Так исключается возможность подделки приборов. В отличие от обычной памяти с параллельным портом адреса/данных, память приборов Touch Memory имеет последовательный интерфейс. Данные записываются/читаются в память по одной двунаправленной сигнальной линии. По этой линии в прибор передаются команды и данные, считываются данные. При этом используется широтно-импульсный метод кодирования. Логические сигналы "1" и "0" с уровнем от +5В до 0В передаются импульсами различной длительности. Такой цифровой интерфейс позволяет подключать приборы Touch Memory непосредственно к персональным ЭВМ или через микропроцессорный контроллер. Важной особенностью приборов является низкая потребляемая мощность, что позволяет использовать встроенную в корпусе прибора миниатюрную литиевую батарейку для сохранения информации в памяти в течении 10 лет. Существуют конкретные разработки аппаратно - программных комплексов защиты информации на базе touch memory. В качестве примера можно рассмотреть систему QPDOS, разработанную специалистами из АО " РНТ ". QPDOS является функциональным расширением MS-DOS и предназначена для использования в составе ПК на базе IBM РС/АТ. QPDOS полностью контролирует и управляет доступом всех пользователей к ресурсам и данным ПК.
В качестве функциональных частей QPDOS могут быть включены следующие подсистемы:
· регистрации и учета, предназначенную для протоколирования событий, происходящих в системе, контроля за возможными попытками НСД, учета сеансов пользователей и генерации отчетов;
· оперативного контроля, позволяющую оперативно наблюдать с ПК администратора системы за событиями и действиями пользователей, которые происходят на любом ПК в составе сети;
· контроля целостности и защиты от копирования программного обеспечения;
· запрещения начальной загрузки с ГМД, предотвращающую возможность обхода системы защиты нарушителем с помощью загрузки ПК со своей системной дискеты;
· криптографическую, которая представляет собой драйвер MS-DOS, осуществляющий зашифрование и расшифрование информации на отдельных логических дисках ПК в прозрачном для прикладных программ режиме. Кроме этого подсистема включает средства для генерации ключей шифрования и перешифрования информации на новом ключе, и ввода ключей шифрования в систему с электронных ключей Touch Memory.
EFS (Encrypting File System - шифрующая файловая система) - нововведение, появившееся в ОС Windows 2000. С ее помощью любой пользователь может зашифровывать или расшифровывать собственные файлы и папки при условии, что они находятся в разделе диска, отформатированном в файловой системе NTFS Windows 2000. Для того, чтобы зашифровать файл, требуется либо включить режим шифрования файла в окне настройки его свойств, либо поместить файл в папку, для которой этот режим уже был включен. Сам процесс шифрования и расшифровывания документов «прозрачен» (незаметен) для пользователя. После того, как включен режим шифрования, пользователь продолжает работать с файлом так же, как и раньше. Нет никакой необходимости при каждой операции доступа к файлу сначала его расшифровывать, а затем снова зашифровывать.
Файлы или папки, зашифрованные с помощью EFS, могут быть расшифрованы только пользователем, который их зашифровал, или же с помощью агента восстановления (EFS Recovery Agent). По умолчанию агентом восстановления назначена учетная запись локального администратора. Система EFS не предусматривает возможности обмена зашифрованными файлами. Это означает, что, если пользователи Алиса и Макс являются участниками группы Users (Пользователи) и не являются агентами восстановления, то Алиса сможет зашифровать свой файл и отправить его по электронной почте Максу, но Макс не сможет его расшифровать. Таким образом, шифрующую файловую систему EFS можно рассматривать только как индивидуальное средство шифрования.
В EFS используется алгоритм шифрования с 56-битовым ключом Expanded Data Encryption Standard (DESX). Пользователи, проживающие в Северной Америке, мот получить модуль поддержки 128-битовых ключей, заказав у компании Microsoft продукт Enhanced CryptoPAK. Файлы, зашифрованные с помощью 128-битового ключа, не могут быть расшифрованы, открыты или восстановлены на системе, которая поддерживает только 56-битовый ключ.
