Программированиеи компьютеры /
←предыдущая следующая→
1 2 3 4 5 6
средствах защиты, стала система Kerberos. В основе этой схемы авторизации лежат три компонента:
- База данных, содержащая информацию по всем сетевым ресурсам,
пользователям, паролям, шифровальным ключам и т.д.
- Авторизационный сервер (authentication server), обрабатывающий все запросы
пользователей на предмет получения того или иного вида сетевых услуг.
Авторизационный сервер, получая запрос от пользователя, обращается к базе
данных и определяет, имеет ли пользователь право на совершение данной
операции. Примечательно, что пароли пользователей по сети не передаются,
что также повышает степень защиты информации.
- Ticket-granting server (сервер выдачи разрешений) получает от
авторизационного сервера “пропуск”, содержащий имя пользователя и его
сетевой адрес, время запроса и ряд других параметров, а также уникальный
сессионный ключ. Пакет, содержащий “пропуск”, передается также в
зашифрованном по алгоритму DES виде. После получения и расшифровки
“пропуска” сервер выдачи разрешений проверяет запрос и сравнивает ключи и
затем дает “добро” на использование сетевой аппаратуры или программ.
- 21 -
Среди других подобных комплексных схем можно отметить разработанную Европейской Ассоциацией Производителей Компьютеров (ECMA) систему Sesame (Secure European System for Applications in Multivendor Environment), предназначенную для использования в крупных гетерогенных сетях.
Защита информации при удаленном доступе.
По мере расширения деятельности предприятий, роста численности персонала и появления новых филиалов, возникает необходимость доступа удаленных пользователей (или групп пользователей) к вычислительным и информационным ресурсам главного офиса компании. Компания Datapro свидетельствует, что уже в 1995 году только в США число работников постоянно или временно использующих удаленный доступ к компьютерным сетям, составит 25 миллионов человек. Чаще всего для организации удаленного доступа используцются кабельные линии (обычные телефонные или выделенные) и радиоканалы. В связи с этим защита информации, передаваемой по каналам удаленного доступа, требует особого подхода.
В частности, в мостах и маршрутизаторах удаленного доступа применяется сегментация пакетов - их разделение и передача параллельно по двум линиям,- что делает невозможным “перехват” данных при незаконном подключении “хакера” к одной из линий. К тому же используемая при передаче данных процедура сжатия передаваемых пакетов гарантирует невозможности расшифровки “перехваченных” данных. Кроме того, мосты и маршрутизаторы удаленного доступа могут быть запрограммированы таким образом, что удаленные пользователи будут ограничены в доступе к отдельным ресурсам сети главного офиса.
Разработаны и специальные устройства контроля доступа к компьютерным сетям по коммутируемым линиям. Например, фирмой AT&T предлагается модуль Remote Port Security Device (PRSD), представляющий собой два блока размером с обычный модем: RPSD Lock (замок), устанавливаемый в центральном офисе, и RPSD Key (ключ), подключаемый к модему удаленного пользователя. RPSD Key и Lock позволяют установить несколько уровней защиты и контроля доступа, в частности:
- шифрование данных, передаваемых по линии при помощи генерируемых
цифровых ключей;
- контроль доступа в зависимости от дня недели или времени суток (всего 14
ограничений).
Широкое распространение радиосетей в последние годы поставило разработчиков радиосистем перед необходимостью защиты информации от “хакеров”, вооруженных разнообразными сканирующими устройствами. Были применены разнообразные технические решения. Например, в радиосети компании
- 22 -
RAM Mobil Data информационные пакеты передаются через разные каналы и базовые станции, что делает практически невозможным для посторонних собрать всю передаваемую информацию воедино. Активно используются в радио сетях и технологии шифрования данных при помощи алгоритмов DES и RSA.
Заключение.
В заключении хотелось бы подчеркнуть, что никакие аппаратные, программные и любые другие решения не смогут гарантировать абсолютную надежность и безопасность данных в компьютерных сетях.
В то же время свести риск потерь к минимуму возможно лишь при комплексном подходе к вопросам безопасности.
- 23 -
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ И
ЛИТЕРАТУРЫ.
1. М. Рааб (M. Raab) Защита сетей: наконец-то в центре внимания //
Компьютеруорлд Москва, 1994, № 29, стр. 18.
2. Д. Векслер (J.Wexler) Наконец-то надежно обеспечена защита данных в
радиосетях // Компьютеруорлд Москва, 1994, № 17, стр. 13-14.
3. С.В.Сухова Система безопасности NetWare//“Сети”, 1995, № 4,
стр. 60-70.
4. В. Беляев Безопасность в распределительных системах // Открытые
системы Москва, 1995, № 3, стр. 36-40.
5. Д.Ведеев Защита данных в компьютерных сетях // Открытые
системы Москва, 1995, № 3, стр. 12-18.
←предыдущая следующая→
1 2 3 4 5 6
|
|