Компьютерная безопасность. Криптографические методы защиты - Петров А.А.
ISBN 5-89818-064-8
Скачать (прямая ссылка):
Средства установления подлинности пользователей полностью интегрированы в средства работы с политикой безопасности масштаба предприятия и соответственно могут централизованно управляться посредством графического интерфейса администратора безопасности. Используя программу просмотра статистики, молено отслеживать любые сессии установления подлинности клиента.
FireWaIl-I предоставляет три метода установления подлинности пользователя:
• аутентификация пользователя;
• клиентская аутентификация;
• проверка подлинности установленного сеанса связи. Метод User Authentication
Метод установления подлинности пользователя системы FireWaIl-I позволяет определять привилегии доступа для каждого пользователя в отдельности (далее если это многопользовательская ЭВМ) для протоколов FTP, TELNET, HTTP и RLOGIN независимо от IP-адреса клиентского компьютера. Например, если пользователь вынуледен работать с серверами организации удаленно, то администратор безопасности может разрешить ему доступ во внутреннюю сеть без того, чтобы его привилегии распространялись на всех других пользователей его рабочего компьютера.
FireWaIl-I выполняет проверку подлинности пользователя при помощи специального сервера безопасности, функционирующего на шлюзовом компьютере. FireWaIl-I перехватывает все попытки авторизации пользователя на сервере и перенаправляет их соответствующему серверу безопасности. После того как подлинность пользователя установлена, сервер безопасности FireWaIl-I открывает второе соединение на необходимый сервер приложения. Все последующие пакеты сессии также перехватываются и инспектируются FireWaIl-I на шлюзе.
334 Компьютерная безопасность и практическое применение криптографии
Пример HTTP Authenticating Proxy
HTTP Authenticating Proxy представляет собой механизм идентификации тех пользователей, которые обращаются к услугам HTTP. Он выполняется на шлюзе и может защищать любое число серверов HTTP во внутренней сети.
Предположим, что в конфигурации, отображенной на рис. 3.25, имеются серверы HTTP на всех компьютерах (то есть на Tower, Palace и Big-Ben), которые защищены HTTP Authenticating Proxy на шлюзе London.
Public Private
London-net
Рис. 3.25. Схема защиты в Internet
URLs должен быть задан следующим образом: Ошибка! Недопустимый объект гиперссылки. server name>/<resource name>, где <resource name> указывает на ту часть URL, которая относится непосредственно к WWW-серверу. Обычно это имя файла.
Предположим, что следующие серверы HTTP имеются в сети и их конфигурация выглядит следующим образом (см. табл. 3.10).
Таблица 3.10. Таблица настроек
Имя сервера Адрес Хост Порт
info http://www.London.com/info/info.html
Palace 80
tickets http://www.London.com/tickets/ordtick.html
Big Ben 80
actors http://www.London.com/actors/bios.html
Tower 8000
reviews http://www.London.com/reviews/clips.html
Tower 8080
В этом случае шлюз С (www.London.com). а также имена серверов определены в поле имени в окне Control Properties/Authentication, где определяется связь мелсду именем сервера, именем компьютера и портом. Для всех внешних соединений известно только одно имя С (www.London.com).
Пользователь, который пытается обратиться к серверам HTTP, например определяя URL http://www.London.com/actors/bios.html. будет
Применение межсетевых экранов
335
задержан HTTP Authenticating Proxy на шлюзе London. Затем на его экране отобразится окно, в котором нужно ввести идентификатор и пароль для доступа к серверам HTTP.
Клиентская аутентификация
Client Authentication позволяет администратору предоставлять привилегии доступа определенным IP-адресам, пользователи которых прошли соответствующие процедуры установления подлинности. В противовес User Authentication клиентская аутентификация не ограничена только определенными службами, она молсет обеспечить аутентификацию любого приложения, как стандартного, так и специфичного.
Client Authentication системы FireWaIl-I не является очевидным для пользователя, но в то лее время какого-либо дополнительного программного обеспечения или модификации существующего не требуется. Для установления подлинности администратор может указать, как каждый из пользователей должен будет авторизоваться, какой сервер и какие службы будут доступны, в какие часы и дни и сколько сессий молсет быть открыто и как долго они продлятся.
Проверка подлинности установленного сеанса связи
Механизм Transparent Session Authentication молено использовать для любых служб. При этом установление подлинности будет происходить для каждой сессии в отдельности.
После того как пользователь соединился непосредственно с сервером, шлюз с установленным FireWaIl-I (в случае необходимости установления его подлинности) инициирует соединение с агентом авторизации сессий. Агент производит нужную авторизацию, и, если подлинность клиента установлена, FireWaIl-I разрешает данное соединение.
Поддерживаемые схемы авторизации пользователя
FireWaIl-I поддерживает разнообразные варианты авторизации пользователей:
