Инсайдинг

Еще одна существенная угроза безопасности заключается в потенциальной возможности физического доступа злоумышленника к рабочей станции легального пользователя и передача конфиденциальной информации третьим лицам. Речь идет о ситуации, когда внутри компании существует сотрудник, похищающий информацию у своих коллег.

Вполне очевидно, что «физическую» безопасность рабочей станции пользователя обеспечить очень трудно. В разрыв клавиатуры можно без труда подключить аппаратный клавиатурный шпион (keylogger), перехват сигнала от беспроводных клавиатур тоже возможен. Такие устройства существуют. Разумеется, кто попало не пройдет в офис компании, однако всем известно, что самым опасным является внутренний шпион. У него уже есть физический доступ к вашей системе, и разместить клавиатурный шпион не составит труда, тем более эти устройства доступны широкому кругу лиц. Кроме того, нельзя сбрасывать со счетов программы – клавиатурные шпионы. Ведь, несмотря на все усилия администраторов, возможность установки такого «шпионского» программного обеспечения не исключена.

Всегда ли пользователь блокирует свою рабочую станцию, покидая свое рабочее место? Удается ли администратору информационной системы добиться, чтобы пользователю не назначались избыточные полномочия, особенно при необходимости использования старых программных продуктов? Всегда ли администратор, а особенно в небольшой компании, обладает достаточной квалификацией, чтобы внедрить рекомендации производителей программного и аппаратного обеспечения по построению безопасных информационных систем?

Таким образом, можно сделать вывод о ненадежности парольной аутентификации в принципе. Следовательно, требуется аутентификация многофакторная, при этом такого вида, чтобы пароль пользователя не набирался на клавиатуре.

Что нам может помочь?

Имеет смысл рассмотреть двухфакторную аутентификацию: 1-й фактор – обладание паролем, 2-й – знание PIN-кода. Доменный пароль больше не набирается на клавиатуре, значит, не перехватывается клавиатурным шпионом. Перехват доменного пароля чреват возможностью входа, перехват PIN-кода не так опасен, так как дополнительно требуется смарт-карта.

На это можно возразить, что пользователь вполне может оставить свою карту в считывателе, а PIN-код написать на стикере, как и раньше. Однако существуют системы контроля, которые могут заблокировать оставленную карту так, как это реализовано в банкоматах. Дополнительно существует возможность разместить на карте пропуск для входа/выхода из офиса, то есть мы можем использовать карточку с RFID-меткой, объединив тем самым систему аутентификации в службе каталога с системой разграничения физического доступа. В этом случае, чтобы открыть дверь, пользователю потребуется его смарт-карта или USB-токен, так что он будет вынужден ее всегда носить с собой.

Кроме того, современные решения для двухфакторной аутентификации предполагают не только возможность аутентификации в AD или AD DS. Использование смарт-карт и USB-ключей помогает и во многих других случаях, например, при доступе к публичной электронной почте, в интернет-магазины, где требуется регистрация, к приложениям, имеющим свою собственную службу каталога и т.д.

Таким образом можно получить практически универсальное средство аутентификации.

Внедрение двухфакторной аутентификации на основе асимметричной криптографии в AD DS

Служба каталога Active Directory поддерживает возможность аутентификации с помощью смарт-карт, начиная с Windows 2000.

По сути своей возможность аутентификации с помощью смарт-карт заложена в расширении PKINIT (public key initialization – инициализация открытого ключа) для протокола Kerberos RFC 4556. Расширение PKINIT позволяет использовать сертификаты открытого ключа на этапе предаутентификации Kerberos.

Благодаря чему и появляется возможность использования смарт-карт. То есть мы можем говорить о возможности двухфакторной аутентификации в системах Microsoft на основе штатных средств, начиная с ОС Windows 2000, так как уже реализована схема Kerberos + PKINIT.

Примечание: предаутентификация Kerberos – процесс, обеспечивающий дополнительный уровень безопасности. Выполняется до выдачи TGT (Ticket Granting Ticket) от сервера распространения ключей (KDC). Используется в протоколе Kerberos v. 5 для противодействия офлайн-атакам на угадывание пароля. Подробнее о принципах работы протокола Kerberos можно узнать в RFC 4120.

Разумеется, речь идет о компьютерах в составе домена. Если же есть необходимость прибегнуть к двухфакторной аутентификации при работе в рабочей группе или при использовании более ранних версий операционных систем, то нам придется обратиться к программному обеспечению третьих фирм. Например, к SafeNet (Aladdin) eToken Network Logon 5.1.

Вход в систему может быть обеспечен как при использовании службы каталога домена, так и локальной службы каталога. При этом пароль пользователя не набирается на клавиатуре, а передается из защищенного хранилища на смарт-карте.

Аутентификация с помощью смарт-карт реализуется посредством расширения Kerberos PKINIT, это расширение обеспечивает возможность использования асимметричных криптографических алгоритмов.

Что касается требований для внедрения использования смарт-карт в связке с PKINIT, то для операционных систем семейства Windows они следующие:

• все контроллеры доменов и все клиентские компьютеры в рамках леса, где осуществляется внедрение нашего решения, обязательно должны доверять корневому удостоверяющему центру (Центру Сертификации, ЦС);

• удостоверяющий центр, выдающий сертификаты для использования смарт-карт, должен быть помещен в хранилище NT Authority;

• сертификат должен содержать идентификаторы Smart Card Logon и Client Authentication;

• сертификат для смарт-карт должен содержать UPN пользователя;

• сертификат и частный ключ должны быть помещены в соответствующие разделы смарт-карты, при этом частный ключ должен находиться в защи-щенной области памяти смарт-карты;

• в сертификате должен быть указан путь к списку отзыва сертификатов CRL distribution point;

• все контроллеры доменов должны иметь установленный сертификат Domain Controller Authentication, или Kerberos Authentication, так как реализуется процесс взаимной аутентификации клиента и сервера.

Целый ряд изменений в требованиях произошел в операционных системах, начиная с Windows Vista:

• больше не требуется CRL extension в сертификатах smart card logon;

• теперь поддерживается возможность установки взаимосвязи между учетной записью пользователя и сертификатом;

• запись сертификата возможна в любой доступный раздел смарт-карты;

• расширение EKU не обязано включать Smart Card Logon OID, при этом справедливости ради надо отметить, что если вы планируете использовать единственный шаблон сертификата для клиентов всех операционных систем, то, разумеется, Smart Card Logon OID должен быть включен.

Несколько слов о самой процедуре входа клиента. Если говорить об операционных системах от Windows Vista и выше, то следует отметить, что и тут произошел ряд изменений:

• во-первых, процедура входа в систему по смарт-карте больше не инициируется автоматически, когда вы вставили смарт-карту в картридер или подключили ваш USB-ключ к USB-порту, то есть вам придется нажать <Ctrl> + <Alt> + <Delete>;

• во-вторых, появившаяся возможность использования любого слота смарт-карты для хранения сертификатов предоставляет пользователю выбор из множества идентификационных объектов, хранящихся на карте, при этом необходимый в данный момент сертификат отображается как доступный к использованию.