5.5. Надання права на доступ, автентифікація і реєстрація
підключень
Безпека використання мережі забезпечується шляхом
надання права на доступ, автентифікації і реєстрації підключень.
Процес ідентифікації користувача називається
автентифікацією. Стандартний метод автентифікації – використання імені
користувача і пароля як попередня призначена пара ідентифікаторів, які
користувач повинен ввести у відповідь на запит системи для діставання доступу
до мережевих засобів. При цій, найбільш простій формі автентифікації
ідентифікатор користувача і пароль передаються мережею відкритим текстом (тобто
не в зашифрованому вигляді). Сам процес автентифікації – порівняння переданої
пари ідентифікаторів із записами таблиці, що знаходиться на сервері, –
виконується відповідно до протоколу автентифікації по паролю (Password
Authentication Protocol, PAP). Записи, що зберігаються, зашифровані, на відміну
від переданої пари ідентифікаторів, і це є слабкою стороною даного методу
автентифікації.
Більш вдосконалена система запит-відповідь
функціонує відповідно до протоколу автентифікації за запитом при встановленні
зв’язку (Challenge Handshake Authentication Protocol, CHAP). Згідно цьому
протоколу, агент автентифікації (ПЗ, що знаходиться на сервері) передає
користувачеві ключ, за допомогою якого той шифрує своє ім’я і пароль і
пересилає цю інформацію назад на сервер. Авторизація – процес надання
користувачеві права доступу до засобів системи, під час якого ім’я користувача
і призначений йому пароль записуються в спеціальну таблицю системи.
Широко поширена система, що забезпечує високий
рівень захисту при автентифікації, система запит-відповідь, в якій
використовуються смарт-карти.
Регіструючи спроби доступу до мережі, можна легко
визначити, чи не намагався неавторизований користувач проникнути у систему, а
також дізнатися, чи не забув свій пароль хто-небудь з співробітників.
Блокування
доступу.
В багатьох організаціях як ідентифікатори
користувачів вказувалися їх ініціали і прізвища. Зловмисникові, щоб спробувати
проникнути в систему, досить було дізнатися такі. Розробники ПЗ створили
програму блокування доступу до системи. Дуже часто ПЗ, що виконує блокування
доступу, дозволяє задати ще один поріг: цим порогом визначається час, протягом
якого система буде заблокована.
Важливим поняттям проблематики захисту даних у
мережах є розпізнавання.
Розпізнавання – це гарантування, що інформація (пакет) надійшла
від законного джерела законному одержувачу.
Справді, однією з найпоширеніших практик
зловмисників у мережах є перехоплення пакетів та підміна їх своїми або
скерування їх іншому адресату. Тому всі сучасні мережеві протоколи, зазвичай,
оснащені засобами розпізнавання. Одним з механізмів розпізнавання пакетів є
розміщення у відправника та одержувача однакових генераторів псевдовипадкових
чисел. Кожен пакет позначають псевдовипадковим числом, яке порівнюється з таким
же числом одержувача.
Аналогічне завдання виконує електронний підпис –
послідовність байтів, які формують спеціальними алгоритмами та автентичність
яких можна перевірити.
Для розпізнавання використовують окремі сервери,
які видають електронні сертифікати. Сервери сертифікації застосовують у всіх достатньо
потужних операційних системах.
Одним з найвідоміших вирішень є система
централізованого розпізнавання Kerberos (вона реалізована програмним шляхом та
сумісна з усіма типами систем. Працює система у клієнт-серверній парадигмі.
Вона складається з програм-клієнтів, розміщених на робочих станціях
користувачів, та серверних програм. Є три типи серверних програм: сервер
розпізнавання, сервер надання дозволів та сервер адміністрування. У процесі
розпізнавання клієнта беруть участь перші два з цих серверів. Кожен сервер має
свою сферу дії, визначену змістом його бази даних користувачів).
Для вимірювання точності розпізнавання
використовують два показники: відсоток хибного розпізнавання (False Acceptance
Rate (FAR)) та відсоток хибного нерозпізнавання (False Rejection Rate (FRR)).