1
10
Пользователь
Сервер и база данных
Образец аутентификации
Решение
98% _ > 90 %|
Степень Пороговая
Рис 3.1. Схема работы биометрических систем совпадения величина
данных систем при задании пороговой величины действует правило: чем ниже FMR, тем выше
FNMR. Таким образом, часто безопасность и простота использования конкурируют между
собой.
Простота регистрации и качество «шаблонов» — важные факторы общей эффективности
биометрической системы. Некачественный «шаблон» может осложнить работу пользователя,
вынуждая его прибегнуть к повторной регистрации в биометрической системе.
26
Биометрическая Регистрирующее
характеристика устройство Образец Исследуемые черты
27
Биометрическая Регистрирующее Образец Исследуемые черты
характеристика устройство
28
Описание атаки Защита от данной атаки
Контрольные вопросы
1. Перечислите физиологические биометрические характеристики.
2. Назовите поведенческие биометрические характеристики.
3. Опишите принцип работы биометрических систем.
4. Назовите параметры, определяющие точность биометрических систем.
5. Приведите примеры атак на системы, использующие аутентификацию с помощью
биометрических характеристик, и способы защиты от подобных атак.
29
Глава 4
АУТЕНТИФИКАЦИЯ
С ПОМОЩЬЮ ОДНОРАЗОВЫХ ПАРОЛЕЙ
В основе всех методов аутентификации на основе пароля лежит предположение о том, что
только законный пользователь может пройти проверку, так как только он знает свой пароль.
Заметим, что используемый при этом идентификатор пользователя злоумышленник может
легко узнать. Особенно, если в качестве идентификатора пользователя используется не
назначаемый пользователю идентификационный номер — ID (случайная строка символов,
состоящая из букв и цифр), а так называемое «имя пользователя».
Так как обычно «имя пользователя» — это различные варианты комбинации имени и
фамилии пользователя, то определить его не составляет большого труда. Соответственно, если
злоумышленнику удастся узнать и пароль пользователя, то ему будет легко представиться
этим пользователем. Насколько бы ни был пароль засекреченным, узнать его иногда не
слишком трудно. Злоумышленник может сделать это, используя различные способы атак (см.
выше раздел «Недостатки методов аутентификации с запоминаемым паролем» в гл. 2).
Для каждой из этих атак есть методы защиты. Но большинство из этих вариантов защиты
обладают различными недостатками. Некоторые виды защиты достаточно дороги (например,
борьба с побочным электромагнитным излучением и наводками оборудования), другие
создают неудобства для пользователей (правила формирования пароля, использование
длинного пароля). Один из вариантов защиты от различных атак на аутентификацию на
основе пароля — переход на аутентификацию с помощью одноразовых паролей.
Применение схем одноразовых паролей стало заметным шагом вперед по сравнению с
использованием фиксированных паролей. Выше мы говорили, что злоумышленник, узнавший
фиксированный пароль, может повторно его использовать с целью выдачи себя за легального
пользователя. Частным решением этой проблемы как раз и является применение одноразовых
паролей: каждый пароль в данном случае используется только один раз.
30
Глава 4. Аутентификация с помощью одноразовых паролей
31
ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
32
3141
5926
Глава 4. Аутентификация с помощью одноразовых паролей
L
L
Г~
cft6yhnj
★
27182818 |
27182818
33
ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
пл
Пользователь
I 66260689
Пользователь,
r5tgbhu8
<previous>
----------\ 29979246
29979246 I
m
r5tgbhu8
<previous>
| 66260689 □<^c 66260689 ]
34
Глава 4. Аутентификация с помощью одноразовых паролей
Сервер и база
Хэш-функция данных аутентификации
х
16yhnji9
1
16yhnji9 *
А
12 : 34
35
Глава 4. Аутентификация с помощью одноразовых
ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ паролей
36 37
ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
38
Глава 4. Аутентификация с помощью одноразовых паролей
где
•K — секретный ключ;
•C — счетчик числа раз прохождения аутентификации;
•HMAC-SHA-1 — процедура генерации HMAC, основанная на функции хэширования
SHA-1;
• Truncate — процедура усечения 20-байтового значения HMAC-SHA-1 до 4 байт.
Пример аутентификации пользователя с помощью HOTP (рис. 4.6):
1. Пользователь генерирует значение HOTP с использованием хранимого на OTP-токене
значения числа раз прохождения аутентификации и секретного ключа (592524594012).
39
Г"* - - -----------
Пользователь Е
e4rfVgy7, 4012 ; ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
№0042 :
Пользователь
Пользователь
e4rfVgy7,
4012
№0043 :О
Пользователь
2455830 e4rfVgy7,
4 4012
№0044
0 Пользователь
Хэш-функция 5925245 5925245 e4rfVgy7,
9 9 4012
№0045
40
Описание атаки Защита от данной атаки
41
Описание атаки Защита от данной атаки
Примечание
При использовании программных аутентификационных токенов, строго говоря, эмулятор
или отдельный закрытый ключ подтверждает подлинность только рабочей станции, а не
пользователя. Даже при условии защиты с помощью PIN-кода, строгая двухфакторная
аутентификация заменяется на однофакторную. Любому лицу, имеющему физический доступ
к рабочей станции, чтобы представиться пользователем, остается только узнать его PIN-код.
Этот подход может оказаться достаточно эффективным для сотрудников и клиентов,
работающих дома, но он неприемлем для использования в офисе, его целесообразность для
мобильных сотрудников сомнительна.
Контрольные вопросы
1. Что такое одноразовые пароли?
2. Опишите принцип работы ОТР-токенов.
3. Приведите пример аутентификации пользователя при использовании OTP-токеном
метода «запрос-ответ».
4. Приведите пример аутентификации пользователя при использовании OTP-токеном
метода «только ответ».
5. Приведите пример аутентификации пользователя при использовании OTP-токеном
метода «синхронизация по времени».
6. Приведите пример аутентификации пользователя при использовании OTP-токеном
метода «синхронизация по событию».
Глава 5
КРИПТОГРАФИЯ С ОТКРЫТЫМ КЛЮЧОМ
43
ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
I
Сервер аутентификации
хранит файл открытых
Хэш-функция ключей всех пользователей
Хэш 1
1
Автор Сообщение Подписанное
а т■
•Г
Получатель
сообщение
Ч т If
■
Т
I
Открытый канал связи
£ Х"" £
Ассимметричный алгоритм
44
-1г
"011010011 Глава 5. Криптография с открытым ключом
0
4
ОО 5.1.2.
1100010100 Аутентификация с помощью открытого ключа
0 ?
4
Аутентификационный сервер хранит файл открытых ключей всех пользователей, а все
пользователи хранят свои закрытые ключи. Пример аутентификации пользователя с помощью
открытых ключей (упрощенный вариант) приведен на рис. 5.2:
1. Сервер посылает пользователю случайную строку, созданную генератором случайных
чисел (ГСЧ).
2. Пользователь шифрует эту строку своим закрытым ключом и посылает ее обратно
серверу вместе со своим именем.
3. Сервер находит в базе данных открытый ключ пользователя и расшифровывает со-
общение, используя этот открытый ключ.
4. Если отправленная и расшифрованная строки совпадают, сервер предоставляет
пользователю доступ к системе.
Никто другой не может воспользоваться закрытым ключом Пользователя, следовательно,
никто не сможет выдать себя за него. Что более важно, Пользователь никогда не посылает на
компьютер свой закрытый ключ. Злоумышленник, перехватывая сообщения, не получит
никаких сведений, которые позволили бы ему вычислить закрытый ключ Пользователя и
выдать себя за него.
ГСЧ
1
w ■0110100110
Пользователь 0110100110
I Закрытый
ключ
тый '
2
0010001100,
ользовател]
П
4 ■ - ■?
' 011010
ч+
0110100110
База данных
аутентифи-
кации л
-- Л
Сервер . Открытый
Открытый канал связи ключ
*
3
ГСЧ ГСЧ
Пользователь База данных
----1110101110 аутентифи-
кации
1
0010001100)
Отк
'0110100110
43
£ 110100110
—дч
Закрыты: 1000101000-
ключ
■ 1110101110 Открытый Сервер
канал связи 5 да
45
ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
46
Глава 5. Криптография с открытым ключом
47
ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
5.3. Конфиденциальность
и контроль целостности передаваемой информации
Конфиденциальность и контроль целостности информации обеспечивается путем ее
шифрования и имитозащиты. Алгоритмы шифрования и имитозащиты определяются стан-
дартом ГОСТ28147—89. Этот стандарт определяет следующие режимы шифрования данных:
• простая замена, тип шифрования — ECB (Electronic Codebook);
• гаммирование, тип шифрования — CCB (CipherCountBlock);
• гаммирование с обратной связью, тип шифрования — CFB (Cipher Feedback).
Алгоритмы, определяемые ГОСТ 28147—89, являются симметричными и используют
ключи длиной 256 бит.
Алгоритм шифрования стандарта ГОСТ 28147—89 используется в условиях открытого
распределения ключей с выработкой симметричного ключа парной связи, которая
осуществляется с помощью алгоритма Диффи-Хеллмана на базе операций алгоритма ГОСТ Р
34.10—94 или ГОСТ Р 34.10—2001. Ключ Диффи-Хеллмана K(x, у) вырабатывается на
каждой стороне информационного обмена из собственного закрытого ключа и открытого
ключа противоположной стороны, при использовании алгоритма:
• ГОСТ P 34.10—94 ключ K(x, у) вычисляется по формуле K(x, у) = a^modp);
• ГОСТ P 34.10—2001 ключ K(x, у) вычисляется по формуле K(x, у) = ((а х x)(modq))°
°(у°Р), где P — стартовая точка на цикле эллиптической кривой (две координаты по
256 бит), а — синхровектор (64 бит).
Ключ парной связи образуется хэшированием ключа K(x, у) по алгоритму ГОСТ Р 34.11—
94. Этот ключ имеет длину 256 бит и используется в установленной парной связи для
шифрования случайных симметричных ключей сообщений по алгоритму ГОСТ 28147—89.
5.5. Установление
аутентичного защищенного соединения
Для установления аутентичного защищенного соединения используется реализация
протокола TLS (Transport Lauer Security, TLS 1.0, RFC 2246) на базе российских крип-
тографических алгоритмов. Этим обеспечивается сетевая аутентификация клиент-сервер,
конфиденциальность и целостность данных при работе клиент-серверных приложений, в
частности, в Интернете.
Для установления аутентичного соединения между клиентом и сервером, ключи которых
соответствуют алгоритмам ГОСТ Р 34.10—94 или ГОСТ Р 34.10—2001, в реализации
протокола TLS используются российские криптографические алгоритмы ГОСТ 28147—89,
хэширования ГОСТ Р 34.11—94 и обмена ключей по алгоритму Диффи-Хеллмана на базе
алгоритма ГОСТ Р 34.10—94 или ГОСТ Р 34.10—2001.
48
Глава 5. Криптография с открытым ключом
49
ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
Кроме того, закрытый ключ, хранящийся на жестком диске владельца компьютера, уязвим
по отношению к прямым и сетевым атакам. Достаточно подготовленный злоумышленник
может похитить закрытый ключ пользователя и с помощью этого ключа представляться этим
пользователем.
Закрытый ключ в данном случае связан с конкретным компьютером.
50
Глава 5. Криптография с открытым ключом
51
ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
В этом случае пользователь может сделать резервную копию закрытого ключа. Если
устройство выйдет из строя, будет потеряно, повреждено или уничтожено, пользователь
сможет сохранить тот же закрытый ключ на новой карте. Это необходимо, если пользователю
требуется расшифровать какие-либо данные, сообщения, и т. д., зашифрованные с помощью
соответствующего открытого ключа. Однако закрытый ключ пользователя в этом случае
может быть похищен.
В этом случае закрытый ключ не выходит из устройства, а также нет риска, что зло-
умышленник украдет его резервную копию. Способ использования закрытого ключа —
обладание интеллектуальным устройством. Будучи безопасным, это решение выдвигает вы-
сокие требования к возможностям интеллектуального устройства: оно должно генерировать
ключи и осуществлять криптографические преобразования. Также предполагается, что
закрытый ключ не может быть восстановлен в случае выхода устройства из строя.
52
Глава 5. Криптография с открытым ключом
Смарт-карта
Выполнение
криптографических
операций
53
Защита от данной атаки
Описание атаки Факторизация
ключа
Существенное увеличение размеров ключей — на данный
Злоумышленник может разложить ключ на момент рекомендуется использовать ключи длиной не
множители и вывести значение личного менее 512 бит. Для центров сертификации рекомендуется
ключа пользователя. использовать ключи длиной 2048 бит.
54
Описание атаки Защита от данной атаки
Примечания
• При аутентификации с помощью открытых ключей целесообразно использовать
интеллектуальные устройства аутентификации. При этом весьма важным является
исключительное владение пользователя закрытым ключом, т.е. обеспечение его за-
щиты от компрометации. Это невозможно, если закрытый ключ хранится или крип-
тографические преобразования осуществляются на компьютере пользователя.
• При аутентификации с помощью открытых ключей пользователь может допустить
халатность 1-го типа: интеллектуальные устройства могут быть оставлены на рабочей
станции. Если пользователь, отходя от своего рабочего места, оставляет смарт-карту в
устройстве чтения или USB-ключ в порту, кто-то другой в офисе может легко
представиться данным пользователем. Защита с помощью PIN-кода эффективна, если
сеансы пользователей блокируются после определенного промежутка бездействия, а
для разблокирования необходима повторная аутентификация. Но PIN-коды можно
узнавать, например, «подглядывая из-за плеча». Организа
55
ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
Контрольные вопросы
1. Из каких элементов состоит ключевая пара и для чего предназначен каждый элемент?
2. Что такое электронная цифровая подпись? Приведите примеры использования.
3. В каких случаях можно использовать криптографию с открытым ключом?
4. Приведите пример использования криптографии с открытым ключом для шифрования
сообщения.
5. Приведите пример аутентификации пользователя с помощью открытых ключей.
6. Для чего предназначена инфраструктура открытых ключей (PKI)?
7. Назовите способы хранения закрытого ключа.
8. Назовите недостатки аутентификации с помощью открытых ключей.
9. Приведите примеры атак на системы, использующие аутентификацию с помощью
открытых ключей, и способы защиты от подобных атак.
56
Глава 6
ПРОТОКОЛЫ АУТЕНТИФИКАЦИИ
В ЛОКАЛЬНОЙ СЕТИ
LAN- и NT-технология паролей компании Microsoft включала в себя две важные осо-
бенности. Во-первых, все базы данных паролей содержали значения хэш-функции паролей.
Во-вторых, чтобы помешать активной разведке паролей, аутентификация основывалась на
использовании технологии «запрос—ответ». Эти особенности, да еще после перехода от
LANMAN к NTLM, создавали достаточно сложную паролевую среду.
Работающие под управлением Windows системы хранят значения хэш-функции паролей в
системном файле и по возможности обеспечивают защиту файла с паролями от кражи. В
современных Windows-системах имеется специальная область хранения, называемая
реестром. Находящаяся в реестре база данных администратора учетных записей пользо-
вателей (Security Account Manager, SAM), содержит записи всех авторизованных пользо-
вателей, а также хранит значения хэш-функции от их паролей. В ОС Windows NT на доступ к
записям в файле реестра накладываются ограничения на доступ пользователей, а доступ к
записям в базе SAM ограничен особенно жестко. Это не предотвращает все попытки извлечь
файл паролей Windows, однако увеличивает сложность подобных атак.
LongStringofLetters
Z 27F83K5K9465490F9GOWEVJU67098JSON76956KYSHD76J5C3
58
Глава 6. Протоколы аутентификации в локальной сети
В общем случае рабочая станция хранит копию хэша пароля, и пользователю не придется
вводить его снова при следующем входе в систему. Наконец, рабочая станция вы
59
ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
числяет ответ, трижды используя алгоритм DES для полученного случайного числа. Про-
граммное обеспечение ОС Windows вычисляет ответ на запрос аутентификации следующим
образом (это реализовано как для LANMAN, так и для NTLM):
1. На первом этапе процедура использует 128-разрядное хэшированное значение пароля
пользователя и получает из него три 56-разрядных фрагмента.
2. Затем она трижды выполняет шифрование специального одноразового числа, используя
каждый из фрагментов в качестве ключа шифрования алгоритма DES.
3. На конечном этапе процедура объединяет результаты трех шифрований в 24-байтовый
ответ.
60
Описание атаки Защита от данной атаки
61
ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
62
Глава 6. Протоколы аутентификации в локальной сети
К 1989 г. Стив Миллер (Steve Miller) и Клиффорд Ньюмэнн (Clifford Neumann) с помощью
других сотрудников МТИ сделали четыре версии протокола Kerberos. Версия 4 была первой
выпущенной в общее пользование версией протокола, которая используется до сих пор.
Однако стандартной версией для Internet-сообщества стала версия 5.
Сервер аутентификации
Центр распределения ключей протокола Kerberos состоит из нескольких серверов, которые
выполняют различные функции. Сервер аутентификации реализует протокол, сходный с
протоколом Нидхэма-Шредера. Теоретически этот сервер может выдавать мандаты для обмена
данными с любой керберезированной службой. На практике большинство рабочих станций
использует сервер аутентификации только в целях выдачи мандатов для связи со службой
выдачи разрешений на получение мандатов.
Чтобы получить мандат от сервера аутентификации, пользователь должен сконструировать
сообщение KRB_AS_REQ. Сервер аутентификации отвечает сообщением KRB_AS_REP,
которое содержит мандат и соответствующую статусную информацию. Запрашивая мандат, он
предоставляет данные о своей личности, имя сервера и случайное одноразовое число.
Протокол устанавливает временной период, в течение которого будет действовать коллективно
используемый ключ, называемый в протоколе Kerberos ключом сеанса. Протокол также вводит
в шифруемую по ключу часть идентификатор рабочей станции, с помощью которого он может
контролировать, каким рабочим станциям разрешено использовать конкретный мандат. Это
снижает вероятность несанкционированного использования мандата. Сервер аутентификации
отвечает сообщением KRB_AS_REP, которое содержит мандат и соответствующую статусную
информацию.
63
Имя Имя ' Период Случайное Рабочая
пользователя сервера действия число станция
ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
совпадать с именем пользователя в мандате, а временная метка должна быть не очень старой
— обычно в пределах последних пяти минут.
Если запрос проходит эти тесты, сервер посылает ответное сообщение KRB_AP_REP
(если пользователь о нем просит). В этом ответе посылается временная метка из запроса,
шифрованная с использованием ключа сеанса. Как и в случае протокола Нидхэма—Шредера,
ответ имеет смысл, только если алгоритм шифрования не допускает выполнения атак с
помощью переписывания или редактирования методом вырезки и копирования.
' Рабоча
Имя ' Имя Период Ключ я
пользовате сервер действи сеанс станци
Запрос
ля а от пользователя
я а (сообщение
я протокола Ktuberos KRB_AS_REP)
Имя Период Случайное Ключ
сервера действия число сеанса
Сгенерированный
случайным образом
" ключ сеанса
Имя Имя ' Период" Ключ Рабочая Имя Период Случайное Ключ
пользователя сервера действия сеанса станция сервера действия число сеанса
1
Мастер-ключ Мастер-ключ
сервера пользователя Ключ сеанса и
подтверждающие данные
для рабочей станции
пользователя
Поле Назначение
Имя пользователя Клиент, который запрашивает мандат
Ответ, посланный пользователю (сообщение протокола Ktuberos KRB_AS_REP) Рис. 6.2.
Имя сервера Нужная служба. Этот мандат шифруется с использованием мастер-ключа сервера
Аутентификация для сервера (табл. 6.2)
Период действия Время, когда мандат и соответствующий ему ключ сеанса начинают действовать, и
время, когда ключ и мандат теряют свою дееспособность Таблица 6.2
Состав и наименование полей
64
Имя Имя Период Ключ Рабочая
пользователя сервера действия сеанса станция
Глава 6. Протоколы аутентификации в локальной сети
Имя Временная
пользователя метка В протоколе Kerberos в качестве мастер-ключей
пользователей используются запоминаемые пароли.
©
пользователя сервера, действия сеанса станция пользователя метка
Пользователь
Ключ
V
сеанса
Мандат сервера
■ Шифрование
Мандат сервера Аутентификатор
65
ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
База данных
секретных ключей
KDC
протокола
Kerberos
h
Служба
аутентификации
Ключ мандата
выдачи
Ответ разрешения
почтового
сервера
Запрос почтовому Служба выдачи
серверу, содержащий разрешения
Т ■ мандат
Почтовый
сервер
(
Серверное ПО на основе
протокола Kerberos
Рис. 6.4. Взаимодействие рабочей станции KDC протокола Kerberos и почтового сервера
66
Глава 6. Протоколы аутентификации в локальной сети
67
ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
Предаутентификация
В протоколе Kerberos версии 5 была введена предаутентификация, поэтому серверы
могли аутентифицировать запросы, посылаемые KDC, а не полагаться на аутентификацию
запросов, выполняемую ими потом. Администраторы могут сконфигурировать Kerberos таким
образом, что он будет требовать аутентификации при запросе мандатов или TGT. При этом
KDC осуществляют рассылку шифрованных данных только тем, кто уже знает
соответствующий ключ. Обычно процесс используется для аутентификации пользователя,
получающего от KDC начальный TGT, хотя протокол способен поддерживать широкий набор
альтернатив. Начальная предаутентификация должна быть доступна в виде опции в любой
совместимой версии протокола Kerberos.
При традиционной Kerberos-аутентификации рабочая станция получает ключи от KDC до
того, как ей нужен мастер-ключ пользователя. Так как в протоколе Kerberos в качестве мастер-
ключа обычно используются пароли пользователей, то рабочая станция может отложить
запрос пароля до момента получения отклика от KDC. В случае предаутентификации рабочая
станция должна сначала получить мастер-ключ пользователя, что обычно означает получение
пароля.
68
Описание атаки Защита от данной атаки
Маскировка под другого человека Взломщик Механизм «запрос-ответ» в работе протокола KDC с сервером
посылает серверу ранее выпущенный мандат и Сервер посылает пользователю запрос, который требует
воспроизводит посланные клиентом ранее ответа, зависящего от данных пользователя, шиф-
сообщения, шифрованные с помощью этого рованных с помощью ключа сеанса.
ключа.
Атакующая сторона в автономном режиме Временная метка в протоколе KDC Сообщения KDC
взламывает ключ сеанса и использует полу- включают информацию о времени суток, что позволят
ченные сведения для повторного использо- обнаруживать попытки повторного использования
вания мандата, выпущенного с этим ключом. мандатов.
Взломщик перехватывает запрос клиента KDC Случайное разовое число, коллективно используемое с KDC
и возвращает другой набор ключей, которые Случайное число включается в запросы, посылаемые в
ему неизвестны. KDC, и в ответы.
69
ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
70
Глава 6. Протоколы аутентификации в локальной сети
4. Извлечение TGT
для пользователя
«Пользователь»
KDS домена
1. Регистрация
пользователь:
«Пользователь»
пароль: asdt
/ Служба локальной
защиты на станции bat 5. Предоставление
мандата пользователь:
«Пользователь» 4. Использование
для станции bat мандата
Мастер-ключ пользователь:
станции bat «Пользователь»
Ресурсы для станции bat
станции bat
Рис. 6.5. Процесс входа в систему
71
ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
• Затем LSA инициирует SSP-процесс протокола Kerberos и передает ему имя поль-
зователя и мастер-ключ. В отличие от традиционного протокола Kerberos, в ОС
Windows 2000 мастер-ключ оставляется в кэше. Это позволяет рабочей станции
использовать механизм доменной аутентификации ОС Windows NT, если необходимо
обмениваться данными с более старыми серверами. Очевидно, что держать такую
информацию в кэше — это риск, причем совершенно ненужный, если во всей
организации используется механизм аутентификации протокола Kerberos.
• Процесс SSP протокола Kerberos пытается связаться со своим контроллером домена и
получить начальный TGT на имя пользователя. Запрос использует пред-
аутентификацию, основанную на мастер-ключе пользователя.
• Если выбранный домен управляется более старым Windows NT-сервером и протокол
Kerberos недоступен, то процесс LSA выполняет откат и использует NLTM -протокол.
• Если процесс SSP получает свой TGT протокола Kerberos, то он использует его для
получения мандата для рабочей станции bat от имени пользователя. Получив мандат
для рабочей станции, процесс SSP обеспечивает получение мандата для процесса LSA,
который использует мастер-ключ станции bat для ее аутентификации. Если ключ
аутентичен, то процесс LSA регистрирует пользователя в станции bat.
Избыточный шаг получения мандата для самой рабочей станции является необычной
особенностью в сравнении с другими Kerberos-средами. Ключ сеанса в мандате не служит
реальной цели. Этот подход в ОС Windows 2000 используется из-за того, что KDC хранит
полномочия пользователя в каждом мандате, и это относительно ясный и непротиворечивый
способ получения списка полномочий пользователя от KDC. Каждый мандат содержит
авторизационную информацию и другие полномочия, необходимые для связывания
пользователя с нужными ресурсами рабочей станции и правами доступа к ним. Процесс LSA
на Windows-сервере работает таким же образом: он извлекает из мандата пользователя данные
о полномочиях и использует их для запуска серверного процесса от имени и с разрешениями
этого пользователя. На рабочей станции же процесс LSA обеспечивает работу приложений с
именем этого пользователя.
72
Глава 6. Протоколы аутентификации в локальной сети
73
ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
писать запрос отдельным ключом и предоставить копию сертификата ключа его подписи.
Перед генерацией TGT с помощью коллективного секрета Диффи—Хеллмана KDC ве-
рифицирует сертификат и подпись пользователя на основе данных предаутентификации.
Метод PKINIT обладает важным свойством: он может исключить KDC из процесса
аутентификации, полностью полагаясь на сертификаты пользователей. Ответственность за
верификацию личности пользователя несет тот орган, который выпустил сертификат. Приняв
сертификат, протокол KDC фактически аутентифицировал соответствующего пользователя.
По этой причине KDC должен скрупулезно проверять сертификаты и выдавать мандаты
только в том случае, если сертификат признается им без оговорок.
В ОС Windows метод PKINIT используется для интеграции открытых ключей в свою
среду аутентификации на основе протокола Kerberos. Запрос TGT содержит копию сер-
тификата пользователя и подписывается с помощью его личного ключа. Протокол KDC ОС
Windows 2000 подтверждает достоверность сертификата и факт его выдачи органом, который
ему известен. После этого KDC верифицирует временную метку процесса пред-
аутентификации и цифровую подпись.
74
Глава 6. Протоколы аутентификации в локальной сети
75
Описание атаки Защита от данной атаки
Контрольные вопросы
1. Назовите основные особенности протоколов LAN Manager и NT LAN Manager.
2. Назовите типы аутентификации в NTLM.
3. Приведите примеры атак на системы, использующие аутентификацию с помощью
протоколов LANMAN и NTLM, и защиты от них.
4. Перечислите преимущества протокола Kerberos.
5. Опишите функции сервера аутентификации, входящего в состав центра распределения
ключей протокола Kerberos.
6. Приведите примеры атак на Kerberos и способы защиты от них.
7. Перечислите преимущества реализации протокола Kerberos в ОС Windows 2000 и
последующих ОС в сравнении с более ранними продуктами семейства Windows.
8. Приведите пример способа интеграции шифрования в протокол Kerberos.
9. Возможные атаки на Kerberos + PKINIT и методы защиты от них?
76
Глава 7 ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
МЕХАНИЗМЫ АУТЕНТИФИКАЦИИ
ПРИ ОСУЩЕСТВЛЕНИИ ПОДКЛЮЧЕНИЙ
7.2. Протокол PPP CHAP
отделения NAS Name: Password
CHAP используется
"Twiggy”для периодической
Timbuktu аутентификации
Twiggy trustme центрального компьютера или
конечного пользователя с помощью согласования J по трем параметрам. Аутентификация
В настоящее
происходит время
L в- -момент методы
J t----------------Z
установления_ использования паролей
связи,1 но может по-прежнему
быть повторена применяются
и после широко.
ее установления.
Механизмы аутентификации
Аутентификация с помощью по протоколу Point-to-Point
протокола CHAP проходитProtocol (PPP) образом
следующим часто используются
(рис. 7.2): в
среде
1. модемного
Маршрутизатор доступа и включают
отделения Twiggiпротоколы Password
устанавливает связь Authentication Protocolдоступа
с сервером сетевого (PAP),
Challenge Handshake Protocol (CHAP) и Extensible Authentication Protocol
(NAS). CHAP обеспечивает безопасность сети, требуя от операторов обмена «текстовым (EAP). Разработка
протокола EAP секретный
секретом». Этот продолжается, но уженесейчас
ключ никогда он использует
передается существующие и только
по каналу связи.
появляющиеся технологии аутентификации в каналах PPP. Протоколы TACACS+ и Remote
Access Dial-In User Service (RADIUS) поддерживают масштабируемые решения в области
аутентификации.
Все протоколы рассмотрены Маршрутизатор и сервер доступа
ниже на примерах, в которых при аутентификации взаи-
используют общий секретный ключ «trustme»
модействуют два или более типовых устройств. Инициатором процесса, как правило,
выступает устройство маршрутизатор отделения (назовем его Twiggi), которое обращается к
серверу сетевого доступа (или NAS). Последний выполняет аутентификацию маршрутизатора
Twiggi и принимает решение. Мы будем называть его аутентификатором, а маршрутизатор
Twiggi — аутентифицируемым устройством.
Маршрутизатор
отделения Twiggy ID Password
NAS Twiggy
■ZL
© Сравнение
(Twiggy, LetMelm) имени и пароля
О
-©
Посылка подтверждения
77
Глава 7. Механизмы аутентификации при осуществлении подключений
Примечание
Хэш
Обычно в качестве односторонней хэш-функции CHAP используется MD5, а общий
[BADFOOD]
секрет хранится в текстовой форме. У компании Microsoft есть Секретный ключпротокола CHAP
свой вариант
Ответ на запрос (BADFOOD, Twiggy) Twiggy ID
(MS-CHAP), где пароль<4(на вызывающей машине и D на аутентификаторе) хранится в
шифрованном виде. Это дает протоколу MS-CHAP некоторое преимущество. В отличие от
стандартного протокола CHAP он может использовать доступные базы данных шифрованных
паролей.
УХэш-функция I
TACACS+
4
5
82
I*
CONTINUE | 1*
Глава 7. Механизмы аутентификации при осуществлении подключений
START
СТ А Г)Т W-
START -------------------rr
GETUSER
Usemame
1 RESPONSE
nrcpnv™
1
CONTINUE
Сервер доступа Сервер безопасности
Username = foo
—i GETPASS '
Password
Password = foopass
PASS/FAIL
Final status
Рис. 7.5. Аутентификация по протоколу TACACS+
83
ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
Связь между NAS и сервером RADIUS основана на UDP. В целом считается, что протокол
RADIUS не имеет отношения к подключению. Все вопросы, связанные с доступностью
сервера, повторной передачей данных и отключениями по истечении времени ожидания,
контролируются устройствами, работающими под управлением протокола RADIUS, но не
самим протоколом передачи.
Протокол RADIUS основан на технологии клиент/сервер. Клиентом RADIUS обычно
является NAS, а сервером RADIUS считается «демон», работающий на машине UNIX или NT.
Клиент передает пользовательскую информацию на определенные серверы RADIUS, а затем
действует в соответствии с полученными от сервера инструкциями. Серверы RADIUS
принимают запросы пользователей на подключение, проводят аутентификацию пользователей,
а затем отправляют всю конфигурационную информацию, которая необходима клиенту для
обслуживания пользователя. Для других серверов RADIUS или аутентификационных серверов
других типов сервер RADIUS может выступать в роли клиента-посредника (proxy).
Взаимодействие между пользователем, с одной стороны, и клиентом и сервером RADIUS,
с другой, происходит так, как показано на рис. 7.7.
Сервер RADIUS может поддерживать разные методы аутентификации пользователя. Если
пользователь предоставит ему свое имя и оригинальный пароль, этот сервер может
поддержать PPP PAP или CHAP, UNIX login и другие механизмы аутентификации. Обычно
регистрация пользователя состоит из запроса (Access Request), который поступает из NAS на
сервер RADIUS, и соответствующего ответа (положительного или отрицательного), который
выдает сервер. Пакет Access Request содержит имя пользователя, шифрованный пароль, IP-
адрес системы NAS и номер порта. Формат запроса дает возможность пользователю запросить
определенный тип сессии. Например, если запрос производится в алфавитно-цифровом
режиме, из этого следует, что запрашивается услуга одного типа ("Service-Type = Exec-User"),
но если запрос делается в пакетном режиме PPP, значит услуга должна быть другой ("Service
Type = Framed User" или "Framed Type = PPP").
Когда сервер RADIUS получает от NAS запрос Access Request, он проводит поиск
указанного имени пользователя в базе данных. Если в базе данных такого имени нет, то сервер
загружает стандартный профиль, используемый по умолчанию, или отправляет
84
Глава 7. Механизмы аутентификации при осуществлении подключений
3. Пользователь
отвечает на запрос
б. Клиент RADIUS обрабатывает
параметры, полученные от
сервера вместе с сообщениями
Accept или Reject
Рис. 7.7. Взаимодействие между пользователем, клиентом и сервером RADIUS
Сервер Сервер
Хранилище
доступа Packet Type = Access Request безопасности
^Ть'ИТНфНкчПГгр и л с1п|с;|ш*..ш1ншипи
KOMMJiTaTOp
Usemame, Password информации
Маршрут штпр
Ta4 k!L ЛГХТН'ПП
Access Accept/ Access Reject I Г>АР
wi AN
User Service, Framed Protocol оопс
Reply Message
2
Рис. 7.8. Аутентификация и авторизация по протоколу RADIUS
SJII|XIC Аутентнфиклцщи
на обс.'1)Ж111Ш1111с BUHMMCBL i «ш t
I ИЮЛИ Ill'll НО I
Транзакции между клиентом и сервером RADIUS аутентифицируются MUHHLilllUKM с помощью общего
«секрета», который
Клиент ПК
никогда не передается tпо -rpik'p
сетевым каналам.llКроме
Jl/Hl Il'Jl l того,
I.ILI'lI■обмен
:IH №711 любыми
/Ноутбукпаролями
пользовательскими Н’- между ауте ill Injihl kaiai
клиентом
Irli и сервером |1И|[-:<рчаиии
RADIUS идет только в
шифрованномтслсфом
виде,Точка
что исключает IASподслушивание чужих паролей и последующее
доступа
злоупотребление WIAN
ими. ACS
Комиутотор ■Intofl
OLTWP
IE i г птиц s
Рис. 7.9. Модель контроля доступа к портам стандарта 802.1x. Основные элементы
7.6. Стандарт IEEE 802.1x и протокол EAPOL
Стандарт сетевой
Стандарт аутентификации
802.1x описывает IEEE 802.1x
процедуру передачинашел широкую поддержку
EAP-сообщений сервером у произво-
доступа
дителей
(например, сетевого оборудования
коммутатором и ПО как для
или беспроводной беспроводных,
точкой так и для или
доступа) в проводных проводных сетей.
беспроводных
Говоря о технологии сетевой аутентификации пользователей, стоит упомянуть
Ethernet-сетях. При этом стандарт 802.1x напрямую упаковывает EAP-сообщения в Ethernet- протокол PPP,
который
кадры, не применяя для их передачи протокол PPP. Это вызвано тем, что использоватьк
наиболее часто используется для подключения клиентов по коммутируемым линиям
Интернет-провайдерам.
протокол PPP во многих Протокол
случаяхPPP не также используется
обязательно, некоторыми
например, сервис-провайдерами
при подключении Ethernet-
для аутентификации
рабочей станции, не пользователей,
поддерживающейприменяющих
протоколxDSL или кабельные
TCP/IP, или в модемы. Кроме когда
том случае, того,
PPP является частью протокола L2TP,
использование протокола PPP является избыточным. на котором основан безопасный удаленный доступ к
системам на базе Windows 2000 и выше.
