Безопасность в Internet- Intranet

       

Аутентификация


Аутентификация является одним из самых важных компонентов брандмауэров. Прежде

чем пользователю будет предоставлено право воспользоваться тем или иным сервисом,

необходимо убедиться, что он действительно тот, за кого он себя выдает (предполагается,

что этот сервис для данного пользователя разрешен: процесс определения, какие сервисы

разрешены называется авторизацией. Авторизация обычно рассматривается в контексте

аутентификации - как только пользователь аутентифицирован, для него определяются

разрешенные ему сервисы). При получении запроса на использование сервиса от имени

какого-либо пользователя, брандмауэр проверяет, какой способ аутентификации определен для

данного пользователя и передает управление серверу аутентификации. После получения

положительного ответа от сервера аутентификации брандмауэр образует запрашиваемое

пользователем соединение.

Как правило, используется принцип, получивший название "что он знает" - т.е.

пользователь знает некоторое секретное слово, которое он посылает серверу аутентификации в



ответ на его запрос.

Одной из схем аутентификации является использование стандартных UNIX паролей.

Эта схема является наиболее уязвимой с точки зрения безопасности - пароль может быть

перехвачен и использован другим лицом.

Чаще всего используются схемы с использованием одноразовых паролей. Даже будучи

перехваченным, этот пароль будет бесполезен при следующей регистрации, а получить

следующий пароль из предыдущего является крайне трудной задачей. Для генерации

одноразовых паролей используются как программные, так и аппаратные генераторы -

последние представляют из себя устройства, вставляемые в слот компьютера. Знание

секретного слова необходимо пользователю для приведения этого устройства в действие. Ряд

брандмауэров поддерживают Kerberos - один из наиболее распространенных методов

аутентификации. Некоторые схемы требуют изменения клиентского программного обеспечения - шаг, который далеко не всегда приемлем. Как правило, все коммерческие брандмауэры

поддерживают несколько различных схем, позволяя администратору сделать выбор наиболее

приемлемой для своих условий.



Содержание раздела