Петров А.А. Комп без-ть

ничего, что жестко привязывало бы ее именно к 1п1:егпе1:. Несмотря на то что большинство брандмауэров в настоящее время развернуто между 1п1:егпе(; и внутренними сетями (тЪгапе!:), имеет смысл использовать их в любой сети, базирующейся на технологии 1п{;ете1;, например в распреде­ ленной корпоративной сети.

Не детализируя функции систем Р1ге\уа11, рассмотрим возможность их использования внутри корпоративной сети для организации защиты и управления доступом к ресурсам. При этом следует отметить, что основ­ ными объектами, с которыми оперирует типовая система йге^/аП, являются:

• пакеты 1Р, ТСР, 1Ш Р и других протоколов;

• сервисы, реализуемые прикладными протоколами ТеЬек РТР, ЗМТР, РОРЗ, НТТР, Ш Т Р , ОорЬег и т.д.;

• пользователи, которым предоставляется (или запрещается) доступ к тому или иному ресурсу или У Р Н (У1гШа1 РпуаЪе КеПлюгкз).

С пакетами работают системы Р1ге\уа11, относящиеся к типу пакетных фильтров, пропускающих или не пропускающих через себя пакеты в зави­ симости от содержимого заголовков этих пакетов.

Понятие сервиса и пользователей используется системами Рйе\уа11 типа серверов прикладного уровня или уровня соединения для предоставления пользователям, прошедшим процедуры аутентификации, тех или иных ти­ пов сервисов.

Оценивая возможность использования систем Р1ге\уа11 (Р1Х, ФПСУ-1Р, «Застава», « Застава-Джет», ЫеУрго и др.) для управления и разграниче­ ния доступа к внутренним информационным ресурсам, следует отметить, что для данного случая наиболее подходят Рке^аП уровня соединения и уровня приложений. Это связано с тем, что контроль в данном случае осуществляется иа уровне «сервисов» (например, \У\У\У (Н Т Т Р ), ЗМТР, Р Т Р ) и в предельном случае имен Ьоз^-машин. Одновременно следует от­ метить, что контроль в данных Рпе\уа11 не распространяется на другие ат­ рибуты ресурсов (каталоги, файлы, программы, типы доступа, допустимые значения параметров и т.п.). Исходя из этого, управление и разграничение доступа к ресурсам отнесено непосредственно к серверам этих ресурсов (Н ТТР, РТР и т.п.), которые реализуют только локальные (по отношению к собственным ресурсам) стратегии управления и разграничения доступа. При этом недоступными являются следующие возможности:

•создания и управления централизованным каталогом ресурсов пред­ приятия;

•поддержки каталога прав доступа пользователей к ресурсам;

•поддержки единой политики разграничения доступа к ресурсам;

•протоколирования сеансов работы пользователей (по отношению к ре­ сурсам) и централизованного получения статистической информации о работе пользователей с ресурсами корпоративной информационной системы.

1.Система санкционированного

доступа к ресурсам

Наличие большого числа информационных и вычислительных ресурсов (баз данных и приложений), используемых на предприятии и функциони­ рующих на различных аппаратных и программных платформах, делает особо актуальной задачу создания и внедрения системы санкционирован­ ного доступа к ресурсам, цель которой - построение единого информаци­ онного пространства предприятия.

Кроме перечисленных ранее основных критериев построения корпора­ тивных информационных систем, при создании системы санкционирован­ ного доступа к ресурсам необходимо учитывать следующие требования:

•обеспечение единого механизма доступа к ресурсам;

•обеспечение единой политики безопасности и защиты информации;

•централизованное и непрерывное управление, администрирование и контроль за использованием ресурсов;

•наличие большого числа наследуемых приложений, используемых на предприятии.

Исходя из этих требований и существующих ограничений, при проек­ тировании программного обеспечения с использованием технологий 1п1:егпе1:/1п1:гапе1: предлагается использовать следующую схему доступа к данным (информационным и вычислительным ресурсам). Она представ­ ляет собой многозвенную архитектуру, включающую в себя:

•клиентский уровень. В него входит терминальный компьютер пользо­ вателя под управлением ОС АУтбо^уз 98/ИТ, использующий один из известных браузеров - МйсгозоК 1п1;егпеЪ ЕхрЬгег или Ие&саре ИаУ1§а1:ог;

•уровень УРИ, обеспечивающий отделение терминальной подсети поль­ зователей от уровня серверов доступа и приложений;

•уровень серверов доступа (Ассезз Зегуег). В него входит специализи­ рованный сервер приложений, реализующий функции аутентифика­ ции пользователей, управления правами доступа к информационным

и вычислительным ресурсам корпоративной ИС (распределенный ка­ талог), контроля и протоколирования сеансов; уровень М^еЬ-серверов типа М3 115, АрасЬе и т.п.;

уровень серверов приложений - масштабируемая структура серверов, обеспечивающих унифицированные средства представления инфор­ мации и функционирования подсистем КИ С предприятия; уровень серверов баз данных.

