Автоматизація доступу до каналів комп'ютерних мереж
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
мені користувача передає запит на Kerberos-сервер і підтримує з ним діалог, необхідний для виконання функцій системи Kerberos.
Отже, в системі Kerberos є наступні учасники: Kerberos-сервер, Kerberos-клиент і ресурсні сервери (рис. 4.1). Kerberos-клиенты намагаються дістати доступ до мережевих ресурсів - файлів, додатком, принтеру і так далі Цей доступ може бути наданий, по-перше, тільки легальним користувачам, а по-друге, за наявності у користувача достатніх повноважень, визначуваних службами авторизації відповідних ресурсних сервер, - файловим сервером, сервером додатків, сервером друку.
Рис. 4.1. Три етапи роботи системи Kerberos
Проте в системі Kerberos ресурсним серверам забороняється безпосередньо приймати запити від клієнтів, їм дозволяється починати розгляд запиту клієнта тільки тоді, коли на це поступає дозвіл від Kerberos-сервера. Таким чином, шлях клієнта до ресурсу в системі Kerberos складається з трьох етапів:
Визначення легальності клієнта, логічний вхід в мережу, отримання дозволу на продовження процесу діставання доступу до ресурсу.
Отримання дозволу на звернення до ресурсного сервера.
Отримання дозволу на доступ до ресурсу.
Для вирішення першого і другого завдання клієнт звертається до Kerberos-серверу. Кожне з цих завдань вирішується окремим сервером, що входить до складу Kerberos-сервера. Виконання первинної аутентифікації і видача дозволу на продовження процесу діставання доступу до ресурсу здійснюється так званим аутентифікаційним сервером (Authentication Server, AS). Цей сервер зберігає в своїй базі даних інформацію про ідентифікатори і паролі користувачів.
Другу задачу, повязану з отриманням дозволу на звернення до ресурсного сервера, вирішує інша частина Kerberos-сервера - сервер квитанцій (Ticket-Granting Server, TGS). Сервер квитанцій для легальних клієнтів виконує додаткову перевірку і дає клієнтові дозвіл на доступ до потрібного йому ресурсному серверу, для чого наділяє його електронною формою-квитанцією. Для виконання своїх функцій сервер квитанцій використовує копії секретних ключів всіх ресурсних серверів, які зберігаються у нього в базі даних. Окрім цих ключів сервер TGS має ще один секретний DES-ключ, який розділяє з сервером AS.
Третє завдання - отримання дозволу на доступ безпосередньо до ресурсу - вирішується на рівні ресурсного сервера.
Вивчаючи досить складний механізм системи Kerberos, не можна не задатися питанням: який вплив роблять всі ці численні процедури шифрування і обміну ключами на продуктивність мережі, яку частину ресурсів мережі вони споживають і як це позначається на її пропускній спроможності?
Відповідь вельми оптимістична - якщо система Kerberos реалізована і конфігурована правильно, вона трохи зменшує продуктивність мережі. Оскільки квитанції використовуються багато разів, мережеві ресурси, що витрачаються на запити надання квитанцій, невеликі. Хоча передача квитанції при аутентифікації логічного входу декілька знижує пропускну спроможність, такий обмін повинен здійснюватися і при використанні будь-яких інших систем і методів аутентифікації. Додаткові ж витрати незначні. Досвід впровадження системи Kerberos показав, що час відгуку при встановленій системі Kerberos істотно не відрізняється від часу відгуку без неї - навіть в дуже великих мережах з десятками тисяч вузлів. Така ефективність робить систему Kerberos вельми перспективною.
Серед вразливих місць системи Kerberos можна назвати централізоване зберігання всіх секретних ключів системи. Успішна атака на Kerberos-сервер, в якому зосереджена вся інформація, критична для системи безпеки, приводить до краху інформаційного захисту всієї мережі. Альтернативним рішенням могла б бути система, побудована на використанні алгоритмів шифрування з парними ключами, для яких характерний розподілене зберігання секретних ключів.
Ще однією слабкістю системи Kerberos є те, що початкові коди тих застосувань, доступ до яких здійснюється через Kerberos, мають бути відповідним чином модифіковані. Така модифікація називається керберизацией додатку. Деякі постачальники продають керберизированные версії своїх застосувань. Але якщо немає такої версії і немає початкового тексту, то Kerberos не може забезпечити доступ до такого застосування.
4.2 Настройка мережевих служб для здійснення авторизації доступу до мережі Інтернет
Класичним вирішенням стандарта підприємства для організації Інтернет-сервісів є сервер під управлінням UNIX. Практично завжди для Web і FTP трафіку використовують кеширующий сервер SQUID, який також є стандартом de facto.
Стандартним способом надання доступу до SQUID-серверу є доступ на основі специалицированных списків доступу (Access Lists або ACL). У свою чергу списки доступу зазвичай будуються на основі IP-сетей, яким дозволений доступ до SQUID. Наприклад, визначимо ACL, яка описує мережу 10.128.0.0/16 (або з маскою 255.255.0.0). і ACL, яка описує взагалі все адресаsquid.conf:
acl net10128 src 10.128.0.0/16
acl all src 0.0.0.0/0
а зараз дозволимо їй доступ до Інтернет ресурсам
http_access allow net10128
а всім останнім - заборонимо:
http_access deny all
Після цього, тільки компютерам із заданої мережі дозволений доступ до Інтернет. При використанні Internet-ресурсов, в балку-файл squid записується інформація про конкретну адресу, що запитала конкретний Інтернет-ресурс: acess.log:
1032862411.262 96 10.128.15.4 TCP_MEM_HIT/200 2581 GET
Тут присутсвует дата, розмір ресурсу, IP-адрес станції, зпросившей ресурс, і сам ресурс. З так