В стандарте 802.1x определяется три основных элемента:
•Итак, протокол(Supplicant)
Суппликант PPP изначально использовался
— пользователь, которыйдлянуждается
подключения удаленных
в сетевой аутенти-пользо-
вателей,фикации.
и поэтому он должен был иметь механизмы аутентификации пользователей.
Первоначально поддерживалась(Authentication
• Сервер аутентификации только передача имени
Server) пользователя
— обычно или паролякоторый
RADIUS-сервер, в нешиф-
рованном виде, что фактическую
производит не соответствует современным требованиям
аутентификацию, например Cisco сетевой безопасности.
ACS или Microsoft IAS.
•В последнее
Аутентификаторвремя для протокола были
(Authenticator) разработаны
— сетевое новыенаходящееся
устройство, механизмы аутентификации
между суппли-
под общим
кантом названием
и серверомEAP (Extensible Authentication
аутентификации Protocol).
и предоставляющее Принципы
доступ работы данного
в сеть, например, точка
протокола былиили
доступа рассмотрены выше. Протокол EAP был создан с целью упразднения частных
Ethernet-коммутатор.
механизмов
Ключевым аутентификации и распространения
моментом является то, что сетевые стандартизированных подходов — схем
устройства — аутентификаторы типа
— могут
«запрос-ответ»
быть достаточно (challenge-response)
простыми, поскольку и инфраструктуры,
для реализацииоснованной на публичных
функций 802.1x ключах и
в них требуются
минимальные аппаратные
пользовательских затраты, вСтандартизация
сертификатах. то время как весьмеханизмов
интеллект концентрируется
EAP позволила в RADIUS-
сделать
сервере. Такая схема
аутентификацию имеетдля
прозрачной дополнительные
серверов доступа выгоды и позволяет
различных организовать
производителей. тесную
Например, при
интеграцию управления
подключении пользователя сетевым оборудованием
к серверу удаленного идоступа
сетевыми ПО, что значительно
использовании облегчает
механизма EAP
управлениеPPP
протокола информационной системой
для аутентификации самбольшого предприятия.
сервер доступа не должен знать или поддерживать
конкретные механизмы или алгоритмы аутентификации, его задача в этом случае — лишь
передать пакеты EAP-сообщений RADIUS-серверу, на котором фактически производится
аутентификация. В этом случае сервер Аутентификаторы
доступа исполняетмогут быть достаточно
роль посредника простыми,и
между клиентом
RADIUS-сервером, в задачи которого поскольку
входит для реализации
передача функций 802.1x
EAP-сообщений междув них требуются
ними. Модель
контроля доступа к портам стандарта 802.1x показана на рис. минимальные
7.9. аппаратные затраты.
86 87
ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
Рис. 7.10. Модель контроля доступа к портам стандарта 802.1x. Схема работы
Схема работы протокола EAPOL достаточно проста. При этом можно выделить сле-
дующие основные режимы работы:
1. Аутентификатор посылает запрос на аутентификацию (EAP-Request/Identity) суп-
пликанту, как только он определит, что какой-то из его Ethernet-портов перешел в активное
состояние (link active), то есть к нему подключен сетевой адаптер. Таким образом, если
отключить клиентскую станцию, которая уже прошла аутентификацию, и снова подключить к
сетевому порту, то потребуется пройти аутентификацию еще раз.
2. Суппликант посылает сообщение/ответ (EAPResponse/Identity) аутентификатору,
которое затем передается им на сервер аутентификации (RADIUS).
3. Сервер аутентификации в ответ посылает пакет-запрос (challenge) аутентификатору,
который затем переупаковывает его из IP-транспорта в EAPOL и передает суппли- канту. В
различных схемах аутентификации число таких сообщений может изменяться. В EAP
поддерживается как аутентификация клиентской стороны, так и взаимная «сильная»
аутентификация клиента и сервера. Заметим, что только последний вариант считается
приемлемым для использования в беспроводных сетях.
4. Суппликант отвечает на запрос в соответствие с выбранным алгоритмом и передает его
аутентификатору, который пересылает его на сервер аутентификации.
5. Если суппликант предоставляет правильный ответ на запрос, сервер посылает со-
общение об успешной аутентификации суппликанту. В этой ситуации аутентификатор
88
Глава 7. Механизмы аутентификации при осуществлении подключений
веру или защищенному серверу. В протоколе EAP-TLS под понятием EAP-сервер под-
разумевается конечная точка в такой цепи, которая общается с субъектом, нуждающимся в
аутентификации.
Субъекта, взаимодействующего с EAP-сервером, в дальнейшем будем называть EAP-
клиентом. Получив идентификатор EAP-клиента, EAP-сервер отправляет стартовый пакет
EAP-TLS. Последний представляет собой пакет EAP-запроса, в котором EAP-Type=EAP-TLS,
выставлен стартовый бит (S) и отсутствуют данные.
После этого начинается непосредственный обмен по протоколу EAP-TLS. EAP-клиент
отправляет пакет EAP-ответа, в котором EAP-Type=EAP-TLS. Поле данных этого пакета
инкапсулируется из сообщения client_hello протокола TLS. Шифрование и компрессия пакета
не производятся.
Сообщение client_hello содержит версию протокола TLS, идентификатор сессии, слу-
чайные данные клиента, а также набор поддерживаемых клиентом шифр-сюит. Отправляемая
клиентом версия должна быть не ниже, чем TLS версии 1.0.
После этого EAP-сервер отвечает пакетом EAP-запроса, в котором EAP-Type=EAP-TLS.
Поле данных этого пакета инкапсулируется из одного или более TLS-пакетов. Эти пакеты
содержат в своей совокупности ряд сообщений, формируемый в зависимости от того, со-
здается ли новая сессия или восстанавливается предыдущая. Если создается новая сессия, то
отправляются сообщения server_hello, certificate, certificate_request и server_hello_done. В
случае восстановления предыдущей сессии отправляются сообщения server_hello,
change_cipher_spec и finished.
Сообщение server_hello содержит версию протокола TLS, идентификатор сессии,
случайные данные сервера и выбранную сервером шифр-сюиту.
Если отправленный клиентом идентификатор сессии был нулевым или он не поддер-
живается сервером, то сервер выбирает идентификатор для установления новой сессии. В
противном случае сервер пытается восстановить ранее установленную сессию с заданным
идентификатором.
Идентификатор сессии в рамках протокола TLS служит для повышения эффективности в
тех случаях, когда клиент повторно производит аутентификацию для сервера через небольшой
промежуток времени. То же самое можно сказать и для PPP-аутентификации.
Сообщение certificate представляет собой сертификат, содержащий открытый ключ
сервера, соответствующий выбранной им шифр-сюите в сообщении server_hello.
Сообщение certificate_request (запрос на сертификат клиента) оправляется в том случае,
если сервер требует аутентификацию клиента. В случае EAP-сервера создание такого запроса
желательно, но не обязательно.
После получения этих сообщений EAP-клиент отправляет пакет EAP-ответа, в котором
EAP-Type=EAP-TLS. Поле данных этого пакета инкапсулируется из одного или более TLS-
пакетов, содержащих сообщения change_cipher_spec, client_key_exchange, finished, а также
возможно сообщения certificate и certificate_verify. Если сервер восстановил предыдущую
сессию, то клиент отправляет только сообщения change_cipher_spec и finished.
Что касается сообщения certificate, то возможны следующие варианты ответной реакции
клиента:
1. Сервер не запросил сертификат клиента. В зависимости от настройки верхнего уровня
связь прервется, или продолжается установление связи в соответствии с пунктом 4).
2. Сервер запросил сертификат клиента. У клиента есть сертификат, соответствующий
параметрам Диффи—Хеллмана сертификата сервера. Он передает сообщением certificate этот
сертификат серверу.
3. Сервер запросил сертификат клиента, но у клиента нет сертификата, соответствующего
параметрам Диффи—Хеллмана сертификата сервера. Если клиент не хочет аутенти
90
Глава 7. Механизмы аутентификации при осуществлении подключений
фикации его сервером, он посылает сообщение certificate пустым. В этом случае система
может быть настроена как на прекращение связи, так и на ее продолжение. Если связь
продолжается, осуществляется переход к пункту 4).
4. У клиента нет сертификата, соответствующего параметрам Диффи—Хеллмана сер-
тификата сервера, но есть сертификат, соответствующий другим параметрам или соот-
ветствующий закрытый ключ предназначен только для подписи. В этом случае клиент
передает свой сертификат сообщением certificate и генерирует эфемеральную пару ключей
(закрытый/открытый) с параметрами сертификата сервера. Если у клиента нет никакого
сертификата, то он генерирует эфемеральную пару ключей (закрытый/открытый) с па-
раметрами сертификата сервера, но сообщение certificate не передает.
Клиент на основе своего закрытого ключа, соответствующего сертификату с параметрами
Диффи—Хеллмана сервера, или закрытого ключа выработанной им эфе- меральной пары и
открытого ключа сертификата сервера формирует ключ Диффи—Хеллмана (ключ обмена),
генерирует премастер-ключ (32 случайных байта) и сообщением client_key_exchange передает
ее серверу. Если клиент вырабатывал эфемерную пару ключей Диффи—Хеллмана, то в этом
же сообщении он отправляет также открытый ключ эфемеральной пары.
После этого у клиента имеются пары ключей Диффи—Хеллмана (закрытый, открытый),
шифр-сюита сессии, премастер-ключ и случайные данные клиента и сервера (32 байта
каждая).
Если клиент в сообщении client_key_exchange передал открытый ключ из эфемеральной
пары и передал свой сертификат, он передает сообщение certificate_verify, содержащее
подпись на закрытом ключе из этого сертификата (с параметрами, отличными от параметров
сертификата сервера) хэш-значения всего диалога клиент/сервер до данного момента.
Клиент переключается на криптографические алгоритмы, соответствующие выбранной
сервером шифр-сюите, и сообщает об этом переходе серверу сообщением change_ci pher_spec.
Из имеющихся данных клиент вырабатывает мастер-ключ (48 байт), а из него и рабочие
ключи. Помимо этого из мастер-ключа и хэш-значения всего диалога клиент/сервер до
данного момента вырабатывается сообщение finished и отправляется серверу.
В случае восстановления сессии сообщение finished вырабатывается из сохраненного в
сессии мастер-ключа.
После этого EAP-сервер отвечает пакетом EAP-запроса, в котором EAP-Type=EAP-TLS.
Поле данных этого пакета инкапсулируется из одного или более TLS-пакетов. Эти пакеты
содержат сообщения change_cipher_spec, finished.
Сервер, если клиент использует эфемеральную пару ключей, вычисляет хэш-значение
всего диалога клиент-сервер до данного момента и проверяет подпись хэша из сообщения
certificate_verify. Этим он проверяет одновременно открытый ключ эфемеральной пары,
переданный клиентом в сообщении client_key_exchange.
Сервер на основе своего закрытого ключа (соответствующего его сертификату) и от-
крытого ключа клиента (из сертификата клиента с параметрами сервера или из выработанной
им эфемеральной пары) формирует ключ Диффи—Хеллмана, ключ обмена и дешифрует
премастер-ключ.
Сервер переключается на криптографические алгоритмы, соответствующие выбранной
сервером шифр-сюите, и сообщает об этом переходе клиенту сообщением change_ci pher_spec.
После всех операций у сервера имеются пары ключей Диффи—Хеллмана (закрытый,
открытый), шифр-сюита сессии, премастер-ключ и случайные данные клиента и сервера (32
байта каждая).
91
ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
Из этих данных сервер вырабатывает мастер-ключ (48 байт), а из него и рабочие ключи.
Помимо этого, из мастер-ключа и хэш-значения всего диалога клиент/сервер до данного
момента вырабатывается сообщение finished, шифруется и отправляется клиенту.
Если аутентификация пройдена успешно, то EAP-клиент отправляет пакет EAP-ответа, в
котором EAP-Type = EAP-TLS. Поле данных этого пакета пустое.
EAP-сервер в случае успешной аутентификации отвечает аналогичным пакетом EAP-
запроса.
Если аутентификация оказывается неуспешной, то формируется пакет, в котором EAP-
Type=EAP-TLS, а в поле запроса содержится TLS-сообщение об ошибке.
92
Глава 7. Механизмы аутентификации при осуществлении подключений
93
ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
94
Глава 7. Механизмы аутентификации
ЧАСТЬ при осуществлении
I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ подключений
Cisco
мноеNAC умножает
решение защиты отдачу
хоста средств, инвестированныхдоступа,
от несанкционированного в сетевую
будетинфраструктуру
получать доступи
технологию защиты хостов,
к информации о версиисвязывая их вместе
операционной и обеспечивая
системы, этим «заплатках»
о программных возможностьи текущем
контроля
сетевого допуска. системы
состоянии Например, и организация
передавать эту может быть уверена,
информацию что применение
доверенному агентуантивирусных
Cisco (Cisco
программ
Trustобеспечивается
Agent). Хостам, сетью
не Cisco
имеющим— маршрутизаторами, коммутаторами,
необходимых программных беспроводными
обновлений, может
устройствами и устройствами
быть предложен защиты.доступ
ограниченный Таким илиобразом,
вообще Cisco NAC вдополняет
отказано доступе к— а не заменяет
сети.
— •классические
Устройства исетевого
широкодоступа
распространенные
— к сетевымтехнологии
устройствам, защиты: межсетевыеполитику
осуществляющим экраны,
системы обнаружения
контроля вторжений,
допуска, относятсяаутентификацию
маршрутизаторы, пользователей и защиту
коммутаторы, коммуникаций.
точки беспроводного
доступа и устройства защиты. Эти устройства требуют наличия электронных удос-
товерений от оконечного узла, и передают эту информацию на серверы контроля
политики, где и принимается решения о доступе в сеть. На основе политики заказчика
Cisco NAC разрешает сетевой доступ соответствующим
сеть будет проводить соответствующее решение
политике о контроле
и доверенным сетевого
оконечным доступа —и
устройствам
разрешить, запретить, поместить под наблюдение, ограничить.
ограничивает доступ тем устройствам, которые не
• Сервер политики — оценивает защищенность конечной точки по информации,
соответствуют по-
политике.
лученной от устройств сетевого доступа, и определяет для них соответствующую
политику доступа. Основой системы серверов политики являются сервер аутенти-
Состав компонентов
фикации, Cisco иNAC
авторизации приведен(AAA)
отчетности на рис.RADIUS
7.11. — Cisco Secure Access Control
• Доверенный
Server (ACS). агент Cisco (Cisco
Система работаетtrustсовместно
agent) — программное обеспечение,партнеров
с серверами приложений размещаемое на
Cisco
оконечных
NAC, узлах (рабочие
обеспечивающих болеестанции,
широкие серверы и т. п.).проверки
возможности Доверенный агент собирает
электронных удос-
информацию
товерений, о защищенности
такими от множества
как серверы антивирусной программных клиентов, таких, как
политики.
антивирусные клиенты, а затем передает
• Система управления — CiscoWorks VPN/Security Managementэти сведения устройствам сетевого
Solution (VMS)доступа
управ-
Cisco,
ляет которые Cisco
элементами осуществляют контрольCiscoWorks
NAC, а решение допуска. Security
Компания Cisco лицензировала
Information Management
технологию
Solution доверенного
(SIMS) предлагаетагента для своихмониторинга
инструменты партнеров в иобласти
созданияантивирусов, и теперь
отчетов. Партнеры
этот агент может интегрироваться с их клиентским ПО. Доверенный
Cisco NAC предлагают решения для управления своим программным обеспечением агент будет также
на
интегрироваться
конечных узлах. и с Cisco Security Agent, чтобы контролировать доступ, например, в
зависимости
На рис. от уровня
7.12 показаны применения
сценарии программных
развертывания обновлений
Cisco NAC в операционной
в различных системе
сегментах сети.
оконечного устройства. Cisco Security Agent програм-
I lp*liry.intC.1UIOC’
CjtibCE I применение ИС1ИММС11ИС
и IU4CT.I юпление
\N Сервер
ли Minimum
Cisco АС S
WAN
Серверы
других
I ПС ,|И-
III икон
Сервер
Уда.* и шде исправлении
Рис. 7.12.
Рис.Сценарии развертывания
7.11. Компоненты Cisco NAC
Cisco NAC
96 95
Глава 7. Механизмы аутентификации при осуществлении подключений
Контрольные вопросы
1. Какие протоколы включены в механизм аутентификации Point-to-Point Protocol (PPP)?
2. Перечислите основные элементы стандарта 802.1x.
3. Какие методы EAP стандарта 802.1х включены в стандартную комплектацию Windows
XP?
4. Опишите взаимодействие между пользователем, клиентом и сервером RADIUS.
5. Опишите метод получения ключей шифрования, используемых для PPP.
Глава 8
АУТЕНТИФИКАЦИЯ
В ЗАЩИЩЕННЫХ СОЕДИНЕНИЯХ
Основная цель протокола SSL состоит в том, чтобы обеспечить защиту и надежность
связи между двумя подключенными друг к другу приложениями. Этот протокол состоит из
двух уровней. Нижний уровень, который располагается поверх надежного транспортного
протокола (например, TCP), называется SSL Record Protocol и используется для встраивания
различных протоколов высокого уровня. Один из таких встроенных протоколов — SSL
Handshake Protocol позволяет серверу и клиенту аутентифицировать друг друга и со-
гласовывать алгоритм шифрования и криптографические ключи, прежде чем протокол
приложения произведет обмен первыми битами данных. Одно из преимуществ SSL состоит в
том, что он независим от протоколов приложений. Протокол высокого уровня может
располагаться поверх протокола SSL. Протокол SSL поддерживает безопасность связи,
обеспечивая ей следующие возможности:
98
Глава 8. Аутентификация в защищенных соединениях
Протокол SSL состоит из нескольких уровней. На каждом уровне сообщения имеют ряд
полей для указания длины, описания и содержания. SSL воспринимает данные, пред-
назначенные для передачи, делит их на управляемые блоки, проводит компрессию данных
(если это необходимо), использует код MAC, производит шифрование и передает результат.
Принятые данные дешифруются, проверяются, декомпрессируются и реассембли- руются, а
затем передаются клиентам более высокого уровня.
Протокол SSL принят только в рамках HTTP. Другие протоколы могут работать с SSL, но
используют его не часто.
Протокол обеспечения безопасности на уровне передачи данных TLS (Transport Layer
Security Protocol) создан на основе SSL 3.0 компании Netsсаре. Идея заключалась в том, чтобы
опубликовать этот протокол как формальный RFC и придать ему до некоторой степени
некоммерческий статус. Ниже приведено общее описание TLS. Более подробное описание
приведено в RFC 2276 и спецификации SSL.
Протокол TLS состоит из двух уровней: TLS Record Protocol (протокол записей) и TLS
Handshake Protocol (протокол установления связи). TLS Record Protocol действует поверх TCP
и UDP и выполняет следующие функции:
• симметричное шифрование для шифрования. Ключи для такого шифрования гене-
рируются отдельно для каждого соединения и при их создании используется секретная
информация, полученная с помощью другого протокола (такого, как TLS Handshake
Protocol). TLS Record Protocol может быть использован и без шифрования;
• передача сообщений: сюда входит проверка целостности переданных сообщений с
помощью кода идентификации по ключу. Для этого применяется хэширование
(например, SHA, MD5 и др.);
• выступает в качестве оболочки для протоколов более высокого уровня. Примером
такого протокола может служить TLS Handshake Protocol, который позволяет серверу и
клиенту идентифицировать друг друга, выбрать алгоритм шифрования и используемые
ключи до того, как начнут передаваться данные.
99
ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
100
Глава 8. Аутентификация в защищенных соединениях
101
ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
SOCKS был разработан много лет назад Дейвом Кобласом (Dave Koblas) из компании SGI,
и сегодня этот код можно бесплатно получить через Интернет. С момента первого выпуска
этот код пережил несколько крупных модификаций, но каждая из них распространялась
бесплатно. SOCKS версии 4 решает вопрос незащищенного пересечения межсетевых экранов
приложениями клиент/сервер, основанными на протоколе TCP, включая Telnet, FTP и
распространенные информационные протоколы, например HTTP, Wide Area Information Server
(WAIS) и GOPHER. SOCKS версия 5, RFC 1928, является дальнейшим расширением четвертой
версии SOCKS. Он включает в себя UDP, расширяет общую рамочную структуру, придавая ей
возможность использования мощных обобщенных схем аутентификации, и расширяет систему
адресации, включая в нее имя домена и адреса IP v.6.
В настоящее время предлагается создать механизм управления входящими и исходящими
многоадресными сообщениями IP, которые проходят через межсетевой экран. Это достигается
за счет определения расширений для существующего протокола SOCKS V.5, что создает
основу для аутентифицированного перехода межсетевого экрана одноадресным
пользовательским трафиком TCP и UDP. Однако из-за того, что поддержка UDP в текущей
версии SOCKS 5 имеет проблемы с масштабируемостью и другие недостатки (и их
обязательно нужно разрешить, прежде чем переходить к многоадресной передаче),
расширения определяются двояко: как базовые и как многоадресные расширения UDP.
Протокол SOCKS заменяет стандартные сетевые системные вызовы в приложении их
специальными версиями. Эти новые системные вызовы устанавливают связь с прокси-сер
102
Глава 8. Аутентификация в защищенных соединениях
103
ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
Kill
Л1 CM I
ПОЛИ гики П ОЛ П I K 1
PS« Ikl
IK
E SAKMP
ISAK
Лрпйпс-р
1Р5м Дрийпср
ins rt I
e
Фи ИШ Фильтры
TCP 11 Hr 21
L11. i
С петли
aii.iM'liMKi b
C ere тли
TCP 79 - -АЛДПТСр
ПДДпТСГ t ' 79 -
блокировать блокировать
Рис. 8.1. Обмен данными по протоколу Telnet через IPSec
104
Глава 8. Аутентификация в защищенных соединениях
105
ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
Г1}Н1ПОЖНРН(;
SSL/TLS
TCP
IP/IPSec
К " I.L lb?l UH
уровень
Фп шчнкий
уровень
106
Глава 8. Аутентификация в защищенных соединениях
Для прохождения трафика IPSec через межсетевой экран нужно разрешить прохождение
через него пакетов, использующих UDP 500 и идентификатор протокола 51 для АН или 50 для
ESP. Кроме того, межсетевой экран не должен транслировать сетевой адрес (Network Address
Translation, NAT). Пакеты IPSec не могут пройти через NAT, поскольку поля, измененные в
результате процесса NAT, уже защищены IPSec и при их изменении пакет станет
недействительным. При прохождении пакета через службу NAT исходный IP-адрес источника
преобразуется в общий IP-адрес, а порт источника — в реальный порт, который задан на
сервере, осуществляющем преобразование.
Протокол IPSec также включает криптографические методы для управления ключами на
сетевом уровне безопасности. Протокол управления ключами Ассоциации безопасности в
Интернете (Internet Security Association Key Management Protocol — ISAKMP) создает
рамочную структуру для управления ключами в сети Интернет и предоставляет конкретную
протокольную поддержку для согласования атрибутов безопасности. Это не создает ключей
сессии, однако процедуру можно использовать с разными протоколами, создающими такие
ключи (например, с Oakley).
Неконтролируемая область
DATA
IP HDR |
V_____________________ -У
HMAC MD5
HMAC SHA
1
IP HDR AH DATA
109
DATA
NewIP HDR ESP HDR IP HDR
I I
I I
DATA
IP HDR
Зашифровано
Цифровая подпись Цифровая подпись
(00BADDOG) (00BADDOG)
IP HDR DATA
Зашифровано
Отметим, что вставка заголовка АН расширяет пакет и поэтому для данного пакета может
потребоваться фрагментация, которая производится после ESP для исходящих пакетов и перед
ESP для входящих пакетов.
112 113
ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
114
Глава 8. Аутентификация в защищенных соединениях
• Протокол Internet Key Exchange (IKE). Протокол IKE применяется для согласования
SA между двумя компьютерами, участвующими в передаче данных IPSec. Процесс
согласования IPSec шифровать нельзя. Согласование осуществляется с помощью
пакетов с открытым текстом. При этом определяется порядок защиты следующих
пакетов.
Чтобы обеспечить соответствие фильтров потребностям предприятия, при их разработке
нужно учитывать следующее:
• Для одного компьютера можно назначать только одну политику IPSec. Если фильт-
рованию нужно подвергнуть несколько разных протоколов, необходимо создать
перечень фильтров, включающий все протоколы, и вставить его в список фильтров.
• В среде Windows политики IPSec определяются не для пользователей, а для
компьютеров. Фильтры IPSec определяются только для компьютеров в сети. При этом
не имеет значения, кто из пользователей работает на компьютере.
• Для выбора правильного фильтра нужно задать требования к протоколу. Необходимо
определить следующие атрибуты для каждого фильтра:
1) IP-адрес источника;
2) порт источника;
3) IP-адрес назначения;
4) порт назначения;
5) тип протокола.
• Идентифицировать шифрованный трафик IPSec при прохождении через межсетевой
экран нельзя. Если к пакету был применен протокол ESP, определить, какой протокол
зашифрован в пакете, невозможно. Это может привести к тому, что через межсетевой
экран сможет пройти нежелательный трафик, если межсетевой экран настроен на IKE-
пакеты (UDP-порт 500) и ESP-пакеты (идентификатор протокола 50). Так как данные в
пакете зашифрованы, межсетевой экран не может определить, какой исходный
протокол был защищен IPSec.
• Если определено несколько фильтров, первым вычисляется наиболее конкретный из
них, а наименее конкретный — последним. Порядок вывода на экран при этом не
имеет значения.
• В случае транспортного режима IPSec всегда следует применять пакетные фильтры с
отражением. Отражение обеспечивает шифрование ответных пакетов при их передаче
обратно источнику. В ответных пакетах информация об источнике и назначении будет
обращена. Отражение правил обеспечивает шифрование ответов.
• При определении соединений туннельного режима IPSec для каждого направления
следует создавать фильтр IPSec. Для туннельного режима IPSec нельзя использовать
отраженные пакетные фильтры, так как для заголовка трафика на каждом направлении
должны быть заданы разные конечные точки туннеля.
115
ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
116
Глава 8. Аутентификация в защищенных соединениях
117
ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
118
Глава 8. Аутентификация в защищенных соединениях
119
WPA WPA2
120
Глава 8. Аутентификация в защищенных соединениях
ритмы TKIP и AES, поскольку стандартное WEP-шифрование стандарта 802.11 уязвимо перед
сетевыми атаками.
Существует несколько типов 802.1Х-аутентификации, предоставляющих различные
подходы к аутентификации, однако, опирающихся на единую структуру, и протокол EAP с
целью обеспечения передачи данных между клиентом и точкой доступа. К ним относятся
следующие: Cisco LEAP, EAP-Flexible Authentication via Secure Tunneling (EAP-FAST), EAP-
Transport Layer Security (EAP-TLS), Protected Extensible Authentication Protocol (PEAP), EAP-
Tunneled TLS (EAP-TTLS) и EAP-Subscriber Identity Module (EAP-SIM).
Для выбора наиболее подходящего типа EAP-аутентификации для развертывания 802.1Х.
рекомендуется провести анализ собственных сетей и систем безопасности. При выборе типа
EAP следует обращать внимание на механизм обеспечения безопасности, используемый для
передачи данных для аутентификации, базу данных аутентификации пользователей,
используемые клиентами операционные системы, доступные клиентам способы обращения,
тип необходимого входа пользователей в сеть, а также наличие серверов RADIUS или AAA.
Разница между уровнями безопасности зависит от типа управляемости EAP, поддер-
живаемых операционных систем, клиентских устройств, преимуществ клиентского про-
граммного обеспечения и передачи аутентификационных данных, требований сертификации,
простоты использования и поддержки устройств инфраструктурой WLAN. Кроме того,
возможно применение нескольких типов EAP в рамках сети — для поддержки спе-
цифического типа аутентификации, клиентского устройства или потребностей конечных
пользователей.
Для аутентификации по 802.1Х может быть использован широкий ассортимент серверов
RADIUS, таких, например, как Cisco Secure Access Control Server (ACS) и AAA RADIUS-сер-
веров различных производителей, например, Interlink Networks (AAA RADIUS).
Применение одного из типов 802.1Х-аутентификации, позволяющего аутентифицировать
клиентскую станцию с помощью вводимых пользователем данных, а не физических атрибутов
клиентского устройства, дает возможность понизить риск, связанный с потерей устройства
или его сетевой карты WLAN. 802.1Х предоставляет и другие преимущества, включая
снижение опасности появления угрозы «человек посередине» («man-in-the-middle») при
аутентификации, централизованное управление шифрованием ключей с ротацией ключей на
базе установленной политики, а также защиту от атак, осуществляемых методом перебора
ключей (brute-force) (рис. 8.11).
RADIUS-сервер
2. Точка доступа блокирует
все пользовательские запросы
на доступ в локальную сеть
1. Клиент ассоциируется
с точкой доступа
Автономная точка Коммутатор
доступа Cisco Aironet 1240 AG
Беспроводной клиент
с поддержкой EAP-Fast RADIUS-сервер с поддержкой
аутентификации EAP-Fast и динамической
3. Пользователь предоставляет генерацией ключей шифрования
данные учетной записи
122
Глава 8. Аутентификация в защищенных соединениях
Например, в рамках решения Cisco Unified Wireless Network реализованы алгоритмы Cisco
TKIP и WPA TKIP для автономных точек доступа Cisco Aironet, устройств Cisco Aironet и
совместимых с Cisco клиентских устройств для работы с беспроводной локальной сетью.
Несмотря на то, что Cisco TKIP и WPA TKIP не могут взаимодействовать друг с другом,
автономные точки доступа серии Cisco Aironet могут работать одновременно в этих режимах
при использовании нескольких VLAN. Системным администраторам требуется выбрать один
набор TKIP-алгоритмов для активации на клиентских устройствах предприятия, поскольку
клиенты не могут поддерживать оба набора TKIP-алгоритмов одновременно. Cisco
рекомендует по возможности использовать для клиентских устройств и точек доступа
алгоритм WPA TKIP. Контроллеры беспроводной локальной сети Cisco и простые точки
доступа Cisco Aironet поддерживают только WPA TKIP.
Хэширование ключей для каждого пакета с целью снижения риска атак типа «Слабый
вектор инициализации» (Weak IV). При использовании WEP-ключа для шифрования
(дешифрования) передаваемых данных каждый пакет включает вектор инициализации (IV),
представляющий собой 24-битовое поле, меняющееся с каждым пакетом. Алгоритм
обновления ключей TKIP RC4 генерирует вектор на базе основного WEP-ключа. Уязвимость в
реализации WEP-алгоритма RC4 позволяет создавать «слабые» векторы, дающие возможность
взлома основного ключа. С помощью таких инструментов, как AirSnort, взломщик может
воспользоваться данной уязвимостью путем сбора пакетов, шифрованных одним ключом и
подстановки слабых векторов инициализации для нахождения основного ключа.
123
Аутентификация EAP Аутентификация EAP
Динамическое создание TKIP (Улучшение
ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
ключей шифрования)
DHCP/
RADIUS/
OTP/PKI-серверы
Рис. 8.12. Снижение риска атак для схемы беспроводной локальной сети с использованием
WPA-802.1X EAP/TKTP
TKIP содержит средства хэширования ключей или создания ключей для каждого пакета
для снижения риска атак с использованием слабых векторов инициализации. При внедрении
поддержки хэширования ключей как на точке доступа, так и на всех ассоциированных
клиентских устройствах, отправитель данных хэширует базовый ключ с помощью вектора
инициализации для создания нового ключа для каждого пакета. Обеспечивая шифрование
каждого пакета своим ключом, хэширование ключа снимает вероятность определения WEP-
ключа с помощью уязвимости векторов инициализации (рис. 8.12).
Message Integrity Check, проверка целостности сообщения для защиты от активных се-
тевых атак. Использование MIC позволяет избежать активных сетевых атак, нацеленных на
поиск ключа шифрования, применяемого для шифрования перехваченных пакетов. При
внедрении MIC как на точке доступа, так и на всех ассоциированных клиентских устройствах
отправитель пакета данных добавляет несколько байтов (для проверки целостности
сообщения) к пакету перед его шифрованием и отправкой. При получении пакета получатель
дешифрует его и проверяет байты MIC. Если байты MIC пакета соответствуют расчетным
данным (рассчитываемым из функции MIC), получатель принимает пакет; в противном случае
получатель уничтожает пакет. С помощью MIC становится возможным отбрасывать пакеты,
измененные злоумышленниками.
Ротация широковещательных ключей. TKIP позволяет сетевым администраторам
осуществлять ротацию как присвоенных конкретному устройству, так и широковещательных
ключей, используемых для шифрования широковещательных и мультивещательных
сообщений. Сетевые администраторы могут конфигурировать политики ротации широ-
ковещательных ключей для точек доступа. Поскольку статический широковещательный ключ
подвержен тем же атакам, что и присвоенные конкретному устройству или статические WEP-
ключи, поддерживается ротация значений ключа для широковещательных ключей,
позволяющая закрыть эту уязвимость.
Контрольные вопросы
1. Какие возможности обеспечивает протокол SSL для безопасности связи?
2. Что включает в себя ассоциация безопасности?
3. Перечислите способы аутентификации при использовании протокола IPSec.
4. Какие протоколы IPSec защитить не может?
5. Преимущества протокола IPSec?
124
Глава 9
ПРИМЕНЕНИЕ АППАРАТНЫХ СРЕДСТВ
АУТЕНТИФИКАЦИИ И ХРАНЕНИЯ
КЛЮЧЕВОЙ ИНФОРМАЦИИ
125
ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
126
Глава 9. Применение аппаратных средств аутентификации и хранения ключевой информации
Безопасность закрытого ключа пользователя должна быть обеспечена на каждом этапе его
жизненного цикла:
• Генерация ключевой пары (открытый и закрытый ключи).
• Хранение закрытого ключа.
• Использование закрытого ключа (выполнение криптографических операций, тре-
бующих использования закрытого ключа пользователя, например, формирование
электронной цифровой подписи).
• Уничтожение закрытого ключа.
128
Глава 9. Применение аппаратных средств аутентификации и хранения ключевой информации
129
ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
130
Глава 9. Применение аппаратных средств аутентификации и хранения ключевой информации
131
ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
Тот факт, что закрытый ключ никогда не экспортируется из памяти устройства, является
фундаментальным шагом вперед к максимально безопасному хранению закрытых ключей.
Рассмотрим снова обозначенную нами парадигму угроз безопасности, но теперь через призму
аппаратного устройства с криптографическими возможностями:
1. Злонамеренное программное обеспечение (malicious software). Предположим, что поль-
зователь подключает аппаратное устройство с криптографическими возможностями на
инфицированную вирусом машину и вводит пароль для авторизации в появившемся на экране
монитора окне. Существует вероятность того, что вирус, находящийся в компьютере, может
подменить собой пользователя и, действуя от его имени, использовать аппаратное устройство
(токен) для подписи сообщения. Однако реализация такой атаки ограничена во времени — она
осуществима только на время физического подключения токена к компьютеру.
2. Физический доступ (phisycal access). Вспомним еще раз о том, что в обсуждаемом нами
типе токенов закрытый ключ хранится в защищенной памяти устройства и никогда не
покидает ее. Поэтому воспользоваться им для проведения криптографических преобразований
можно только в случае получения злоумышленником физического доступа к устройству
(кража, похищение и др.). Если злоумышленник сумеет получить токен легального
пользователя, возникнет угроза компрометации хранящейся в его памяти информации.
Безопасность в этом случае обеспечивается лишь степенью физической защиты,
обеспечиваемой самим устройством. У простейших токенов она минимальна, поэтому сломать
ее и извлечь ключевую информацию не составляет большого труда. Справедливости ради,
отметим, что для взлома защиты часто необходимо разрушить сам токен или просто украсть
его, а, значит, нападение будет обнаружено легальным пользователем. В некоторых случаях,
эта цена слишком высока.
3. В дополнение к перечисленным выше рискам и угрозам, существует потенциально
более разрушительный тип нападения на аппаратные токены — атака на побочные каналы
(side channel attack). Получив физический доступ к токену, атакующий может получить
информацию о закрытых ключах пользователя, измерив такие показатели, как время и
мощность, затраченные в ходе выполнения токеном криптографических преобразований. Да,
возможно, такой тип атаки покажется неправдоподобным, однако на деле он представляет
собой высокоэффективный способ считывания закрытого ключа, к тому же не повреждающий
само устройство.
132
Глава 9. Применение аппаратных средств аутентификации и хранения ключевой информации
133
Глава 9. Применение аппаратных
ЧАСТЬ
средств
I. ТЕОРЕТИЧЕСКИЕ
аутентификации
ОСНОВЫ
и хранения ключевой информации
•Другие
Аппаратная
типы персональных
реализация криптографических
идентификаторов (Dallas
функций, Touch
в томMemory,
числе функций
магнитныегенерации
карты,
радио-метки, средства
ключевых генерации одноразовых
пар (открытый/закрытый паролей
ключи), и пр.) сильно
формирования ЭЦП проигрывают смарт-
с использованием
картам закрытого
и USB-ключам.
ключа.
•Преимуществами использования
Обеспечение безопасности технологии
закрытых смарт-карт
ключей в качестве
пользователя на всехсредств
этапах аутенти-
их жиз-
фикации и хранения
ненного циклаключевой информации
(генерация, хранение, пользователей
использование,являются:
уничтожение).
• Архитектурное решение,
Поддержка смарт-карт специально
включена спроектированное
в наиболее популярныедля использования
версии операционныхв системах
систем
обеспечения
для информационной
компьютеров — Microsoft безопасности.
Windows (PC/SC), Linux и его клоны, MAC OS (Open
• Защищенность
Card Framework).микросхем
Это снижает смарт-карт
объем ПОотот различных
разработчика видов атак
средств (по анализу
аутенте- по-
нификации
требляемой
и хранения мощности, от послойноготребуемый
ключевой информации, сканирования, от изучения
к установке разрушающими
на рабочей станции
методами и пр.)
пользователя. Упрощается процесс развертывания устройств в корпоративной среде, их
• Для микросхем
поддержки смарт-карт существуют общепринятые международные стандарты по
и сопровождения.
безопасности,
• Простая которыми
конструкция руководствуются
устройства, за счет чего разработчики микросхем и смарт-карт
повышаются надежность стабильность и
операционных систем для смарт-карт, такие как стандарт CWA 14169
работы устройства в целом (так как используется меньшее число компонентов). — стандарт для
изделий, реализующих
• Становится возможным электронную
сертифицировать подпись — безопасные
устройство устройства
аутентификации создания
и хранения
подписи secure
ключевой signature-creation
информации в целом, а неdevices, SSCD; профиль
только отдельных защиты для
его компонентов. Длясмарт-карт
устройств
«Smart Card Protection
аутентификации Profile (SCSUG-SCPP).
и хранения ключевой информации, построенных на основе
• Сертификация
микроконтроллера, чащепроизводится
изделий на соответствие
всего разработчику международным лишь
удается сертифицировать стандартам
один изв
независимых испытательных лабораториях,
компонентов устройства, но не устройство в целом. а не самим производителем на со-
ответствие собственным
• Возможность декларациям.
создания устройств аутентификации и хранения ключевой информации
пользователей в различных форм-факторах: смарт-карты и USB-ключа. Формат смарт-
карты наиболее востребован корпоративными заказчиками, которые применяют смарт-
карты как единое устройство для контроля логического доступа (доступ к
информационным ресурсам) и физического доступа (контроль доступа в помещения,
визуальный контроль по фотографии, напечатанной на поверхности смарт-карты).
Смарт-карты также необходимы на защищенных рабочих станциях, где по
требованиям безопасности недопустимо использование портов USB.
Разработчик средств аутентификации и хранения ключевой информации может расширить
функции устройства путем написания так называемых пакетов для операционной системы
смарт-карты или Java-аплетов (если речь идет о Java-карте). Функции могут быть расширены
разработчиком устройства, например для добавления поддержки национальных алгоритмов
шифрования или расширения функций устройства. Хорошим примером является USB-ключ
eToken PRO (Java) производства компании Aladdin, в котором поддержка российских
криптографических алгоритмов (в соответствии с ГОСТ Р 34.10—2001 и ГОСТ Р 34.11—94)
реализована в виде Java-аплета, исполняемого на смарт-карте.
134 135
ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
136
Глава 9. Применение аппаратных средств аутентификации и хранения ключевой информации
137
ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
138
Глава 9. Применение аппаратных средств аутентификации и хранения ключевой информации
139
ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
140
Глава 9. Применение аппаратных средств аутентификации и хранения ключевой информации
141
ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
142
Глава 9. Применение аппаратных средств аутентификации и хранения ключевой информации
При этом опять возникает вероятность ошибки, так как администратор может забыть
отозвать некоторые учетные записи, с помощью которых пользователь позже сможет получить
несанкционированный доступ.
143
ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
Каждый токен должен быть назначен конкретному пользователю и подготовлен для него.
В процессе регистрации в память токена загружаются пользовательские данные, цифровые
сертификаты и пароли. При этом токен защищается индивидуальным PIN-кодом, известным
лишь пользователю, для которого токен предназначен. Система управления может облегчить
регистрацию токена путем автоматического создания и сохранения необходимых реквизитов
пользователя, основанных на правах доступа конкретного пользователя в соответствии с
политикой организации. Например, в организации, использующей инфраструктуру открытых
ключей (PKI), авторизованные пользователи могут автоматически создавать запросы на
получение сертификата и генерировать ключевые пары аппаратно на самих токенах в процессе
регистрации токена.
Системы управления, включающие возможность самостоятельной регистрации поль-
зователей, обеспечивают большую эффективность, уменьшая необходимость вмешательства
администраторов.
144
Глава 9. Применение аппаратных средств аутентификации и хранения ключевой информации
9.6.1. Функциональность
145
ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
9.6.4. Гибкость
Система управления токенами должна быть достаточно гибкой, чтобы отвечать различным
и развивающимся нуждам разных организаций. Она должна позволять организациям легко
расширять набор поддерживаемых средств управления при появлении новых решений на
основе токенов в будущем.
TMS полностью встраивается в Active Directory (AD). При внедрении TMS расширяется
схема экземпляра AD. TMS хорошо сочетается с уже существующей в организации
инфраструктурой информационных технологий. Система предоставляет интерфейс управ-
146
ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
9.7.2. Возможности
• Поддержка всех типов и моделей электронных ключей eToken (смарт-карты, USB-
ключи, комбинированные USB-ключи, программные или виртуальные токены).
• Интеграция со службой каталога Microsoft Active Directory.
148
Глава 9. Применение аппаратных средств аутентификации и хранения ключевой информации
149
ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
150
Глава 9. Применение аппаратных средств аутентификации и хранения ключевой информации
151
ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
152
Глава 9. Применение аппаратных средств аутентификации и хранения ключевой информации
Контрольные вопросы
1. На каких этапах должна быть обеспечена безопасность закрытого ключа пользователя?
2. Перечислите подходы к обеспечению безопасности закрытых ключей.
3. Опишите жизненный цикл токенов.
4. Перечислите функции централизованной системы управления.
5. Перечислите основные критерии выбора персонального средства аутентификации и
хранения ключевой информации.
153
ЧАСТЬ I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ
17. [PKIX] Housley, R., Polk, W., Ford, W., and D. Solo, «Internet X.509 Public Key Infrastructure Certificate
and Certificate Revocation List (CRL) Profile», RFC 3280, April 2002.
18. [SMIME] B. Ramsdell, «Secure/Multipurpose Internet Mail Extensions (S/MIME) Version 3.1 Message
Specification», RFC 3851, July 2004.
19. Веб-сайт компании Майкрософт для технических специалистов (на русском языке)
http://technet.microsoft.com/ru-ru/default.aspx.
20. Майкл Уэнстром. Организация защиты сетей Cisco (Managing Cisco Network Security). Изда-
тельство «Вильямс», 2003, 768 стр. ISBN 5-8459-0387-4, 1-5787-0103-1.
21. Шиндер Д. Основы компьютерных сетей. Серия: Cisco Press, 2002 г., 656 стр., ISBN: 5845902851,
1587130386.
22. Дэвид В. Чепмен мл., Энди Фокс. Брандмауэры Cisco Secure PIX Издательство: Вильямс, 2003 г.,
384, с ил. ISBN: 5-8459-0463-3, 1-5870-5035-8.
23. Кэтрин Пакет. Создание сетей удаленного доступа Cisco. Издательство: Вильямс, 2003 г., 672, с ил.,
ISBN: 5-8459-0443-9, 1-5787-0091-4.
24. Педжман Рошан, Джонатан Лиэри. Основы построения беспроводных локальных сетей стандарта
802.11. Руководство Cisco. Издательство: Вильямс, 2004 г., 304, с ил., ISBN: 5-8459-0701-2, 1-5870-
5077-3.
25. Альваро Ретана, Дон Слайс, Расс Уайт. Принципы проектирования корпоративных IP-сетей.
Издательство: Вильямс, 2002 г., 368, с ил., ISBN: 5-8459-0248-7, 1-57870-097-3.
26. Джим Гейер. Беспроводные сети. Первый шаг (Cisco). Издательство: Вильямс, 2005 г., 192 стр., с
ил.; ISBN 5-8459-0852-3, 1-58-720111-9.
27. Vijay Bollapragada, Mohamed Khalid, Scott Wainner. IPSec VPN Design CiscoPress, 2005, ISBN: 1-58-
705111-7.
28. Troubleshooting Virtual Private Networks (VPN). Mark Lewis. Cisco Press, 2007, ISBN: 1-58-705104-4.
ЧАСТЬ II
ПРАКТИКА
ВВЕДЕНИЕ
157
ЧАСТЬ II. ПРАКТИКА
ttltll И.Л11.
jtmvhn
158
Глава 1. Обеспечение безопасности доступа на основе рекомендаций и продуктов Microsoft
C O M PA NftYк SU \ I Ял РА R I NI К
SIMJJI KXJUS Р Л Н Т Е Ч k W I . B A P F А ! он
СИ № М1Л1 thk
ЯШ PARTM.ES
HI SI Rt Ч
lSIAULlSIltD bSI AlH ISHfct>
159
ЧАСТЬ II. ПРАКТИКА
но возникает ряд вопросов, разрешить которые позволяет именно Active Directory Federation
Services. Интегрированные системы часто выходят за пределы организации и объединяют
между собой множество различных технологий, носителей идентификационных данных,
принципов реализации защиты и моделей программирования. В рамках интегрированной
системы организации требуется надежный и отвечающий современным стандартам механизм,
определяющий не только принцип предоставления клиентам и партнерам своих услуг, но
также и соблюдение политик безопасности, т. е. порядок доверия конкретным пользователям и
организациям, предоставления и сохранности того или иного рода персональных данных и
обработки соответствующих запросов.
Основные цели и задачи Управления федеративными отношениями:
• защищенное взаимодействие с другими организациями;
• надежный контроль данных и предоставление доступа доверенным источникам;
• возможность задать политики безопасности с доверенными организациями;
• обеспечение единого входа в систему (Single Sign-On).
Преимущества при его использовании:
• использование Active Directory в качестве главного репозитория идентификационных
данных;
• обеспечение взаимодействия и контроль доступа к данным;
• прозрачность взаимодействия с разделением прав и ролей;
• максимальное использование имеющихся компенентов (служба каталога Active
Directory и системы безопасности);
• усовершенствованная система безопасности за счет применения службы Active Di-
rectory Federation Services, токенов SAML и аутентификации по протоколу Kerberos.
160
Глава 1. Обеспечение безопасности доступа на основе рекомендаций и продуктов Microsoft
V l iv t I H n t.( Ul RY
\ \ /
I I L I П К И Й \С\1
ЛЧГ) Ч\1 IHI СлЯр \ 1 Л1 \ к \ м
I t l 1 CYC I [ S’. Ms
M vs U.L Ml NI
162
Глава 1. Обеспечение безопасности доступа на основе рекомендаций и продуктов Microsoft
Использование протокола Lan Manager крайне нежелательно из-за его невысокой на-
дежности. Вместе с тем, он нередко используется в сетях Active Directory. Это мотивируется
необходимостью обеспечения «совместимости» с клиентами на основе Windows 9Х. Однако,
после установки клиента Active Directory Services (ADSC) в Windows 9Х появляется
возможность поддержки протокола аутентификации NTLM v2, что позволяет отказаться от
использования LM в сети. Кроме того, установка клиента ADS предоставляет ряд других
преимуществ, таких как поиск через Глобальный каталог, изменение пароля на любом
контроллере домена и пр. В Windows NT 4.0 поддержка NTLM v2 появляется после установки
пакета Service Pack 4.
Таким образом, в смешанной сети, где присутствуют pre-Windows 2000 компьютеры, для
повышения безопасности аутентификации рекомендуется:
1) установить на все компьютеры Windows 9X клиент ADS;
2) установить на все компьютеры с Windows NT 4.0 пакет обновлений не ниже 4-го;
3) через групповую политику запретить использование LM и NTLM.
Дополнительную информацию см. в статье KB239869 на веб-узле корпорации Microsoft.
Наиболее защищенным является протокол аутентификации Kerberos, реализованный
в ОС Microsoft, начиная с Windows 2000. Ниже перечислены его основные преимущества.
Более эффективная аутентификация на серверах. При аутентификации по протоколу
NTLM серверу приложений приходится подключаться к контроллеру домена при проверке
каждого клиента. С Kerberos такая необходимость отпадает — здесь аутентификация
производится за счет проверки удостоверения, представленного клиентом. Индивидуальное
удостоверение клиент получает от контроллера единожды, после чего может неоднократно
использовать его на протяжении всего сеанса работы в сети.
Взаимная аутентификация. Протокол NTLM позволяет серверу идентифицировать своих
клиентов, однако не предусматривает верификации сервера ни клиентами, ни другими
серверами. Этот протокол разрабатывался для сетей, в которых все серверы считаются
легитимными. В отличие от него, Kerberos такого допущения не делает, поэтому проверяет
обоих участников сетевого подключения, каждый из которых в результате может точно узнать,
с кем поддерживает связь.
Делегированная аутентификация. Когда клиент сети Windows обращается к ресурсам,
службы операционной системы прежде всего производят его идентификацию. Во многих
случаях для выполнения этой операции службе достаточно информации на локальном
компьютере. Как NTLM, так и Kerberos, обеспечивают все данные, необходимые для иден-
тификации пользователя на месте, однако иногда их бывает недостаточно. Некоторые
распределенные приложения требуют, чтобы при подключении к серверным службам на
других компьютерах идентификация клиента производилась локально службой самого этого
клиента. Проблему помогает решить Kerberos, где предусмотрен специальный механизм
представительских билетов, который позволяет на месте идентифицировать клиента при его
подключении к другим системам. В протоколе NTLM такая возможность отсутствует.
Упрощенное управление доверительными отношениями. Одно из важных достоинств
взаимной аутентификации по протоколу Kerberos состоит в том, что доверительные от-
ношения между доменами Windows Server 2003 по умолчанию являются двусторонними и
транзитивными. Благодаря этому в сетях с множеством доменов не придется устанавливать
много явных доверительных отношений. Вместо этого все домены большой сети можно
свести в дерево транзитивных отношений взаимного доверия. Удостоверение, выданное
системой безопасности для любого домена, может приниматься во всех ветвях дерева. Если же
сеть содержит несколько деревьев, то удостоверение любого из них будет приниматься по
всему «лесу».
163
ЧАСТЬ II. ПРАКТИКА
164
Глава 1. Обеспечение безопасности доступа на основе рекомендаций и продуктов Microsoft
только тот, кто знает секретный долговременный ключ данного клиента, а чтобы прочесть
содержимое сеансового билета, нужен долговременный секретный ключ сервера.
Получив ответ KDC, клиент извлекает из него сеансовый билет и свою копию сеансового
ключа, которые помещает в безопасное хранилище (оно располагается не на диске, а в
оперативной памяти).
Когда возникает необходимость связаться с сервером, клиент посылает ему сообщение,
состоящее из билета, который по-прежнему зашифрован с помощью долговременного ключа
этого сервера, и собственного аутентификатора, зашифрованного с помощью сеансового
ключа. Этот билет в комбинации с аутентификатором как раз и составляет удостоверение, по
которому сервер определяет «личность» клиента.
Сервер, получив «удостоверение личности» клиента, с помощью своего секретного ключа
расшифровывает сеансовый билет и извлекает из него сеансовый ключ, который затем
использует для дешифрования аутентификатора клиента. Если все проходит нормально,
делается заключение, что удостоверение клиента выдано доверенным посредником, то есть
службой KDC. Клиент может потребовать у сервера проведения взаимной аутентификации. В
этом случае сервер с помощью своей копии сеансового ключа шифрует метку времени из
аутентификатора клиента и в таком виде пересылает ее клиенту в качестве собственного
аутентификатора.
Одно из достоинств сеансовых билетов состоит в том, что серверу не нужно хранить
сеансовые ключи для связи с клиентами. Они сохраняются в кэш-памяти удостоверений
(credentials cache) клиента, который направляет билет на сервер каждый раз, когда хочет
связаться с ним. Сервер, со своей стороны, получив от клиента билет, расшифровывает его и
извлекает сеансовый ключ. Когда надобность в этом ключе исчезает, сервер может просто
стереть его из своей памяти.
Такой метод дает еще одно преимущество: у клиента исчезает необходимость обращаться
к центру KDC перед каждым сеансом связи с конкретным сервером. Сеансовые билеты можно
использовать многократно. На случай же их хищения устанавливается срок годности билета,
который KDC указывает в самой структуре данных. Это время определяется политикой
Kerberos для конкретного домена. Обычно срок годности билетов не превышает 8 ч, т. е.
стандартной продолжительности одного сеанса работы в сети. Когда пользователь
отключается от нее, кэш-память удостоверений обнуляется, и все сеансовые билеты вместе с
сеансовыми ключами уничтожаются.
Итак, в процедуре аутентификации используются:
• индивидуальный (он же долговременный) ключ компьютера (сервера и рабочей стан-
ции), который создается при включении компьютера в домен и хранится в Active
Directory;
• сеансовый ключ, который генерируется KDC для конкретной пары абонентов
безопасности, и используется при аутентификации.
При этом возникает вопрос: «Каким же образом клиент взаимодействует с KDC?». Ведь
очевидно, что это взаимодействие также должно быть безопасным.
Когда пользователь проходит регистрацию, клиент Kerberos, установленный на его
рабочей станции, пропускает введенный пароль через функцию хэширования. В результате
формируется криптографический ключ, с помощью которого аутентификатор пользователя
шифруется и затем пересылается ближайшему KDC. Получив запрос от клиента, KDC
обращается в базу AD, находит в ней учетную запись нужного пользователя и извлекает из
соответствующего ей поля долговременный ключ. Такой процесс — вычисление одной копии
ключа по паролю и извлечение другой его копии из базы данных — выполняется всего лишь
один раз за сеанс, когда пользователь входит в сеть впервые. Сразу же после получения
пользовательского пароля и вычисления долговременного
166
Глава 1. Обеспечение безопасности доступа на основе рекомендаций и продуктов Microsoft
ключа клиент Kerberos рабочей станции запрашивает сеансовый билет и сеансовый ключ,
которые используются во всех последующих транзакциях с KDC на протяжении текущего
сеанса работы в сети.
На запрос пользователя KDC отвечает специальным сеансовым билетом для самого себя,
так называемый билет на выдачу билетов (ticket-granting ticket), или билет TGT. Как и
обычный сеансовый билет, TGT содержит копию сеансового ключа для связи службы (в
данном случае — KDC) с клиентом. В сообщение с билетом TGT также включается копия
сеансового ключа, с помощью которой клиент может связаться с KDC.
Билет TGT шифруется с помощью долговременного ключа службы KDC, а клиентская
копия сеансового ключа — с помощью долговременного ключа пользователя.
Получив ответ службы KDC на свой первоначальный запрос, клиент расшифровывает
свою копию сеансового ключа, используя для этого копию долговременного ключа
пользователя из своей кэш-памяти. После этого долговременный ключ, полученный из
пользовательского пароля, можно удалить из памяти, поскольку он больше не понадобится:
вся последующая связь с KDC будет шифроваться с помощью сеансового ключа. Как и все
другие сеансовые ключи, он имеет временный характер и действителен до истечения срока
действия билета TGT либо до выхода пользователя из системы. По этой причине такой ключ
называют сеансовым ключом регистрации (logon session key).
С точки зрения клиента билет TGT почти ничем не отличается от обычного. Перед
подключением к любой службе, клиент, прежде всего, обращается в кэш-память удос-
товерений и извлекает оттуда сеансовый билет для этой службы. Если его нет, он начинает
искать в этой же кэш-памяти билет TGT. Найдя его, клиент извлекает оттуда же со-
ответствующий сеансовый ключ регистрации и готовит с его помощью аутентификатор,
который вместе с TGT высылает в KDC. Одновременно туда направляется запрос на се-
ансовый билет для требуемой службы.
По аналогии с аутентификацией на сервере аутентификация при входе в домен использует
индивидуальный (долговременный) ключ пользователя, сеансовый ключ для связи
пользователя и KDC и, наконец, долговременный ключ самого KDC, формируемый на основе
учетной записи krbtgt, имеющейся на каждом DC.
В реализации Windows Server 2003 Kerberos содержит в себе три подпротокола. Первый из
них используется службой KDC для передачи клиенту сеансового ключа регистрации и билета
TGT. Он называется Authentication Service Exchange (обмен со службой аутентификации) или,
сокращенно AS Exchange. Второй подпротокол под названием Ticket-Granting Service
Exchange (обмен со службой выдачи билетов) или TGS Exchange служит для рассылки
служебных сеансовых ключей и сеансовых ключей самой службы KDC.
Третий подпротокол Client/Server Exchange (клиент-серверный обмен) или CS Exchange
используется клиентом для пересылки сеансового билета доступа к службам.
Такое разделение труда позволяет применять протокол Kerberos и за пределами его
«родного» домена. Клиент, получивший билет TGT из службы аутентификации одного домена,
может воспользоваться им для получения сеансовых билетов в службах выдачи билетов
других доменов. Наладить аутентификацию между доменами нетрудно, для этого достаточно
договориться о едином междоменном ключе (Inter-Realm key). В Windows Server 2003 такой
ключ генерируется автоматически, когда между доменами устанавливаются доверительные
отношения. Служба выдачи билетов каждого домена регистрируется в центре KDC другого
домена в качестве главного абонента безопасности. В результате служба выдачи билетов
каждого домена начинает рассматривать службу выдачи билетов второго домена, как еще одну
свою службу. Благодаря этому клиент, прошедший аутентификацию и зарегистрировавшийся в
системе, может запрашивать и получать сеансовые билеты для нее.
167
ЧАСТЬ II. ПРАКТИКА
Теперь рассмотрим, что происходит, когда пользователь с учетной записью в домене West
запрашивает доступ к серверу из домена East. Прежде всего, клиент Kerberos, установленный
на рабочей станции этого пользователя, посылает запрос в службу выдачи билетов своего
домена, в котором просит выдать сеансовый билет для доступа на нужный сервер. Служба
выдачи билетов домена West проверяет список своих абонентов безопасности и убеждается,
что такого сервера среди них нет. Поэтому она направляет клиенту так называемый билет
переадресации (referral ticket), который представляет собой TGT, зашифрованный с помощью
междоменного ключа, общего для служб KDC доменов West и Company. Получив билет
переадресации, клиент использует его для подготовки другого запроса на сеансовый ключ.
Однако на этот раз запрос пересылается в службу выдачи билетов домена Company, откуда в
ответном пакете приходит билет переадресации для домена East, зашифрованный с помощью
междоменного ключа, общего для служб KDC доменов Company и East. Наконец,
направляется запрос на сеансовый ключ в домен, где находится учетная запись нужного
сервера, то есть, в домен East. Его служба выдачи билетов пытается расшифровать билет
переадресации с помощью собственной копии междоменного ключа. Если попытка удается,
центр KDC направляет клиенту сеансовый билет на доступ к соответствующему серверу
своего домена.
Определенную сложность для протоколов аутентификации создают многоуровневые
клиент-серверные приложения. Здесь клиент может подключаться к серверу, который, в свою
очередь, должен будет подключиться к другому серверу более высокого уровня. Для этого
первому серверу понадобится билет на подключение ко второму. В идеале такой билет должен
ограничивать доступ первого сервера ко второму лишь теми функциями, на которые клиент
имеет права.
Для решения этой проблемы в протоколе Kerberos имеется специальный механизм — так
называемое делегирование аутентификации. По существу в такой ситуации клиент поручает
свою аутентификацию серверу. С этой целью он уведомляет службу KDC о том, что данный
сервер имеет право представлять клиента. Такой подход называется импер- сонацией (concept
of impersonation).
Делегирование аутентификации возможно двумя способами. Во-первых, клиент может
получить билет на подключение к серверу высшего уровня, а затем передать его ближайшему
серверу. Билеты, полученные таким способом — клиентом для ближайшего сервера —
называются представительскими (proxy tickets). Однако на этом пути имеется одна серьезная
трудность: чтобы получить представительский билет, клиенту нужно знать имя сервера
высшего уровня. Решить проблему помогает второй способ делегирования аутентификации.
Здесь клиент передает на ближайший к нему сервер свой билет TGT, который тот по мере
необходимости использует для запроса собственных билетов. Билеты TGT, полученные таким
образом, т. е. по удостоверению клиента, называются передаваемыми (forwarded tickets). Какой
из описанных способов применяется службой KDC, зависит от политики Kerberos.
Необходимо отметить, что предложенная в Kerberos схема зависит от сложности исполь-
зуемых паролей. Повысить надежность аутентификации позволяет применение смарт-карт и
криптографии с открытым ключом. На смарт-карте хранятся личный ключ пользователя и
цифровой сертификат с открытым ключом. Для доступа к личному ключу необходимо ввести
уникальный для данной карты PIN-код (Personal Identification Number).
Повышение безопасности при использовании смарт-карт обусловлено нескольким
факторами.
Во-первых, все операции с ключами выполняются непосредственно на смарт-карте, ключи
никогда не хранятся в файловой системе компьютера и скомпрометировать их гораздо
сложнее.
168
Глава 1. Обеспечение безопасности доступа на основе рекомендаций и продуктов Microsoft
169
ЧАСТЬ II. ПРАКТИКА
170
Глава 1. Обеспечение безопасности доступа на основе рекомендаций и продуктов Microsoft
При настройке аудита администратор должен указать, какие типы событий его интересуют
и на каких машинах. После чего система аудита начинает отслеживать указанные события и
фиксировать их в специальном журнале аудита — Security Log. Для каждого типа событий
администратор может указать, интересуют ли его факты успешного завершения события,
неуспешного или и те, и другие. Начиная с Windows 2000, аудит включается в объектах
групповой (локальной) политики, причем в Windows Server 2003 аудит определенных
действий включен по умолчанию.
Параметров аудита довольно много, и у начинающих администраторов часто возникает
вопрос, какие конкретно опции следует включать. Строго говоря, это определяется целым
набором критериев, таких как роль, выполняемая данным компьютером (рабочая станция,
сервер приложений, контроллер домена), условия его эксплуатации (локальная сеть,
демилитаризованная зона, сеть за пределами периметра), требования политики безопасности
предприятия и т. д. Тем не менее в руководствах «Windows Server 2003 Security Guide» и
«Windows XP Security Guide» даны некоторые общие рекомендации по настройке данных
систем, а в прилагаемых к ним шаблонах безопасности можно найти примеры настроек
аудита.
В систему управления можно включить все доступные параметры политики аудита.
Некоторые из них используются довольно редко. Например, «Аудит отслеживания процессов»
используется в основном для целей отладки и практически не применяется при
администрировании. «Аудит доступа к службе каталогов» имеет смысл включать только на
контроллерах доменов. Обратите внимание, что «Аудит доступа к службе каталогов» и «Аудит
доступа к объектам» недостаточно просто включить в данной консоли.
Поскольку задача этих политик — отслеживать действия, совершаемые с объектами
соответственно AD, NTFS и принтеры, то администратор должен еще указать:
1) какие конкретно объекты его интересуют (папка, файл, подразделение в AD);
2) чьи действия в отношении выбранных объектов необходимо протоколировать (на-
пример, пользователя Иванова и пр.);
3) наконец, какие конкретно действия следует заносить в журнал (чтение файла, удаление
папки и пр.).
Технически эти настройки реализованы в виде списка System Access Control List (SACL),
аналогичного по структуре списку прав доступа.
Аудит доступа к объектам может быть настроен довольно тонко. При этом работает ме -
ханизм наследования, и выбранные параметры можно легко распространить на все уровни
иерархии объектов.
После настройки требуемых параметров политики аудита администратору необходимо
периодически просматривать журнал аудита и анализировать собранную информацию.
Просмотр осуществляется стандартным образом с помощью утилиты Event Viewer (просмотр
событий). Security Log хранит только информацию, собранную системой аудита. Естественно,
что в зависимости от настроек записей в журнале может быть очень много. Для отображения
только необходимой в данный момент информации можно использовать фильтры по
различным критериям. Кроме того, следует еще до включения аудита изменить размер
журнала, который по умолчанию всего 512 Кбайт, и указать алгоритм поведения системы при
заполнении журнала. Для критически важных компьютеров рекомендуется не переписывать
журнал, чтобы не терять записи, которые могут оказаться весьма важными для анализа
потенциальных или возникших проблем. Более того, в объекте групповой или локальной
политики существует настройка, согласно которой компьютер принудительно выключается,
если журнал аудита переполняется и фиксировать события становится невозможно.
171
ЧАСТЬ II. ПРАКТИКА
172
Глава 1. Обеспечение безопасности доступа на основе рекомендаций и продуктов Microsoft
173
ЧАСТЬ II. ПРАКТИКА
.'VullllriDtlrjlOlS L usioitkcrv
еС отпетое
Employees
Armt/v CtY tllttlJ
КГУОШСГ*
I kesnurces
Рис. 1.6. MIIS с набором «коннекторов»
Классический «метакаталог»
о Синхронизация атрибутов между множеством систем:
• множество каталогов LDAP: AD, ADAM, iPlanet, Novell;
• множество почтовых систем: Exchange (5.5, 2000, 2003), Notes;
• кадровые системы: SAP, PeopleSoft, Oracle HR;
Управление паролями
о Задание начального пароля, задание/изменение множества паролей одновременно.
о Автоматическое распространение
174
Глава 1. Обеспечение безопасности доступа на основе рекомендаций и продуктов Microsoft
175
ЧАСТЬ II. ПРАКТИКА
177
ЧАСТЬ II. ПРАКТИКА
178
Способ Хранение ключей Преимущества Недостатки
Имя/пароль БД
• Распостраненность • Пароль либо легко подбира-
• Возможность выбора любой ется, либо сложно запоминается
платформы клиента/сервера • Пароль доступен для комп-
• Простота использования роментации
• Возможность задать правила фор-
мирования пароля (качество пароля)
Kerberos Файл • Шифрование ключевой инфор- • Требуется дополнительная
мации настройка сервера на протокол
• Возможность временнОго огра- Kerberos
ничения действия ключа • Небезопасное хранение ключей
• Поддержка однократной регист- • Управление ключевой инфор-
рации Single Sign-On мацией не средствами Oracle
• Поддержка смарт-карт технологий
RADIUS Файл/ • Сильная аутентификация • Возможность компрометации
Внешняя БД • Возможность сочетать двухфак- ключевой информации
торную аутентификацию с другими • Недостаточная надежность
методами UDP-протокола
• Возможность интеграции с любыми • Требуется установка RADlUS-
технологиями, поддерживающими сервера
данный протокол (To- kenCard, • Возможно, потребуется до-
SecurlD, биометрические устройства) полнительное кодирование для
• Возможность выбора любой клиента
платформы клиента/сервера • Не рекомендуется использовать
карты SecurID с версии 9i Oracle
179
ЧАСТЬ II. ПРАКТИКА
180
Глава 2. Обеспечение безопасности доступа на основе рекомендаций и продуктов Oracle и Aladdin
181
ЧАСТЬ II. ПРАКТИКА
Клиент
Ог'имы
Fipuyvp
они I.E
ЛГ> Directory и ". -1
\1Ч Wmilou',
Oniclc liitcmci Directory
182
Глава 2. Обеспечение безопасности доступа на основе рекомендаций и продуктов Oracle и Aladdin
t
доступ к определенной
БД с определенными правами
SSL
t
t Клиент Oracle Сервер БД Oracle Internet
Directory
Рис. 2.2. Архитектура предоставления доступа
183
ЧАСТЬ II. ПРАКТИКА
184
Глава 2. Обеспечение безопасности доступа на основе
ЧАСТЬ рекомендаций и продуктов Oracle и Aladdin
II. ПРАКТИКА
Результатом
• сертифицированное
настройки средство
сервера БД,защиты
клиентских
информациирабочих(СКЗИ),
станцийкоторое
и установки
устанавливает
серти-
фикатовзащищенное
пользователей соединение между является
на смарт-карты клиентом и сервером
надежная по протоколу
аутентификация, SSL/TLS,
шифрованный
трафик использует сертификаты/ключи
между рабочими станциями и для аутентификации
сервером, на серверном
и самое главное — строгаякомпоненте;
персонализация
• eToken
доступа RTE —повышения
в БД. Помимо драйверы смарт-карт
надежности,иаутентификация
USB-ключей eToken и дополнительное
с использованием ПО
eToken дает
компании Aladdin
ряд преимуществ для работы
по сравнению с ними.
с традиционным (логин/пароль) методом. Прежде всего,
Личное хранилище
электронный ключ даетсертификатов
возможностьипользователю
секретных ключей пользователя
различных на рис.не2.4
приложений обозначено
хранить «где
буквой A,ив не
попало» качестве физического
запоминать носителяимена
необходимые используется
и пароли. USB-ключ или смарт-карта
Зная один PIN-код и eToken.
выбрав
Хранилище из
сертификат сертификатов и секретных
предложенного списка, ключей, используемое
можно, имея ПО СКЗИправа
соответствующие на стороне сервера,
и привилегии,
обозначено буквой
обращаться Б. Как БД,
к конкретной правило, оно
причем представляет
с любой рабочей собой файл формата PKCS#12.
станции.
Аутентификациябезопасности
Администратор выполняется за несколько
получает пришагов:
этом дополнительные удобства в виде цент-
1. Прикладное
рализованного ПО посылает
управления запрос
доступом серверу БД
и контроля на соединение.
работы системных администраторов. Все эти
2. Oracle Client делает попытку соединиться
возможности управления обеспечивает единый инструмент — с сервером БДслужба
по обычному
каталоговпротоколу.
Oracle Internet
3. СКЗИ
Directory. перехватывает
Существующие запрос отв Oracle
получают «лице»Client и перенаправляет
службы каталогов единую его точку
в защищенный канал.
входа — своего
Если портал
рода защищенный канал клиент—сервер.
архитектуры еще не установлен, При ПО
этомСКЗИ выполняетслучаев
в большинстве аутентификацию
изменений нав
серверном компоненте
прикладном с помощью ключа, который хранится на USB-ключе или смарт-карте
ПО не требуется.
eToken. В случае успешной аутентификации создается защищенный канал передачи данных.
4. В процессе
2.1.1.З. Варианты аутентификации eToken RTE осуществляет
усиления безопасности доступа в СУБД дополнительную
Oracle с авторизацию
(запрос PIN-кода) для выполнения операций с секретным
помощью сертифицированных криптографических средств защиты ключом.
5. Oracle Client авторизует пользователя по имени и паролю.
Для решения взаимодействие
Дальнейшее задачи, описанной в предыдущем
между клиентом разделе,
и серверомпредлагаются два варианта
осуществляется уси-
по защи-
ления
щенному безопасности на основе
каналу прозрачно длясертифицированных криптографических средств защиты.
прикладного приложения.
В качестве ПО для выпуска сертификатов могут использоваться программные продукты,
Базовая
которые аутентификация/авторизация
автоматизируют и защита канала
функции удостоверяющих связи (УЦ). Эти программные
центров
Архитектура
продукты должны типового решения и аутентификация
быть сертифицированы ФСТЭК, представлены
ФСБ РФ (например,на рис. 2.4. В данном
программный
варианте
комплекс используются
«Удостоверяющий следующие компоненты: УЦ»).
Центр «КриптоПро
• прикладное ПО, которое реализует интерфейс пользователя для решения бизнес-задач
Базовая аутентификация/авторизация
прикладной системы; по протоколу Kerberos
и защита канала связи
• ПО Oracle Client, которое обеспечивает взаимодействие между клиентом и сервером по
Второй
сети; вариант усиления безопасности на основе сертифицированных криптографи-
ческих средств защиты отличается от первого только тем, что аутентификация выполняется по
протоколу Kerberos. Это дает возможность отказаться от ввода имени пользователя и пароля в
процессе авторизации в БД.
Архитектура типового решения и процесс аутентификации представлены на рис. 2.5. В
данном варианте используются следующие компоненты:
• прикладное ПО, которое реализует интерфейс пользователя для решения бизнес-задач
прикладной системы;
• ПО Oracle Client, которое обеспечивает взаимодействие между клиентом и сервером по
сети. В данной схеме используется функциональность опции Advanced Security
Options; это расширение СУБД Oracle устанавливается на стороне сервера баз данных;
• сертифицированное СКЗИ, которое устанавливает защищенное соединение между
клиентом и сервером по протоколу SSL/TLS, использует сертификаты/ключи для
аутентификации на серверном компоненте;
• eToken RTE — драйверы смарт-карт и USB-ключей eToken и дополнительное ПО
компании Aladdin для работы с ними.
Личное хранилище сертификатов и секретных ключей пользователя на рис. 2.5 обозначено
буквой A, в качестве физического носителя используется USB-ключ или смарт-кар-
Рис. 2.4. Базовая аутентификация/авторизация и защита канала связи. Общая схема решения
186 185
Глава 2. Обеспечение безопасности доступа на основе рекомендаций и продуктов Oracle и Aladdin
KJHU.1 свят»
кшинигмным OK Н1
iTI.S/SSI I
m
llpDKWLU Nf;irp»
t
eToken КТГ
СсопмЬи
I fIP|□ iпгч]ith■ ipciiu■ ■ |нос I ' Г' С№П1<МШ1№Ки114« '
. -\-----------СКЗИ-----------J ----------------:------------. CK3IIIRTH)
ПО Oracle t’licm I | ПО Oracle C licm (ce|»re|>)
Пр|1К.и4Н1.11! ПО
Kerberos
Сервер БД
KLTIVM ri l)(.
187
ЧАСТЬ II. ПРАКТИКА
188
Глава 2. Обеспечение безопасности доступа на основе рекомендаций и продуктов Oracle и Aladdin
189
ЧАСТЬ II. ПРАКТИКА
Лхцагь
Рис. 2.7. Форма аутентификации Oracle Identity Management с вводом имени пользователя и пароля
190
Глава 2. Обеспечение безопасности доступа на основе рекомендаций и продуктов Oracle и Aladdin
Серверное и клиентское ПО
Решение для Oracle iAS 10g не требует установки какого бы то ни было специализи-
рованного ПО на рабочие места пользователей, если выполняется парольная аутентификация
пользователей. При аутентификации пользователей с помощью цифровых сертификатов,
установленных на электронных ключах eToken Pro, на рабочие места пользователей
необходимо установить клиентское ПО eToken Real-Time Environment (RTE).
Количество единиц серверного оборудования может варьироваться в зависимости от
топологии развертывания решения. Компания Oracle рекомендует разворачивать решение
Oracle Identity Management в следующей конфигурации:
• 2 сервера Oracle Database 10g с установленной опцией Real Applications Clusters;
• 2 сервера для размещения компонентов Oracle Internet Directory и Directory Integration
and Provisioning;
• 2 сервера для размещения компонентов Single Sign-On и Delegated Administration
Services;
• 2 устройства балансировки нагрузки.
Рекомендуемая топология приведена на рис. 2.10.
На данной иллюстрации:
• LBR#1, LBR#2 — Load Balancer — устройства балансировки нагрузки;
• IM1, IM2 — серверы с размещенными компонентами OSSO и DAS;
• OID1, OID2 — серверы с размещенными компонентами OID и DIP.
191
Глава 2. Обеспечение безопасности доступа на основе
ЧАСТЬ рекомендаций и продуктов Oracle и Aladdin
II. ПРАКТИКА
192 193
Глава 2. Обеспечение безопасности доступа на основе
ЧАСТЬ рекомендаций и продуктов Oracle и Aladdin
II. ПРАКТИКА
• защита канала
Принципы работыпередачи данныхeToken
и архитектура криптографическими
SecurLogon для методами;
Oracle Application Server
•Процесс
усиленная аутентификация пользователей при доступе
аутентификации иллюстрирует рис. 2.11, на котором к приложениям информа- этапы
цифрами обозначены
ционной системы;
аутентификации:
1• иинтеграция
2 — взаимнаясо штатными механизмами
аутентификация аутентификации/авторизации
клиента и сервера приложений с помощьюOracle Application
цифровых
Server. Х.509. Сертификат пользователя с секретным ключом установлен в памяти
сертификатов
Решение
eToken, предусматривает
а сертификат сервераиспользование программных продуктов,
приложений (HTTP-сервера) с секретнымреализующих
ключом — рос-в
сийские криптоалгоритмы.
контейнере Поставщики
wallet (файле формата PKCS#12).криптографических средств защиты должны иметь
лицензии
3 — после ФСБ успешной
России, аутентификации
а само ПО —компонент сертификаты
SingleпоSign-On
соответствующему классу
сервера приложений
защищенности.
проверяет Применяемые
в LDAP-каталоге методы
(Oracle встраивания
Internet Directory, решения
OID) наличиев инфраструктуру
учетной записи Oracle
поль-
Application
зователя, дляServer не должны
которого издан этотнарушать лицензионных
сертификат. соглашений
Причем проверка можетнавыполняться
использование ПО
по всем
поставщика
полям (Oracle,или
сертификата поставщиков
просто по ОС для сервера или
отличительному клиентских
имени владельца рабочих станций).
сертификата.
4 — если учетная запись пользователя найдена, то устанавливается защищенное со-
Описание
единение по решения
протоколу SSL и пользователь получает доступ к приложению с правами,
Основными
соответствующими компонентами
его учетнойрешения,
записи. представленного на рис. 2.12, являются:
•Сервер
приложения (applications),
приложений должен быть которые реализуют
настроен интерфейс пользователя
на аутентификацию с помощьюи протокола
бизнес-логику
SSL.
Сервер информационной
приложений выступает системы;
по отношению к серверу базы данных как обычный клиент и
имеет• одно
клиентили(Web-браузер), который обеспечивает
несколько постоянных соединений с взаимодействие между клиентом и
сервером базы данных.
сервером приложений;
• сертифицированное СКЗИ (подключаемый модуль сервера Apache (mod_ssl), адап-
тированный для работы с российской криптографией), который устанавливает за-
щищенное соединение между клиентом и сервером по протоколу SSL/TLS, использует
сертификаты/ключи для аутентификации на серверном компоненте;
• eToken RTE (драйверы смарт-карт и USB-ключей eToken компании Aladdin и до-
полнительное ПО для работы с ними).
В качестве физических носителей ключей и сертификатов пользователей применяются
USB-ключи или смарт-карты eToken. Физическое хранилище сертификатов и секретных
ключей, используемое модулем СКЗИ в составе прокси-сервера, определяется производителем
СКЗИ.
В качестве ПО для выпуска сертификатов могут использоваться программные продукты,
которые автоматизируют функции удостоверяющих центров (УЦ). Эти программные
продукты должны быть сертифицированы ФСТЭК, ФСБ РФ (например, программный
комплекс «Удостоверяющий Центр «КриптоПро УЦ»).
Принцип функционирования
1. Пользователь информационной системы пытается получить доступ к защищенному
ресурсу (приложению). Клиент посылает запрос на аутентификацию прокси-серверу.
2. Производится стандартная аутентификация по SSL-протоколу. При этом eToken RTE
осуществляет дополнительную авторизацию (запрос PIN-кода) для выполнения операций с
секретным ключом. Логику работы с сертификатами, изданными с использованием
российских криптоалгоритмов,
Рис. 2.11. Процесс аутентификации реализует модульSecurLogon
с помощью eToken СКЗИ (mod_ssl),
для Oracle имплементированный
Application Server в
сервер Apache.
3. При успешной аутентификации создается защищенный: канал передачи данных между
клиентом и прокси-сервером, а все запросы в дальнейшем перенаправляются на Oracle HTTP
Server (OHS). Необходимые
2.1.2.2. Встраивание для сертифицированных
авторизации заголовки запросов устанавливаются прокси-
криптографических
серверомсредств
на основании информации, полученной
в информационные системыиз сертификата,
на платформе предъявленного
Oracle клиентом в
процессеApplication
аутентификации.
Server
4. Затем обращение к приложению перехватывается компонентом Single Sign-On (SSO)
Постановка
Oracle Applicationзадачи
Server, который обеспечивает штатный процесс авторизации пользователя и
использует
Основной вызов подключаемого
задачей является модуля авторизации
построение (Customинформационной
защищенной SSO plug-in). системы, ис-
пользующей технологии и инфраструктуру Oracle Application Server. Данная задача делится на
три подзадачи:
194 195
Глава 2. Обеспечение безопасности доступа на основе
ЧАСТЬ рекомендаций и продуктов Oracle и Aladdin
II. ПРАКТИКА
TLS/SSL (LAN/WAN)
— настраиваемые компоненты
— компоненты поставщиков
СКЗИ
Рис. 2.12. Аутентификация и защита канала передачи данных с помощью eToken SecurLogon
для Oracle Application Server и средств криптографической защиты
196 197
ЧАСТЬ II. ПРАКТИКА
Описание решения
Основными компонентами решения, представленного на рис. 2.13, являются:
• приложения (applications), которые реализуют интерфейс пользователя и бизнес-логику
приложений Oracle BI EE и Oracle BI Publisher (XML Publisher);
• инфраструктура, которая обеспечивает хранение информации о пользователях, ролях,
приложениях, а также реализует механизмы авторизации и однократной регистрации
(Single Sign-On);
• клиент (Web-браузер), который реализует взаимодействие по сети между клиентом и
сервером приложений.
В качестве физических носителей ключей и сертификатов пользователей используются
USB-ключи или смарт-карты eToken. Сертификаты и секретные ключи, используемые
компонентом Oracle HTTP Server (OHS) в составе сервера приложений и инфраструктуры,
хранятся в файле формата PKCS#12.
Принцип функционирования
1. Пользователь информационной системы пытается получить доступ к защищенному
ресурсу (приложению), вводя соответствующий URL в адресной строке браузера. Браузер
клиента посылает запрос на http-сервер (OHS) сервера приложений.
2. OHS выполняет стандартную SSL-аутентификацию, используя свой сертификат и
секретный ключ из файлового хранилища.
3. Пользователь предъявляет свой сертификат, хранящийся на смарт-карте или USB-ключе
eToken.
4. При успешной аутентификации создается защищенный канал передачи данных между
браузером клиента и сервером приложений. Необходимые для процедуры авторизации
заголовки запросов устанавливаются http-сервером на основании информации, полученной из
сертификата, предъявленного клиентом в процессе аутентификации.
5. Затем обращение к приложению перехватывается компонентом Single Sign-On (SSO)
инфраструктуры Oracle Application Server, SSO обеспечивает штатный процесс авторизации
пользователя и использует вызов подключаемого модуля авторизации по цифровому
сертификату.
6. При успешной авторизации пользователь получает доступ к выбранному приложению.
7. Если сессия пользователя не прерывалась (браузер не был закрыт), то последующие
обращения к другим приложениям Oracle Business Intelligence или иным, развернутым на
Oracle Application Server, не потребуют повторных процедур аутентификации и авторизации.
В качестве ПО для выпуска сертификатов могут использоваться программные продукты
для автоматизации функций удостоверяющих центров (УЦ) от разных производителей. Все
используемые технологии, компоненты и настройки на стороне сервера приложений и
инфраструктуры предоставляются в составе соответствующих компонентов Oracle и описаны
в штатной документации.
198
огглссе
Глава 2. Обеспечение безопасности доступа на основе рекомендаций и продуктов Oracle и Aladdin
Клиент Приложения БД
Рис. 2.14. Трехуровневая модель Oracle E-Business Suite
199
ЧАСТЬ II. ПРАКТИКА
Уровень клиента
Уровень клиента представлен Интернет-браузером, а также Java-машиной, функци-
онирующей как добавочный компонент (add-on) браузера; он обеспечивает визуальный
интерфейс пользователя (рис. 2.15).
Java-Enabled
Browser Concurrent Processing
with Jlnitiator Server
Reports Server
Admin Server
Клиент Приложения
Рис. 2.15. Взаимодействие клиента и приложений
Рис. 2.16. Форма авторизации доступа к Oracle E-Business Suite с вводом имени пользователя и пароля
200
Й C'jHomef ftelattfmfce
F'settf Mitten OirK U >:g.-ti£tern Т?
MflfT-t
Г5К'яг- 1 I At* T'iftiSLllMI Hl&lOfV
Т2ТСТНГТ!!Т"НТТ
Wnriidnw 1 he* ViUnn
__________________________
Lo<n*-l In A: JALEE
Favorites
. Ed> f aw4t: )
oi Mfificetj VAyt
liH
3fi Si'tb Orders
J УслМ.С'деп Triosactugr.!
J ЬШЕШ Ним
а sabnm n»?-»4i
Уровень приложений
Уровнень приложений представлен набором сервисов (Services), которые реализуют
бизнес-логику компонентов Oracle E-Business Suite, а также обеспечивают управление
компонентами и формирование страниц для отображения на уровне клиента. Основными
компонентами уровня приложений являются веб-сервер и сервер форм. Приложения,
выполняемые на данном уровне, могут быть разделены на два класса:
• приложения на основе HTML (HTML-based или Self Service Applications);
• приложения на основе Oracle Forms (Forms-based Applications).
201
Глава 2. Обеспечение безопасности доступа на основе
ЧАСТЬ рекомендаций и продуктов Oracle и Aladdin
II. ПРАКТИКА
c
Web-сервер
Web-сервер обрабатывает запросы от браузера клиента и формирует HTML-страницы для
отсылки результата. Web-сервер содержит следующие компоненты (рис. 2.18):
• прослушиватель (Web-listener);
• сервер сервлетов (Java servlet engine);
• серверные страницы Java (Java Server Pages).
Browser running
Jlnitiator, a Java
plug-in
Forms client
running in the
same browser ©
3
Forms Server Forms Listener Servlet. Она дает возможность взаимодействовать процессам
архитектура
времени
User исполнения сервера форм с клиентом через Web-сервер и использовать HTTP- или
Interface
Logic
HTTPS-протоколы. Помимо возможности работы по глобальной сети такая архитектура
позволяет восстанавливать прерванные соединения, использовать меньшее количество портов
и обеспечивает более высокий уровень безопасности при передаче данных в Интернете.
Однако в рамках такой архитектуры возрастает сетевой трафик (в среднем на 40%). Это
Рис. 2.18. Уровень приложений
приводит к увеличению времени отклика для клиента LAN на 8—10 %, а для клиента WAN —
до 30%.
По возможности Web-сервер обслуживает запросы самостоятельно, при необходимости
Уровень базы
передавая данных
запросы в сервер сервлетов, например, для извлечения информации из базы данных.
Непосредственно
Уровень базы данныхWeb-сервером выполняются
также представлен наборомHTML-приложения, которые
сервисов и обеспечивает имеют
хранение и
следующие особенности:
манипулирование данными Oracle E-Business Suite.
• не используют Oracle Forms;
• безопасности
Схема OracleHTML
разработаны на чистом E-Business Suite
и Java Script;
•Стандартная
динамически формируют
система HTML-страницы,
безопасности исполняяSuite
Oracle E-Business Java-код;
базируется на четырех ком-
• для формирования страниц используют репозиторий БД.
понентах — аутентификации, авторизации, аудите и безопасности сети. Аутентификация
осуществляется по имени пользователя и паролю. Возможности имеющейся специальной
Сервер форм
системы настройки политики управления паролями и их качеством, как правило, персоналом
Сервер форм Oracle
не используются, и все Forms Server присущие
недостатки, обслуживает формы Oracle по
аутентификации E-Business
паролям,Suite и обеспе-
сохраняются.
чивает
Короткиеграфический
и простые интерфейс
пароли легкопользователя. Сервер
подбираются; форм ивзаимодействует
длинные сложные тяжелос запомнить,
БД, извлекая
и
поэтому их
нужную часто записывают,
информацию, что иявляется
формирует грубым
отображает нарушением
окна на уровнеполитики
клиента,безопасности;
инициирует
слишком редкая
изменения в БДсмена
(рис. пароля
2.19). пользователями
Дополнительно существенно
сервер формснижает
кэшируетвсенеобходимые
усилия специалистов
данные
по информационной
(например, безопасности.
большие списки) на уровне клиента.
Системаформ
Сервер авторизации обеспечивает управление
может взаимодействовать правами
с браузером и привилегиями,
клиента по протоколам назначенными
HTTP, HTTPS
определенной
и учетной
Socket (TCP/IP), записью,БДа —
а с сервером система аудита позволяет
по протоколу протоколировать и обрабатывать
Oracle Net*8.
информацию о транзакциях, выполненных от имени определенного пользователя по учетной
Forms
записи. Listener Servlet Suite поддерживает работу всех своих компонентов по протоколу
Oracle E-Business
HTTPS, что обеспечивает
Для работы сервера форм защитув каналов передачи
локальной сети, данных.
как правило, используется режим Socket.
Помимо
Такой режимсвоевременного
является наиболее обновления, повышенияоднако,
производительным, качества
непаролей и регулярного
позволяет аудитак
получить доступ
для защиты приложений при доступе к ним через Интернет рекомендуется использовать
Oracle E-Business Suite через глобальную сеть, для этого используется специальная
протокол HTTPS. После выполнения ряда процедур (как автоматизированных,
202 203
ЧАСТЬ II. ПРАКТИКА
так и выполняемых вручную) все компоненты Oracle смогут работать через защищенные
каналы связи. Однако, если на веб-сервере, обрабатывающем запросы от браузера клиента и
формирующем HTML-страницы, установить обязательную проверку подлинности
сертификата клиента, работа на сервере форм становится невозможной.
Это происходит из-за того, что Oracle Jinitiator (встроенный в браузер компонент), ис-
пользуемый на уровне клиента, не поддерживает аутентификацию клиента по SSL-протоколу,
поскольку не умеет извлекать сертификат клиента из хранилища браузера. Эта проблема
может быть решена заменой на клиентской рабочей станции компонента Jinitiator от Oracle на
подключаемый модуль Java Plug-In от Sun, при этом требуются дополнительные настройки на
стороне сервера и клиента. Еще один недостаток такого решения — наличие дополнительного
хранилища сертификатов и ключей, «понятных» Java-клиенту.
Сертификаты и ключи, установленные в браузере (т. е. в локальном хранилище сер-
тификатов Microsoft), порождают как минимум две проблемы. Во-первых, они не могут
считаться в достаточной мере защищенными, поскольку эта информация доступна для записи
пользователя компьютера, на котором установлен браузер, и для администратора системы,
следовательно, ею могут воспользоваться несанкционированно. Во-вторых, остается проблема
удаленного доступа с произвольного компьютера, поскольку учетной записью можно
воспользоваться через Интернет с удаленного компьютера.
Вариант с хранением ключевой информации на незащищенных носителях (дискеты,
флэш-память и т. п.) неприемлем как с точки зрения безопасности, так и по соображениям
надежности и удобства использования: удаленному пользователю, например, нужно
установить ключевой контейнер с носителя на компьютер, а по завершении сеанса не забыть
его удалить. Разумным выходом является хранение ключей и сертификатов на отчуждаемом
защищенном носителе — USB-ключе или смарт-карте eToken компании Aladdin.
Описание решения
Авторизованный доступ пользователей к данным бизнес-приложений Oracle E-Business
Suite осуществляется с помощью цифровых сертификатов, защищенного SSL-протокола
взаимодействия пользователя и комплекса бизнес-приложений Oracle E-Business Suite на базе
специализированных аппаратно-программных продуктов Aladdin.
204
Глава 2. Обеспечение безопасности доступа на основе рекомендаций и продуктов Oracle и Aladdin
205
Глава 2. Обеспечение безопасности доступа на основе
ЧАСТЬ рекомендаций и продуктов Oracle и Aladdin
II. ПРАКТИКА
206 207
Функциональность Название компонента
208
Глава 2. Обеспечение безопасности доступа на основе рекомендаций и продуктов Oracle и Aladdin
209
ЧАСТЬ II. ПРАКТИКА
210
Глава 2. Обеспечение безопасности доступа на основе рекомендаций и продуктов Oracle и Aladdin
Виртуальные каталоги
Программный продукт Oracle Virtual Directory позволяет отказаться от принципа фи-
зического хранения учетных данных в едином LDAP-каталоге. В качестве альтернативы Oracle
Virtual Directory предоставляет возможность создавать представления, которые объединяют
атрибуты идентификации данного объекта, взятые из других физически отделенных друг от
друга хранилищ учетных данных, включая и LDAP-каталоги. Таким образом, создается
виртуальный каталог, синдицирующий в режиме реального времени данные из различных
хранилищ учетных данных и предоставляющий эти «взгляды» (views) общекорпоративным
сервисам и приложениям. Особенно удобно использование виртуальных LDAP-каталогов при
построении корпоративных порталов.
211
ЧАСТЬ II. ПРАКТИКА
212
Глава 2. Обеспечение безопасности доступа на основе рекомендаций и продуктов Oracle и Aladdin
213
ЧАСТЬ II. ПРАКТИКА
лей в приложения. Клиентская часть ESSO позволяет автоматически выгружать эти шаблоны
на рабочие станции, опознавать окна и формы приложений для ввода атрибутов
аутентификации и подставлять в эти формы данные пользователей.
Для организации сквозного управляемого процесса от заведения учетной записи
пользователя в MS AD до его прозрачного подключения к разрешенным корпоративным
приложениям требуется интеграция системы однократной регистрации ESSO с системой
распространения учетных данных пользователей (Oracle Identity Manager). Без такой ин-
теграции администраторы прикладных систем сами должны создавать учетные записи
пользователей в приложениях и каким-то образом сообщать им их учетные имена и пароли.
Для интеграции выполняется установка адаптера OIM для ESSO, который позволяет
безопасно помещать в контейнер пользователя на LDAP-каталоге его учетные данные для
подключения к целевым системам.
Итак, на первом этапе с помощью программных продуктов Oracle Identity Manager и
Oracle ESSO строится единая система управления учетными данными, к которой подключа-
ются Microsoft AD, Lotus Notes и одна информационная система, построенная на БД Oracle.
На втором этапе происходит увеличение количества пользователей системы, и су-
ществующая архитектура системы управления учетными данными расширяется за счет
программных комплексов OID, OEBS, OFA.
Функциональная архитектура решения и потоки данных между информационными
системами представлены на рис. 2.21.
Для распространения однократно введенных учетных данных сотрудников в инфра-
структуру предприятия вводятся Oracle Identity Manager и коннекторы к различным ин-
P.MK. I.r
станция
I ogori М-ll lager
ESSO сервер
Manage (MJW .UHIIUX
metu
Conwie
Password Reset
Microsoft
/^-Oracle hktrW) A Access i tnteipnsc
Applicatio
n Dl
■-.i I
1.0(1 is
on [' nit
IlHtllt'H ■ I- .. I- ■ ■ Приложен
FSSO ия
provisionin Ofndc Identity Мдпадсг Oracle
.Oraclfl g
QjlvAV.p Oracle
rssol Г - Budne*
bCillfelCiLIiJp Suite
Oracle
Financial
215
ЧАСТЬ II. ПРАКТИКА
nuiuoHirii
tIS
П]'Н.|пЖ'.И1Ьг
Приложение
It
VliropH kILIIIII
AHopKWnH
А шины
It
Длинны H
Л ш и пи
Мчнмн
Рис. 2.22. Первоначальная организация доступа пользователей к сервисам, предоставляемым через Web
216
Глава 2. Обеспечение безопасности доступа на основе рекомендаций и продуктов Oracle и Aladdin
217
ЧАСТЬ II. ПРАКТИКА
можно настроить таким образом, чтобы поддерживался необходимый уровень его до-
ступности и безопасности.
Внутри виртуального каталога в дереве данных о каталоге (Directory Information Tree —
DIT) для каждого приложения создается своя ветвь пользователей, в результате возникает
единое пространство для поиска пользователей. Именно на основе виртуального каталога
Sim jjrr f Si MI 1
JavjWS
Javans Javans
1
VKIClIC I'M....... MySQl MySQI
Mobile
JBo»t Ппчг1
Search е Oi mv
iSEi
Sim
WebC.ate JavnWS
MySQL
Server
Mobile (IriLle
Search itEI
MySQL+
Oniric -*-
SQt.
t. Main
Рис. 2.25. Внешняя аутентификация пользователей приложениями по контексту http-заголовков
218
Глава 2. Обеспечение безопасности доступа на основе рекомендаций и продуктов Oracle и Aladdin
V
HTTP (S) SSO
LDAP каталог
cookie1 * для хранения политик
3 доступа к приложениям
Apach
веб сервер Oracle Oracle
Access Virtual
Server Directory
Коннекторы
Oracle Virtual Directory
IIS & ASP К каждому источнику
Apps учетных записей
219
ЧАСТЬ II. ПРАКТИКА
220
Глава 2. Обеспечение безопасности доступа на основе рекомендаций и продуктов Oracle и Aladdin
уровне установлены серверы промежуточного слоя, которые являются точками контакта для
клиентов, где необходимо осуществлять аутентификацию и авторизацию клиентов.
Аутентификация и авторизация выполняются на основе цифровых сертификатов, вы-
даваемых головным Удостоверяющим Центром. Авторизованные клиенты получают доступ к
информационным ресурсам и в зависимости от предоставленных им прав могут читать или
изменять хранящуюся в базе данных информацию. Подключение клиентов проходит в
защищенном режиме с помощью шифрования.
Цели и задачи решения
Централизованная система управления доступом является одной из ключевых служб,
штатная работа которой позволяет решить широкий спектр задач обеспечения информа-
ционной безопасности организации. Необходимость предоставлять авторизованным поль-
зователям право изменять данные организации федерального уровня и в то же время
обеспечивать защиту от несанкционированного доступа — наиболее очевидные из них.
Учитывая ценность конфиденциальных данных организации, решение должно предус-
матривать механизмы, позволяющие быстро реагировать на изменяющиеся требования со
стороны пользователей и владельцев информации.
Права пользователей на доступ к ресурсам наиболее удобно определять в LDAP-каталогах,
предоставляющих универсальный способ хранения и обработки регистрационных данных
пользователей информационных систем, учетных данных субъектов информационно-
вычислительных процессов, компонентов инфраструктуры и т. д. Наличие LDAP-каталогов
позволяет целиком вынести за рамки приложений все, что касается обработки учетных
данных, и предоставлять эту обработку приложениям по стандартизованному LDAP-
протоколу как общедоступный сервис. Следующие задачи — аутентификация пользователей,
анализ их запросов на доступ к ресурсам и собственно предоставление доступа к ресурсам —
требуют обращений к LDAP-каталогам и формируют дополнительные требования к общему
решению по управлению доступом.
Необходимо также иметь в виду, что в ряде подсистем идентификационные данные
пользователей могут храниться не в LDAP-каталогах, а непосредственно в базах данных, с
которыми работают корпоративные приложения, или в доменах Microsoft Windows NT. Все
эти хранилища учетных данных нужно интегрировать. Однако простое хранение
идентификационных данных пользователей в LDAP-каталогах и их использование в ло-
кальных приложениях не являются комплексным решением, необходима единая служба
управления LDAP-каталогами и идентификационными данными пользователей.
Должны быть предусмотрены механизмы интеграции со средствами сильной аутенти-
фикации, территориальная распределенность и достаточное количество точек аутентифика-
ции, наличие интерфейсов администрирования (в том числе — делегированного) и само-
обслуживания, проверка политик (например, диапазонов IP-адресов), поддержка федера-
тивного доступа с установлением доверительных отношений между хранилищами учетных
данных нескольких организаций, аудит действий пользователей организации и т. п.
Основными целями создания единой службы управления доступом АСУ организации
федерального уровня являются:
• консолидация средств контроля доступа, аутентификации и аудита для реализации
полномасштабной политики информационной безопасности в рамках всех подсистем
организации, организация единой точки входа для тех подсистем, где это необходимо;
• автоматизация процессов регистрации учетных записей клиентов АСУ организации,
назначения им прав пользования ресурсами АСУ организации, выдачи и ан-
нулирования сертификатов;
221
ЧАСТЬ II. ПРАКТИКА
222
Глава 2. Обеспечение безопасности доступа на основе рекомендаций и продуктов Oracle и Aladdin
L'L’fmnMrKJiM
13м; in MK i'
К-ИЕС1МЫ Hi’ Ссрлср уиршыснин I .DA I3 111- :| н IIVLILI! jbli'il III LJf
i Iu4
223
to
to
(OID)
LDAP-
каталог с
поддерж
кой
функций ЧА
метаката СТ
Ь
лога II.
ПР
АК
ТИ
КА
Службы каталогов Хранилище политик Слой принятия решения Слой применения политик Интеграция / интерфейс Рис. 2.29.
225
Глава 3
ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ
ДОСТУПА К ДАННЫМ И ПРИЛОЖЕНИЯМ
ИНФОРМАЦИОННОЙ СИСТЕМЫ ОРГАНИЗАЦИИ
НА ОСНОВЕ ПРОДУКТОВ
КОМПАНИИ CITRIX SYSTEMS
226
Глава 3. Обеспечение безопасности доступа на основе продуктов компании Citrix Systems
Citrix XcriScrvx*#™
ДОС lJHk.il JMfOU'HTH
Mill |»y JAM IIJ pHL-jVi
Приложения
WANSCJIM'4 Xot Desktop'u
Ускорен IbC ДОСТаВКИ Доставка Г 1К Citrix XcnApp' 1
227
ЧАСТЬ II. ПРАКТИКА
228
Глава 3. Обеспечение безопасности доступа на основе продуктов компании Citrix Systems
3. Citrix XenApp Server 4.5 — версия, работающая под ОС Microsoft Windows Server
2003. (В середине 2008 г. планируется выпуск новой версии, которая будет работать, используя
новую версию ОС Microsoft Windows 2008, представленную в феврале 2008 г.).
Версия Citrix XenApp Server 4.5 существует в трех редакциях — Advanced, Enterprise и
Platinum. Для процессов аутентификации и авторизации они не различаются, так же как не
различаются Citrix Presentation Server и Citrix Access Essentials.
Итак, в системе присутствуют следующие компоненты.
1. Citrix Secure Gateway — предназначен для обеспечения шифрования SSL/TLS между
безопасным сервером-шлюзом и клиентским ПО с поддержкой SSL, а также для шифрования
данных http-трафика, передаваемого между веб-сервером и веб-браузером.
2. Citrix Web Interface — веб-сервер, предназначенный для представления приложений и
данных пользователю информационной системы в виде веб-страницы. Возможна интеграция с
портальными решениями, такими как IBM WebSphere и Microsoft SharePoint. Портал — веб-
сайт (чаще внутренний) организации, тесно интегрированный с корпоративными
информационными системами. Обычно имеют модульную структуру, а также возможность
персональной настройки для конкретного пользователя или группы пользователей.
3. Citrix License Server — обрабатывает запросы на установление соединения с фермой
серверов XenApp Server и предоставляет необходимую для работы пользователя лицензию.
Ферма — в терминологии Citrix Systems группа серверов XenApp.
4. Secure Ticket Authority (STA) — XML Web служба, которая обменивается инфор-
мацией с сервером XenApp с помощью случайно сгенерированных билетов. Используется для
контроля доступа к серверу Citrix Secure Gateway.
5. Citrix XenApp Server — предоставляет пользователю возможность выполнения
«опубликованных» на сервере или группе серверов приложений.
6. Citrix XenApp Client — программное обеспечение, предназначенное для подключения
и использования ресурсов Citrix XenApp Server.
На приведенной ниже схеме (рис. 3.2) можно увидеть одну из возможных конфигураций
использования Citrix XenApp Server.
Для проверки подлинности и прав доступа пользователей программное обеспечение Citrix
Systems активно использует возможности служб каталога, совместно с которыми
iceiti-c
Server
Ciirix XenApp
Socnire
Клиент FiicWall
FiftWjli Wch I nlcil-Xc
Ciirt\ XcjiAfip
STA
XML Service
kodino I.IL'P
.ЗПМСИ.1
Рис. 3.2. Примерная схема подключения пользователя к Citrix XenApp
229
ЧАСТЬ II. ПРАКТИКА
Аутентификация
Аутентификация в среде Citrix XenApp осуществляется с помощью следующих меха-
низмов:
• пароли;
• смарт-карты;
• токены;
• биометрические решения.
Некоторые из этих решений могут потребовать дополнительные программно-аппаратные
комплексы, которые приобретаются у других поставщиков.
Вышеперечисленные механизмы для своей работы используют один из следующих
протоколов аутентификации:
• Windows NT LAN Manager (NTLM);
• Kerberos.
Каждый из рассматриваемых механизмов обладает как достоинствами, так и недос-
татками. Для выбора механизма аутентификации при внедрении решения необходимо
учитывать множество факторов, таких, например, как цена решения, возможность под-
ключения дополнительного оборудования к клиентским устройствам, необходимость обучения
пользователей и т. д. Заметим также, что смарт-карты, токены и средства биометрии
предоставляются сторонними поставщиками и должны иметь явную поддержку от Citrix
Systems или поставщика решения для функционирования в среде Citrix. Некоторые из этих
решений могут потребовать дополнительных аппаратных или программных компонентов или
не поддерживаться в среде Citrix. Поэтому перед выбором решения необходимо учитывать эти
факторы и проконсультироваться с поставщиком решения.
Аутентификация Kerberos
Citrix XenApp расширяет использование протокола Kerberos. После того, как пользователь
входит в систему на клиентском устройстве, он может подключиться к Citrix XenApp без
необходимости проходить снова аутентификацию. Пароль пользователя не передается на Citrix
XenApp, вместо этого происходит обмен токенами аутентификации согласно Generic Security
Services API (GSSAPI) стандартизованного в Internet RFC 1509.
230
Глава 3. Обеспечение безопасности доступа на основе продуктов компании Citrix Systems
231
ЧАСТЬ II. ПРАКТИКА
Заметим, что это рекомендации, а не требования. Тем не менее, наличие нескольких до-
менов или доверительных отношений с доменами, не использующими Active Directory, может
повлиять на все аспекты, касающиеся аутентификации пользователя, что включает:
• проверку подлинности для администратора Citrix;
• доступ пользователей к опубликованным приложениям, опубликованное приложение
(приложение, установленное на сервере Citrix XenApp и предоставленное
пользователю для удаленной работы);
• назначение пользователей сетевым принтерам.
232
Глава 3. Обеспечение безопасности доступа на основе продуктов компании Citrix Systems
Перечисление
Перечисление — это процесс, при котором клиент передает данные, чтобы обнаружить
серверы в сети и получает информацию по опубликованным приложениям фермы серверов.
В процессе перечисления клиенты общаются с Citrix XML Service или обозревателем ICA
в зависимости от протокола просмотра, выбранного на клиенте.
