Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4606 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича
Предмет:
Основы защиты информации в телекоммуникационных системах
Файл:

Отчет 13лаб

.docx
Скачиваний:
0
Добавлен:
26.12.2023
Размер:
29.38 Кб
Скачать

Федеральное государственное бюджетное образовательное учреждение высшего образования 

«Санкт-Петербургский Государственный Университет Телекоммуникаций Им. Проф. М. А. Бонч-Бруевич»

Отчёт по лабораторной работе

«Технологии аутентификации в ОС»

Выполнил: Андреева К.Е. Принял:

Бабков И.Н.

Цель работы: Приобретение навыков аутентификации в операционных системах.

Задание 1.

Изучение и анализ парольных систем аутентификации, используемых в операционных системах.

1

Учетная запись пользователя — совокупность идентификатора, пароля и, возможно, дополнительной информации, служащей для описания пользователя. Учетные записи хранятся в базе данных парольной системы.

Парольная система — это программный или программноаппаратный комплекс, реализующий функции идентификации и аутентификации пользователей компьютерной системы путем проверки паролей. Как правило, парольная система включает в себя интерфейс пользователя, интерфейс администратора, базу учетных записей, модули сопряжения с другими компонентами подсистемы безопасности (подсистемой разграничения доступа, регистрации событий и т. д.).

Компьютерная атака — целенаправленное несанкционированное воздействие на информацию, на ресурс автоматизированной информационной системы или получение несанкционированного доступа к ним с применением программных или программно-аппаратных средств.

  • Рассмотрим некоторые рекомендации по администрированию парольной системы, использующей многоразовые пароли.

1. Задание минимальной длины используемых в системе паролей. Это усложняет атаку путем подбора паролей. Как правило, рекомендуют устанавливать минимальную длину в 6–8 символов. 2. Установка требования использовать в пароле разные группы символов — большие и маленькие буквы, цифры, специальные символы. Это также усложняет подбор.

3. Периодическая проверка администраторами безопасности качества используемых паролей путем имитации атак1 , таких как подбор паролей «по словарю» (т. е. проверка на использование в качестве пароля слов естественного языка и простых комбинаций символов, таких как «1234»).

4. Установление максимального и минимального сроков жизни пароля, использование механизма принудительной смены старых паролей. При внедрении данной меры надо учитывать, что при невысокой квалификации пользователей от администратора потребуются дополнительные усилия по разъяснению пользователям того, что «от них требует система».

5. Ограничение числа неудачных попыток ввода пароля (блокирование учетной записи после заданного числа неудачных попыток войти в систему).

6. Ведение журнала истории паролей, чтобы пользователи после принудительной смены пароля не могли вновь выбрать себе старый, возможно скомпрометированный пароль.

2

Сравнение систем аутентификации на основе многоразовых и

одноразовых паролей.

