B>
Аутентифікація є одним з найважливіших компонентів організації захисту інформації в мережі. Перш ніж користувачеві буде надано право отримати той чи інший ресурс, необхідно переконатися, що він дійсно той, за кого себе видає.
При отриманні запиту на використання ресурсу від імені якого користувача сервер, надає даний ресурс, передає управління серверу аутентифікації. Після отримання позитивної відповіді сервера аутентифікації користувачеві надається запитуваний ресурс.
При аутентифікації використовується, як правило, принцип, що отримав назву "що він знає ", - користувач знає деякий секретне слово, яке він посилає серверу аутентифікації у відповідь на його запит. Однією зі схем аутентифікації є використання стандартних паролів. Пароль - сукупність символів, відомих підключеному до мережі абоненту, - вводиться ним на початку сеансу взаємодії з мережею, а іноді і в кінці сеансу (в особливо відповідальних випадках пароль нормального виходу з мережі може відрізнятися від вхідного). Ця схема є найбільш вразливою з точки зору безпеки - пароль може бути перехоплений і використаний іншою особою. Найчастіше використовуються схеми з застосуванням одноразових паролів. Навіть будучи перехоплених, цей пароль буде марний при наступній реєстрації, а отримати наступний пароль з попереднього є вкрай важким завданням. Для генерації одноразових паролів використовуються як програмні, так і апаратні генератори, що представляють собою пристрою, що вставляються в слот комп'ютера. Знання секретного слова необхідно користувачеві для приведення цього пристрою в дію.
Однією з найбільш простих систем, що не вимагають додаткових витрат на обладнання, але в той же час забезпечують хороший рівень захисту, є S/Key, на прикладі якої можна продемонструвати порядок подання одноразових паролів.
У процесі аутентифікації з використанням S/Key беруть участь дві сторони - клієнт і сервер. При реєстрації в системі, що використовує схему аутентифікації S/Key, сервер надсилає на клієнтську машину запрошення, що містить зерно, передане по мережі у відкритому вигляді, поточне значення лічильника ітерацій і запит на введення одноразового пароля, який повинен відповідати поточному значенням лічильника ітерації. Отримавши відповідь, сервер перевіряє його і передає управління серверу необхідного користувачеві сервісу.
3.4. Захист мереж.
Останнім часом корпоративні мережі все частіше включаються в Інтернет або навіть використовують його в якості своєї основи. Враховуючи те, якої шкоди може принести незаконне вторгнення в корпоративну мережу, необхідно виробити методи захисту. Для захисту корпоративних інформаційних мереж використовуються брандмауери. Брандмауери - це система або комбінація систем, що дозволяють розділити мережу на дві або більше частин і реалізувати набір правил, що визначають умови проходження пакетів з однієї частини в іншу. Як правило, ця межа проводиться між локальною мережею підприємства та INTERNETOM, хоча її можна провести і всередині. Однак захищати окремі комп'ютери невигідно, тому зазвичай захищають всю мережу. Брандмауер пропускає через себе весь трафік і для кожного пакету, що проходить приймає рішення - пропускати його або відкинути. Для того щоб брандмауер міг приймати ці рішення, для нього визначається набір правил. p> Брандмауер може бути реалізований як апаратними засобами (тобто як окрема фізична пристрій), так і у вигляді спеціальної програми, запущеної на комп'ютері.
Як правило, в операційну систему, під управлінням якої працює брандмауер, вносяться зміни, мета яких - підвищення захисту самого брандмауера. Ці зміни зачіпають як ядро ​​ОС, так і відповідні файли конфігурації. На самому брандмауері не дозволено мати розділів користувачів, а отже, і потенційних дір - тільки розділ адміністратора. Деякі брандмауери працюють тільки в режимі одного, а багато хто має систему перевірки цілісності програмних кодів.
Брандмауер зазвичай складається з декількох різних компонентів, включаючи фільтри або екрани, які блокують передачу частини трафіку. p> Всі брандмауери можна розділити на два типи:
В· пакетні фільтри, які здійснюють фільтрацію IP-пакетів засобами фільтруючих маршрутизаторів;
В· сервери прикладного рівня, які блокують доступ до певних сервісів в мережі.
Таким чином, брандмауер можна визначити як набір компонентів або систему, яка розташовується між двома мережами і має такі властивості:
В· весь трафік з внутрішньої мережі в зовнішню і із зовнішньої мережі у внутрішню повинен пройти через цю систему;
В· тільки трафік, певний локальної стратегією захисту, може пройти через цю систему;
В· система надійно захищена від проникнення.
В
4. Вимоги до сучасних засобів захисту інформації.
Згідно з вимогами Гостехкомиссии Росії засоби захисту інформа...