Перечисление производится в случае, когда:
• Web Interface или клиентское ПО Program Neighborhood посылает запрос с целью
обнаружения приложения на сервере. При использовании Load Manager (диспетчер
нагрузки) компонента Citrix XenApp для Windows, Advanced Edition и Enterprise
Edition, клиент получает адрес сервера с минимальной загруженностью.
• Пользователи Program Neighborhood выводят список Набора приложений в Мастере
«Найти новый набор приложений».
• Пользователи Program Neighborhood выводят список серверов или опубликованных
приложений в Мастере «Добавить новое ICA-подключение» для создания поль-
зовательского ICA-подключения.
233
ЧАСТЬ II. ПРАКТИКА
Сеансы ICA
Сеанс ICA — это канал связи клиента и сервера, создаваемый пользователем для запуска
приложения. В рамках сеанса ICA сервер передает экран с окном приложения на клиентское
устройство доступа, а устройство посылает приложению, запущенному на сервере, коды
нажимаемых пользователем клавиш, операций мыши и локальные данные.
Порт по умолчанию для входящего трафика сеансов ICA на серверах — 1494.
Если включается функция надежного сеанса, то трафик ICA туннелируется с помощью
общего шлюзового протокола, использующего по умолчанию ТСР порт 2598. Как и в случае
ICA-трафика, для входящих данных во время сеансов с XenApp используется выбранный порт,
а динамически назначаемый порт используется для исходящего трафика. Порты 1494 и 2598
должны быть открыты только для внутреннего входящего трафика.
Исходящий порт на серверах, используемых для сеансов ICA, назначается динамически в
момент создания сеанса.
Кроме компьютеров, на которых запущен Citrix XenApp, в создании сеанса ICA могут
участвовать и другие компоненты, например, компьютеры, на которых запущен Web Interface,
прокси-серверы и веб-обозреватели. В любом случае основной канал связи для сеанса ICA
располагается между клиентом и сервером.
Конфигурирование перечисления
Пользователь подключается к серверам и приложениям из набора приложений или
пользовательских ICA-подключений на клиенте. Перечисление — это процесс, позволяющий
найти серверы и опубликованные приложения в ответ на запросы клиента.
• Когда пользователь запускает приложение из набора приложений, Citrix XenApp
обнаруживает сервер, на котором находится данное приложение и, таким образом,
клиент может подключиться к серверу и запустить приложение.
• Когда пользователь создает пользовательское подключение, то функция «пере-
числение» позволяет получить список опубликованных приложений или серверов в
ферме. Пользователь выбирает приложение или сервер, для которого будет создаваться
пользовательское подключение.
Безопасность сеансов, создаваемых клиентами, подключающимися через Интернет,
должна обеспечиваться при помощи Secure Gateway или Access Gateway.
Анонимные пользователи
Во время установки Citrix XenApp программа создает специальную группу анонимных
пользователей. По умолчанию анонимным пользователям предоставляются гостевые
разрешения. Публикация приложений для группы анонимных пользователей позволяет
полностью исключить необходимость проверки подлинности при доступе к этим прило-
жениям. Когда пользователь запускает приложение, настроенное для анонимных поль
234
Глава 3. Обеспечение безопасности доступа на основе продуктов компании Citrix Systems
зователей, сервер не требует указания явного имени пользователя и пароля для входа на сервер
и запуска приложения. Анонимным пользователям предоставляются минимальные права на
сеансы, включающие следующие ограничения:
• десятиминутный интервал ожидания при отсутствии действий пользователя;
• выход из системы при разрыве соединения или истечении интервала ожидания;
• пользователь не может изменить пароль (пароль не требуется).
По окончании сеанса анонимного пользователя пользовательские сведения не сохра-
няются. Сервер не сохраняет настройки рабочего стола, принадлежащие пользователю файлы
и другие ресурсы, созданные или настроенные для клиента.
Примечание. Учетные записи анонимных пользователей, которые Citrix XenApp создает
во время установки, не требуют дополнительной настройки. Если нужно изменить их
свойства, можно сделать это с помощью стандартных средств управления учетными записями
пользователей Windows.
235
ЧАСТЬ II. ПРАКТИКА
Citrix XenApp контролирует вид входа, пропуская окна состояния, созданные операци-
онной системой Windows сервера, во время подключения пользователя. Для этого программа
установки Citrix XenApp использует следующие локальные групповые политики Windows для
сервера, на который вы устанавливаете продукт:
• Административные шаблоны ^ Система ^ Удалить сообщения о состоянии за-
грузки/завершения работы/входа/выхода;
• Административные шаблоны ^ Система ^ Подробные или обычные сообщения о
состоянии.
Однако групповые политики, настроенные в Active Directory, имеют приоритет над
эквивалентными локальными групповыми политиками, настроенными для отдельных
серверов. Поэтому если вы установите Citrix XenApp на серверы, входящие в домен Active
Directory, и настроите групповые политики Active Directory, эти политики могут помешать
Citrix XenApp скрыть экраны состояния, сгенерированные операционной системой Windows
на отдельных серверах. В этом случае пользователи увидят экраны состояния, созданные ОС
Windows во время подключения к этому серверу. Для обеспечения оптимальной
производительности не настраивайте такие групповые политики в Active Directory.
236
Глава 3. Обеспечение безопасности доступа на основе продуктов компании Citrix Systems
237
ЧАСТЬ II. ПРАКТИКА
238
Глава 3. Обеспечение безопасности доступа на основе продуктов компании Citrix Systems
потребуется создание учетной записи Microsoft SQL Server только для доступа к хранилищу
данных. Так как эта учетная запись будет иметь доступ только к хранилищу данных, риски
безопасности для домена Windows в случае раскрытия пароля будут устранены.
Предупреждение. Если учетная запись для прямого доступа изменится, служба Citrix
IMA Service не запустится на всех серверах, использующих эту учетную запись. Для того,
чтобы изменить пароль Citrix IMA Service необходимо ввести команду dsmaint config на всех
серверах, где это необходимо.
Предупреждение. Для сред с высоким уровнем безопасности Citrix рекомендует ис-
пользовать только проверку подлинности Windows.
Microsoft SQL Server 2005 Express Edition. Проверка подлинности Windows поддер-
живается для баз данных Microsoft SQL Server 2005 Express Edition. По соображениям
безопасности проверка подлинности Microsoft SQL Server не поддерживается. Дополни-
тельные сведения см. в документации Microsoft. Как правило, используется имя пользователя
и пароль учетной записи локального администратора. Если пользователи имеют доступ к
серверу хранилища данных, измените пароль с помощью команды dsmaint config и храните
его в безопасном месте.
Oracle. Если хранилище данных размещено в БД Oracle, дайте учетной записи, исполь-
зуемой для подключения к ферме серверов только права «connect» и «resource». Права учетной
записи уровня системного администратора (system или sys) для доступа к хранилищу данных
не требуются.
IBM DB2. Если хранилище данных размещено в БД IBM DB2, дайте учетной записи,
используемой для подключения к ферме серверов следующие права:
• Connect database (подключение базы данных);
• Create tables (создание таблиц);
• Register functions to execute to database manager’s process (регистрация функций для
выполнения процесса диспетчера базы данных);
• Create schemas implicitly (неявное создание схем).
Права учетной записи уровня системного администратора (DB2Admin) для доступа к
хранилищу данных не требуются.
239
ЧАСТЬ II. ПРАКТИКА
240
Передача данных Порт по умолчанию
241
ЧАСТЬ II. ПРАКТИКА
242
Глава 3. Обеспечение безопасности доступа на основе продуктов компании Citrix Systems
Требования к смарт-картам
Ниже приводятся основные инструкции по использованию смарт-карт с Citrix XenApp.
Для сервера необходимы следующие компоненты:
• программное обеспечение PC/SC;
• программное обеспечение Cryptographic Service Provider (CSP).
Предупреждение. Citrix Presentation Server не поддерживает функциональные специ-
фикации стандарта PKCS компании RSA Security Inc по персональным криптографически
маркерам.
Компоненты, которые необходимо установить на устройстве с поддерживаемым кли-
ентским ПО Citrix XenApp:
• программное обеспечение PC/SC;
• драйверы устройства для чтения смарт-карт;
• устройство для чтения смарт-карт.
Операционные системы клиента и сервера могут включать PC/SC, CSP и драйверы
устройства для чтения смарт-карт. Сведения о том, поддерживаются ли эти компоненты или их
необходимо заменить специализированным программным обеспечением, можно получить у
поставщика смарт-карт.
243
ЧАСТЬ II. ПРАКТИКА
Настройка клиента
Смарт-карты поддерживаются следующими клиентами:
• клиент Citrix Presentation Server для Windows;
• клиент для Linux;
• клиент для терминалов Windows.
11. Сабанов А. Безопасность баз данных. Что, от кого и как надо защищать. Connect, №
4/2006, http://www.aladdin.ru/catalog/etoken_products/oracle/public_detail.php?ID=7640
12. Сабанов А. О роли аутентификации при обеспечении защищенного удаленного доступа.
Connect № 5, 2007. Технические подробности eToken SecurLogon для Oracle Application
Server www.aladdin.ru/catalog/etoken_products/oas/tech_details.php
13. Технические подробности eToken SecurLogon для Oracle E-Business Suite,
www.aladdin.m/catalog/etoken_products/suite/tech_details.php
14. eToken SecurLogon для Oracle Application Server
www.aladdin.ru/catalog/etoken_products/oas/
15. eToken SecurLogon для Oracle E-Business Suite,
www.aladdin.ru/catalog/etoken_products/suite/
16. Oracle Advanced Security Administrator's Guide Release 2 (9.2)
17. Oracle Database 10g — Каталог программных продуктов
http://www.oracle.com/global/ru/pdfs/ index.html
18. Oracle Database 10g Release 2 (10.2) Documentation
http://www.oracle.com/technology/documen- tation/database10gr2.html
19. Oracle E-Business Suite. Каталог. http://download.oracle.com/otndocs/ebs/oracle-ebs-
catalogue-full.pdf
20. Oracle Fusion Middleware. Каталог продуктов.
http://www.oracle.com/global/ru/pdfs/index.html
21. Citrix Product Development Team. Access Security for IT Administrators, McGraw Hill
Osborne, 2007.
22. Fabian Kienle. Citrix MetaFrame Secure Access Manager, MITP, 2004.
23. MetaFrame Presentation Server Security Standards and Deployment Scenarios, Citrix Systems,
2004.
24. Citrix Advanced Concepts Guide, Vol. 3, Security, Citrix Systems, 2007.
Источники
1. http://technet2.microsoft.com/windowsserver2008/en/servermanager/activedirectorycertificates
ervi- ces.mspx» (Службы сертификации Active Directory AD CS)
2. http://technet2.microsoft.com/windowsserver2008/en/servermanager/activedirectorydomainserv
i- ces.mspx (Службы доменов Active Directory AD DS)
3. http://technet2.microsoft.com/windowsserver2008/en/servermanager/activedirectoryfederations
ervi- ces.mspx (Службы федерации Active Directory AD FS)
4. http://technet2.microsoft.com/windowsserver2008/en/servermanager/activedirectorylightweight
directo- ryservices.mspx (Службы Active Directory облегченного доступа к каталогам AD
LDS)
5. http://technet2.microsoft.com/windowsserver2008/en/servermanager/activedirectoryrightsmana
gement- services.mspx (Службы управления правами Active Directory AD RMS)
6. http://technet2.microsoft.com/windowsserver2008/en/servermanager/applicationserver.mspx
(Сервер приложений)
7. http://technet2.microsoft.com/windowsserver2008/en/servermanager/dhcpserver.mspx (DHCP-
сервер)
8. http://technet2.microsoft.com/windowsserver2008/en/servermanager/dnsserver.mspx (DNS-
сервер)
9. http://technet2.microsoft.com/windowsserver2008/en/servermanager/faxserver.mspx (Факс-
сервер)
10. http://technet2.microsoft.com/windowsserver2008/en/servermanager/fileservicesmspx
(Файловые службы)
11. http://go.microsoft.com/fwlink/?LinkId=101268 (Hyper-V)
12. http://technet2.microsoft.com/windowsserver2008/en/servermanager/networkpolicyandaccessse
rvic- es.mspx (Службы сетевой политики и доступа)
13. http://technet2.microsoft.com/windowsserver2008/en/servermanager/printservices.mspx
(Службы печати)
245
ЧАСТЬ II. ПРАКТИКА
ЛАБОРАТОРНЫЕ РАБОТЫ
Лабораторная работа № 1
ПОДГОТОВКА СТЕНДА,
УСТАНОВКА И НАСТРОЙКА ПО,
ПОДГОТОВКА ЭЛЕКТРОННЫХ КЛЮЧЕЙ eToken
Цель работы
Подготовить стенд для выполнения работ по теме «Обеспечение безопасности доступа к
данным информационной системы организации с помощью продуктов Microsoft и Aladdin.
Типовые решения». Подготовить к работе электронные ключи eToken.
248
Лабораторная работа № 1
Модели eToken
Ключ eToken — персональное средство аутентификации и хранения данных, аппаратно
поддерживающее работу с цифровыми сертификатами и электронными цифровыми
подписями (ЭЦП). eToken выпускается в форм-факторах USB-ключа или смарт-карты.
USB-ключ eToken подключается к компьютеру через порт USB (Universal Serial Bus) и не
требует наличия устройства чтения смарт-карт.
eToken обладает защищенной энергонезависимой памятью и используется в качестве
хранилища секретных данных (ключей шифрования, имен пользователя, паролей, учетных
записей, сертификатов и пр.).
В лабораторных работах будет использоваться электронный ключ eToken PRO в форм-
факторе USB-ключа.
eToken PRO
eToken PRO имеет микросхему смарт-карты Infineon SLE66C, аппаратно реализующую
алгоритмы RSA, DES, TripleDES, SHA-1. eToken PRO снабжен встроенным генератором
ключевых пар алгоритма RSA. При этом закрытые ключи никогда не покидают микросхему
смарт-карты. Микросхемы семейства Infineon SLE66C работают под управлением
операционной системы Siemens CardOS и обеспечивают высокий уровень безопасности
(сертификат ITSEC LE4).
Кроме PIN-кода пользователя в eToken PRO предусмотрен пароль администратора. С его
помощью, например, можно сменить забытый PIN-код. Пароль администратора также можно
менять.
eToken PRO можно форматировать с помощью утилиты eToken Properties, входящей в
состав набора драйверов eToken Run Time Environment 3.65. При форматировании:
• из памяти eToken PRO удаляется вся информация;
• устанавливается PIN-код;
• возможно задание пароля администратора;
• возможно задание ключа форматирования для предотвращения несанкционированного
переформатирования.
249
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
Описание работы
Для изучения возможностей продуктов Microsoft Windows Server 2003 и электронных
ключей eToken для обеспечения безопасности доступа к данным информационной системы
работа делится на три части:
• установка и настройка стенда;
• установка и настройка программного обеспечения для работы с ключами eToken;
• подготовка ключей eToken.
250
Лабораторная работа № 1
Задание
1. Изучить теоретические вопросы, изложенные в начале лабораторной работы.
2. Подготовить стенд.
3. Установить и настроить программное обеспечение, необходимое для работы с ключами
eToken.
4. Подготовить к работе ключи eToken.
5. Оформить отчет по лабораторной работе.
6. Ответить на контрольные вопросы.
Описание стенда
Для обеспечения проверки возможности настройки режимов работы встроенных
(штатных) средств обеспечения безопасности Windows Server 2003 и Windows XP, по-
строенных на основе технологий смарт-карт и основных концепциях построения PKI-систем,
на базе Windows Server 2003 CA, ключей и смарт-карт eToken используется стенд.
В состав тестового стенда входят две виртуальные машины, построенные на основе
VMware 6.0:
1. На базе ОС Windows Server 2003 Enterprise Edition R2 Rus.
2. На базе ОС Windows XP Pro Rus.
Для проведения лабораторной работы используется исходное состояние стенда, по-
строенного на виртуальных машинах VMware 6.0.
Стенд для проведения лабораторных работ представляет собой рабочую станцию, на
которой имитируется работа локальной сети предприятия. Он состоит из рабочей станции и
созданных на ней двух виртуальных машин, работающих под управлением VMware 6.0. Для
удобства дальнейшего изложения материала введены следующие обозначения:
• хост (host) — рабочая станция слушателя;
• VM SRV — виртуальная машина с операционной системой Windows Server 2003,
сервер предприятия;
• VM WS — виртуальная машина с операционной системой Windows XP, рабочая
станция предприятия.
Для нормального функционирования стенда рекомендуется следующая минимальная
конфигурация рабочей станции:
• центральный процессор — Pentium III 1 ГГц;
• оперативная память — 1 Гб;
• объем свободного места на жестком диске — 20 Гб;
• наличие порта USB версии 2.0.
Кроме того, для настройки и последующей работы стенда потребуется следующее
программное обеспечение:
• операционная система Windows XP Professional;
• VMware версии 6.0 или выше;
• CD-ROM с дистрибутивом (либо образ диска) Windows 2003 Server;
251
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
Настройка хоста
Настройка хоста сводится к установке параметров сетевых подключений. Для установки
параметров сетевых подключений выполните на хосте следующие действия:
Остановите все виртуальные машины на хосте.
Из меню Edit (Редактирование) программы VMware выберите пункт Virtual Network
Settings (Настройки виртуальной сети).
Выберите вкладку NAT и остановите NAT для сети VMNet8, для чего нажмите Stop
Service (Остановить сервис) и затем Применить.
252
Лабораторная работа № 1
253
Лабораторная
ЧАСТЬ работа РАБОТЫ
III. ЛАБОРАТОРНЫЕ №1
Задайте виртуальной
Настройка адрес для VMNet8. VM SRV
машины
Машина VM SRV представляет собой контроллер домена northwind.ru. Полное имя
компьютера — server.northwind.ru.
Характеристики виртуальной машины VMSRV
Ниже приведены минимальные характеристики виртуальной машины:
• оперативная память — 384 Мб;
• суммарный объем жесткого диска — 3 Гб;
• сетевая плата — 2 шт.;
• устройство CD-ROM (IDE);
• контроллер USB.
Для нормальной работы виртуальной машины рекомендуется увеличить (по возможности)
объем оперативной памяти, например, до 512 Мб. При определении размера оперативной
памяти обращайте внимание на минимальные, рекомендуемые и максимально возможные
(исходя из характеристик хоста) значения.
Аналогично для сетевой карты NIC2 установите значение VMNet8 (Host only).
Нажмите OK.
Загрузите операционную систему на VM SRV.
Откройте Пуск ^ Настройка ^ Панель управления ^ Сетевые подключения (Start ^
Settings ^ Control Panel ^ Network connections).
Переименуйте сетевые подключения на LAN (соответствует адаптеру Ethernet) и Internet
(соответствует адаптеру Ethernet 2).
256
Лабораторная
ЧАСТЬ работа РАБОТЫ
III. ЛАБОРАТОРНЫЕ №1
Вызовите
Настройка свойства подключения
виртуальной машины VM LAN
WS и установите параметры протокола TCP/IP:
Характеристики виртуальной машины VM WS
Ниже приведены минимальные характеристики виртуальной машины:
• оперативная память — 192 Мб;
• суммарный объем жесткого диска — 2 Гб;
• сетевая плата — 1 шт.;
• устройство CD-ROM (IDE);
• контроллер USB.
Для нормальной работы виртуальной машины рекомендуется увеличить (по возможности)
объем оперативной памяти, например, до 256 Мб. При определении размера оперативной
памяти обращайте внимание на минимальные, рекомендуемые и максимально возможные
(исходя из характеристик хоста) значения.
258 257
Лабораторная работа № 1
259
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
260
Лабораторная
ЧАСТЬ работа РАБОТЫ
III. ЛАБОРАТОРНЫЕ №1
Задайте
Создание пароль
нового для пользователя. Отключите опцию Требовать смену пароля при сле-
пользователя
дующем входе в систему (User must change password at next logon).
Для того чтобы создать пользователя выполните следующие шаги:
Запустите на VM SRV Пуск ^ Программы ^ Администрирование ^ Active Directory —
Пользователи и компьютеры (Start ^ Programs ^ Administrative Tools ^ Active Directory —
Users and Computers).
В директории Users (Пользователи) создайте нового пользователя.
262 261
Лабораторная
ЧАСТЬ работа РАБОТЫ
III. ЛАБОРАТОРНЫЕ №1
-L. -I !■ Itl ш~
rpyvnitiUCfUOttCn*.
BESSШ
Пеоедестигь
ICenunCOft -У •■***.#**,#* мл*
йтпр*окг*
Wt iDomiri почту
M deffun cortroto i n №
Control Счтаг» Kt HIM! Aidomen^iWta
Gunfe ! ■EJ <**де t**<
ьамлум«у : Gbc<44 Designated admrtstTaCof*
Ь*вфпи £J,V*rffc. Member* n If® <*CM> <an
JWfc* Eu*‘H *ccotrt lot QjMt
■VtnjC Wky ■>cxp for tr* Mefc and Su
От Mlt 5*v** n IЫ
! ■‘«•сдаа ;™r Deagrialed admnstrator«
rtvt * * verrii* « ассод*
rpynftlMHAMNKlii ij №■* W n*
погъзоы»егк
jj Arw»::ewBocp:«4Q*
264 263
Лабораторная работа № 1
После того как пользователь оказался в списке членов данной группы, нажмите OK.
В окне приветствия программы установки eToken Run Time Environment нажмите Next
(Далее).
В окне eToken Run Time Environment 3.65 Setup/End-User License Agreement ознакомьтесь
с Лицензионным соглашением (на английском языке). Если вы согласны с его условиями,
выберите I accept the license agreement (Я принимаю условия лицензионного
266
Лабораторная работа № 1
соглашения) и нажмите Next (Далее) для того, чтобы продолжить установку. Если вы не
согласны с условиями лицензионного соглашения, нажмите Cancel (Отмена), а в появившемся
окне — Yes (Да), чтобы выйти из программы установки.
Отсоедините все eToken от компьютера и в окне eToken Run Time Environment 3.65
Setup/Ready to Install the Application нажмите Next (Далее).
267
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
268
Лабораторная работа № 1
В окне eToken RTE 3.65 Russian User Interface\roTOBa к установке программы нажмите
Установить.
Дождитесь завершения установки. После завершения установки eToken RUI в окне eToken
RTE 3.65 Russian User Interface/Программа InstallShield Wizard завершена нажмите Готово.
269
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
I□ п pcccipa
'Ъти'П ■■■■■ nfi*i л
h* EYxLRREWT .USER
Иг FttOCfil P
HARDWARE OMOOOOOOOI
РЕСДОЯО ihilt ft ft f «ДО67295]
-I SECLF'ITT
SOFTWARE
bTouil
CflmdCfltralK
Cepe
гГСЛР
e‘Cert Store
j «"propffbw
270
Лабораторная работа № 1
В будущем, чтобы исключить появление данного окна, установите флажок Never show this
hint again (Никогда больше не предупреждать об этом).
После завершения обработки нового оборудования на ключе загорится световой ин-
дикатор.
Для того чтобы убедиться в том, что подключенный eToken готов к работе, выполните
следующую последовательность действий:
В Windows XP/Server 2003 запустите Пуск ^ Настройка ^ Панель управления ^
Администрирование ^ Управление компьютером (Start ^ Settings ^ Control Panel ^
administrative Tools ^ Computer management).
Убедитесь в том, что в дереве консоли присутствует узел Smart card readers, а в нем —
один или более Aladdin IFD Handler, а также USB Token в разделе USB controllers.
271
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
272
Лабораторная работа № 1
Для форматирования eToken с созданием Aladdin File System (файловой системы Aladdin)
оставьте пункт Инициализировать eToken отмеченным.
В секции Назначение PIN-кода оставьте значения полей PIN-код и Подтверждение по
умолчанию (1234567890).
273
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
Задайте пароль администратора. Для этого установите флажок Задать пароль адми-
нистратора и введите пароль (1234567890) в поля Пароль и Подтверждение.
274
Лабораторная
ЧАСТЬ работа РАБОТЫ
III. ЛАБОРАТОРНЫЕ №1
В поле
Для начала eToken выберитев соответствующий
Цветформатирования цвет сзначка
окне Свойства eToken eToken.
предупреждением о потере данных
при В
форматировании нажмите
разделе Счетчики OK. попыток ввода задайте количество неправильных попыток
неудачных
ввода PIN-кода и пароля администратора равным 15.
Выберите вкладку Ключ форматирования.
Проверьте, что в разделе Текущий ключ форматирования отмечен пункт Ключ фор-
матирования по умолчанию, а в разделе Новый ключ форматирования не отмечен пара-
метр Назначить ключу форматирования значение.
Внимание! Назначение ключа форматирования может иметь необратимые
последствия.
Нажмите OK.
Закройте утилиту «Свойства
В окне Форматирование .
нажмите
eToken»
eToken Запустить.
Для дальнейшего выполнения лабораторной работы необходимо настроить параметры
работы ключей eToken. Для этого выполните следующее:
Нажмите Пуск ^ Программы (Все программы) ^ eToken ^ eToken Properties (Start ^
Programs (All Programs) ^ eToken/eToken Properties).
Примечание. В процессе работы с программой, для внесения изменений в пара-
метры eToken, необходимо будет ввести его PIN-код. После его ввода вы можете
вносить необходимые изменения в различных окнах программы, пока вы не выйдите
из программы.
После запуска программы в окне Свойства eToken отображается общая информация
относительно выбранного eToken:
цвет и имя eToken, в строке Имя считывателя — устройство чтения (физическое или
виртуальное), в строке Модель — модель eToken.
276 275
Лабораторная
ЧАСТЬ работа РАБОТЫ
III. ЛАБОРАТОРНЫЕ №1
278 277
Лабораторная
ЧАСТЬ работа РАБОТЫ
III. ЛАБОРАТОРНЫЕ №1
На хосте
Properties (Start ^ Programs
создайте (All Programs)
свои настройки ^ eToken
качества ^ eToken
паролей Properties)
eToken, и выберите
используя утилиту на вкладке
«Свойства
Компьютер
eToken» . пункт Качество паролей.
С помощью программы Notepad (Блокнот) откройте файл c:\windows\system32\etpass.ini и
внесите дополнительные изменения, усиливающие качество паролей.
Установите единые установки критериев качества паролей на все машины. Для этого
скопируйте файл etpass.ini на VM WS и VM SRV в директорию c:\windows\system32\.
Для того чтобы убедиться в применении заданных критериев качества паролей (PIN-кода)
eToken, необходимо в утилите «Свойства eToken» изменить пароль и попытаться задать
пароль, не удовлетворяющий заданным критериям качества.
Результат тестирования критериев качества паролей можно считать положительным, если
не удается изменить пароль пользователя на пароль, заведомо этим критериям не
удовлетворяющий.
Содержание отчета
Отчет оформляется один на бригаду из одного-двух исполнителей.
В отчете с титульным листом установленной формы (Приложение А) необходимо
представить следующие сведения:
1. Наименование и цели работы.
2. Краткую характеристику учебного стенда (по составу доступных пользователю функций
управления и индикаций, распределению ресурсов, функций, вариантов набора
преобразований).
3. Функциональную схему учебного стенда с пояснениями и комментариями.
4.ВЗаданные
открывшемся окнекачества
критерии Настройка параметров
паролей качества паролей
eToken, установленные eToken
в ходе можно работы.
выполнения просмат-
ривать и изменять значения
5. Подготовиться параметров,
для устных ответов на влияющих
контрольныена вопросы.
качество паролей, а также выявлять
качество текущих паролей.
Для того чтобы проверить соответствие пароля выбранным критериям, введите пароль в
строку Проверка качества введенного пароля.
Под строкой Проверка качества введенного пароля в процентах условно отображается
качество введенного пароляКонтрольные
согласно критериямвопросы
файла etpass.ini. В нижнем поле окна
выводится информация о причинах несоответствия введенного пароля этим критериям.
1. Как подготовить к работе учебный стенд?
2. Как ввести в действие учебный стенд?
3. Каковы признаки готовности учебного стенда?
4. Каким образом можно инициализировать eToken?
5. Каким образом можно задать сложность пароля для eToken?
6. Каким образом можно распространить критерии качества пароля eToken на другие
компьютеры?
279
Лабораторная работа № 1
Приложение А
Титульный лист
(образец)
Выполнили:
Студенты гр.
(Ф.И.О.)
(Ф.И.О.)
Принял:
Руководитель
(Ф.И.О)
(год)
281
Лабораторная работа № 2
УСТАНОВКА И НАСТРОЙКА ЦЕНТРА
СЕРТИФИКАЦИИ, ИСПОЛЬЗОВАНИЕ КЛЮЧЕЙ
ETOKEN В ДОМЕНЕ WINDOWS SERVER 2003
Цель работы
Для выполнения работ по теме «Обеспечение безопасности доступа к данным ин-
формационной системы организации с помощью продуктов Microsoft и Aladdin. Типовые
решения» установить и настроить Центр сертификации Windows Server 2003 CA и научиться
использовать электронные ключи eToken для аутентификации пользователей в домене
Windows Server 2003.
Описание работы
Для изучения возможностей Microsoft Windows Server 2003 CA и электронных ключей
eToken для обеспечения аутентификации пользователей в домене Windows Server 2003 и
безопасности доступа к данным информационной системы работа делится на две части:
• установка и настройка Центра сертификации (CA), подготовка его консоли, издание
сертификатов;
• использование ключей eToken для регистрации в домене, для запуска приложений от
имени другого пользователя и для подключения сетевых дисков с использованием прав
доступа другого пользователя.
282
Лабораторная работа № 2
283
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
Задание
1. Изучить теоретические вопросы, изложенные в начале данной лабораторной работы.
2. Установить и настроить Центр сертификации.
3. Выписать сертификаты, скопировать их в ключи eToken.
4. Выполнить регистрацию пользователя в домене с использованием eToken.
5. Выполнить запуск приложений от имени другого пользователя с использованием eToken.
6. Выполнить подключение сетевых дисков с использованием прав доступа другого
пользователя с использованием eToken.
7. Оформить отчет по лабораторной работе.
8. Ответить на контрольные вопросы.
284
Лабораторная работа № 2
Задайте Общее имя для этого ЦС (Common name). Для задания имени ЦС используйте
инициалы имени и фамилии + Root. Затем нажмите Далее (Next).
285
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
Появится предупреждение, что служба IIS будет временно остановлена. Нажмите Да (Yes).
Для продолжения потребуется дистрибутив Windows 2003 Server. При работе с VM SRV
необходимо будет подключить образ данного диска к этой виртуальной машине. Для этого вам
понадобится ISO-образ данного диска (либо установочный CD-ROM).
Из меню программы VMware, в которой у вас запущена VM SRV, выберите VM ^ Settings.
После этого появится окно Virtual Machine Control Panel. На закладке Hardware выберите CD-
ROM, укажите путь к образу диска, установите опцию Device status — Connected. Нажмите
OK.
286
Лабораторная работа № 2
287
Лабораторная
ЧАСТЬ работа РАБОТЫ
III. ЛАБОРАТОРНЫЕ №2
Откройте
В закладку
окне certtmpl Обработка
— [Certificate запросавыберите
Templates] (Request шаблон
Handling). Назначьте со
Пользователь параметру Ми-
смарт-картой
нимальный размер ключа (Minimum key size) значение 1024. Нажмите Поставщики (CSPs).
(Smartcard user), щелкните правой кнопкой мыши и выберите Скопировать шаблон (Duplicate
Template).
288 289
Лабораторная
ЧАСТЬ работаРАБОТЫ
III. ЛАБОРАТОРНЫЕ №2
В окне Выделить
Свойства нового
CSP (CSP
шаблона
Selection)
(Properties
выберите
of New
Запросы
Template)
должны
нажмите
использовать
OK. Убедитесь
один из
в
следующих
том, что шаблон
CSP Aladdin
(Requests
Smartcard
must useUser
oneпоявился
of the following
в списке
CSPs).
Шаблоны сертификатов
(Certificate
В списке Templates).
Поставщики служб криптографии (CSPs) выберите eToken Base Cryptographic
Provider
Закройте
и нажмите
окно certtmpl
OK. — [Certificate Templates].
Для выполнения лабораторной работы создайте шаблоны сертификатов в соответствии
с указанными ниже параметрами, остальные параметры оставьте без изменений:
Параметры шаблона
Примечание.
Имя шаблона Этот CSP присутствуетОбработка
в списке,запроса
только если на компьютере, с которого
осуществляется настройка создаваемого шаблона, установлен eToken RTE.
Базовый шаблон Минимальный CSP Требования выдачи
размер ключа
В окне Свойства нового шаблона (Properties of New Template) откройте вкладку Тре-
бования выдачи (Issuance Requirements).
Aladdin Smartcard Пользователь со eToken Base Указанное число авто-
User смарткартой Cryptographic ризованных подписей: 1
Цель: (Smartcard User) Provider Тип политики: политика
применения Политика
Вход 1024 eToken Base применения: агент запроса
Aladdin Smartcard со смарткартой Cryptographic сертификата
Logon (Smartcard Logon) Provider
Пользователь Microsoft
Aladdin Exchange Exchange (Exchange Enhanced
Sign & Encrypt User) Cryptographic
Цель: подпись и Provider
шифрование
290
Включение шаблонов сертификатов
После того как шаблон сертификата создан, его необходимо включить. Для включения
шаблона сертификата, выполните следующее:
Запустите консоль Центра сертификации Пуск ^ Программы ^ Администрирование ^
Центр сертификации (Start ^ Programs ^ Administrative Tools ^ Certification Authority).
Выберите Центр сертификации, который вы хотите настроить.
В дереве консоли щелкните правой кнопкой мыши Шаблоны сертификатов (Certificate
Templates) и выберите Создать (New). Щелкните Выдаваемый шаблон сертификата
(Certificate Template to Issue).
291
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
292
Лабораторная работа № 2
293
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
В меню Консоль (Console) выберите Добавить или удалить оснастку (Add/Remove snap-in).
294
Лабораторная работа № 2
В окне Certification Authority выберите Another computer и введите имя сервера, на ко-
тором установлен CA.
Нажмите Готово/Finish.
В окне Добавить изолированную оснастку (Add Standalone snap-in) нажмите Закрыть
(Close).
В окне Добавить/удалить оснастку (Add/Remove snap-in) нажмите OK.
Сохраните настройки консоли на рабочем столе (Консоль ЦС).
295
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
296
Лабораторная
ЧАСТЬ работа РАБОТЫ
III. ЛАБОРАТОРНЫЕ №2
— выберите
Настройка Подавать
станции заявки на сертификаты автоматически (Enroll certificates
выписки сертификатов
automatically);
Добавление Центрафлажок
— установите сертификации в список
Обновлять доверенных
сертификаты узлов
с истекшим сроком действия, обновлять
Для выписки
отозванные сертификатов
и устанавливать с использованием
сертификаты в состоянииприложения
ожидания Internet
(RenewExplorer
expiredнеобходимо
certificates,
предварительно настроитьand
update pending certificates, его параметры
remove revoked безопасности.
certificates); Для этого:
Запустите
— приложение
установите Internet Explorer.
флажок Обновлять Откройте
сертификаты на пункт
основеменю Сервис
шаблонов ^ Свойства обоз-
сертификатов
ревателя (Tools ^ Internet
(Update certificates that useOptions).
certificates Откройте вкладку Безопасность (Security).
templates).
Выберите зону Надежные
Примечание. узлы (Trusted
Данный объект можно sites) и нажмите
использовать кнопку
как Узлы (Sites).
в доменных Введите
политиках, так и в
адрес Центра сертификации (http :// server . northwind
политиках, применяемых к отдельным подразделениям. . ru / certsrv) и нажмите Добавить (Add).
Нажмите OK.
Чтобы обновленная политика начала действовать немедленно, выполните на контр-
оллере домена команду gpupdate /force.