Методы аутентификации, использующие пароли Одной из распространенных схем аутентификации является простая аутентификация, которая основана на применении традиционных многоразовых паролей с одновременным согласованием средств их использования и обработки. Пока в некоторых защищенных виртуальных сетях VPN доступ клиента к серверу разрешается по паролю. Однако все чаще применяются более эффективные средства аутентификации, например системы аутентификации на основе смарт-карт, USB-токенов, цифровых сертификатов, программные и аппаратные системы аутентификации на основе одноразовых паролей. ГЛАВА 7. ТЕХНОЛОГИИ АУТЕНТИФИКАЦИИ 321 7.2.1. Аутентификация на основе многоразовых паролей В современных операционных системах предусматривается централизованная служба аутентификации, которая выполняется одним из серверов сети и использует для своей работы базу данных. В этой базе данных хранятся учетные данные о пользователях сети. В эти учетные данные наряду с другой информацией включены идентификатор (login) и пароль (password) пользователя. Процедуру простой аутентификации пользователя в сети можно представить следующим образом. При попытке логического входа пользователя в сеть он набирает на клавиатуре своего компьютера свои идентификатор и пароль. Эти данные поступают для обработки на сервер аутентификации. В базе данных учетных записей пользователей, хранящейся на сервере аутентификации, по идентификатору пользователя находится соответствующая запись, из нее извлекается эталонное значение пароля и сравнивается с тем паролем, который ввел пользователь. Если введенная пользователем пара login/ password совпала с эталонной, то аутентификация прошла успешно, пользователь получает легальный статус и те права и ресурсы сети, которые определены для его статуса системой авторизации. В схеме простой аутентификации передача пароля и идентификатора пользователя может производиться следующими способами [4]: в незашифрованном виде: например, согласно протоколу парольной аутентификации РАР (Password Authentication Protocol) пароли передаются по линии связи в открытой незащищенной форме; в защищенном виде: все передаваемые данные (идентификатор и пароль пользователя, случайное число и метки времени) защищены посредством шифрования или однонаправленной функции. Схема простой аутентификации с использованием пароля показана на рис. 7.1. Очевидно, что вариант аутентификации с передачей пароля пользователя в незашифрованном виде не гарантирует даже минимального уровня безопасности, так как пароль подвержен многочисленным атакам и легко компрометируется. Чтобы защитить пароль, его нужно зашифровать перед пересылкой по незащищенному каналу. Для этого в схему включены средства шифрования EK и расшифрова- 322 ЧАСТЬ III. ТЕХНОЛОГИИ БЕЗОПАСНОСТИ ДАННЫХ ния DK, управляемые разделяемым секретным ключом K. Проверка подлинности пользователя основана на сравнении присланного пользователем пароля PA и исходного значения PA ', хранящегося в сервере аутентификации. Если значения PA и PA ' совпадают, то пароль PA считается подлинным, а пользователь А – законным. Схемы организации простой аутентификации отличаются не только методами передачи паролей, но и видами их хранения и проверки. Наиболее распространенным способом является хранение паролей пользователей в открытом виде в системных файлах, причем на эти файлы устанавливаются атрибуты защиты от чтения и записи (например, при помощи описания соответствующих привилегий в списках контроля доступа операционной системы). Система сопоставляет введенный пользователем пароль с хранящейся в файле паролей записью. При этом способе не используются криптографические механизмы, такие как шифрование или однонаправленные функции. Очевидным недостатком данного способа является возможность получения злоумышленником в системе привилегий администратора, включая права доступа к системным файлам и, в частности, к файлу паролей. Для обеспечения надежной защиты операционной системы пароль каждого пользователя должен быть известен только этому пользователю и никому другому, в том числе и администраторам системы. На первый взгляд то, что администратор знает пароль некоторого пользователя, не отражается негативно на безопасности системы, поскольку администратор, войдя в систему от имени обычного пользователя, получает права, меньшие, чем те, которые он получит, зайдя в систему от своего имени. Однако, входя в систему от имени другого пользователя, администратор получает возможность обходить систему аудита, а также совершать действия, компрометирующие этого пользователя, что недопустимо в защищенной системе. Таким образом, пароли пользователей не должны храниться в операционной системе в открытом виде. Рис. 7.1. Простая аутентификация с использованием пароля ГЛАВА 7. ТЕХНОЛОГИИ АУТЕНТИФИКАЦИИ 323 С точки зрения безопасности предпочтительным является метод передачи и хранения паролей с использованием односторонних функций. Обычно для шифрования паролей в списке пользователей используют одну из известных криптографически стойких хэш-функций. В списке пользователей хранится не сам пароль, а образ пароля, являющийся результатом применения к паролю хэш-функции. Однонаправленность хэш-функции не позволяет восстановить пароль по образу пароля, но позволяет, вычислив хэш-функцию, получить образ введенного пользователем пароля и таким образом проверить правильность введенного пароля. В простейшем случае в качестве хэш-функции используется результат шифрования некоторой константы на пароле. Например, односторонняя функция h(.) может быть определена следующим образом: h(Р) = EР(ID), где Р – пароль пользователя; ID – идентификатор пользователя; EР – процедура шифрования, выполняемая с использованием пароля Р в качестве ключа. Такие функции удобны, если длина пароля и ключа одинакова. В этом случае проверка подлинности пользователя А с помощью пароля РА состоит из пересылки серверу аутентификации отображения h(РА) и сравнения его с предварительно вычисленным и хранимым в базе данных сервера аутентификации эквивалентом h'(РА) – рис. 7.2. Если отображения h(РА) и h'(РА) равны, то считается, что пользователь успешно прошел аутентификацию. Рис. 7.2. Использование односторонней функции для проверки пароля 324 ЧАСТЬ III. ТЕХНОЛОГИИ БЕЗОПАСНОСТИ ДАННЫХ Системы простой аутентификации на основе многоразовых паролей имеют пониженную стойкость, поскольку в них выбор аутентифицирующей информации происходит из относительно небольшого множества слов. Срок действия многоразового пароля должен быть определен в политике безопасности организации, и такие пароли должны регулярно изменяться. Выбирать пароли нужно так, чтобы они были трудны для угадывания и не присутствовали в словаре. Схемы аутентификации, основанные на многоразовых паролях, не обладают достаточной безопасностью. Такие пароли можно перехватить, разгадать, подсмотреть или просто украсть. 7.2.2. Аутентификация на основе одноразовых паролей Как уже отмечалось, схемы аутентификации, основанные на традиционных многоразовых паролях, не обладают достаточной безопасностью. Более надежными являются процедуры аутентификации на основе одноразовых паролей OTP (One Time Password). Суть схемы одноразовых паролей – использование различных паролей при каждом новом запросе на предоставление доступа. Одноразовый динамический пароль действителен только для одного входа в систему, и затем его действие истекает. Даже если кто-то перехватил его, пароль окажется бесполезным. Динамический механизм задания пароля является одним из лучших способов защитить процесс аутентификации от угроз извне. Одноразовые пароли генерируются с помощью ОТР-токена. Для этого используется секретный ключ пользователя, размещенный как внутри OTP-токена, так и на сервере аутентификации. Для того чтобы получить доступ к необходимым ресурсам, пользователь должен ввести пароль, созданный с помощью OTP-токена. Этот пароль сравнивается со значением, сгенерированным на сервере аутентификации, после чего выносится решение о предоставлении доступа. Преимуществом такого подхода является то, что пользователю не требуется соединять токен с компьютером (в отличие от вышеперечисленных типов идентификаторов). Однако количество приложений ИТ-безопасности, которые поддерживают возможность работы с OTP-токенами, намного меньше, чем для смарт-карт и USB-токенов. Недостатком OTP-токенов является ограниченное время жизни этих устройств (три-четыре года), так как автономность работы предполагает использование батарейки. ГЛАВА 7. ТЕХНОЛОГИИ АУТЕНТИФИКАЦИИ 325 Обычно системы аутентификации с одноразовыми паролями используются для проверки удаленных пользователей (см. главу 12).

Список литературы

1. Шаньгин В.Ф. Информационная безопасность. – М.: 2014 (п.7.2).

2. Нестеров С.А. Основы информационной безопасности: Учебное

пособие. – СПб.: Лань, 2017 (п.1.3)

Санкт-Петербург

2023

Соседние файлы в предмете Основы защиты информации в телекоммуникационных системах
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности