![](/user_photo/2706_HbeT2.jpg)
- •1. Мета та завдання дисципліни, її місце в навчальному процесі
- •1.1. Мета викладання дисципліни
- •1.2. Завдання вивчення дисципліни
- •1.3. Перелік дисциплін, знання яких необхідні студенту для вивчення цієї дисципліни
- •1.4. Зміст дисципліни
- •1.4.1. Лекційні заняття 32 години
- •1.4.2. Лабораторні заняття 32 години
- •1.4.3. Практичні заняття 0 годин.
- •1.4.4. Самостійна робота 56 годин
- •1.4.5. Проведення заходів поточного та семестрового контролю
- •1.5. Навчально-методичні матеріали.
- •1.6. Огляд безпеки
- •2. Загальні відомості про права доступу
- •2.1.Функції системи розмежування доступу
- •2.2. Управління доступом. Основні поняття
- •3. Методи та пристрої забезпечення захисту і безпеки
- •3.1. Методи забезпечення інформаційної безпеки.
- •3.2. Інструментальні засоби аналізу захищеності інформаційних систем.
- •Intranet Scanner
- •Internet Scanner
- •4. Захист інформації
- •4.1 Загрози інформації
- •4.2 Аспекти захисту інформації
- •4.3 Види захисту інформації
- •4.4 Комплексна система захисту інформації
- •4.4.1 Технічний захист інформації
- •4.4.2 Тзі від нсд на прикладному і програмному рівні
- •4.4.3 Тзі від нсд на апаратному рівні
- •4.4.4 Тзі на мережевому рівні
- •4.5 Засоби та заходи тзі
- •4.6 Автентифікація
- •4.6.1 Механізм Автентифікації
- •4.6.3 Способи Автентифікації
- •Парольна
- •Біометрична
- •4.7 Етапи
- •Модель захисту інформаційного процесу
- •Шифрування даних
- •7. Управління відновленням
- •Відновлення інформації
- •Несправності, що призводять до втрати даних і необхідності відновлення інформації.
- •Помилки користувачів
- •Програмно-апаратні несправності
- •Фізичні пошкодження
- •Відновлення даних з usb-флешки (карти пам’яті)
- •8. Роль криптографічних методів і систем криптографічного захисту інформації в сучасному суспільстві
- •9. Механізми та протоколи керування ключами в івк інформаційної системи
- •9.1 Компоненти івк
- •9.2 Архітектури івк
- •10. Форми атак на об'єкти інформаційних систем
- •10.1 Форми атак
- •10.2 Атаки на рівні систем керування базами даних
- •10.3 Атаки на рівні операційної системи.
- •10.4 Криптоаналіз
- •10.4.1 Основні терміни
- •10.4.2Класифікація криптосистем
- •10.4.3 Вимоги до криптосистемами.
- •11. Алгоритми з секретним та відкритим ключем
- •12. Асиметричні (відкриті) криптосистеми
- •12.1 Криптографічний аналіз rsa-системи
- •13. Протоколи аутентифікації
- •13.1 Протоколи віддаленої аутентифікації
- •13.2 Аутентифікація на основі паролів.
- •13.3 Протокол рар.
- •13.4 Протокол s/Key.
- •13.5 Протокол снар.
- •13.6 Аутентифікація на основі цифрових сертифікатів.
- •13.7 Протоколи аутентифікації
- •14. Цифрові підпси
- •14.1 Звичайний і Електронний цифровий підпис
- •14.2 Переваги використання ецп
- •14.3 Електронна цифрова печатка
- •14.4 Призначення ецп
- •14.5 Вимоги до цифрового підпису
- •14.6 Прямий і арбітражний цифрові підписи
- •14.7 Алгоритми
- •14.8 Використання хеш-функцій
- •14.9 Симетрична схема
- •14.10 Асиметрична схема
- •15. Використання паролів і механізмів контролю за доступом
- •15.6 Права доступу до файлів в Unix-системах.
- •15.7 Мережевий доступ до Windows xp Pro
- •16. Питання безпеки та брандмауери
13.1 Протоколи віддаленої аутентифікації
При локальному доступі база даних знаходиться безпосередньо на сервері віддаленого доступу. Це не дозволяє організувати централізовану систему аутентифікації в тому випадку, якщо на підприємстві використовуються кілька серверів віддаленого доступу. Але завдяки тому, що паролі не передаються по мережі, безпека і швидкодія такої системи потенційно можуть бути найкращими.
Наявність центральної бази даних підприємства спрощує управління віддаленим доступом, тому що усуває необхідність створення та підтримки окремих баз даних облікових записів на кожному з серверів віддаленого доступу підприємства. При віддаленому доступі до бази даних облікових записів має місце так звана наскрізна, або віддалена аутентифікація. Для того, щоб справити аутентифікацію і надати віддаленому користувачу відповідні права доступу, сервер віддаленого доступу звертається до сервера аутентифікації, на якому зберігається база даних облікових записів. Застосовувані для цього протоколи називаються протоколами віддаленої аутентифікації.