298 297
Лабораторная работа № 2
Выберите зону Надежные узлы (Trusted sites) и нажмите кнопку Другой (Custom level).
299
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
300
Лабораторная
ЧАСТЬ работа РАБОТЫ
III. ЛАБОРАТОРНЫЕ №2
На
В окнестранице
Добавить
Мастер
изолированную
запроса сертификата/Типы
оснастку (Add Standalone
сертификатов
snap-in)
(Certificates
нажмите Закрыть
Request
Wizard/Certificate
(Close). Types) в списке Типы сертификатов (Certificate types) выберите тип Агент
подачи
В окне
заявок
Добавить/удалить
(Enrollment Agent).
оснастку (Add/Remove snap-in) нажмите OK.
Сохраните настройки консоли
Примечание. Для обеспечения на рабочем столе (Консоль
защиты Сертификатов).
от несанкционированного издания
сертификатов на сертификат агента подачи заявок устанавливается пароль. Для
Получение сертификата агента получения заявок
этого установите опции Дополнительно (Advanced) и только после этого нажмите
Далее (Next).«Консоль сертификатов».
Запустите
В дереве консоли разверните Сертификаты — текущий пользователь (Certificates —
Current User).
Щелкните правой кнопкой мыши на папку Личные (Personal), выберите Все задачи (All
tasks) и щелкните на пункт меню Запросить новый сертификат (Request New Certificate).
302 301
Лабораторная работа № 2
303
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
нения, нажмите Назад (Back). Для того чтобы сформировать запрос на выдачу сертификата,
нажмите Готово (Finish).
304
Лабораторная работа № 2
Введите пароль, который необходимо будет вводить при использовании данного сер-
тификата. Нажмите Готово (Finish).
Появится окно Создание нового ключа подписи RSA (Creating a new RSA signature key)c
информацией о том, что установлен высокий уровень безопасности. Нажмите OK.
305
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
306
Лабораторная работа № 2
Нажмите Request a certificate for a smart card on behalf of another user by using the smart
card certificate enrollment station (Запросить сертификат смарт-карты пользователя, ис-
пользуя сертификат агента подачи заявок).
307
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
Введите имя пользователя, для которого вы хотите издать сертификат. Нажмите кнопку
Проверить имена, чтобы убедиться, что вы правильно набрали имя.
308
Лабораторная работа № 2
После выбора пользователя на странице Smart Card Certificate Enrollment Station по-
явится кнопка Enroll (Записать).
309
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
В случае успешного издания сертификата и записи его в память eToken на странице Smart
Card Certificate Enrollment Station в разделе Status (Состояние) появится сообщение:
The smart card is ready... Press «View Certificate» to make sure the certificate contains the
correct personal information about the user. (Смарт-карта готова. Нажмите «Просмотр сер-
тификата» для того чтобы убедиться, что сертификат содержит правильную информацию о
пользователе).
310
Лабораторная работа № 2
В разделе Key Options (Настройки Ключа) все параметры оставьте без изменений:
Р+р _____________________________________________________________________________________
&<'*** Out* * '4*4 ■ РГ и
■ I h f c m d t brhvx+d 1 1
-'I■ t \ C —'
Г■
K*] bi¥ 1Ш* ааи1*1Л1Ш1
fcrr caiwnr TrWTW OVHI itmjpid b b - J i p n "рпт
311
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
Allnbylei
5ulimfi >
В случае успешного издания сертификата появится окно с сообщением The certificate you
requested was issued to you (Запрашиваемый вами сертификат был для вас выписан).
Нажмите Install this certificate (Установить этот сертификат).
312
Лабораторная работа № 2
313
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
314
Лабораторная
ЧАСТЬ работа РАБОТЫ
III. ЛАБОРАТОРНЫЕ №2
В окне Вход в Windows (Log on to Windows) в поле PIN-код (PIN) введите PIN-код.
Нажмите OK.
Примечание.
Установка Рекомендуется
для пользователя удалять
требования оригинальный
использования сертификат
смарт-карты прис ключом после его
импорта на eToken.
интерактивном подсоединении к компьютеру
В случае
Для успешного
того чтобы импорта
разрешить сертификата
регистрацию напоявится сообщение
компьютере только сИмпорт осуществлен
использованием смарт-
успешно.
карт, Нажмите
выполните ОК.
следующее:
Откройте Active Directory — пользователи и компьютеры (Active Directory — users and
computers).
В дереве консоли откройте директорию Users.
Дважды щелкните по учетной записи пользователя в списке, которому вы хотите ус-
тановить данное требование.
В окне учетной записи пользователя откройте вкладку Учетная запись (Account).
В списке Параметры учетной записи (Account options) установите флажок Для инте-
рактивного входа в сеть нужна смарт-карта (Smart card is required for interactive logon).
316 315
Лабораторная работа № 2
Нажмите OK.
Чтобы внесенные изменения начали действовать немедленно, выполните на контр-
оллере домена команду gpupdate /force.
Установка групповой политики требования использования смарт-карты при
интерактивном подсоединении к компьютеру
Для того чтобы установить требование использования смарт-карт при интерактивном
подсоединении к компьютеру на все компьютеры, которые входят в домен, выполните
следующие действия:
Запустите программу Политика безопасности домена (Domain Security Policy), нажав Пуск
^ Программы ^ Администрирование (Start ^ Programs ^ Administrative Tools).
Перейдите в папку Параметры безопасности ^ Локальные политики ^ Параметры
безопасности (Security Settings ^ Local Policies ^ Security options). Установите параметр
Interactive logon: Require smart card в соответствии с рисунком.
Установите флажок Определить следующий параметр политики (Define this policy
setting).
Выберите Включен (Enabled).
317
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
318
Лабораторная работа № 2
319
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
Примечание.
— Для каждого устройства, в котором Windows не обнаружит eToken, будет выведено
сообщение об ошибке Нет карты в устройстве чтения N (No card on reader N), где N —
порядковый номер устройства.
— Для каждого устройства, в котором Windows обнаружит eToken без сертифика-
та, предназначенного для входа в сеть по смарт-карте (Smart Card Logon), будет вы-
ведено сообщение Ошибка при чтении смарт-карты в устройстве чтения N (Error
reading smart card on reader N).
При использовании интерфейса командной строки, выполните следующее: Запустите
команду >runas /sm chkdsk Чтение смарт-карт...
Укажите сертификат, который следует использовать. Выберите его из следующего списка:
Устройство чтения 1: avorontsov@northwind.ru Устройство чтения 3:
Administrator@northwind.ru
Из списка устройств чтения смарт-карт выберите номер устройства, в котором хранится
сертификат пользователя, от имени которого вы хотите запустить приложение (например, 3 —
от имени пользователя Administrator@northwind.ru).
Выберите номер устройства чтения для использования 'Пользователь со смарт-картой:
Введите номер устройства:
3
Введите PIN-код соответствующего eToken. Если вы предоставили сертификат поль-
зователя, который обладает правами для запуска данной программы, то эта программа
запустится в новом окне.
Используется карта в устройстве 3. Введите PIN-код:
Попытка запуска chkdsk от имени пользователя «Administrator — DS Root» ...
320
Лабораторная работа № 2
Введите в поле Диск () имя диска (например, Z:), которое вы хотите назначить под-
ключаемому ресурсу, а в поле Папка () полное имя ресурса, который вы хотите подсоединить
(например — «\\server\c$») и нажмите Готово.
321
Лабораторная
ЧАСТЬ работа РАБОТЫ
III. ЛАБОРАТОРНЫЕ №2
Примечание.
В поле PIN-код (PIN) введите PIN-код eToken, на котором находится данный сертификат, и
— Для
нажмите каждого устройства, в котором Windows не обнаружит eToken, будет выведено
OK.
сообщение об ошибке Нет карты в устройстве чтения N (No card on reader N), где N —
порядковый номер устройства.
— Для каждого устройства, в котором Windows обнаружит eToken без сертифика-
та, предназначенного для входа в сеть по смарт-карте (Smart Card Logon), будет вы-
ведено сообщение Ошибка при чтении смарт-карты в устройстве чтения N (Error
reading smart card on reader N).
При использовании интерфейса командной строки, выполните следующее: Запустите
команду >net use Z: \\server\c$ /sm Чтение смарт-карт...
Укажите сертификат, который следует использовать. Выберите его из следующего списка:
Устройство чтения 1: avorontsov@northwind.ru;
Устройство чтения 3: Administrator@northwind.ru.
Из списка устройств чтения смарт-карт выберите номер устройства, в котором хранится
сертификат пользователя, от имени которого вы хотите запустить приложение (например, 3 —
от имени пользователя Administrator@northwind.ru).
Выберите номер устройства чтения для использования «Пользователь со смарт-картой»:
Введите номер устройства:
3
Введите PIN-код Данный
Примечание. соответствующего eToken.для
диск отключается Если вы предоставили
обеспечения сертификат
условий проведения сле-поль-
зователя, обладающего
дующего практического необходимыми
задания. правами доступа, то запрошенный ресурс будет
подключен.
Использование
Используетсякомандной строки
карта в устройстве 3. Введите PIN-код:
Диск Z: сейчас подключен к \\server\c$.
Для того чтобы подключить сетевой диск, используя права другого пользователя, с
Операция выполнена успешно.
помощью интерфейса командной строки, выполните следующее:
C:\Documents and Settings\avorontsov>
Подключите eToken с сертификатом пользователя, обладающего необходимыми пра-
Примечание.
вами доступа, которыеДанный дискиспользовать
вы хотите отключаетсядля для подсоединения
удобства проведения практических
сетевого диска.
работ.
В командной строке введите net use <имя диска> <имя ресурса> /sm (например, имя
диска — Z:, а имя ресурса — \\ca\c$):
C:\Documents and Settings\avorontsov>net use Z: \\server\c$ /sm
322 323
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
Содержание отчета
Отчет оформляется один на бригаду из одного-двух исполнителей.
В отчете с титульным листом установленной формы (Приложение А) необходимо
представить следующие сведения:
1. Наименование и цели работы.
2. Краткую характеристику учебного стенда (по составу доступных пользователю функций
управления и индикаций, распределению ресурсов, функций, вариантов набора
преобразований).
3. Функциональную схему учебного стенда с пояснениями и комментариями.
4. Выполненные настройки Центра сертификации, шаблоны сертификатов, созданные в
ходе выполнения лабораторной работы.
5. Подготовиться для устных ответов по контрольным вопросам.
Контрольные вопросы
1. Какие дополнительные средства (утилиты) необходимо установить для того, чтобы
подготовить к работе Центр сертификации?
2. Какие поля можно задавать в шаблоне сертификата?
3. Как издать сертификаты без помощи агента получения заявок?
4. Каким образом можно скопировать сертификат в память ключа eToken?
5. Как можно выполнить запуск приложений от имени другого пользователя с исполь-
зованием командной строки?
Лабораторная работа № 2
Приложение А
Титульный лист
(образец)
Выполнили:
Студенты гр.
(Ф.И.О.)
(Ф.И.О.)
Принял:
Руководитель
(Ф.И.О)
(год)
325
Лабораторная работа № 3
ИСПОЛЬЗОВАНИЕ eToken
ДЛЯ БЕЗОПАСНОГО ДОСТУПА
К ИНФОРМАЦИОННЫМ РЕСУРСАМ,
ДЛЯ ШИФРОВАНИЯ И ДЛЯ ЭЦП
Цель работы
Изучить возможности использования ключей eToken для безопасного доступа к ин-
формационным ресурсам организации, для шифрования информации и для ЭЦП в при-
ложениях MS Office.
326
Лабораторная работа № 3
327
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
Описание работы
Для изучения возможностей использования ключей eToken для безопасного доступа к
информационным ресурсам организации, для шифрования информации и для ЭЦП в
приложениях MS Office работа делится на четыре части:
• удаленный доступ к рабочему столу с использованием eToken (RDP);
• настройка виртуальной частной сети (VPN);
• создание защищенного веб-сервера и настройка доступа по HTTPS;
• использование шифрования и ЭЦП в приложениях MS Office.
328
Лабораторная работа № 3
329
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
Задание
1. Изучить теоретические вопросы, изложенные в начале данной лабораторной работы.
2. Настроить стенд, рабочую станцию и контроллер домена.
3. Установить и настроить защищенный веб-сервер.
4. Настроить и проверить удаленный доступ к рабочему столу с использованием eToken.
5. Настроить и проверить работу виртуальной частной сети с использованием eToken.
6. Создать защищенный веб-сервер и настроить доступ по протоколу HTTPS.
7. Настроить и проверить использование шифрования и ЭЦП в MS Word 2003 и в MS
Outlook 2003.
8. Оформить отчет по лабораторной работе.
9. Ответить на контрольные вопросы.
330
Лабораторная
ЧАСТЬ работа РАБОТЫ
III. ЛАБОРАТОРНЫЕ №3
Настройка
Для тогоконтроллера домена
чтобы настроить удаленное подключение к удаленному компьютеру, выполните
следующие действия:
Подсоединитесь к компьютеру VM WS пользователем с правами администратора.
Запустите
Запустите ПускПодключение к удаленному
^ Панель управления рабочему
^ Система столу (Remote
(Start ^ Control DesktopВ окне
Panel ^ System). Connection),
Свойства системы (System Properties) откройте вкладку Удаленное использование (Remote).^
нажав Пуск ^ Все программы ^ Стандартные ^ Связь (Start ^ Programs ^ Accessories
Communications).
Установите флажок Разрешить удаленный доступ к этому компьютеру (Allow users to connect
В окне
remotely to Подключение
this computer).кНажмите
удаленному
OK. рабочему столу (Remote Desktop Connection) в поле
Компьютер (Computer) введите IP-адрес или DNS имя компьютера, к которому вы на-
страиваете подключение.
332 331
Лабораторная работа № 3
Для того чтобы предоставить пользователям право Log on through Terminal Services на
контролере домена, выполните следующее:
Запустите программу Политика безопасности контроллера домена (Domain Controller
Security Policy), нажав Пуск ^ Программы ^ Администрирование (Start ^ Programs ^
Administrative Tools).
Перейдите в папку Настройки безопасности ^ Локальные политики ^ назначение прав
пользователя (Security Settings ^ Local Policies ^ User Rights Assignment). Отредактируйте
значение параметра Разрешать вход в систему через службу терминалов fpht (Allow log on
through Terminal Services), добавьте в список группу Пользователи удаленного рабочего
стола (Remote Desktop Users) и нажмите OK.
334 335
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
336
Лабораторная работа № 3
338
Лабораторная работа № 3
(Enable security on the selected interface by setting up static packet filters) и нажмите Далее (Next).
339
Лабораторная
ЧАСТЬ работа РАБОТЫ
III. ЛАБОРАТОРНЫЕ №3
В окне Новый диапазон адресов (New Address Range) в поле Начальный IP-адрес (Start
IP address) введите первый адрес диапазона (192.168.1.201), а в поле Конечный IP-адрес (End
IP address) — последний (192.168.1.205). Нажмите OK.
Примечание. Общее число адресов должно быть не менее чем на 1 больше необ-
ходимого числа VPN-подключений к данному серверу.
В окне Назначение диапазонов IP-адресов (Address Range Assignment) нажмите Далее
(Next).
МаМ 1 |l' f- Ч.Г* I Ч~|ЬПГ||!|'| I I I ,1Ш||-Г I i'lili;---- ■■ г,1| .1ПЧ" ■" -.4 II Д1П I VIM
Г№ ■
340 341
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
В окне Маршрутизация и удаленный доступ (Routing and Remote Access) нажмите OK.
В окне свойств сервера откройте вкладку Общие (General). Установите опцию Марш-
рутизатор (Router) и выберите Только локальной сети (Local area network (LAN) routing only),
а также опцию Сервер удаленного доступа (Remote access server).
342
Лабораторная
ЧАСТЬ работа РАБОТЫ
III. ЛАБОРАТОРНЫЕ №3
344 343
Лабораторная работа № 3
В окне свойств учетной записи откройте вкладку Входящие звонки (Dial-In). В разделе
Разрешение на удаленный доступ (VPN-модем) (Remote Access Permission (Dial-in or VPN))
установите опцию Разрешить доступ (Allow access) и нажмите OK.
346
Лабораторная работа № 3
347
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
В окне Тип сетевого подключения (New Connection Type) выберите Подключить к сети
на рабочем месте (Connect to the network at my workplace) и нажмите Далее (Next).
348
Лабораторная работа № 3
В окне Публичная сеть (Public Network) выберите Не набирать номер для предвари-
тельного подключения (Do not dial the initial connection) и нажмите Далее (Next).
349
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
В окне Выбор VPN-сервера (VPN Server Selection) введите IP-адрес сервера (в соот-
ветствии с настройками сервера — 192.168.73.145) и нажмите Далее (Next).
350
Лабораторная работа № 3
В окне Доступность подключения (Connection Availability) выберите только для меня (My
use only) и нажмите Далее (Next).
351
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
352
Лабораторная
ЧАСТЬ работа РАБОТЫ
III. ЛАБОРАТОРНЫЕ №3
В окне свойств
Свойствасоединения
смарт-картыоткройте вкладку
или другого Безопасность
сертификата (Security).
(Smart Card orВыберите опцию
other Certificate
Дополнительные
Properties) (выборочные
в области параметры)
При подключении Advanced
(When (Custom
connecting) settings)
выберите и нажмите мою
использовать Па-
раметры (Settings).
смарт-карту (Use my smart card). Установите флажок Проверка сертификата сервера
(Validate server Certificate). Установите флажок Подключение к серверам (Connect to these
servers) и введите DNS-имя VPN-сервера (server.northwind.ru). В списке Доверенные кор-
невые центры сертификации (Trusted Root Certification Authorities) установите флажок,
соответствующий центру сертификации, присутствующему в пути сертификации серти-
фиката VPN-сервера (DS Root). Нажмите OK.
354 353
Лабораторная работа № 3
355
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
356
Лабораторная
ЧАСТЬ работа РАБОТЫ
III. ЛАБОРАТОРНЫЕ №3
В окне Свойства (Properties) задайте имя для веб-сервера (например — OWA) и нажмите
кнопку Advanced.
В окне Свойства: OWA (OWA Properties) откройте вкладку Веб-узел (Web Site). Назначьте
Появится окно Изменение наследования (Inheritance Overrides). Нажмите Select All, а
веб-сайту порт SSL (например, 443).
потом нажмите OK.
В окне Диспетчер служб IIS (Internet Information Services (IIS) Manager) Выберите новый
веб-сайт (OWA) и перейдите к редактированию его свойств.
360 359
Лабораторная
ЧАСТЬ работа РАБОТЫ
III. ЛАБОРАТОРНЫЕ №3
Откройте вкладкуЭто
Примечание. Безопасность каталога
делается для того, (Directory Security).все
чтобы исключить В секции Управление
способы до-
аутентифи-
ступом и проверка
кации подлинности
для доступа (Authentication
к сайту, кроме SSL. and access control) нажмите Изменить (Edit).
Of jWpfcP.'Mi-J FP m Lt-rHtft-WTT
ПрмЕктаегщ#*» достуи ьш отказ с
+ С=ч 444 ; пвдим
1Р-М(И!*й* fc№ цнендеме«бе
лктср«гтл рЬ»--»-грл-ь
wxnsow ГШ ярИ • ■
Н)М{ПЛр
362 361
Лабораторная работа № 3
363
Лабораторная
ЧАСТЬ работа РАБОТЫ
III. ЛАБОРАТОРНЫЕ №3
В списке
На поставщиков
странице Отложенныйвыберите Microsoft RSAзапрос
или немедленный SChannel Cryptographic
(Delayed Provider
or Immediate и
Request) вы-
нажмите
берите Далее (Next).
Немедленно отправить запрос в локальную службу сертификации (Send the request
immediately to an online certification authority) и нажмите Далее (Next).
На странице Настройка имени и безопасности (Name and Security Settings) введите имя
для сертификата WEB-сервера (например — owa.northwind.ru) и длину криптографического
ключа (напримерСведения
На странице — 1024).обУстановите флажок
организации Выбор Information)
(Organization поставщикавведите
шифрования
название(CSP) для
вашей
данного сертификата (Select cryptographic service provider (CSP) for
организации — Northwind и подразделения — EDU и нажмите Далее (Next). this certificate) для
выбора поставщика криптографических средств (CSP) для запрашиваемого сертификата.
Нажмите Далее (Next).
364 365
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
На странице Полное имя узла (Your Site’s Common Name) введите полное доменное имя
вашего сайта — owa.northwind.ru и нажмите Далее (Next).
На странице Порт SSL (SSL Port) убедитесь в том, что указан верный номер порта SSL,
используемый WEB-сервером.
366
ЧАСТЬ
Лабораторная
III. ЛАБОРАТОРНЫЕ
работа РАБОТЫ
№3
51W4[IF
ВР*1ШйРГ
«к-fc r
_ *fca>
окне Безопасные
4D“1№ MM
SJ.U--E.
подключения
ляг
(Secure communications) установите флажки Требуется
безопасный канал ‘TJ- (SSL)
йЯ£гВ.. (Require
л:М J secure channel (SSL)) и Требуется 128-разрядное шифро-
Jww ния-г _I
вание-•--1
(Require 128-bit
-i-. ■- bvm г —- —
encryption). .ii
Выберите Требовать сертификаты клиентов (Require client
it certificates), установите флажок i Разрешить
— сопоставление сертификатов клиентов
L
(Enable client 1 certificate
*—■ mapping). iДля того чтобы при авторизации посетителей сайта могли
использоваться сертификаты, выданные различными центрами сертификации, служат
списки доверенных сертификатов. Для того чтобы составить новый список, установите
флажок Включить список доверенных сертификатов (Enable certificate trust list). Нажмите
Создать (New), чтобы запустить мастер составления списков доверенных сертификатов.
369
370
Лабораторная работа № 3
В окне Имя и описание (Name and Description) введите название списка сертификатов
(например — Northwind IIS CTL). Нажмите Далее (Next).
371
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
В дереве консоли Диспетчер служб IIS (Internet Information Services (IIS) Manager)
щелкните правой кнопкой мыши по имени сервера — SERVER (локальный компьютер)
(SERVER (Local computer)). В контекстном меню выберите Все задачи > Перезапуск IIS (All
Tasks > Restart IIS).
372
Лабораторная работа № 3
373
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
В окне Новая запись ресурса (New Resource Record) в поле Псевдоним (Alias name)
введите DNS-имя нового веб-сайта (например — owa) относительно домена northwind.ru, а в
поле Полное доменное имя (Fully qualified domain name) ведите его полное DNS-имя.
Нажмите OK.
374
Лабораторная
ЧАСТЬ работа РАБОТЫ
III. ЛАБОРАТОРНЫЕ №3
Настройка
В окне файла
Выборhosts на хостесертификата (Select certificate) выберите сертификат поль-
цифрового
зователя «Айтш»_»Инициалы
Отредактируйте вашего
на хосте файл hostsимени и файл
(данный фамилии». Используйте
находится в папке Просмотр серти-
C:\Windows\system32\drivers\etc). Для этого выполните следующие действия:сертификат.
фиката (View certificate) для того, чтобы убедиться, что выбран правильный
Откройте файл, выполнив двойной щелчок мыши. В появившемся окне Выбор про-
граммы (Select program) выберите программу «Блокнот» («Notepad») и нажмите OK.
В окне Сертификат (Certificate) в поле указан пользователь, кому выдан данный сер-
тификат. Нажмите OK.
377
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
378
Лабораторная работа № 3
379
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
Откроется окно Цифровая подпись. В нем будет показан сертификат, с помощью которого
подписан данный документ, а также информация о данном сертификате (кем данный
сертификат издан и т.п.)
380
Лабораторная работа № 3
381
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
В окне Учетные записи электронной почты выберите опцию Microsoft Exchange Server и
нажмите Далее.
В окне Учетные записи электронной почты в поле Microsoft Exchange Server введите имя
сервера (например — server), отключите опцию Использовать режим кэширования Exchange
и в поле Имя пользователя введите входное имя пользователя. Нажмите Проверить имя для
того, чтобы проверить введенную информацию.
382
Лабораторная работа № 3
После того, как система уточнит информацию, в окне Учетные записи электронной почты
нажмите Далее.
383
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
384
Лабораторная работа № 3
385
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
386
Лабораторная работа № 3
387
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
388
Лабораторная работа № 3
389
Лабораторная
ЧАСТЬ работа РАБОТЫ
III. ЛАБОРАТОРНЫЕ №3
В появившемся
почтовом ящике данного
окне пользователя
введите выберите
PIN-код eToken папку
и нажмите Входящие.
OK.
Дважды щелкните мышью на сообщение, содержащее ЭЦП.
В окне с сообщением нажмите на значок подписи (справа внизу в заголовке письма).
390 391
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
392
Лабораторная
ЧАСТЬ работа РАБОТЫ
III. ЛАБОРАТОРНЫЕ №3
394 393
Лабораторная работа № 3
395
Лабораторная
ЧАСТЬ работа РАБОТЫ
III. ЛАБОРАТОРНЫЕ №3
Содержание
Открытие шифрованных сообщений отчета
Отчет оформляется один на бригаду из одного-двух исполнителей.
В отчете с титульным листом установленной формы (см. Приложение А) необходимо
представить следующие сведения:
1. Наименование и цели работы.
2. Краткую характеристику учебного стенда (по составу доступных пользователю функций
управления и индикаций, распределению ресурсов, функций, вариантов набора
преобразований).
3. Функциональную схему учебного стенда с пояснениями и комментариями.
4. Описание настроек сервера и рабочей станции для удаленного доступа к рабочему
столу.
5. Описание настроек виртуальной частной сети.
6. Настройки созданного нового защищенного веб-сервера для доступа к нему по про-
токолу HTTPS.
7. Настройки MS Word 2003 и MS Outlook 2003 для применения ЭЦП.
8. Подготовиться для устных ответов по контрольным вопросам.
Для того чтобы в Outlook 2003 открыть зашифрованное сообщение, необходимо вы-
полнить следующие действия:
Контрольные вопросы
Запустите Microsoft Internet Explorer.
1.Убедитесь в том,учебный
Как настроить что вашстенд
eToken с сертификатом,
для дающим
работы виртуальной правосети?
частной на доступ к сайту,
подключен к компьютеру.
2. Как использовать ЭЦПНавUSB-ключе eToken должен гореть световой индикатор.
MS Word 2003?
3.Войдите на сайт
Как создать Outlook Web
защищенный Access (например, https://owa.northwind.ru), используя
веб-сервер?
eToken с сертификатом пользователя,
4. Каким образом можно настроить MS на имя которого
Outlook 2003 пришло зашифрованное
для шифрования сообщение.
сообщений?
5.ВВпочтовом ящике данного
чем заключаются пользователя
отличия протоколов выберите
PPP и EAP? папку Входящие.
Дважды щелкните мышью на зашифрованное сообщение.
В окне будет представлено само сообщение (расшифрованное), а справа внизу в за-
головке письма будет стоять значок зашифрованного сообщения.
396
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
Приложение А
Титульный лист
(образец)
Выполнили:
Студенты гр.
(Ф.И.О.)
(Ф.И.О.)
Принял:
Руководитель
(Ф.И.О)
(год)
398
Лабораторная работа № 4
СОПРОВОЖДЕНИЕ ФУНКЦИОНИРОВАНИЯ
ЦЕНТРА СЕРТИФИКАЦИИ,
ПОВЫШЕНИЕ ЗАЩИЩЕННОСТИ СИСТЕМ
НА ОСНОВЕ WINDOWS SERVER 2003
Цель работы
Изучить практические вопросы по сопровождению функционирования Центра сер-
тификации и рассмотреть практические советы по повышению защищенности систем на
основе Windows Server 2003.
Архивирование и восстановление ЦС
В данной лабораторной работе будут рассмотрены практические вопросы по сопро-
вождению функционирования Центра сертификации, которое, помимо изученных ранее
операций настройки и выпуска сертификатов, включает архивирование и восстановление
состояния системы (компьютера, на котором установлен ЦС), архивирование и
восстановление собственно самого ЦС, а также такие операции, как архивирование
сертификатов, аннулирование и удаление сертификатов.
Первая часть работы посвящена вопросам архивирования сертификатов. Кроме того,
специалистами компании Microsoft рекомендовано регулярное архивирование данных на
компьютере, выполняющем функции Центра сертификации. В процессе сопровождения
функционирования Центра сертификации также может потребоваться архивирование данных
и самого Центра сертификации.
В процессе выполнения работы слушатели познакомятся с рекомендациями спе-
циалистов компании Microsoft по сопровождению функционирования Центра сертификации.
399
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
тор системной политики System Policy Editor, Security Configuration Manager — Security
Configuration and Analysis, SMB-подпись — IPSec. Это не означает, что данные инструменты и
методы защиты идентичны — они просто призваны решать сходные проблемы и нередко
позволяют получить примерно одинаковые результаты.
Для обеспечения защиты клиентов нижнего уровня нужно выполнить следующие
действия:
• установить клиент AD;
• включить обязательный режим аутентификации NTLMv2;
• при необходимости включить режим подписи SMB;
• использовать Security Configuration Manager и System Policy Editor для дополни-
тельной защиты клиентов;
• тщательно тестировать все новые безопасные конфигурации.
Тематика второй части лабораторной работы посвящена настройкам, позволяющим в той
или иной степени повысить безопасность систем на основе Windows Server 2003.
Рекомендации по сопровождению функционирования Центра сертификации (ЦС)
Специалисты компании Microsoft рекомендуют при работе с развернутой инфраст-
руктурой открытых ключей (PKI) на базе Microsoft Windows Server 2003 CA придерживаться
следующих правил:
• Держать корневой ЦС отключенным от сети и хранить его в физически защищенном
месте, например в сейфе. В данной лабораторной работе Центр сертификации и
контроллер домена находятся на одном компьютере, исходя из удобства изложения
материала. В действительности же лучше создать Центр сертификации независимо от
контроллера домена.
• Не создавать в больших организациях, интенсивно использующих структуру PKI и
соответствующие приложения, более четырех уровней иерархии ЦС. При не-
обходимости лучше расширять иерархию, создавая на соответствующих уровнях
дополнительные, специализирующиеся на определенных типах сертификатов ЦС, а
также оптимизировать распределение ЦС по предприятию.
• Возобновлять сертификаты ЦС задолго до истечения их срока действия.
• Обеспечивать регулярное и своевременное обновление публикуемого CRL, чтобы
учесть и потребности в своевременном извещении об отозванных сертификатах, и
необходимость выполнения репликации изменений. Иными словами, нужно следить,
чтобы CRL не устаревал еще до того, как он будет реплицирован на всех доменах
всеми контроллерами доменов.
• Защищать резервную копию секретного ключа ЦС и базы данных и хранить их в
надежном месте.
• Своевременно обновлять программное обеспечение с помощью сервисных пакетов и
модулей обновления.
• Заблаговременно отрабатывать и проверять план действий в нештатных ситуациях.
Описание работы
Для изучения практических вопросов по сопровождению функционирования Центра
сертификации и повышению безопасности систем на основе Windows Server 2003 работа
делится на две части:
• сопровождение функционирования Центра сертификации;
• повышение безопасности клиентов нижнего уровня.
400
Лабораторная работа № 4
Задание
1. Изучить теоретические вопросы, изложенные в начале данной лабораторной работы.
2. Провести архивирование сертификата вместе с закрытым ключом.
3. Выполнить резервное копирование и восстановление состояния системы.
4. Переиздать сертификат корневого Центра сертификации.
5. Корректно удалить Центр сертификации.
6. Изучить практические рекомендации по работе с центром сертификации.
7. Выполнить отказ от аутентификации LM, NTLM v.1.
8. Настроить запрет создания и хранения значений хэш-функций LM на контроллере
домена.
9. Выполнить отключение протокола NetBIOS.
10. Выполнить включение SMB-подписи.
11. Оформить отчет по лабораторной работе.
12. Ответить на контрольные вопросы.
401
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
На странице Экспортирование закрытого ключа (Export Private Key) выберите опцию Да,
экспортировать закрытый ключ (Yes, export the private key) и нажмите Далее (Next).
402
Лабораторная
ЧАСТЬ работа РАБОТЫ
III. ЛАБОРАТОРНЫЕ №4
На странице Имя файла экспорта (File to Export) введите имя файла, куда будет помещен
сертификат с закрытым ключом, и нажмите Далее (Next).
На странице Формат экспортируемого файла (Export File Format) нажмите Далее (Next).
404 403
Лабораторная
ЧАСТЬ работа РАБОТЫ
III. ЛАБОРАТОРНЫЕ №4
На странице Элементы для архивации (Items to Back Up) установите флажок System
State, предварительно открыв Рабочий Стол ^ Мой Компьютер (Desktop ^ My Computer).
Нажмите Далее (Next).
Ню слейует аримеи^свлть
Рлбо*«« стал | ^:с*г4,и>(?.^вш
Mot«. с*лютее
Ж Дда3.5(А|
СЧР Certticale- Serve
Ж U-^ tytfwfC]
□ ^ mtAfllD) _Чг:ом • Chti
» Олл: Rep:
X HRM€FPP_EH IE |
•П
< Неяй
страницеЧто
На странице Имя, тип и расположение
следует архивации
архивировать (What (Backup
to Back Type, Destination,
Up) выберите and Name)
опцию Предоставить
выберите директорию
возможность и имя файла,
выбора объектов для где будет храниться
архивации (Let me резервная копия
choose what состояния
to back up) и системы
нажмите
(например
Next — c:\backup\SystemState). Нажмите Далее (Next).
(Далее).
406 405
Лабораторная работа № 4
407
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
408
Лабораторная
ЧАСТЬ работа РАБОТЫ
III. ЛАБОРАТОРНЫЕ №4
410 409
Лабораторная работа № 4
411
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
412
Лабораторная
ЧАСТЬ работа РАБОТЫ
III. ЛАБОРАТОРНЫЕ №4
414 413
Лабораторная работа № 4
Выделите DS Root и выберите Все задачи ^ Восстановление ЦС (AH Tasks ^ Restore CA).
415
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
418 417
Лабораторная работа № 4
419
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
420
Лабораторная
ЧАСТЬ работа РАБОТЫ
III. ЛАБОРАТОРНЫЕ №4
Включение SMB-подписи
Протокол SMB (Server Message Block) используется для осуществления доступа к
файлам, папкам и устройствам. Для того чтобы злоумышленник не мог обратиться к ре-
сурсам от имени доверенного пользователя или службы рекомендуется использовать
электронные подписи пакетов SMB.
Для того чтобы на контроллере домена включить SMB-подпись, необходимо выполнить
следующие действия:
Откройте на контролере домена Пуск ^ Программы ^ Администрирование (Start ^
Programs ^ Administrative Tools), выберите программу Политика безопасности контроллера
домена (Domain Controller Security Policy).
Перейдите в папку Параметры безопасности ^ Локальные политики ^ Параметры
безопасности (Security Settings ^ Local Police ^ Security Options). Установите параметры в
соответствии с рисунком:
— Microsoft network client: Digitally sign communications (always): Включен (Enabled).
424 423
Лабораторная работа № 4
Перезагрузите сервер и рабочую станцию или выполните команду gpupdate /force (на
сервере и на рабочей станции).
Содержание отчета
Отчет оформляется один на бригаду из одного-двух исполнителей.
В отчете с титульным листом установленной формы (см. Приложение А) необходимо
представить следующие сведения:
1. Наименование и цели работы.
2. Краткую характеристику учебного стенда (по составу доступных пользователю функций
управления и индикаций, распределению ресурсов, функций, вариантов набора
преобразований).
425
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
Контрольные вопросы
1. Как проводить процедуры резервного копирования и восстановления Центра сер-
тификации?
2. Как настроить использование протокола аутентификации NT LM v.2?
3. Как усилить безопасность на уровне сетевого трафика?
4. Какие есть рекомендации по работе с центром сертификации и PKI-службой?