Ассе зз зеп/ег Зоскз

Ж

АррНсаУоп угт, АррНсайоп

1ауег веп/егз

Нгеи/аП

Са1а1од аррНса^оп еШегрпзе

Рис. П.2.2. Построение системы санкционированного доступа к ресурсам

Данная архитектура позволяет скрыть и тем самым обезопасить от ко­ нечного пользователя сложность внутренней структуры системы и макси­ мально оптимизировать загрузку вычислительных средств.

Функции, реализуемые уровнем сервера доступа (ассезз зегуег):

•аутентификация пользователей системы;

•контроль версий используемого клиентом ПО (активных объектов);

•управление состоянием и сеансами;

•предоставление санкционированного доступа к ресурсам корпоратив­ ной ИС;

•управление авторизацией и разграничением доступа;

•протоколирование сеансов работы абонентов;

•регистрация попыток несанкционированного доступа;

•общее централизованное администрирование системы;

•получение статистической информации о работе абонентов.

2.Аутентификация пользователей системы

Аутентификация пользователей предполагает определение подлинности пользователя перед началом работы с системой. Для аутентификации мо­ гут использоваться различные атрибуты и их комбинации: имя, пароль, 1Радрес, сетевое имя компьютера, время и место подключения и т.п. Приме­ няемая схема паролей должна исключать возможность перехвата пароля путем активного сканирования сети и последующего его незаконного ис­ пользования, а также возможность накопления статистического материала об используемых паролях. Такая схема может быть реализована посред­ ством случайных сеансовых паролей, передаваемых по сети в зашифрован­ ном виде. Все алгоритмы шифрования и соответствующее программное обеспечение должны быть сертифицированы и разрешены к применению. Для данной реализации наиболее подходят такие продукты, как:

• Ф О Р Т (фирма «Анкей» - хуу/ху.апкеу.ги );

•Ией-Рго (фирма 51§па1-сот - \у\у\у.5Шпа1~сот.тУ

•1Р-ЫК (фирма ВДЫесз);

•30СК35 Вогбег Соп1хо1 Ргатеу/огк (фирма ЫЕС 1пс. - у^ушзоскз.пес.тт к

данный пакет поставляется с исходными текстами;

• пакет исходных текстов ЗЗЬеау Епс Уоип§ - е а у @ т т с о т .о 2 .аи;

\у^жрзу.ид.0 2 .аи/~Й:р/Сгур1:о/.

3. Контроль версий, используемых клиентом ПО

Возможности \УеЬ-технологии должны быть использованы для обновле­ ния клиентских активных объектов.

4. Управление состоянием и сеансами

Протоколы, используемые при обмене данными между ^УеЬ-сервером и клиентом, являются сеансонезависимыми, то есть \УеЪ-сервер не может соотнести запрос клиента с его предыдущими запросами. Реализация это­ го соответствия должна быть произведена сервером доступа для подтвер­ ждения возможности выполнения запроса и отслеживания сеансового

контекста пользователя. Кроме того, функция управления состоянием и сеансами должна обеспечивать динамическое отслеживание состояния системы, подключенных пользователей, выполняемых действий.

5. Предоставление санкционированного доступа к ресурсам информационной системы

Функция санкционированного доступа к ресурсам системы предполага­ ет использование однотипных протоколов и интерфейсов для доступа к различным приложениям, будь это наследуемые ЕЮЗили ’М шЬ чуз-

приложения, приложения, поддерживающие Н ТТР(ХМ Б)-протокол или предоставляющие входные и выходные данные в виде статических и/или динамических НТМЬ-страииц. Такой унифицированный механизм досту­ па может быть реализован одним из следующих способов:

•путем инициирования сессии с сервером доступа, который, в свою очередь, взаимодействуя с некоторым промежуточным программным слоем (типа СКпх Ме1:аРгате), предоставляет пользователю доступ к традиционным приложениям, преобразуя экранные формы в фор­ мат Н ТМ Ь, корректно интерпретируемый 1СА-клиеитом(р1Саззо) че­ рез браузер;

•путем обращения от \У\УЛУ-клиента к серверу доступа за необходи­ мыми сервисами (доступ к данным СУБД, обработка данных и т.п.), причем загрузка объектного сервиса на клиентское место может про­ водиться заранее или осуществляться с \УеЬ-сервера ^ауа-классы, объекты Ас1луеХ и т.д.) в процессе работы.

