в мережі виконуються в захищеному вигляді з використанням алгоритму шифрування.
Мережева служба Kerberos побудована по архітектурі клієнт-сервер, що дозволяє їй працювати в найскладніших мережах. Kerberos-клієнт встановлюється на всіх комп'ютерах мережі, які можуть звернеться до якої-небудь мережевої служби. У таких випадках Kerberos-клієнт від особи користувача передає запит на Kerberos-сервер і підтримує з ним діалог, необхідний для виконання функцій системи Kerberos.
Отже, в системі Kerberos є наступні учасники: Kerberos-сервер, Kerberos-клієнт і ресурсні сервери (рис. 6). Kerberos-клієнти намагаються отримати доступ до мережевих ресурсів - файлів, додатком, принтеру і т.д. Цей доступ може бути наданий, по-перше, тільки легальним користувачам, а по-друге, за наявності у користувача достатніх повноважень, визначених службами авторизації відповідних ресурсних сервер - файловим сервером, сервером додатків, сервером друку. Проте в системі Kerberos ресурсним серверам забороняється В«НапрямуВ» приймати запити від клієнтів, їм дозволяється починати розгляд запиту клієнта тільки тоді, коли на це поступає дозвіл від Kerberos-сервера. Таким чином, шлях клієнта до ресурсу в системі Kerberos складається з трьох етапів:
1. Визначення легальності клієнта, логічний вхід в мережу, отримання дозволу на продовження процесу отримання доступу до ресурсу.
2. Отримання дозволу на звернення до ресурсного сервера.
3. Отримання дозволу на доступ до ресурсу.
Для вирішення першої та другої задачі клієнт звертається до Kerberos-сервера. Кожна з цих завдань вирішується окремим сервером, входять до складу Kerberos-сервера. Виконання первинної аутентифікації і видача дозволу на продовження процесу отримання доступу до ресурсу здійснюється так званим аутентификационного сервером (Authentication Server, AS). Цей сервер зберігає в своїй базі даних інформацію про ідентифікатори і паролі користувачів.
Другу задачу, пов'язану з отриманням дозволу на звернення до ресурсного сервера, вирішує інша частина Kerberos-сервера - сервер квитанцій (Ticket-Granting Server, TGS). Сервер квитанцій для легальних клієнтів виконує додаткову перевірку і дає клієнтові дозвіл на доступ до потрібного йому ресурсному серверу, для чого наділяє його електронною формою-квитанцією. Для виконання своїх функцій сервер квитанцій використовує копії секретних ключів всіх ресурсних серверів, які зберігаються у нього в базі даних. Крім цих ключів сервер TGS має ще один секретний DES-ключ, який розділяє з сервером AS. p> Третє завдання - отримання дозволу на доступ безпосередньо до ресурсу - вирішується на рівні ресурсного сервера.
Вивчаючи досить складний механізм системи Kerberos, не можна не задатися питанням: який вплив роблять всі ці численні процедури шифрування і обміну ключами на продуктивність мережі, яку частину ресурсів мережі вони споживають і як це позначається на її пропускної здатності?
Відповідь вельми оптимістичний - якщо система Kerberos реалізована і сконфигурирована правильно, вона незначно зменшує продуктивність мережі. Так як квитанції використовуються багаторазово, мережеві ресурси, що витрачаються на запити надання квитанцій, невеликі. Хоча передача квитанції при аутентифікації логічного входу декілька знижує пропускну здатність, такий обмін повинен здійснюватися і при використанні будь-яких інших систем і методів аутентифікації. Додаткові ж витрати незначні. Досвід впровадження системи Kerberos показав, що час відгуку при встановленій системі Kerberos суттєво не відрізняється від часу відгуку без неї - навіть в дуже великих мережах з десятками тисяч вузлів. Така ефективність робить систему Kerberos досить перспективною. p> Серед вразливих місць системи Kerberos можна назвати централізоване зберігання всіх секретних ключів системи. Успішна атака на Kerberos-сервер, в якому зосереджена вся інформація, критична для системи безпеки, призводить до краху інформаційного захисту всієї мережі. Альтернативним рішенням могла б бути система, побудована на використанні алгоритмів шифрування з парними ключами, для яких характерне розподілене зберігання секретних ключів. p> Ще однією слабкістю системи Kerberos є те, що вихідні коди тих програм, доступ до яких здійснюється через Kerberos, мають бути відповідним чином модифіковані. Така модифікація називається В«керберізаціейВ» додатка. Деякі постачальники продають В«керберізірованниеВ» версії своїх додатків. Але якщо немає такої версії і немає початкового тексту, то Kerberos не може забезпечити доступ до такого додатку. [6]
2.2 Встановлення та налаштування протоколів мережі
Як говорилося вище, серед безлічі протоколів можна виділити найбільш поширені.
NetBEUI - розширений інтерфейс NetBIOS. Спочатку NetBEUI і NetBIOS були тісно пов'язані і розглядалися як один протокол, потім виробники їх відособили і зараз вони розглядаються окремо. NetBEUI - невеликий, швидкий і ефекти...