Лабораторная работа № 4
Приложение А
Титульный лист
(образец)
СОПРОВОЖДЕНИЕ ФУНКЦИОНИРОВАНИЯ
ЦЕНТРА СЕРТИФИКАЦИИ,
ПОВЫШЕНИЕ ЗАЩИЩЕННОСТИ СИСТЕМ
НА ОСНОВЕ WINDOWS SERVER 2003
(наименование лабораторной работы)
Выполнили:
Студенты гр.
(Ф.И.О.)
(Ф.И.О.)
Принял:
Руководитель
(Ф.И.О)
(год)
427
Лабораторная работа № 5
ДОСТУП В СУБД ORACLE С АУТЕНТИФИКАЦИЕЙ
ПО ИМЕНИ ПОЛЬЗОВАТЕЛЯ И ПАРОЛЮ
В LDAP-КАТАЛОГЕ
Цель работы
Изучение системы централизованного управления пользователями, ролями, базами
данных и приложениями, построенной на основе LDAP-каталога Oracle Internet Directory.
Применение методик настройки сервера БД Oracle и клиентских рабочих станций для
аутентификации и авторизации пользователей службами LDAP-каталога. Получение навыков
работы с программным обеспечением конфигурации сервера баз данных Oracle и доступу к
СУБД Oracle с помощью аутентификации и авторизации по имени пользователя и паролю в
LDAP-каталоге.
Общие сведения
Информационные системы организаций, построенные на основе СУБД Oracle, как
правило, состоят из значительного количества приложений, которые используют одну или
несколько баз данных (или, иначе говоря, экземпляров баз данных). При большом числе
пользователей приложений встает вопрос об эффективном управлении пользователями, их
ролями в информационной системе организации, собственно приложениями и базами
данных. Одновременно появляется необходимость получения доступа к различным базам
данных (аутентификация) от имени одной и той же учетной записи. Централизованное
управление аутентификацией и учетными записями пользователей (приложений) в СУБД
Oracle обеспечивает специальная служба каталога — Oracle Internet Directory (OID).
OID предоставляет возможность использования двух типов аутентификации:
1. Однократный пароль пользователя.
2. Сертификат пользователя (в данной лабораторной работе не рассматривается).
428
Лабораторная работа № 5
Домены
Домен представляет собой группу ролей и баз данных. Доменом, например, может являться
подразделение организации или небольшая организация в целом. Поддерево домена
составляют три типа объектов: роли, соответствия схем баз данных и группы ад-
министраторов данного домена.
Базы данных
Представляют собой набор информации об определенном экземпляре сервера базы
данных Oracle. Данные объекты каталога создаются с помощью программного инструмента
Oracle Enterprise Security Manager в процессе регистрации базы данных.
429
Наименование Описание
OracleDBCreators
Члены данной группы
(cn=OracleDBCreators,cn=OracleContext...) могут создавать новые
базы данных, что подразумевает их регистрацию в каталоге с
помощью Oracle Enterprise Security Manager. Они имеют права
create и modify к объектам и атрибутам баз данных. Они также могут
модифицировать домен по умолчанию.
Члены группы OracleContextAdmins могут добавлять
пользователей в эту группу с помощью Oracle Enterprise Security
Manager. В Oracle Enterprise Security Manager данная группа
обозначается как Database Registration Admins.
OracleContextAdmins
Члены группы OracleContextAdmins могут модифицировать лю-
бую группу. В Oracle Enterprise Security Manager данная группа
обозначается как Full Context Management.
OracleDBSecurityAdmins
Члены группы OracleDBSecurityAdmins
(cn=OracleDBSecurityAdmins,cn=OracleContext...) имеют все
привилегии на поддерево каталога OracleDBSecurity. Они имеют
доступ ко всем доменам организации и ответственны за:
• Управление группой OracleDBSecurityAdmins
• Создание новых доменов
• Перемещение баз данных между доменами
В Oracle Enterprise Security Manager данная группа обозначается как
Database Security Management.
OracleUserSecurityAdmins
Члены группы OracleUserSecurityAdmins
(cn=OracleUserSecurityAdmins,cn=Groups,cn=OracleContext...)
отвечают за безопасность для пользователей Oracle. Например, они
могут модифицировать пароль пользователя.
В Oracle Enterprise Security Manager данная группа обозначается как
Directory User Management.
OraclePasswordAccessibleDo
mains Членами этой группы являются домены, содержащие базы данных, для
которых разрешен однократный пароль пользователя.
430
Лабораторная работа № 5
При установке OID в нем создаются некоторые объекты схемы, относящиеся к управ лению базами данных, ролями и пользователями. Суперпользователь (администратор OID) с отличительным именем
«cn=orcladmin» добавляется во все созданные административные группы. Далее, в схему могут добавляться дополнительные домены, группы и пользователи.
помощью служебной утилиты Net Configuration Assistant. Настройка заключается в указании имени компьютера (IP-адреса), на котором функционирует OID, номеров портов,
назначенных OID, а также имени контекста Oracle (корневого элемента каталога). В задачи администратора БД входит также создание общих схем и глобальных ролей.
2. Пользователь, являющийся членом группы OracleDBCreators, регистрирует экземпляр базы данных в каталоге OID. Регистрация экземпляра базы данных делает доступным
получение информации о пользователях, ролях, соответствиях схем и т.д., хра нящейся в каталоге OID, для данного экземпляра. Процесс регистрации создает объект «база данных» в выбранном контексте
Oracle и вносит в каталог необходимую информацию, однозначно определяющую указанный экземпляр. Завершением процесса регистрации является внесение отличительного имени (DN) базы данных в параметры ини-
циализации сервера. Взаимодействие сервера базы данных и службы каталога OID про-
431
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
trtr
сходит по защищенному протоколу (SSL)
и только после успешной взаимной аутен-
тификации также по SSL-протоколу. Для
осуществления SSL-аутентификации эк-
земпляр сервера БД использует ключевой
контейнер (т.н. wallet), содержащий откры-
тый и закрытый ключи, а также сертификат
базы данных. Аналогичный ключевой кон-
тейнер имеет и служба каталога OID. Для
регистрации используется служебная утили-
та Enterprise Security Manager.
1. Администратор БД или администратор
безопасности с помощью утилиты Enterprise
Security Manager создает в каталоге OID (ес-
ли это необходимо) домены, роли и пользова-
телей.
2. Пользователь инициирует соединение
с базой данных, используя имя и пароль.
3. База данных проводит процесс аутен-
тификации и авторизации пользователя,
включающий следующие шаги:
Рис. 2. Настройка аутентификации
с помощью однократного пароля • поиск отличительного имени (DN) по
предъявленному имени и извлечение
правила проверки предъявленного
пароля;
проверка пароля с помощью извлеченного правила и поиск (локально в базе данных)
схемы, явно назначенной данному пользователю;
поиск общей схемы в каталоге OID, если локально схему найти не удалось; извлечение
ролей пользователя и соответственное назначение глобальных ролей для
установленной сессии пользователя.
Методические указания
Подготовка стенда
Минимальные аппаратные требования к хост-машине
Процессор PIV-1400 и выше, 1024M RAM — и более, 12 Gb дискового пространства. OS
Windows 2000/XP, клиентское ПО VMWare (6.0.0 и выше).
Установка виртуальной машины (рис. 3)
1. Распаковать архив с образом виртуальной машины на жесткий диск хост-машины
(например, в каталог D:\VM\SERVER). Архив с образом виртуальной машины находятся на
демонстрационном диске в каталоге \VM\SERVER.
2 Архив содержит файлы:
EDU-Oracle-Server-DataDisk-f001.vmdk
EDU-Oracle-Server-DataDisk-f002.vmdk
EDU-Oracle-Server-DataDisk-f003.vmdk
432
Лабораторная работа № 5
EDU-Oracle-Server-DataDisk.vmdk
EDU-Oracle-Server.flp
W2003S-EE-Oracle-EDU.vmdk
3. Дёя размещения файёов конфигурации виртуаёьной машины создать катаёог
D:\VM\SERVER\CFG.
4. Запустить клиент VMWare. Из меню консоли VMWare выбрать File ^ New... ^ Virtual
Machine
5. В открывшемся окне мастера выбрать «Next»
6. В открывшемся окне «Select the Appropriate Configuration» выбрать «Custom», далее
— «Next»
7. В открывшемся окне «Select a Virtual Machine Format» выбрать «New — Workstation 6»,
даёее — «Next»
8. В открывшемся окне «Select a Guest Operating System» выбрать «Microsoft Windows» в
панели «Guest Operating System», а в списке выбора «Version» — «Windows 2003 Server
Enterprise Edition», даёее — «Next»
9. В открывшемся окне «Name the Virtual Machine» ввести имя (например, «EDU-Oracle-
Server») в поле ввода «Virtual Machine Name», а в поле ввода «Location» — имя каталога
конфигурации (в нашем случае — «D:\VM\SERVER\CFG»), далее — «Next»
433
Параметр Описание
Служба Описание
Таблица 2.1
Службы, запускаемые на стенде
434
Пользователь Пароль Описание
OID SSL port 4057 Порт OID для обслуживания SSL соединений
Параметр Описание
Таблица 5
Другие параметры стенда
435
Параметр Значение
IP адрес/маска подсети 192.168.12.1/255.255.255.0
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
Подготовка к работе
Создание точки отката
Эта процедура необязательная, но рекомендуется ее выполнить для возможности
приведения виртуальной машины в исходное состояние.
• Выбрать меню окна консоли VMWare (рис. 3) «VM ^ Snapshot ^Take Snapshot...».
• В открывшемся окне мастера «Take Snapshot» задать имя точки отката и опци-
ональное описание, нажать «OK».
Задание
Запуск виртуальной машины
Настроить доступ для и подготовка к«user2»
«user»,
пользователей работе сервера базы данных Oracle
для «ORCL»
работы с экземпляром базы данных Oracle в одной общей схеме
«SHAREDSCHEMA». При успешной установке сеанса пользователи должны получить роль «GLOBALROLE», назначаемую службой каталога OID. Для учетных
• В окне консоли VMWare ( см. рис. 3) в панели «Commands» выбрать «Start this virtual
записей пользователей в каталоге использовать контекст Oracle, созданный по умолчанию («edu»). Использовать домен по умолчанию («OracleDefaultDomain»). База поиска
machine».
«cn=users, dc=edu, dc=com») (рис. 4).
пользователей также задается по умолчанию (
• После завершения загрузки операционной системы Windows 2003 Server нажать
Здесь:
комбинацию клавиш Ctrl + Alt + Ins и зарегистрироваться в системе как пользователь
1 — контекст Oracle;
«oracle» с паролем «Welcomel».
2 — домен для регистрации базы данных и ролей;
• Подождать, пока стартует экземпляр Oracle.
3 — зарегистрированный экземпляр базы данных;
• С рабочего стола из папки «bats» запустить «start_oid.bat» для старта службы Oracle
4 — соответствие роли и глобальной роли базы данных;
Internet Directory (OID).
5 — соответствие пользователей и общей схемы базы данных;
• Подождать, пока служба OID перейдет в состояние «Started».
6 — база поиска пользователей.
436 437
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
■ гиена \ Г. ^г^дуций J|
438
Лабораторная работа № 5
439
Лабораторная
ЧАСТЬ работа РАБОТЫ
III. ЛАБОРАТОРНЫЕ №5
В открывшемся окне мастера нажать кнопку «Готово». Работа Net Configuration Assistant будет завершена.
7. Следует проверить содержимое файла конфигурации OID ORACLE_HOME\ network\ADMIN\ldap.ora. Для рассмотренного варианта настройки его
содержимое должно быть следующим:
DEFAULT_ADMIN_CONTEXT = «dc=edu,dc=com»
EDU:4054:4057)
DIRECTORY_SERVERS= (
DIRECTORY_SERVER_TYPE = OID
Указанные настройки могут быть произведены непосредственно перед редактированием файла конфигурации ORACLE_HOME\network\ADMIN\ldap.ora.
• создана;
Оба способа реализуются с помощью SQL-команд CREATE USER или ALTER USER соответственно. Необходимо также создать одну или несколько глобальных ролей, которые будут
использоваться для установки соответствия ролей базы данных и ролей каталога OID. Глобальные роли создаются с помощью SQL команды CREATE ROLE. Все команды должны выполняться от имени пользователя,
имеющего требуемые привилегии.
Рис.
Рис. 10. 11. мастера
Окно Окно SQL-консоли. Соединение
Net Configuration с БД
Assistant. от имени SYS
Завершение настройки
440 441
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
П ол ь з о ват е л ь с о зд а н .
442
Лабораторная работа № 5
npeaoc i
Pll.1l.
^ UI I
1. Запустить SQL-консоль. Start ^ Run... , в поле «Open» указать sqlplusw «/as sysdba».
Откроется окно SQL-консоли, соединенное с экземпляром базы данных от имени поль-
зователя «SYS» (рис. 11).
2. Для создания новой общей схемы выполнить SQL-команду:
CREATE USER <имя схемы> IDENTIFIED GLOBALLY AS";*)
Для преобразования имеющейся схемы в общую выполнить SQL-команду:
ALTER USER <имя-обычной-схемы> IDENTIFIED GLOBALLY AS **>
443
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
444
Лабораторная работа № 5
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
рации выбрать«Password Authentication», ввести требуемые поля (см. табл. 3 и 4) и нажать кнопку «ОК» (рис. 15).
Общий вид консоли Enterprise Security Manager приведен на рис. 16.
С — Меню.
дереве). При создании пользователей в других поддеревьях, отличительные имена этих поддеревьев должны быть перечислены в данном списке.
2. Добавить домен, в котором будет зарегистрирована база данных («OracleDefaultDomain»), в список доступных доменов контекста «dc=edu,dc=com». Для этого выбрать закладку «Accessible Domains» в панели
Рис. 18. Окно консоли Enterprise Security Manager. Диалог регистрации базы данных
OK
Рис. 19.Рис.
Окно17.консоли Enterprise
Окно консоли Security
Enterprise Manager.
Security Сообщение
Manager. о регистрации
Список базы данных
доступных доменов
445
446
Лабораторная работа № 5
Oracle Context») выбрать «edu», опционально можно отметить пункт выбора «Store TNS Connect String» (сохранить строку связи в каталоге), далее — кнопка «OK» (рис. 18).
текста («
В случае успешной регистрации базы данных в каталоге Enterprise Security Manager отобразит сообщение о завершающем этапе регистрации (см. п. 3.4). Нажать кнопку
«OK» (рис. 19). При этом значение для «Oracle SID» вводится строго в верхнем регистре.
4. Для завершения регистрации следует установить параметр инициализации «RDBMS_SERVER_DN» (отличительное имя базы данных в каталоге OID) для экземпляра базы данных «ORCL».
Первая из указанных SQL-команда отображается в сообщении Enterprise Security Manager (рис. 18 п. 1). Значение параметра RDBMS_SERVER_DN регистрозависимо и должно
в точности соответствовать указанному в сообщении. Следует обратить внима ние на синтаксис команды: при ее выполнении нужно применять одиночные кавычки для значения параметра, а не двойные, как указано в
сообщении.
Чтобы убедиться в правильности установки, выполнить команду «show parameter rdbms_server_dn» (рис. 20).
Рис. 21. Окно Enterprise Security Manager. Проверка регистрации базы данных
6.1. Запустить утилиту Enterprise Security Manager. Зарегистрированный экземпляр базы данных должен отображаться в свойствах домена «
OracleDefaultDomain» (закладка «Databases»), при этом его отличительное имя (п. 2 рис. 20) должно в точности совпадать с параметром инициализации
«RDBMS_SERVER_DN» (см.п.3.4).
6.2. Следует убедиться (и в случае необходимости изменить), что значение списка выбора «User Authentication» (п. 1 рис. 21) установлено в «Oracle Wallet
(SSL) and Password» (разрешен вход пользователей по предъявлению имени и однократного пароля).
7. Следует повторно проверить содержимое файла конфигурации OID ORACLE_ HOME\network\ADMIN\ldap.ora (аналогично п. 1.8).
Создание ролей и установление соответствия с глобальными ролями
На данном шаге в каталоге создаются роли и каждой из них ставится в соответствие ранее созданные глобальные роли базы данных (см. п. 2). Пользователи, которым будет назначена созданная роль,
после аутентификации и авторизации в каталоге OID, получат набор привилегий, определяемых соответствующей глобальной ролью (в данном примере это привилегии CONNECT и RESOURCE (см. п. 2)).
1. В окне консоли Enterprise Security Manager выбрать пункт меню «Operations» ^ «Create Enterprise Role...» (п. C рис. 15). В открывшемся окне выбрать
контекст « edu», домен «OracleDefaultDomain» и ввести имя роли, например «EnterpriseUserRole». Далее — кнопка «OK» (рис. 22).
2. В окне консоли Enterprise Security Manager выбрать созданную роль в дереве объектов, в панели свойств роли выбрать закладку «Database Global Roles», нажать
«Add...». В открывшемся окне выбрать «ORCL» (ранее зарегистрированный экземпляр базы данных). В открывшемся окне ввести значения для регистрации в базе данных. В качестве пользователя
кнопку
(«Username») выбирается SYSTEM (см. табл. 3), далее — кнопка «OK» (рис. 23).
448
Лабораторная работа № 5
В открывшемся окне в нижней панели выбрать ранее созданную в п.2 глобальную роль
«GLOBALROLE»,далее — кнопка «OK» (рис. 24).
После закрытия окна выбора ( см. рис. 23) следует нажать кнопку «Apply».
449
Лабораторная
ЧАСТЬ работа РАБОТЫ
III. ЛАБОРАТОРНЫЕ №5
пользователя
Из предложенного списка ролей выбрать
с именами «EnterpriseUserRole»
«userl » и «user2» c базой поискаи нажать кнопку «OK». Далее — «OK» (рис. 27).
«cn=Users,dc=edu,dc=com». Обоим пользователям будет
назначена роль «EnterpriseUserRole» и они оба будут работать с базой «ORCL» в общей схеме «sharedschema».
Дополнительные
1.
настройки и соответствия полъзователъ—общая схема
В окне консоли Enterprise Security Manager выбрать пункт меню «Operations» ^ «Create Enterprise User...» (п. C рис. 16). В открывшемся окне выбрать
контекст заполнить
Установкатребуемые
соответствия (закладка «User Naming»
поляпользователь , рис. возможно
— общая схема 25): как для каждого пользователя индивидуально, так и для группы пользователей,
• ниже
находящихся База поиска (Base)
выбранного — «cn=Users,dc=edu,dc=com».
поддерева каталога. В настоящем примере соответствие будет назначено для каждого из созданных пользователей индивидуально.
•1.2. Идентификатор
В панели свойств
(Userвыбрать
ID) — «userl»
закладку
(может
«Allow
и неDatabase
соответствовать
Access», имени).
отметить пункт выбора «Allows Logon to Authorized Enterprise Domain» и нажать кнопку «Apply» (рис. 28).
2. «Password». Выбрать пункт «Enter manually» (задать пароль вручную), ввести в поле пароля («New Password») и в
Далее — выбрать закладку
поле подтверждения ( «Verify Password») значение пароля, в данном примере — «Welcome!» (рис. 26).
450 451
Лабораторная работа № 5
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
Si Hfl p 6Н№ВД$СНЕМЛ
f o k j Cancel
l-lr'il
Рис. 29. Окно Enterprise Security Manager. Установка соответствия общей схеме
Рис. 27. Окно Enterprise Security Manager. Задание роли
453
452
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
Рис. 30. Окно Enterprise Security Manager. Соответствие пользователей общей схеме
2.2. В открывшемся окне в панели дерева объектов (п. 1 рис. 29) выбрать пользователя
«userl» («dc=com» ^ «dc=edu» ^ «cn=Users»). Отличительное имя пользователя отобразится
в строке ввода «Directory Entry».
2.3. Переключатель (п. 2 рис. 29) установить в «Entry Level».
2.4. В строке ввода указать имя ранее созданной общей схемы — «SHAREDSCHEME»
(см. п. 2).
2.5. Нажать кнопку «OK» и повторить те же действия для пользователя «user2».
2.6. Нажать кнопку «Apply» (рис. 30).
Тестирование полученной конфигурации
Тестирование полученной конфигурации сводится к проверке собственно возможности
успешной аутентификации пользователей в базе данных, а также проверка использования
общей схемы разными пользователями. Проверка производится с помощью SQL-консоли
(утилита Oracle SQL*Plus).
• Запустить SQL-консоль. Start ^ Run... , в поле «Open» указать «sqlplusw/nolog».
Откроется окно SQL-консоли, не соединенное с экземпляром базы данных.
• Ввести команду соединения с базой данных от имени пользователя «userl».
• SQL> connect user1/Welcome1@orcl.
• Должно отобразиться сообщение об успешной аутентификации/авторизации.
• Ввести SQL-команду для определения рабочей схемы.
• SQL> select sys_context(«userenv», «session_user») from dual.
• Должно отобразиться имя общей схемы.
• Ввести SQL-команду для определения имени пользователя.
• SQL> select sys_context(«userenv», «external_name») from dual.
• Должно отобразиться отличительное имя пользователя «userl» из каталога OID.
• Ввести SQL-команду для определения ролей для текущего сеанса.
• SQL> select role from session_roles.
454
Лабораторная работа № 5
СЧЧ15Я- J, Efl' ll5fr? , Й«- M)4 .flc- ECP fJfJIfllrf |пЩ#ЛМ"0* JrJI* fHflPbOiMiTJIhWfcT
455
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
Варианты заданий
Вариант 1. Организовать доступ для пользователя «userl» для работы с экземпляром ба-
зы данных Oracle «ORCL» в общей схеме «SHAREDSCHEMA». При успешной установке се-
анса пользователь должен получить роль «GLOBALROLE» и «EDU_ROLE», назначаемые
службой каталога OID. Для учетной записи пользователя в каталоге использовать контекст
Oracle, созданный по умолчанию («edu»). Для регистрации базы данных и создания ролей ис-
пользовать домен по умолчанию («OracleDefaultDomain»). База поиска пользователей зада-
ется новым поддеревом, созданным в произвольной точке дерева каталога в контексте
«edu».
Вариант 2. Организовать доступ для пользователя «userl» для работы с экземпляром
базы данных Oracle «ORCL» в общей схеме «SHAREDSCHEMA». При успешной установке
сеанса пользователь должен получить роль «GLOBALROLE», назначаемую службой
каталога OID. Для учетной записи пользователя в каталоге использовать контекст Oracle,
созданный по умолчанию ('edu'). Для регистрации базы данных и создания ролей создать
новый домен. База поиска пользователей задается новым поддеревом, созданным в
произвольной точке дерева каталога в контексте «edu».
Отчет представляется с титульным листом установленной формы, приведенной в конце
лабораторной работы № 1.
Контрольные вопросы
1. Каковы основные компоненты для построения системы аутентификации по одно-
кратному паролю?
2. Назовите основное назначение службы каталога Oracle Internet Directory (OID).
3. Какие методы предлагает система для аутентификации пользователей масштаба
предприятия?
4. Какие объекты каталога отвечают за аутентификацию по однократному паролю?
5. Что такое роль масштаба предприятия?
6. Что такое административные группы?
7. Какую связь описывает соответствие пользователь-схема?
8. Каким образом может быть задано соответствие пользователь-схема?
9. Что такое общая схема? В чем ее отличие от обычной схемы?
10. Что такое глобальная роль базы данных?
11. В чем состоят этапы процесса аутентификации по однократному паролю?
12. Для чего необходима процедура регистрации базы данных в каталоге OID?
13. В какой ветке каталога OID могут быть зарегистрированы пользователи?
14. Какой командой SQL создается общая схема?
15. Какими привилегиями должна обладать общая схема?
16. Какие операции выполняются с помощью утилиты Oracle Enterprise Security Manager?
17. В чем отличие в выборе уровня «Subtree» или «Entry» при задании соответствия
пользователь-схема?
18. В чем преимущество аутентификации по однократному паролю по сравнению с тра-
диционной аутентификацией средствами базы данных?
456
Лабораторная работа № 5
Приложение А
Титульный лист
(образец)
Выполнили:
Студенты гр.
(Ф.И.О.)
(Ф.И.О.)
Принял:
Руководитель
(Ф.И.О)
(год)
457
Лабораторная работа № 6
ДОСТУП В СУБД ORACLE С АУТЕНТИФИКАЦИЕЙ
НА ОСНОВЕ СЕРТИФИКАТОВ
Цель работы
Изучение системы централизованного управления пользователями, ролями, базами
данных и приложениями, построенной на основе LDAP-каталога Oracle Internet Directory.
Применение методик настройки сервера БД Oracle и клиентских рабочих станций для
аутентификации по цифровым сертификатам, установленным в хранилище файловой
системы, а также на смарт-картах или USB-ключах. Получение навыков работы со
служебными утилитами для конфигурации сервера баз данных Oracle для доступа в СУБД
Oracle по протоколу SSL. Получение общих сведений об инфраструктуре открытых ключей и
смарт-карт-технологии.
Примечание. Установленное на предоставляемом стенде программное обеспечение является собственностью
корпорации Oracle. Данное программное обеспечение может быть свободно загружено с сайта производителя
http://www.oracle. com/technology/software/products/oracle9i/index.html. Перед использованием его в составе данного стенда или
при самостоятельной установке, пожалуйста, ознакомьтесь с лицензионным соглашением по адресу
http://www.oracle.com/technology/ software/popup-license/standard-license.html. Программное обеспечение для функционирования
стенда является собственностью компании VMWare, Inc. Программное обеспечение VMWare может быть загружено для
ознакомительных целей с сайта производителя по адресу http://www.vmware.com/download/ws/eval.html. Правила ис-
пользования продуктов VMWare, Inc. изложены в http://www.vmware.com/help/ legal.html.
Общие сведения
Информационные системы организаций, построенные с использованием СУБД Oracle,
как правило, состоят из значительного количества приложений, которые используют одну или
несколько баз данных (или, иначе говоря, экземпляров баз данных). При большом числе
пользователей приложений встает вопрос об эффективном управлении пользователями, их
ролями в информационной системе организации, собственно приложениями и базами
данных. Одновременно появляется необходимость получения доступа к различным базам
данных (аутентификация) от имени одной и той же учетной записи. Централизованное
управление аутентификацией и учетными записями пользователей (приложений) в СУБД
Oracle обеспечивает специальная служба каталога — Oracle Internet Directory (OID).
OID предоставляет возможность использования двух типов аутентификации:
1. Однократный пароль пользователя (в данной лабораторной работе не рассматри-
вается).
2. Сертификат пользователя.
Аутентификация в базе данных по сертификатам пользователя базируется на исполь-
зовании протокола SSL, который помимо сильной аутентификации обеспечивает защиту
канала передачи данных криптографическими методами.
458
Лабораторная работа № 6
Сертификат пользователя
Дает возможность аутентификации во многих базах данных с предъявлением един-
ственного цифрового сертификата пользователя. Данная возможность реализуется в опции
СУБД Oracle Advanced Security. Учетные записи пользователей и сертификаты формата
X.509 хранятся в OID и защищены с помощью контрольных списков доступа (Access Control
Lists — ACL). Схема работы и общая структура объектов каталога OID описана в
лабораторной работе № 5.
459
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
460
Лабораторная работа № 6
Методические указания
Общие рекомендации
Настоящая лабораторная работа выполняется только при успешном выполнении ла-
бораторной работы № 5 (Доступ в СУБД Oracle аутентификацией по имени пользователя и
паролю в LDAP-каталоге). Стенд, подготовленный и настроенный в рамках выполнения
лабораторной работы № 5, должен быть запущен в соответствии с инструкциями раздела
«Подготовка к работе».
461
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
8. В открывшемся окне «Name the Virtual Machine» ввести имя (например, «EDU-Oracle-
Client») в поле ввода «Virtual Machine Name», а в поле ввода «Location» — имя каталога
конфигурации (в нашем случае — «D:\VM\CLIENT\CFG»), далее — «Next».
9. В открывшемся окне выбрать нужное число виртуальных процессоров (рекомен-
дуется 1, по умолчанию), далее — «Next».
10. В открывшемся окне «Memory for the Virtual Machine» в поле ввода «Memory for the
Virtual Machine» ввести размер оперативной памяти не менее 348М, далее — «Next».
11. В открывшемся окне «Network Type» выбрать «Use host-only networking», далее —
«Next».
12. В открывшемся окне «Select I/O Adapter Types» выбрать «BusLogic», далее — «Next».
13. В открывшемся окне «Select a Disk» выбрать «Use an existing Virtual Disk», далее —
«Next».
14. В открывшемся окне «Select an existing Disk» ввести полный путь к образу диска
сервера («D:\VM\CLIENT\winXP_SP2_Oracle10_client_edu.vmdk»), далее — «Finish».
Консоль VMWare отобразит созданную виртуальную машину (рис. 3).
462
Параметр Описание
Служба Описание
Таблица 2
Службы, запускаемые на стенде (автоматически)
Пользователь Пароль Описание
Таблица 3
Учетные записи и пароли пользователей
Параметр Значение Описание
Параметр Описание
Таблица 5
Другие параметры стенда
Параметр Значение
Таблица 6
Сетевые настройки операционной системы стенда
463
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
Задание
Для пользователя «userl», созданного в ходе выполнения лабораторной работы № 5,
заменить тип идентификации учетной записи на цифровой сертификат. Создать ключевой
контейнер с помощью утилиты Oracle Wallet Manager, импортировать в него сертификат
пользователя и сертификат удостоверяющего центра. Полученный ключевой контейнер
установить на смарт-карту или USB-ключ eToken. Произвести настройку сетевых служб
Oracle Client на аутентификацию по SSL-протоколу (рис. 4).
Здесь:
1 — контекст Oracle;
2 — домен для регистрации базы данных и ролей;
3 — зарегистрированный экземпляр базы данных;
4 — соответствие роли и глобальной роли базы данных;
5 — соответствие пользователей и общей схемы базы данных;
6 — база поиска пользователей.
Подготовка к работе
Рис. 4. Схема объектов каталога и базы данных (аналогично лабораторной работе № 5).
464
Лабораторная работа № 6
465
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
Рис. 6. Окно мастера Net Configuration Assistant. Выбор добавления сетевого дескриптора
3. В открывшемся окне задать в поле ввода «Service Name» имя экземпляра базы данных — « ORCL».), далее — кнопка «Следующий» (рис. 7).
Рис. 7. Окно мастера Net Configuration Assistant. Задание имени экземпляра базы данных
466
Лабораторная работа № 6
4. В открывшемся окне выбрать «TCP» из списка протоколов. Далее — кнопка «Следующий» (рис. 8).
5. «Host name» ввести имя сервера, где установлен сервер базы данных Oracle — «EDU», из вариантов выбора порта указать «Use the
В открывшемся окне в поле ввода
standard port number of 1521» («Использовать стандартный номер порта 1521»). Далее — кнопка «Следующий» (рис. 9).
Рис. 9. Окно мастера Net Configuration Assistant. Задание параметров сервера базы данных
467
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
6. В открывшемся окне мастера выбрать «No, do not test» («Нет, не тестировать»), так как тестирование соединения с базой данных будет сделано позднее. Далее — кнопка
468
Лабораторная работа № 6
Рис. 12. Окно мастера Net Configuration Assistant. Конфигурация следующего дескриптора
8. В открывшемся окне мастера на запрос о конфигурации другого дескриптора выбрать « Yes» («Да»). Далее, кнопка «Следующий» (рис. 12).
9. Повторить шаги 3—7 для создания нового дескриптора для SSL протокола.
9.2. Выбор протокола. Аналогично п.1.4, но выбрать протокол «TCPS» (TCP over SSL).
9.7. В открывшемся окне мастера нажать кнопку «Следующий» и, далее, кнопку «Готово». Работа Net Configuration Assistant будет завершена.
следующие исправления (выделено по тексту). Для рассмотренного варианта настройки сервера его содержимое должно быть следующим:
-----------начало файла tnsnames.ora--------------------------------------------------------------------------
EDUSSL =
(DESCRIPTION =
(ADDRESS_LIST =
(CONNECT_DATA =
(SERVER = DEDICATED)
(SERVICE_NAME = ORCL)
(SID = ORCL)
)
(SECURITY=
469
Лабораторная работа № 6
(AUTHENTICATION_SERVICE = TCPS)
(SSL_SERVER_CERT_DN=«cn=ORCL,cn=OracleContext,dc=edu,dc=com»)
)
)
EDU =
(DESCRIPTION =
(ADDRESS_LIST =
(ADDRESS = (PROTOCOL = TCP)(HOST = EDU)(PORT = 1521))
)
(CONNECT_DATA =
(SERVICE_NAME = ORCL)
)
)
установить в «Client». В списке выбора «Credential Configuration» (п. 2 рис. 14) выбрать «Microsoft Certificate». Установить значение в списках выбора пп.4, 5, 6 в значения, ука-
занные на рис. 14.
4. Следует проверить созданный файл конфигурации ORACLE_HOME\network\ADMIN\ sqlnet.ora. Для рассмотренного варианта настройки
сервера его содержимое должно быть следующим:
SSL_VERSION = 3.0
(SOURCE =
(METHOD = MCS)
)
Создание ключевого контейнера (wallet) для пользователя «userl» и его установка на смарт-
карту или USB-ключ eToken
Для создания wallet используется служебная утилита Wallet Manager. Данный этап подразумевает следующие процедуры:
• генерация ключевой пары (закрытый — открытый ключ);
• генерация запроса на сертификат для пользователя userl (cn=user1, cn=Users, dc=edu, dc=com);
1. Запустить Wallet Manager. Start All Programs... ^ Oracle-OraClientlOg ^ Integrated Management Tools ^ Wallet Manager. В открывшемся окне выбрать меню Wallet ^ New...., в открывшемся
диалоге заполнить поля ввода «Wallet Password» (пароль ключевого контейнера), в данном примере — «Welcomel» и «Confirm Password» (подтверждение
введенного пароля). Следует обратить внимание на требования по качеству пароля. Пароль должен быть длиной не менее 8 символов, содержать как буквы, так и цифры и спе циальные символы. В списке «Wallet
type» (тип контейнера) следует выбрать «Standard». Далее, нажать кнопку «ОК» (рис. 15). Будет создан «пустой» контейнер, содержащий лишь сгенерированную пару открытый/закрытый
ключ.
2. В открывшемся окне диалога с подтверждением создания Wallet и запросом подтверждения на создание запроса на сертификат пользователя следует выбрать «Да» (рис. 16).
472
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
Лабораторная работа № 6
3. «Key Size» (длина открытого ключа (бит)) выбрать 1024 и, не заполняя остальные поля, нажать кнопку «Advanced» (рис. 17.1). В от-
В открывшемся окне диалога в списке
DN' ввести отличительное имя пользователя «userl», т.е. его полное имя в каталоге OID (см. рис. 4 и лабораторную работу № 5) — «cn=user1,
крывшемся окне диалога ввести в поле ввода '
cn=users, dc=edu, dc=com». Регистр символов не учитывается. Далее — кнопка «OK» (рис. 17.2). В открывшемся окне сообщения о создании запроса на сертификат пользователя
нажать «OK» (рис. 17.3).
4. После создания запроса на сертификат окно Wallet Manager будет следующий вид
(рис. 18):
1. ОбъектРис. 17.1. Wallet
запроса наManager. Запрос
сертификат параметров сертификата
пользователя пользователя
(статус сертификата — «Requested» (за
прошен)).
2. Список сертификатов доверенных удостоверяющих центров, добавляемый
автомати
чески.
3. Имя пользователя, для которого сформирован запрос.
4. Параметры открытого ключа.
5. Содержимое запроса на сертификат в .Ь64-кодировке.
5. Сертификаты доверенных удостоверяющих центров, которые были добавлены ав-
томатически, следует удалить для уменьшения суммарного размера ключевого контей
Рис. 17.2. Wallet Manager. Запрос отличительного имени пользователя
474
473
Лабораторная работа № 6
нера. Это важно, если в дальнейшем ключевой контейнер предполагается импортировать на аппаратный носитель. Для удаления сертификатов следует воспользоваться контекстным меню удаляемого доверенного
сертификата, либо из меню «Operations» ^ «Remove Trusted Certificate» (рис. 19.1 и 19.2). В окне подтверждения на удаление доверенного сертификата следует выбрать «Да».