Режим шифрования включается в окне Advanced Attributes (Допопнительные атрибуты), которое открывается после щелчка на кнопке Others (Другие) диалогового окна свойств файла или папки. Если вы зашифровали папку, то все находящиеся в ней файлы к вложенные папки автоматически будут также зашифрованы. Шифрование поддерживается только для файлов и папок, которые находятся в разделе жесткого диска, отформатированного в файловой системе NTFS. Несмотря на то, что в разделах NTFS Windows 2000 можно зашифровать большинство файлов и папок, системные файлы являются исключением.
Зашифрованные файлы остаются таковыми и после их перемещения или копирования в другую папку NTFS или в другой раздел, даже если новая папка не помечена как шифруемая. С другой стороны, обычные файлы, будучи помещенными из обычной папки в шифруемую, также шифруются. Если же зашифрованные файлы перемещаются или копируются на том, который работает под управлением файловой системы, отличной от файловой системы NTFS, то перед записью на диск они расшифровываются. То же самое происходит, естественно, и при копировании зашифрованных файлов на дискету. Для того, чтобы поместить зашифрованные файлы на дискету или на другой носитель, отформатированный в файловой системе FAT, можно воспользоваться программой Windows 2000 Backup (Архивация) - она сначала создаст резервную копию зашифрованного файла, а затем поместит файл резервной копии зашифрованного файла на носитель FAT. Если, впоследствии такой файл восстановить из резервной копии в раздел диска NTFS, то он останется зашифрованным. Иными словами, если пользователь Алиса создаст резервную копию одного из своих зашифрованных файлов, то пользователь Макс не сможет восстановить этот файл в раздел FAT и прочесть его.
Примечание. Шифрование файлов не защищает их от удаления. Если, Алиса и Макс совместно используют один и тот же компьютер и оба имеют разрешение Modify (Изменить) на доступ к папке, то Макс не сможет расшифровать и прочесть файл, зашифрованный Алисой (и находящийся в этой папке), но, несмотря на это, он сможет его удалить.
Исходя из этого, можно порекомендовать установить режим шифрования для папки Temp и других подобных папок, содержащих временные файлы рабочих документов: это обеспечит шифрование всех файлов, находящихся в данных папках.
Удаленное хранение зашифрованных файлов. Если, папка на удаленном компьютере с ОС Windows 2000 была помечена как шифруемая, и у вас имеется разрешение на ее использование, то вы можете шифровать и расшифровывать находящиеся в ней файлы. Однако необходимо отдавать себе отчет в том, что в момент открытия или сохранения таких файлов их содержимое пересылается по сети в незашифрованном виде (шифрование и расшифровывание выполняются по месту хранения файла). Более того, если вы копируете зашифрованный файл, находящийся на вашем компьютере, в удаленную папку, то он сначала расшифровывается, затем пересылается по сети в открытом виде, и только после этого зашифровывается удаленной системой. Поэтому, для того, чтобы защитить файлы при передаче по сети, необходимо использовать протокол SSL/PCT или IPSec.
Для того, чтобы использовать удаленное шифрование, сервер, работающий под управлением ОС Windows 2000, должен быть назначен в качестве доверенного для делегирования сервера. Это свойство сервера устанавливается с помощью средства Active Directory Users and Computers (Active Directory - пользователи и компьютеры).
Работа Encrypting File System. Для каждого файла назначается уникальный ключ шифрования FEK (File Encryption Key), который по своему назначению напоминает сеансовый ключ или личный ключ, применяемый в симметричных алгоритмах шифрования. Файл шифруется с помощью ключа FEK, а сам ключ FEK шифруется открытым ключом пользователя. Таким образом, для того чтобы расшифровать файл, необходимо знать личный ключ законного пользователя, предназначенный для расшифровывания FEK, с помощью которого затем расшифровывается файл. Ключ FEK шифруется также и с помощью открытого ключа агента восстановления. По этой причине агент восстановления также может расшифровать файл.