Існують різні варіанти вирішення проблеми доступу до бази даних облікових записів, що містять пару ідентифікатор-пароль і, можливо, іншу інформацію. Реалізація тієї чи іншої схеми залежить від вимог, що пред'являються до системи віддаленого доступу на підприємстві. В якості протоколів для віддаленої аутентифікації в даний час найчастіше застосовуються два типи.
Протоколи аутентифікації мережевої операційної системи. Вони реалізовані в службі аутентифікації мережевої операційної системи (наприклад, в Microsoft Windows NT це служба Net-logon). При використанні цих протоколів відпадає необхідність в підтримці додаткових мережевих служб аутентифікації, проте уразливість такого способу аутентифікації повністю визначається захищеністю служби безпеки мережевої операційної системи. Так що, якщо в якийсь момент часу виявиться помилка в реалізації протоколу аутентифікації мережевої операційної системи і буде знайдено спосіб використання цієї помилки зловмисниками, то безпеку віддаленого доступу також буде поставлена під загрозу. Крім того, відсутня можливість передачі специфічної для віддаленого доступу інформації.
Спеціалізовані протоколи аутентифікації. Вони орієнтовані на підтримку віддаленого доступу, і можуть бути фірмовими, хоча деякі з них описані в стандартах Internet. Такі протоколи є досить гнучкими і дозволяють передати на сервер віддаленого доступу всю інформацію, необхідну для організації сеансу віддаленого зв'язку. Найбільшого поширення набули протоколи віддаленої аутентифікації TACACS (Terminal Access Contfol Access System - система управління термінальним доступом), споріднені йому - XTACACS (Extended TACACS - розширений TACACS) і TACACS +, а також RADIUS (Remote Aythenticatron Dial In User Service - служба віддаленого аутентифікації користувачів комутованих з'єднань).
Протокол TACACS був першим спеціалізованим протоколом віддаленої аутентифікації. Його розширена версія XTACACS була розроблена і використана фірмою Cisco Systems для серверів віддаленого доступу (термінальних серверів). Саме ця версія була документована і прийнята як стандарт Internet. Надалі фірма Cisco Systems розробила версію протоколу TACACS, що відповідає сучасним вимогам, зокрема, запобігає перехоплення паролів. Сервер віддаленої аутентифікації по протоколу зазвичай реалізується у вигляді програми xtacacsd, вихідний код якої розроблений фірмою Cisco Systems. Як правило, програма працює під управлінням операційної системи сімейства UNIX і може входити до складу операційної системи, поставлятися в складі засобів віддаленого доступу або бути доступною безкоштовно.
Протокол RADIUS був розроблений фірмою Livingston Enterprises. Потім він був прийнятий як стандарт Internet. Він застосовується для підтримки роботи з єдиною базою даних, призначеної для аутентифікації віддалених користувачів і конфігурування послуг, що надаються віддаленого вузла.
Сервер віддаленого доступу функціонує в якості клієнта RADIUS. Клієнт, взаємодіючи з сервером RADIUS, надає за його запитом інформацію, необхідну для аутентифікації віддалених користувачів. Сервер RADIUS відповідає за прийом запитів від клієнта, проведення аутентифікації і передачу клієнту інформації, необхідної для конфігурування віддаленого вузла. Сервер RADIUS також може виконувати функції клієнта RADIUS, звертаючись до іншого сервера RADIUS.
Взаємна аутентифікація та обмін інформацією між клієнтом і сервером побудовані на використанні доступного обом сторонам пароля, який не передається через мережу. Крім того, всі паролі користувачів, що повідомляються клієнтом серверу, також передаються в зашифрованому вигляді, що виключає можливість визначення пароля зловмисником, який отримав фізичний доступ до локальної мережі.
Нарешті, сервер RADIUS може використовувати різні способи аутентифікації користувача. Зокрема, підтримуються протоколи РАР і CHAP, аутентифікація UNIX (передача імені користувача і пароля), та інші.
Одним з найбільш вдалих варіантів вирішення проблеми віддаленої аутентифікації є так звана трьохланкова модель. У цьому випадку сервер віддаленої аутентифікації, до якого звертається сервер віддаленого доступу, виконує роль шлюзу для зовнішньої універсальної системи аутентифікації. Так як сервери віддаленого доступу підтримують обмежений набір протоколів віддаленої аутентифікації (як правило, орієнтованих на віддалений доступ), то така модель дозволяє обійти це обмеження і використовувати будь-який протокол аутентифікації та авторизації для доступу до єдиної бази даних облікових записів підприємства (звичайно, за умови, що сервер-шлюз підтримує потрібний тип перетворення протоколів).