6.Управление аутентификацией

иразграничением доступа

Управление аутентификацией и разграничением доступа является важней­ шей функцией, реализуемой сервером доступа, что позволяет говорить об однозначном соответствии между конкретным пользователем и доступ­ ным ему множеством ресурсов из состава корпоративной ИС. Такая реа­ лизация предполагает наличие единого списка именованных (каким-либо образом) ресурсов и единого списка пользователей. Она может использо­ вать один из следующих методов:

•вся сеть делится на терминальную и серверную подсети;

•для каждого пользователя (и/или группы пользователей) существует список доступных ресурсов (или групп ресурсов) - прямое соответствие;

•для каждого ресурса (группы,ресурсов) определен набор привилегий, обеспечивающих доступ; для каждого пользователя (группа пользова­ телей) также определен присущий им набор привилегий; доступ к ре­ сурсу может быть разрешен только при наличии у пользователя всех привилегий ресурса - косвенное соответствие.

Кроме того, могут быть дополнительно определены различные типы до­ ступа к ресурсам (чтение, запись, удаление, запуск и т.п.), права на использо­ вание которых могут заметно различаться. Следует отметить, что в качестве прототипа данной реализации разрешается использовать аутентификацион­ ные системы КегЬегоз 5 или 5Е5АМ Е (У\у\у.еза1:.ки1еиуеп.ас.Ье/соз1с/ зезатеЗ.Ытп!^ с модификацией, учитывающей разделение терминальной и серверной подсетей. В этом случае такие недостатки КегЬегоз 5, как не­ обходимость модификации каждого сетевого ресурса (в него должен быть вставлен код аутентификации), могут быть реализованы на сервере досту­ па, находящемся на границе терминальной и серверной подсетей.

7 . Протоколирование сеансов работы абонентов

Функция протоколирования и регистрации предусматривает запись инфор­ мации о любых действиях пользователей по доступу к ресурсам в статичес­ кие и динамические журналы, с указанием идентификаторов пользователей, ресурсов, типов доступа, времени, условий, результатов выполнения опера­ ций и т.д.

8. Общее централизованное администрирование системы

Функция администрирования предполагает наличие внешнего по отно­ шению к серверу доступа программного компонента, обеспечивающего создание и изменение управляющей информации сервера доступа: списка пользователей, списка ресурсов, каталогов прав доступа и т.д. Каждая функция подсистемы администрирования рассмотрена отдельно.

9.Получение статистической информации

оработе пользователей

Функция предусматривает возможность получения на основе данных про­ токолирования и регистрации статистических отчетов о работе пользова­ телей и системы полностью в форме, удобной для восприятия и последую­ щего анализа.

10.Информационные объекты

иобщий алгоритм работы

Основными информационными объектами, используемыми при работе сервера доступа, являются:

•каталог пользователей;

•каталог приложений (вычислительных ресурсов);

•каталог внутренних информационных ресурсов;

•каталог прав доступа;

•каталог активных сеансов;

•журнал регистрации;

•объекты, реализующие концепцию информационных ресурсов (Н ТМ Ь - страиицы).

Вопросы конкретной реализации этих объектов здесь не рассматрива­ ются. Наиболее естественным является их исполнение в виде таблиц со­ ответствующей базы данных, размещенной на одном из доступных серве­ ров БД. Доступ к этим ресурсам единого каталога может быть организован по протоколу ББАР.

11. Каталог пользователей

Каталог пользователей содержит информацию, идентифицирующую або­ нентов системы: код, имя, сведения, используемые в процессе аутенти­ фикации, принадлежность к организации или подразделению; данные, определяющие возможные режимы работы, время, место подключения; допустимые имена машин; 1Р-адреса и т.п. Кроме того, при реализации функции управления правами доступа к ресурсам на основе привилегий каталог пользователей должен содержать определенные для каждого абонента системы привилегии доступа. Пользователи могут быть объединены

вгруппы по различным признакам.