Система EFS использует как алгоритм с многоразовыми открытым и личным ключами, так и алгоритм, построенный на применении одноразового сеансового ключа. Пара, состоящая из открытого и личного ключей, предназначена для того, чтобы только законный пользователь и агент восстановления могли расшифровать сеансовый ключ, который, в свою очередь, необходим для собственно расшифровывания файла. Личные ключи размещаются не в каталоге SAM (или в каком-то отдельном каталоге), а в хранилище ключей пользователя. Их можно также экспортировать на съемный носитель и хранить отдельно (для обеспечения возможности восстановления). Именно так и рекомендуется поступать с ключом агента восстановления - экспортировать его и хранить вне системы, работающей под управлением ОС Windows 2000 Professional.
Установленные по умолчанию ключи уже подписаны, иными словами, для управления ими не нужен уполномоченный центр сертификации (СА - Certificate Authority). Такой подход потенциально опасен, так как пользователи не всегда понимают необходимость резервного копирования ключей или их защиты, в результате чего задача управления множеством ключей полностью ложится на администратора и является при этом чрезвычайно сложной или вообще невыполнимой. Для того, чтобы обеспечить должный уровень управления ключами, следует создать уполномоченный центр сертификации предприятия (Enterprise Certificate Authority), интегрированный с Active Directory. С помощью средства Group Policy (Групповая политика) EFS можно отключить.
Ключ FEK хранится в поле DDF (Data Decryption Field), присоединенном к файлу EFS. Так как для расшифровывания FEK необходимо знать личный ключ пользователя - владельца этого файла, а к нему не имеет доступа никто, кроме самого пользователя, никто соответственно не сможет расшифровать файл. При каждом сохранении файла создается новое поле DDF. Ключ FEK также шифруется с помощью открытого ключа агента восстановления и размещается в специальном поле DRF (Data Recovery Field). В последнем может содержаться дополнительная информация, предназначенная для обеспечения работы нескольких агентов восстановления.
На рис. 11.1 изображены процессы шифрования и расшифровывания. В частности, прямоугольник, показанный в правой части рис. 11.1, представляет зашифрованный файл с полями DDF и DRF. Ниже приведено краткое описание процессов шифрования и расшифровывания.
Итак, процесс шифрования выполняется в следующем порядке.
1. Исходный файл зашифровывается с помощью FEK.
2. Копия FEK шифруется с помощью открытого ключа пользователя и сохраняется в DDF.
3. Еще одна копия FEK шифруется с использованием открытого ключа агента восстановления и сохраняется в DRF.
Рис. 11.1. Шифрование и расшифрование файла в системе EFS
Процесс расшифровывания выполняется в следующем порядке.
1. С помощью личного ключа пользователя расшифровывается DDF или же с помощью личного ключа агента восстановления расшифровывается DRF. В любом случае по окончании расшифровывания становится известным FЕК.
2. С помощью FЕК файл расшифровывается.
Хотя это и не является обязательным требованием, в больших сетях все же рекомендуется создавать специальные центры сертификации (ЦС), призванные генерировать сертификаты для агентов восстановления и пользователей, а также управлять этими сертификатами. При наличии в сети ЦС EFS не генерирует сертификаты самостоятельно, а запрашивает их у такого уполномоченного узла.
Наличие в сети ЦС обеспечивает следующие преимущества:
· централизованное управление ключами. При отсутствии ЦС на каждом компьютере, работающем под управлением Windows 2000, хранятся ключи всех пользователей, имеющих доступ к компьютеру. В качестве агента восстановления назначается учетная запись локального администратора. В такой конфигурации создание резервных копий ключей всех пользователей или управление ими становится очень трудной задачей;
· централизованное управление агентами восстановления. Помимо проблемы, связанной с большим количеством агентов восстановления, существует еще одна, не меньшая, проблема - любой пользователь, который является локальным администратором какого-либо компьютера, может расшифровывать и зашифровывать файлы других пользователей, хранящиеся на его компьютере.