6. После удаления всех доверенных сертификатов следует добавить в список серти фикат тестового удостоверяющего центра (УЦ). Файл с сертификатом тестового УЦ —
Trustee Certificates
Ctj:;s l Pub" г Primary CsrliliLili
L - i o't i ru sted C e-rf--1- ■! ate
- I.1JS .■ Puhf( PrirtiaiVirertincJilii
Rerf".raTriisteiceiuriLjM
-"SdMi3Pu(l : Prinnanr Certified
-"SSecuf e 3em*r C ertiflc aBon Auffiontf
VglSlOO
C>berTrus[£r)9l
Cube iTrust Global Rom
serin Hi?mtiei
475
Лабораторная работа № 6
8. Сохранить созданный Wallet с помощью меню «Wallet» ^ «Save as...». В открывшемся окне диалога выбора директории для сохранения позиционироваться, например, на
директорию C:\oracle\wallets\user1 и нажать «OK» (рис. 22).
брать ссылку «or submit an «advanced certificate request» (послать запрос на сертификат). На
открывшейся странице выбрать ссылку «Submit a certificate request by using a base-64-
encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7
file» (послать запрос на сертификат в base-64 кодировке
478
Лабораторная
ЧАСТЬ работа РАБОТЫ
III. ЛАБОРАТОРНЫЕ №6
(CMC 2. или
В окне PKCS#10 утилиты файл) или послать
Wallet Managerзапрос на обновление
выполнить сертификата всертификата
импорт полученного base-64 коди- в
ровке (PKCS#7 файл)). На открывшейся странице
ключевой контейнер. Для этого выбрать пункт меню «Operations» -> «Import выбрать ссылку «Browse for file to insert User».
На запрос системы
Certificate...», безопасностипункт
либо аналогичный о разрешении выполнения
контекстного ActiveX-скрипта
меню объекта ответить
«Certificate» «Да»На
(рис. 24.1). .В
поле ввода
запрос «Full path
о способе name»
ввода ввести полное
сертификата выбратьимя файла
«Selectс запросом
a file thatнаcontains
сертификат the (см. п. 3.7)
ertificate»
либо воспользоваться
(выбрать файл, содержащий кнопкой «Обзор...»идля
сертификат) поиска
нажать «OK» файла, далееВ—
(рис. 24.2). диалоге «Read!»файла
кнопкавыбора (рис.
23.1). Полесохраненный
выбрать ввода текста сертификат «Saved request» должно заполниться
(user1-cer.cer) и нажать содержимым запроса, далее
«Открыть». Сертификат будет—
кнопка «Submit»
импортирован в. На Wallet, и окно Wallet
открывшейся Manager
странице выбратьбудет «Base 64 encoded»
соответствовать
пункт рис. и24.3.перейти Статуспо
сертификата
ссылке «Download (п. 1) изменился
Certificate»на (рис. (готов).
«Ready»23.2). В списке доверенных
В открывшемся сертификатов
окне системы безопасности (п. 2)
только
выбрать один сертификат
«Сохранить» тестового
. На УЦ. Поле «Subject
запрос директории » сертификата
и имени (п. 3) точно
файла указать соответствует
« C:\oracle \wallets\user1» и
отличительному
«userl-cer.cer» соответственно. имени пользователя
Закрыть окно«user1»
браузера. в каталоге OID. На закладке перечислены
остальные свойства сертификата (п. 4).
3. Сохранить ключевой контейнер с помощью команды меню «Wallet» ^ «Save». Также в
данном меню необходимо отметить пункт выбора «Auto Login» (рис. 25). Далее, завершить
|,.‘3, *43 !>!Л|
работу Wallet Manager — «Wallet» ^-«Exit».
После Ц-in С ИГЕ га работы Wallet Manager, директория C:\oracle\wallets\user1 должна
' пдалзавершения
"L ■■ подл
содержать Iniuta с f'tfcфайлы:
следующие JH
9 клиента;
[Jn'i.flrl Ulll' CEftflCItt
■Згшп** TnrttrS CurtfE-
? tlr
q-чи.п i ■ iir Ciinar j1» ijjiir.ii ■; FIT*C Гг
гр ^
HI
E.-pnrl fUlM
480 479
Лабораторная работа № 6
481
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
482
Лабораторная работа № 6
483
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
484
Лабораторная
ЧАСТЬ работа РАБОТЫ
III. ЛАБОРАТОРНЫЕ №6
WALLET_LOCATION =
(SOURCE =
(METHOD = MCS)
)
на
WALLET_LOCATION =
(SOURCE =
(METHOD = FILE)
(METHOD_DATA =
(DIRECTORY = c:\oracle\wallets\user1)
)
)
486 485
Лабораторная работа № 6
t №*cle ■&!)(’'PtiH-
■J>" Q.W, ГЦрАМТ^г VTJ nr-f !■
S0l> совпрЦ /Г4г ilii-я^ J C[Vt litfEND - i
-------------------------------------—----------------"
---------------1 УСПППЫШТ! .ТуДП'ГНЛ141[^Л1|
ИиГПГ
SOI.* stint ■ii'if-K-rtm'.■^E,^,;Jcr»_uiri " | Frnn rtEial”
COhKCl i
RE СЕШНСЕ
^ Ct niRflL
- ГЛМЫ\ПЫ*?а pCtfl\L, kjl-JMV4L' W h i> •
HOl£
VTjtT.i t Jtyuriy pumJflWrt (ЧП
WALLET_LOCATION =
(SOURCE =
(METHOD = FILE)
(METHODDATA =
(DIRECTORY = c:\oracle\wallets\user1)
487
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
)
)
на
WALLET_LOCATION =
(SOURCE =
(METHOD = MCS) # MSC — Microsoft Certificate Store )
Варианты заданий
Вариант 1. Организовать доступ для пользователя «userl» для работы с экземпляром базы
данных Oracle «ORCL» в общей схеме «SHAREDSCHEMA» по протоколу SSL для нового
пользователя ОС Windows «oracleuser», имеющего привилегии обычного пользователя ОС. В
качестве хранилища ключей и сертификатов использовать файл (обычный wallet).
Вариант 2. Организовать доступ для пользователя «user2» для работы с экземпляром базы
данных Oracle «ORCL» в общей схеме «SHAREDSCHEMA» по протоколу SSL. В качестве хранилища
ключей и сертификатов использовать USB-ключ eToken.
Отчет представляется с титульным листом установленной формы, приведенной в конце
лабораторной работы № 1.
488
Лабораторная работа № 6
Контрольные вопросы
1. Каковы основные компоненты для построения системы аутентификации с исполь-
зованием PKI?
2. Основное назначение службы каталога Oracle Internet Directory (OID).
3. Какие методы предлагает система для аутентификации пользователей масштаба
предприятия?
4. Какие объекты хранятся в ключевом контейнере (wallet)?
5. В чем состоят этапы процесса аутентификации по сертификату пользователя?
6. Для чего необходима процедура регистрации базы данных в каталоге OID?
7. Какова роль УЦ в организации PKI аутентификации?
8. Что такое доверенный сертификат?
9. Какими недостатками обладает хранение ключевой информации в файлах ОС?
10. Преимущества в плане безопасности при PKI-аутентификации.
11. Преимущества использования смарт-карт или USB-ключей при хранении ключевого
материала.
12. Назовите общие шаги по изданию сертификата для пользователя.
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
Приложение А
Титульный лист
(образец)
Выполнили:
Студенты гр.
(Ф.И.О.)
(Ф.И.О.)
Принял:
Руководитель
(Ф.И.О)
(год)
490
Лабораторная работа № 7
РЕЖИМЫ РАБОТЫ ПРОТОКОЛА IPSec
НА МОДУЛЕ NME-RVPN ПРИ ИСПОЛЬЗОВАНИИ
ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ CSP VPN GATE
ДЛЯ АУТЕНТИФИКАЦИИ И ЗАЩИТЫ ДАННЫХ
Цель работы
Изучить возможности настройки режимов работы протокола IPSec на модуле NME-RVPN
при использовании программного обеспечения CSP VPN Gate. Изучить возможности
управления модулем NME-RVPN при использовании программного обеспечения CSP VPN
Gate.
491
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
492
№ Наименование Краткое описание Производитель, ссылка
1 Модуль NME-RVPN
Программно-аппаратное решение
www.s-terra.com
(предмет исследования для
лабораторной работы)
2 Cisco 2821 С2800 Software Маршрутизатор Cisco www.cisco.com
(C2800NM-IPVOICE-M), Version
12.4(9.9)PI5
3 Cisco 7206 С7200 Software (C7200- Маршрутизатор Cisco www.cisco.com
JS-M), Version 12.3(18)
4 Catalyst 3560; C3560 Software Коммутатор Cisco www.cisco.com
(C3560-ADVIPSERVICESK9-M),
Version 12.2(25)SEE
5 Рабочие станции с сетевой картой Рабочие станции (как конечные
10/100/1000 BaseTX сетевые устройства)
IP-телефоны Cisco IP-телефоны Cisco (любые модели), www.cisco.com
6 например, 7941 или 7961
7 Кабельное оборудование (UTP Кабельное оборудование (провода
кабель САТ5) для соединения)
Программа Iperf v 1.7 (для генерации ПО http://dast.nlanr.net/projects/
8 трафика) Iperf/iperfdocs_1.7.0.php
9 Программа Wireshark 0.99 (для ПО http://wireshark.org/docs/
анализа пакетов) wsug_html
493
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
494
Лабораторная работа № 7
495
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
Задание
1. Изучить теоретические вопросы, изложенные в начале лабораторной работы.
2. Подготовить модельный стенд.
3. Изучить возможности настройки и управления программным обеспечением CSP VPN
Gate на модуле NME-RVPN.
4. Оформить отчет по лабораторной работе.
5. Ответить на контрольные вопросы.
Разработка стенда
496
lTJ.Ift 0.2/74
PA Ла
бо
».ч> ра
то
I AW! рн
JJ ; ■ii-r-i ая
ра
бо
та
Г. Ц/* №
VLAN J99 7
Cranium ,nn
МОНИТОРИ
НГИ Cii (i.-fi
VIA*
Ch 'Drtt 4VI
WAS
ifclplUMI С uiicciiC'cCHiicti
+W
m к J WYcmln IIIUK; nt
11 № M
Рабочая станин*
Кабельные соединении
oftofiYrimiaiiMK
ЧА
СТ
Ь
III.
ЛА
Б
О
РА
Т
О
Р
si-vs m Н
Ы
Е
РА
Б
О
Т
Ы
121^/24
Маршруты lop Co IPScc VPN туннель
ЧСЖЛУ СС7МЧИ
аироенным модулем
Ноутбук.
Рис. 2. Конфигурация стенда для проверки базовой функциональности
Лабораторная работа № 7
499
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
C:\>ping 1.1.1.100
Pinging 1.1.1.100 with 32 bytes of data:
Negotiating IP Security.
Reply from 1.1.1.100: bytes=32 time=30ms TTL=58
Reply from 1.1.1.100: bytes=32 time=32ms TTL=58
Reply from 1.1.1.100: bytes=32 time=35ms TTL=58 Ping
statistics for 1.1.1.100:
Packets: Sent = 4, Received = 3, Lost = 1 (25% loss),
C:\>
В случае неудачного результата тестирования — IPSec VPN-туннель не установлен —
обмен данными не возможен (при уточненных настройках оборудования), можно сделать
вывод, что модуль NME-RVPN нельзя использовать для организации криптотуннеля между
маршрутизаторами с применением предопределенных ключей.
Пример отрицательного результата:
C:\>ping 1.1.1.100
Pinging 1.1.1.100 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 1.1.1.100:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
C:\>
500
Лабораторная работа № 7
501
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
Содержание отчета
Отчет оформляется один на бригаду из одного-двух исполнителей.
В отчете с титульным листом установленной формы (см. Приложение В) необходимо
представить следующие сведения:
1. Наименование и цели работы.
2. Краткую характеристику учебного стенда (по составу доступных пользователю функций
управления и индикаций, распределению ресурсов, функций, вариантов набора
преобразований).
3. Функциональную схему учебного стенда с пояснениями и комментариями.
4. Измеренные значения, полученные в ходе выполнения работы.
5. Подготовиться для устных ответов по контрольным вопросам.
Контрольные вопросы
1. Как подготовить к работе учебный стенд?
2. Как ввести в действие учебный стенд?
3. Назовите признаки готовности учебного стенда.
4. Назовие способы получения сертификата.
5. Что означает защищенное соединение?
6. Какие методы аутентификации IKE вы знаете? На чем эти методы могут быть ос-
нованы?
7. Как определить, что IPSec VPN-туннель не установлен и обмен данными не возможен?
Что для этого необходимо сделать?
8. Какие режимы защиты данных использует IPSec? Чем они различаются?
9. Какие два режима передачи предлагает IPSec? В чем их различие?
10. Какой из вариантов использования совокупности протоколов является наиболее за-
щищенным?
502
2821_30
2821_12
2821 12#sh run 2821_30#sh run
version 12.4 version 12.4
service timestamps debug datetime msec service timestamps debug datetime msec
service timestamps log datetime msec service timestamps log datetime msec
no service password-encryption no service password-encryption
boot-start-marker boot-start-marker
boot system flash c2800nm-ipvoicemz. boot system flash:c2800nm-ipvoicemz.
124-9.9.PI5 124-9.9.PI5
boot-end-marker boot-end-marker
! !
! !
ip cef ip cef
interface Loopback0 !
! interface Loopback0
ip address 5.5.5.1 255.255.255.255 ip address 5.5.5.3 255.255.255.255
503
Окончание табл. 1
2821_30
2821_12
213.24.233.129 ip route 2.2.2.0 255.255.255.0
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/0
GigabitEthernet0/0 ip route 172.16.0.0 255.255.255.0
ip route 2.2.2.0 255.255.255.0 GigabitEthernet0/0
20.20.20.2
ip route 172.17.0.0 255.255.255.252 GigabitEthernet0/0
crypto isakmp policy 1 hash md5 encryption des crypto isakmp policy 1 hash md5 encryption des
authentication pre-share group 1 ! authentication pre-share group 1 !
crypto isakmp key cisco123 address 10.10.10.2 crypto isakmp key cisco123 address 20.20.20.2
ip access-list extended lans permit ip 2.2.2.0 0.0.0.255 i p access-list extended lans permit ip 1.1.1.0 0.0.0.255
1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
crypto map cm 1 ipsec-isakmp match address lans set crypto map cm 1 ipsec-isakmp match address lans set
transform-set ts set pfs group1 set peer 10.10.10.2 ! transform-set ts set pfs group1 set peer 20.20.20.2 !
! !
interface FastEthernet0/0 ip address 20.20.20.2 interface FastEthernet0/0 ip address 10.10.10.2
255.255.255.252 crypto map cm interface FastEthernet0/1 255.255.255.252 crypto map cm interface FastEthernet0/1
ip address 2.2.2.10 255.255.255.0 ! ip address 1.1.1.10 255.255.255.0 !
ip route 0.0.0.0 0.0.0.0 20.20.20.1 1 ip route 0.0.0.0 0.0.0.0 10.10.10.1 1
504
Cisco 2821#12 Cisco2821#30
nm1#sh run crypto ipsec df-bit copy crypto isakmp identity nm2#sh run crypto ipsec df-bit copy crypto isakmp identity
dn username cscons password csp hostname nm1 enable dn username cscons password csp hostname nm2 enable
password csp ! password csp !
ip access-list extended lans permit ip 2.2.2.0 0.0.0.255 ip access-list extended lans permit ip 1.1.1.0 0.0.0.255
1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
crypto map cm 1 ipsec-isakmp match address lans set crypto map cm 1 ipsec-isakmp match address lans set
transform-set ts set pfs group1 set peer 10.10.10.2 ! transform-set ts set pfs group1 set peer 20.20.20.2 !
crypto ca trustpoint sterra_ technological_trustpoint crl crypto ca trustpoint sterra_ technological_trustpoint crl
optional optional
crypto CA certificate chain sterra_ crypto CA certificate chain sterra_
technological_trustpoint technological_trustpoint
certificate 0101010101010101 certificate 0101010101010101
308201893082012CA0030201020208010101010 308201893082012CA0030201020208010101010
1010101300E060A2B06010401AD590103020500 1010101300E060A2B06010401AD590103020500
3032310B30090603550406130252553110300E0 3032310B30090603550406130252553110300E0
505
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
Окончание табл. 3
60355040A1307732D74657272613111300F0603 60355040A1307732D74657272613111300F0603
55040313084E6F746172794341301E170D30343 55040313084E6F746172794341301E170D30343
13032393137303035325A170D30393130323931 13032393137303035325A170D30393130323931
37303035325A3032310B3009060355040613025 37303035325A3032310B3009060355040613025
2553110300E060355040A1307732D7465727261 2553110300E060355040A1307732D7465727261
3111300F060355040313084E6F7461727943413 3111300F060355040313084E6F7461727943413
05E3016060A2B06010401AD5901060206082A86 05E3016060A2B06010401AD5901060206082A86
48CE3D030107034400044104D1BC76EDE6128E8 48CE3D030107034400044104D1BC76EDE6128E8
32D5D029F4E741E35FC2E99D23E086C10DC6772 32D5D029F4E741E35FC2E99D23E086C10DC6772
8ABAB5E666ED9881AB73F1543F1A6C7049FD8CE 8ABAB5E666ED9881AB73F1543F1A6C7049FD8CE
381E97BE2294A499F976F1CD559C8B7CA35A323 381E97BE2294A499F976F1CD559C8B7CA35A323
3021300F0603551D130101FF040530030101FF3 3021300F0603551D130101FF040530030101FF3
00E0603551D0F0101FF040403020106300E060A 00E0603551D0F0101FF040403020106300E060A
2B06010401AD590103020500034700304402204 2B06010401AD590103020500034700304402204
1991DE0A1B1C176B097A8825A9FDEFB6D57982B 1991DE0A1B1C176B097A8825A9FDEFB6D57982B
AA995C1DA11164E0F443E542022036E923625D7 AA995C1DA11164E0F443E542022036E923625D7
8A172525FADD52E18A09E296141EB24688C97F2 8A172525FADD52E18A09E296141EB24688C97F2
9CB405578DDED8 9CB405578DDED8
quit quit
506
Тип преобразования Имя Описание
Приложение В
Титульный лист
(образец)
Выполнили:
Студенты гр.
(Ф.И.О.)
(Ф.И.О.)
Принял:
Руководитель
(Ф.И.О)
(год)
508
Лабораторная работа № 8
НАСТРОЙКА WEB INTERFACE 4.X
ДЛЯ ИСПОЛЬЗОВАНИЯ СМАРТ-КАРТ
Цель работы
Общие сведения
509
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
Методические указания
510
Лабораторная работа № 8
511
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
512
Параметр Описание
CTXS-DC
514
Параметр Описание
Дополнительное ПО
• MS SQL Server 2005 Enterprise Edition
• Citrix EdgeSight
• Citrix SmartAuditor
• Citrix Password Manager
Объем
оперативной памяти • 1024 Мбайт (по умолчанию)
• Можно уменьшить до 512 Мбайт в случае ограниченного объема оперативной
памяти на хост машине
Сетевые карты • 1 — для внутренней сети
Роль
• Сервер баз данных для продуктов Citrix
• Хранилище учётных данных для использования Citrix Password Manager
• Компьютер для подготовки потоково-доставляемого ПО (Профайлер)
• Консоль мониторинга производительности
• Сервер и консоль для видеологирования терминальных сессий (SmartAuditor)
• Файл-сервер
• Сервер приложений
CTXS-CPS
Таблица 2
Ctxsuser2 Evaluation1 Учетные записи и пароли пользователей
То же
Ctxsuser3 Evaluation1 —”—
Ctxsuser4 Evaluation1 Пользователь домена WWC имеет доступ ко всем опубликованным
приложениям, кроме консолей администрирования, и может запускать
приложения с использованием технологии потоковой доставки
Ctxsuser5 Evaluation1 То же
Ctxsuser6 Evaluation! —”—
515
Лабораторная
ЧАСТЬ работа №
III. ЛАБОРАТОРНЫЕ 8
РАБОТЫ
Задание
Организовать доступ для пользователей, использующих смарт-карты, в двух вариантах
— стандартная аутентификация по смарт-картам и сквозная аутентификация.
Подготовка к работе
Запуск виртуальных машин и подготовка
к работе виртуального окружения
До начала использования виртуальных машин необходимо обновить версию «VM
Additions» (оптимизированные драйверы для гостевых машин).
• Запускаем каждую машину нашего виртуального стенда. Для этого устанавливаем
курсор на запись соответствующую машине, которую мы хотим включить и нажав
правую клавишу мыши из появившегося контекстного меню выбираем Turn On.
• Для подключения к консоли виртуальной машины, опять нажимаем правую кнопку
мыши, предварительно выбрав нужную включенную виртуальную машину из
контекстного меню выбираем VM Console.
• Используя учетную запись «Administrator» входим в систему, нажав комбинацию
клавиш Right + Alt + Del.
• В окне «Console Manager» выбираем пункт меню Media ^ Install Current VM Additions
(рис. 8).
• В гостевой операционной системе начнется установка дополнений.
516 517
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
518
ПЯС51 • “ ITT"Ж’П 1
s
C t r a Accm AAmntwd Eflbcrt Caacir«fl UM ~"i л!- iM fy Й »
Лабораторная работа № 8
GUa Ассам G«May EMMpitaa Edacai Свккшя Uaar гм Ми И в и й
Г
CA'-c Ассам Caraway №mla>* lawn Caecim* Uaar -^И'У « Q .■?
C4B Surf ч> ьсама Зам id» E -1 5ВД i
CAB XanAf* i.PraiartMn SaM>| АдааМ Смкшаа Uw -H ■Э Й г
CiM ИмЛДО iPWSHUDW CMCIrfWI Uftir CAhl* И в я ДИ
CAB KarfApp iFiaaartMn 5a"*| CaaciaiWA Uaar LaUw V) jl m i
iLmisnrt UMT t-фШязшП jo rt 0
Открываем «My computer» ^ «Local disk C:» ^ «Eval Resources» ^ далее на каталоге
«Clients» нажимаем правую кнопку мыши и выбираем «Sharing and Security», затем пе-
реходим на вкладку «Security».
На данной вкладке нужно нажать кнопку «Add» и в открывшемся окне выбрать группу
пользователей «Domain Users» (рис. 12).
Этой группе пользователей необходимы права «Read&Execute», «List Folder Contents» и
«Read». После присвоения необходимых прав, нажимаем кнопку «Apply» и «OK» (рис. 13).
После установки лицензий и присвоения прав доступа на каталог «C:\Eval
Resources\Clients\», необходимо сохранить изменения в образе виртуальной машины, для
чего в окне «Console Manager» необходимо выбрать меню Control ^ Undo Options ^ Shut
Down Guest OS and Commit Undo Disks.
Для выполнения следующей лабораторной работы нам необходимы все три вирту-
альные машины. Необходимо отметить, что для корректной работы необходимо соблюдать
правильную последовательность загрузки системы. Первым должен загружаться компьютер
CTXS-DC, после завершения его загрузки, запускается компьютер CTXS-SQL и последним
включается CTXS-CPS.
В качестве клиентской машины для проверки работоспособности решения можно
использовать: хост-машину, дополнительную виртуальную машину с Windows XP или
Windows Vista, которые можно загрузить с сайта компании Microsoft —
http://www.microsoft.com/downloads/details.aspx?FamilyID=21EABB90-958F-4B64-B5F1-
73 D013
Рис. A413 C8EF&displaylang
Присвоение прав =en, а также компьютер CTXS-SQL.
доступа группе «Domain
Users».
519
520
Лабораторная работа № 8
521
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
522
Лабораторная работа № 8
523
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
524
Лабораторная работа № 8
525
Лабораторная
ЧАСТЬ работаРАБОТЫ
III. ЛАБОРАТОРНЫЕ №8
Дополнительная информация
При использовании аутентификации по смарт-картам необходимо, чтобы сервер Web
Interface мог получить обновление списка отозванных сертификатов (CRL). Если это
требование не выполняется, то пользователь получит сообщение об ошибке при доступе к
сайту Web Interface:
«HTTP 403.13 Forbidden: Client certificate revoked».
Для обходного решения этой проблемы необходимо загружать CRL с точки распро-
странения сертификатов на ежедневной/еженедельной основе. Для получения дополни-
тельной информации обратитесь на сайт компании Microsoft:
http://support.microsoft.com/kb/884115/en-us.
Известные ограничения:
• Необходимо, чтобы сервер Web Interface был членом домена Active Directory и имел
возможность взаимодействовать с контролером домена.
• Аутентификация по смарт-картам невозможна при использовании Secure Gateway в
качестве обратного прокси, прерывающего SSL для Web Inteface. Пользователи
должны иметь прямое соединение с SSL портом IIS.
• Недоступно для Web Interface для UNIX.
• Недоступно для доменов NT 4.
Рис. 22. Завершение
Отчет представляется с тиутульным листом установленной формы.
настройки
метакаталога
Default Web Sites
526 527
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
Контрольные вопросы
1. Объясните различие между стандартной аутентификацией по смарт-картам и сквозной
аутентификацией по смарт-карте.
2. Какие ограничения применяются при настройке аутентификации по смарт-картам?
3. Возможно ли использование USB-ключей eToken вместо смарт-карты?
4. Какой метод аутентификации должен использоваться для доступа к приложениям,
требующим различные сертификаты пользователя?
5. Для чего необходимо вводить PIN-код?
6. Пользователь, жалуется системному администратору на то, что система постоянно
требует от него ввода PIN-кода при запуске опубликованного приложения. Как ад-
министратор может исправить ситуацию?
7. Где хранится открытый ключ? Где хранится закрытый ключ пользователя?
8. При доступе к Web Interface пользователь получает ошибку доступа и сообщение о том,
что сертификат пользователя отозван. Администратор проверил сертификат
пользователя и убедился, что он действует. Что должен еще проверить администратор?
9. Администратор рабочей группы настраивает доступ к Web Interface с использованием
смарт-карт. Система не аутентифицирует пользователей, в чем причина?
10. Пользователь обращается к Web Interface для доступа к опубликованным приложениям
и не получает доступа. Администратор обнаружил в журнале системы ошибку HTTP
403.13 Forbidden. Администратор проверил успешность соединения между сервером
Web Interface и точкой распространения сертификатов. Чем еще может быть вызвана
проблема отказа в доступе к ресурсам?
11. Какие еще возможны варианты двухфакторной аутентификации при доступе к Citrix
Web Interface.
12. Какой шаблон сертификатов должен быть использован для того, чтобы пользователь
мог получить доступ к системе, используя смарт-карту?
13. Кроме сертификата пользователя, какие еще сертификаты могут быть использованы
при доступе к Citrix Web Interface? Чем они различаются?
Лабораторная работа № 8
Приложение A
Титульный лист
(образец)
Выполнили:
Студенты гр.
(Ф.И.О.)
(Ф.И.О.)
Принял:
Руководитель
(Ф.И.О)
(год)
529
Лабораторная работа № 9
НАСТРОЙКА SECURE GATEWAY
ДЛЯ БЕЗОПАСНОГО ПОДКЛЮЧЕНИЯ
К ОПУБЛИКОВАННЫМ ПРИЛОЖЕНИЯМ
ИЗ НЕДОВЕРЕННЫХ СРЕД ПЕРЕДАЧИ ДАННЫХ
Цель работы
Изучение возможности использования дополнительного компонента Secure Gateway для
безопасного подключения к ферме Citrix XenApp. Получение навыков работ по установке и
настройке Citrix Secure Gateway. Проверка того, что при подключении и работе с
опубликованными приложениями используется только один порт.
Общие сведения
Secure Gateway помогает обеспечить безопасный доступ к компьютерам с ПО Citrix
XenApp. Этот шлюз прозрачно осуществляет шифрование и аутентификацию соединений
всех пользователей для защиты данных от подделки и кражи.
В настоящее время увеличивается число предприятий, которые активно используют
глобальные каналы связи для подключения к своим филиалам, организации доступа для
мобильных сотрудников и партнеров. Однако высокая стоимость организации и обслу-
живания выделенных каналов приводит к тому, что используются экономически эффек-
тивные открытые сети передачи данных, такие как Интернет. Но любая организация по-
лагающаяся на Интернет для обеспечения соединения своих подразделений, должна быть
готова к решению с серьезных проблем обеспечения безопасности. Несмотря на энтузиазм,
связанный с возможностью получения доступа в любое время, из любого места, используя
любое устройство, корпорация должна быть уверена, что конфиденциальные данные,
передаваемые по открытым сетям, будут защищены от чужих глаз.
Secure Gateway облегчает прохождение межсетевых экранов и представляет собой
безопасный Интернет-шлюз между Citrix XenApp и клиентскими устройствами. Все данные,
передаваемые через Интернет между удаленной рабочей станцией и Secure Gateway,
шифруются с помощью протоколов Secure Sockets Layer (SSL) или Transport Layer Security
(TLS).
Сервер с Secure Gateway рекомендуется устанавливать в демилитаризованной зоне
(DMZ) для формирования защищенного периметра вокруг компонентов Citrix в корпо-
ративной сети. Secure Gateway аутентифицирует пользователей, подключающихся через
Интернет и формирует безопасный канал обмена данными между клиентским устройством и
Citrix XenApp.
Secure Gateway — это приложение, выполняющееся как сервис на сервере размещенном
в DMZ. Этот сервер представляет собой единую точку доступа к защищенной корпоративной
сети. Таким образом, Secure Gateway выступает в роли посредника для всех соединений,
запрашивающих подключение к корпоративной сети из Интернета.
Для повышения безопасности можно построить решение из двух демилитаризованных
зон: во внешней будет располагаться Citrix Secure Gateway, а во внутренней — Citrix Secure
Gateway Proxy. Secure Gateway Proxy выступает в роли изолирующего элемента
530
Лабораторная работа № 9
Методические указания
Для проведения работ мы будем использовать набор виртуальных машин, описанный в
лабораторной работе № 8.
Помимо 3 машин из лабораторной работы № 8, нам потребуется дополнительная
виртуальная машина под управлением клиентской ОС. Такую виртуальную машину можно
установить самостоятельно или загрузить VHD-файл с установленной Windows XP или
Windows Vista с сайта компании Microsoft — http://www.microsoft.com/downloads/
details.aspx?FamilyID=21EABB90-958F-4B64-B5F1-73D0A413C8EF&displaylang=en. Перед
началом использования этой виртуальной машины необходимо обновить версию «VM
Additions» (оптимизированные драйверы для гостевых машин), так как это описано в
лабораторной работе № 8. Этой машине необходимо задать параметры из табл. 1 и 2.
Также нам понадобится дополнительное программное обеспечение:
— Свободно распространяемая утилита TCPView, предназначенная для контроля портов
и адресов подключения. Загрузить ее необходимо с сайта компании Microsoft
http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx
— Компонент Citrix Secure Gateway 3.1, обеспечивающий безопасное подключение к
опубликованным приложениям. Этот компонент можно загрузить с сайта компании Citrix
https://www.citrix.com/English/ss/downloads/details.asp?downloadId=1681216&productId=186
Secure Gateway 3.1 (требуется регистрация).
В результате всех вносимых изменений наш стенд должен соответствовать рис. 1.
531
Параметр Описание
ЧАСТЬCTXS-DC
III. ЛАБОРАТОРНЫЕ РАБОТЫ
Описание стенда
Описание стенда
Таблица 1
Установленное ПО и аппаратные характеристики виртуальных машин
532
Окончание табл. 1
Параметр
Описание
CTXS-SQL
533
Пользователь Пароль Описание
Evaluationl ЧАСТЬАдминистратор домена
III. ЛАБОРАТОРНЫЕ WWC.COM
РАБОТЫ и Citrix XenApp
WWC\Administrator
TEST\Test_user - Тестовая учётная запись на компьютере TEST
Таблица 2
Используемые учетные записи и пароли пользователей
Задание
Организовать доступ для пользователей, получающих доступ к опубликованным при-
ложениям, извне с помощью механизма безопасного подключения.
Подготовка к работе
Для приведения виртуального стенда к рабочему виду после первой лабораторной ра-
боты необходимо запустить каждую машину (CTXS-DC, CTXS-CPS и CTXS-SQL) нашего
виртуального стенда. Для этого устанавливаем курсор на запись, соответствующую машине,
которую мы хотим включить и, нажав правую клавишу мыши, из появившегося контекстного
меню выбираем Turn On.
Для подключения к консоли виртуальной машины опять нажимаем правую кнопку мыши,
предварительно выбрав нужную включенную виртуальную машину, из контекстного меню
выбираем VM Console.
После загрузки машины и подключения к виртуальной консоли, нам для каждой вир-
туальной машины, необходимо выполнить сброс Undo-диска (рис. 2).
Когда вы завершите возврат стенда в первоначальное состояние, снова включаем все
четыре виртуальные машины в следующем порядке — CTXS-DC, CTXS-SQL, CTXS-CPS,
TEST. Рекомендуется включать следующую машину после окончания загрузки предыдущей.
В виртуальную машину под управлением Windows XP нам необходимо установить до-
полнительное ПО — утилиту TCPView. С сайта компании Microsoft загружаем утилиту в виде
архивного файла. Переносим этот файл на компьютер TEST, распаковываем его в
подходящий каталог.
534
Лабораторная работа № 9
537
Лабораторная
ЧАСТЬ работа РАБОТЫ
III. ЛАБОРАТОРНЫЕ №9
CTXS-SQL
Рис. 11. Экран
Рис. 9. начального запуска
Экран проверки настройки
значений, службы Citrix
необходимых Secure Gateway
для установки
538 539
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
540
Лабораторная работа № 9
541
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
Лабораторная работа № 9
ЬНж'асе
1ЛГОГЕ Llflttnjy Cool4ur.1tМП »Ч/*гН
Рис. 16. Настройка ограничений на исходящий трафик
1------------------------------------------
’CuuAf О Hv itrw nnwg tv * ?
Дтаичот 4-tW",
^ Iblrv: 1 ■. -.-.il-Vhiw, :■ ДОШ9*4Г,
CITRIX
просы этот
приложение
(h* 1Л
f“ Irrttibd ЦП (fki
<t th* 5* Так как на компьютере CTXS-SQL порт 443 уже обслуживает
сервис.
на(CTfUMr
Internet Information Service, мы указываем другой порт, например, 8443.
другое
Лабораторная работа № 9
Контрольные вопросы
1. Объясните различие между стандартным подключением к серверу Web
Interface с использованием SSL и подключением через Citrix Secure Gateway.
2. Какие ограничения применяются при настройке Secure Gateway в режиме Direct?
3. Какие протоколы могут быть использованы для подключения к Secure Gateway?
4. Как можно защитить соединение между сервером Secure Gateway и сервером
Web Interface?
548
ЧАСТЬ III. ЛАБОРАТОРНЫЕ РАБОТЫ
Приложение A
Титульный
лист (образец)
Выполнили:
Студенты гр.
(Ф.И.О.)
(Ф.И.О.)
Принял:
Руководитель
(Ф.И.О)
(год)
550
Аутентификация
Теория и практика обеспечения безопасного доступа
к информационным ресурсам
Учебное пособие для вузов
Под редакцией
доктора техн. наук, профессора А. А. Шелупанова;
генерального директора ЗАО «Аладдин Р. Д.» С. Л. Груздева;
кандидата физ.-мат. наук, старшего научного сотрудника,
руководителя аналитического отдела ЗАО «Аладдин Р. Д.» Ю. С. Нахаева
h » [ 11
Aladdin i\i, CITR;X
CISCO
Microsoft КРИПТО
ф^ПРО
ORACUG
ВЫШЛИ В СВЕТ И ИМЕЮТСЯ В ПРОДАЖЕ