12.Каталог приложений

Каталог приложений (вычислительных ресурсов) содержит информацию, определяющую структуру и содержание существующих в системе прило­ жений. Информация, размещенная в каталоге приложений для каждого объекта, должна однозначно определять условия запуска (адреса, имена программ или иную информацию), возможность использования статичес­ ких или динамических параметров, время запуска и т.п. Кроме того, при

реализации функции управления правами доступа к ресурсам на основе привилегий каталог приложений должен включать определенные для каж­ дого приложения системы привилегии доступа.

13. Каталог внутренних информационных ресурсов сервера доступа

Под понятием внутреннего информационного ресурса, применительно к использованию \УеЪ-технологий, предлагается понимать логически связанную совокупность НТМЬ-страниц (статических или динамичес­ ких) с едиными правами доступа. Проверка полномочий в этом случае осуществляется только при попытке доступа к первой странице ресурса, в дальнейшем, при навигации внутри ресурса, контролируются только внешние по отношению к нему ссылки. Содержимое НТМЬ-страниц мо­ жет быть статическим или динамическим - как результат выполнения соответствующих приложений или прямых действий пользователей. Концепция внутренних информационных ресурсов позволяет реализо­ вать средствами сервера доступа широкие возможности по предостав­ лению пользователям нормативно-справочной и другой информации с гарантированным разграничением доступа. Каталог информационных ресурсов содержит информацию, определяющую наименование ресурсов, их структуру, содержание (множество НТМЬ-страниц), последователь­ ность перехода и т.п. Кроме того, при реализации функции управления правами доступа к ресурсам на основе привилегий каталог информацион­ ных ресурсов должен иметь определенные для каждого ресурса (группы ресурсов) системы привилегии доступа.

14. Каталог прав доступа

Каталог прав доступа включает информацию, определяющую соответ­ ствие пользователей и ресурсов при реализации прямого соответствия прав. Для каждого пользователя (и/или группы пользователей) суще­ ствует список доступных ресурсов (или групп ресурсов) с указанием ти­ пов доступа к ресурсу (чтение, запись, удаление, запуск и т.п.). При каж­ дой попытке доступа пользователя к ресурсу производится проверка полномочий, и доступ либо разрешается, либо запрещается с регистра­ цией данного события в журнале попыток несанкционированного досту­ па. Данный каталог может быть реализован по принципу КегЬегоз 5 или ЗЕ5АМЕ.

16.Общий алгоритм работы сервера доступа

кресурсам корпоративной ИС

Общий алгоритм работы системы можно разделить на несколько этапов:

1.Аутентификация.

2.Доступ к приложению.

3.Доступ к информационному ресурсу.

4.Завершение работы.

Фаза регистрации начинается с момента подключения абонента к ресур­ сам "Шэ-сервера и получения приглашения на ввод аутентифицирующей информации. Наряду с приглашением на ввод данных аутентификации на \У\ЩУ-клиент может быть скопировано обновленное ПО аутентифика­ ции. После введения пользователем требуемых данных производится их прием сервером доступа, проверка подлинности, целостности дан­ ных и корректности подключения. В случае правильности принятых дан­ ных (соответствия хранящимся в каталоге пользователей данным аутен­ тификации) пользователь регистрируется в системе, о чем производится запись в журнал регистрации и формируется соответствующая запись в каталоге сеансов. Пользователю передается динамически сформированная НТМХ-страница с перечнем доступных ему информационных и вычисли­ тельных ресурсов (приложений) в соответствии с его правами доступа.

Доступ к нужному приложению осуществляется путем запроса соот­ ветствующего указателя ресурса (1Ш Ь). После проверки полномочий пользователя управление передается на запрашиваемый ресурс. Доступ к ресурсу фиксируется в журнале регистрации и каталоге сеансов. Даль­ нейшая работа с приложением может происходить без участия средств сер­ вера доступа, однако моменты запуска и окончания приложения должны отслеживаться сервером доступа и фиксироваться в журнале. Результатом работы приложения могут быть НТМЬ-документы, которые передают­ ся через ^УеЪ-сервер пользователю непосредственно для интерпретации ^^УШ -клиентом или же записываются в соответствующий информаци­ онный ресурс с проверкой прав доступа. В дальнейшем эта информа­ ция может быть получена пользователем (необязательно тем, которым она была занесена в информационный ресурс) из соответствующего ин­ формационного ресурса.

Доступ к выбранному пользователем информационному ресурсу, как и к приложению, осуществляется путем запроса указателя ресурса (1Ш Ь). После проверки полномочий управление передается на корневую Н ТМ Ь - страницу ресурса и производится фиксация доступа в журнале регистрации.