· возможность генерации централизованного списка отозванных сертификатов (CRL - Certificate Revocation List). Если безопасность личного ключа агента восстановления по каким-то причинам стала вызывать сомнения, лучший метод устранения опасности того, что этим ключом воспользуется злоумышленник, состоит в генерации соответствующего CRL.
· возможность выдачи новых пользовательских сертификатов. Если нарушена безопасность личного ключа пользователя, новый сертификат взамен старого, а также соответствующую ему новую пару ключей может сгенерировать только ЦС.
Ранее зашифрованные файлы могут по-прежнему содержать поле DRF с ключом, зашифрованным с помощью открытых ключей агентов восстановления. Поэтому, перейдя к использованию ЦС, рекомендуется какое-то время хранить архив с ключами агентов восстановления, чтобы обеспечить возможность восстановления файлов, зашифрованных до внедрения узлов сертификации.
В ОС Windows 2000 имеется встроенная политика восстановления. Для того чтобы пользователи смогли шифровать и расшифровывать свои файлы, нужно применить эту политику. Как уже описывалось, восстановление данных становится возможным благодаря назначению агента восстановления (по умолчанию - администратора). Этот агент получает сертификат и соответствующий личный ключ, который позволяет восстановить данные в пределах его администраторских полномочий (т. е. на уровне всего комплекса, отдельного домена, подразделения, рабочей группы или локального диска отдельной рабочей станции).
Политику восстановления можно изменить с помощью оснастки Group Policy (Групповая политика) консоли ММС. На изолированном компьютере политика конфигурируется локально, а в домене - на уровне всего домена, отдельных подразделений или на уровне отдельных компьютеров, что и определяет область действия этой политики.
Необходимо отметить, что шифрование может применяться в системе, не имеющей подключения к сети.
Стандарт сетевой аутентификации IEEE 802.1x нашел широкую поддержку у производителей сетевого оборудования и ПО. Говоря о технологии сетевой аутентификации пользователей, стоит упомянуть протокол PPP, который наиболее часто используется для подключения клиентов по коммутируемым линиям к интернет-провайдерам. Протокол PPP также используется некоторыми сервис-провайдерами для аутентификации пользователей, применяющих xDSL - или кабельные модемы. Кроме того, PPP является частью протокола L2TP, на котором основан безопасный удаленный доступ к системам на базе Windows 2000 и выше.
Итак, протокол PPP изначально использовался для подключения удаленных пользователей, а поэтому он должен был иметь механизмы аутентификации пользователей. Первоначально поддерживалась только передача имени пользователя или пароля в незашифрованном виде, что не соответствует современным требованиям сетевой безопасности.
В последнее время для протокола были разработаны новые механизмы аутентификации под общим названием EAP (Extensible Authentication Protocol). Протокол EAP был создан с целью упразднения частных механизмов аутентификации и распространения стандартизированных подходов – схем типа "запрос-ответ" (challenge-response) и инфраструктуры, основанной на публичных ключах и пользовательских сертификатах. Стандартизация механизмов EAP позволила сделать процедуру аутентификации прозрачной для серверов доступа различных производителей. Например, при подключении пользователя к серверу удаленного доступа и использовании механизма EAP протокола PPP для аутентификации сам сервер доступа не должен знать или поддерживать конкретные механизмы или алгоритмы аутентификации, его задача в этом случае – лишь передать пакеты EAP-сообщений RADIUS-серверу, на котором фактически производится аутентификация. В этом случае сервер доступа исполняет роль посредника между клиентом и RADIUSсервером, в задачи которого входит передача EAP-сообщений между ними.
