- •Программно-аппаратные системы обеспечения информационной безопасности.
- •Аутентификация.
- •2.Некоторые протоколы аутентификации.
- •Служба аутентификации X.509.
- •Система обнаружения вторжения.
- •(События)
- •(Анализатор)
- •Многоагентные системы.
- •5.Интеллектуальные системы анализа в сов.
- •1. Продукционные системы.
- •2.Байесовские фильтры.
- •3.Нейронные сети.
- •4.Метод опорных векторов (svm).
- •6.Межсетевые экраны.
- •Фильтрация пакетов.
- •7.Защита электронных платежных систем.
- •8.Универасальная электронная платежная система ueps.
- •Платежные транзакции.
- •9.Протокол защищенных электронных транзакций set.
- •10. Микроплатежные системы.
- •11.Классификация компьютерных преступлений.
- •13.Оценка защищенности информационной системы.
- •Аутентификация.
- •Совместимость на уровне электронной почты.
- •Сегментация.
Программно-аппаратные системы обеспечения информационной безопасности.
Преподаватель: Сергей Викторович Белим.
-
Аутентификация.
Два основных процесса:
Идентификация – процесс опознавания пользователя.
Аутентификация – процесс подтверждения пользователя.
Авторизация – загрузка основных параметров данного пользователя.
Вся защита входа заключается в аутентификации. В процессе аутентификации возможны ошибки.
Ошибки аутентификации.
- ошибка первого рода – истинный пользователь не может войти в систему. Для современных систем приемлемым является ошибка 1 рода не превышающая 1%.
- ошибка второго рода – нелегальный пользователь принимается за легального. Ошибки второго рода считаются более страшными, в современных системах приемлемым считается <=0,01%. (Вход нелегального пользователя 1 на 10000).
Аутентификация должна проводиться на некоторых данных, привязанных к пользователю. Существуют три технологии:
-
You know – то, что вы знаете. Некоторые данные, которые знает только 1 человек.
-
You are – то, что вы есть. Некоторые биометрические данные.
-
You have – то, что у вас есть. Нечто, что имеет человек, уникальная вещь.
-
“You know”
Парольная защита, любая защита может быть сведена к парольной защите. Некоторый набор символов, чем он длиннее и менее коррелированный – тем надежнее.
Атака по словарю. Словарь – некоторый набор наиболее распространенных паролей. В одной организации, в среднем, с помощью атаки по словарю за одни сутки удается получить около 73% паролей.
-
“You are”
Биометрическая аутентификация.
-
Отпечатки пальцев.
-
Геометрия ладони.
-
Радужная оболочка глаза.
-
Сетчатка глаза.
-
Геометрия лица.
-
Голос.
-
По походке.
-
“You have”
-
Карта с магнитной лентой. Пассивные.
-
Карты или какие-то устройства с чипами (активные).
-
Ключи.
-
Пластиковые карточки.
-
USB-токены. eToken – строится на чипе ITSEC LE4. RSA/1024, DES, 3DES, SHA-1. Для него написана своя ОС – CardOS/M4. ФС, типы файлов:
-
Директории.
-
Двоичные файлы.
-
Файлы записей.
-
Специализированные TLV файлы.
Объекты.
-
Test – объекты, меняющие статус директории.
-
AUTH – ключи шифрования, использованные для аутентификации.
-
SM – ключи для обмена сообщениями.
-
PSO – ключи для ассиметричного шифрования.
Одноразовая аутентификация или аутентификация с одноразовыми паролями.
-
Метод – «запрос-ответ».
С S: Login
S C: R – случайное число.
С S: Ec(R) = CR
S: Ec(R) =CR.
-
Метод «только ответ».
R – генерируется независимо S и С.
-
Метод «синхронизация по времени».
R – зависит от таймера. Некоторый допустимый интервал delta t.
-
Метод «синхронизация по событию».
R – на основе совместных событий.
15.09.11 г.
2.Некоторые протоколы аутентификации.
1) S-key.
Одноразовая аутентификация, OTP (S/Key). Клиент посылает серверу только один раз одноразовый пароль.
N – количество аутентификаций.
Клиент: вычисляется некоторая последовательность h0, а потом реккурентно вычисляется hk=H(hk-1), где H() – хэш-функция.
Хранится:
С: h0, h1, …, hn.
S: h0, h1, …, hn-1.
K – текущий сеанс
K=N-1
Протокол: С S: hk+1.
S: H(hk)=hk+1
k--;
2) RADIUS.
Простой протокол, достоинства – для аутентификации может запрашивать дополнительную информацию много раз. Используется симметричная криптография.
Клиент NAS – сервер доступа.
Сервер RADIUS.
Ключ шифрования K – есть у обеих сторон.
Протокол:
С S: Access-Request, пакет составной, он содержит (Login, Ek(password))
S: Auth(Login, password)
Случаи аутентификации:
-
Нет ключа шифрования K |=> отбрасывание.
-
Удачная аутентификация |=> S C: Access-Reject.
-
Уточнение – такой пользователь зарегистрирован, есть ключ, но информации недостаточно, нужно знать что-то ещё. В этом случае сервер посылает клиенты Access-Challenge (текстовый запрос).
S C: Access-Challenge (текстовый запрос)
С User: текстовый запрос
User C: текст
С S: Access-Request(Login, Ek(текст))
-
Неверный пароль |=> Access-Denied.
Стандарт RFC 2865.
RADIUS может работать в режиме proxy – является посредником для доступа к другому серверу RADIUS.
NAS RADIUS proxy RADIUS.
-
Kerberos.
5 версия.
Шифрование: DES в режиме CBC.
Участники протокола:
-
Клиент (С) – пользователи либо программы, обращающиеся к серверу услуг.
-
Сервер Kerberos (K) – сервер, хранящий базу данных клиентов и их ключей, так же он создает сеансовые ключи.
-
Сервер TGS (TGS) – проверяющий пользователя и выдающий мандат на получение услуг.
TGS - Ticket-Grant Server.
-
Сервер услуг (S) – то, до чего пользователь хочет добраться.
5 этапов.
K
TGS
C
S
-
C K: запрос на доступ к TGS. C, TGS.
-
Выдача мандата на доступ к TGS. KC: Ec(Kc,TGS) – сеансовый ключ, ETGS(Tc,TGS) – ключ TGS.
TC,TGS – мандат на доступ к TGS.
TC,TGS = TGS, ETGS(C,a,v,KC,TGS)
-
Запрос мандата прикладных услуг.
С TGS: EC,TGS(AC,TGS), ETGS(TC,TGS)
AC,TGS= c,t – удостоверение Kerberos.
-
Получение мандата прикладного сервера. TGS C: EC,TGS(KC,S), ES(TC,S) – общий ключ TGS и S.
TC,S – мандат доступа к прикладным услугам.
-
Запрос услуги. С S: EC,S(AC,S), ES(TC,S).
5 ½) S C: EC,S(t).
Уязвимости Kerberos:
-
Пароль на рабочие станции.
-
Повторная отсылка. Возможна рассинхронизация, метка времени выставляется с точностью до зазора.
Отличия 4 и 5 версии Kerberos.
В 4 версии: v <-> t0, delta t.
AC,S = c,a.t.
Второй этап выглядит следующим образом: KC:EC(KC,TGS, ETGS(TC,TGS)).
На четвертом этапе: TGS C: EC,TGS(KC,S, ES(TC,S)).