Стандарт 802.1x описывает процедуру передачи EAP-сообщений сервером доступа (например, коммутатором или беспроводной точкой доступа) в проводных или беспроводных Ethernet-сетях. При этом стандарт 802.1x напрямую упаковывает EAPсообщения в Ethernet-кадры, не применяя для их передачи протокол PPP. Это вызвано тем, что использовать протокол PPP во многих случаях не обязательно – например, при подключении Ethernet-рабочей станции, не поддерживающей протокол TCP/IP, или в том случае, когда использование протокола PPP является избыточным.
В стандарте 802.1x определяется три основных элемента:
· аппликант – пользователь, который нуждается в сетевой аутентификации;
· сервер аутентификации (обычно RADIUS-сервер), который производит фактическую аутентификацию;
· аутентификатор – сетевое устройство, находящееся между аппликантом и сервером аутентификации и предоставляющее доступ в сеть, например, точка доступа или Ethernet-коммутатор.
Ключевым моментом здесь является то, что сетевые устройства – аутентификаторы могут быть достаточно простыми, поскольку для реализации функций 802.1x в них требуются минимальные аппаратные затраты, в то время как весь интеллект концентрируется в RADIUS-сервере. Такая схема имеет дополнительные выгоды и позволяет организовать тесную интеграцию управления сетевым оборудованием и сетевым ПО, что значительно облегчает управление информационной системой большого предприятия в целом. Протокол передачи EAP-сообщений в стандарте 802.1x называется EAPOL (EAP encapsulation over LAN) и в настоящее время определен для Ethernet ЛВС, а также беспроводных сетей стандартов серии IEEE 802.11 и ЛВС, использующих технологии token ring и FDDI.
Схема работы протокола EAPOL достаточно проста. При этом можно выделить следующие основные режимы работы:
1. Аутентификатор посылает запрос на аутентификацию (EAP-Request/Identity) аппликанту, как только он определит, что какой-то из его Ethernetпортов перешел в активное состояние (link active), то есть к нему подключен сетевой адаптер. Таким образом, если отключить клиентскую станцию, которая уже прошла аутентификацию, и снова подключить к сетевому порту, то потребуется пройти аутентификацию еще раз.
2. Аппликант посылает сообщение/ответ (EAPResponse/Identity) аутентификатору, которое затем передается им на сервер аутентификации (RADIUS).
3. Сервер аутентификации в ответ отсылает пакет-запрос (challenge) аутентификатору, который затем переупаковывает его из IP-транспорта в EAPOL и передает аппликанту. В различных схемах аутентификации число таких сообщений может изменяться. В EAP поддерживается как аутентификация клиентской стороны, так и взаимная "сильная" аутентификация клиента и сервера, но только последний вариант считается приемлемым для использования в беспроводных сетях.
4. Аппликант отвечает на запрос соответственно выбранному алгоритму и передает его аутентификатору, который пересылает его на сервер аутентификации.
5. В случае, если аппликант предоставляет правильный ответ на запрос, сервер посылает сообщение об успешной аутентификации аппликанту. В этой ситуации аутентификатор открывает клиенту доступ к ЛВС, который может зависеть от дополнительных параметров, передаваемых ему RADIUS-сервером, например, от номера VLAN или определенного уровня качества обслуживания.
Таким образом, использование сетевой аутентификации позволяет предоставлять пользователю определенный номер ВЛВС или уровень качества обслуживания вне зависимости от точки подключения в корпоративную ЛВС. Это обеспечивает как мобильность пользователей, так и постоянное соблюдение профиля безопасности сети – если даже сетевые кабели будут случайно перепутаны, пользователь не сможет войти в ВЛВС, доступ к которой ему запрещен.
Рассматривая реализацию сетевой аутентификации по протоколу IEEE 802.1x, необходимо раскрыть основные особенности протокола RADIUS, который является одним из главных компонентов данной системы.
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 |
