Усиленная аутентификация.
Уже отмечалось, что многие инциденты в сети Internet произошли из-за недостатков, обусловленных использованием традиционных паролей. Многие годы пользователям советовали выбирать такие пароли, которые трудно угадать. Однако, даже если пользователи следуют этому совету (а многие этого не делают), нарушители "прослушивают" Internetв поисках паролей, передающихся открытым текстом. Это означает, что традиционные пароли устарели.
Для устранения этого недостатка были разработаны такие средства усиленной аутентификации как смарт-карты, персональные жетоны, биометрики и т. д. Хотя во всех этих случаях используются разные механизмы аутентификации, общим является то, что наблюдающий за установлением связи нарушитель не может использовать пароли, генерируемые этими устройствами. При существующих проблемах с паролями, Firewall,не использующий усиленную аутентификацию, не имеет особого смысла.
Некоторые наиболее популярные устройства усиленной аутентификации, используемые на сегодняшний день, называются системами одноразовых паролей. Например, смарт-карта или жетон аутентификации генерируют информацию, который хост-система может использовать вместо традиционного пароля. Из-за того, что жетон или карта работают вместе с аппаратным или программным обеспечением хоста, для каждого входа в систему генерируемый пароль уникален. Результатом является одноразовый пароль, который, даже если он станет известен злоумышленнику, не может быть еще раз использован для получения доступа к системе.
Хотя средства усиленной аутентификации можно использовать на каждом хосте, более практичным и легким для управления было бы сосредоточить все эти средства в Firewall.Если в хостах не будет использована усиленная аутентификация, то нарушители могут попытаться взломать пароли или отследить сеансы входа в сеть. Сеть с Firewall, использующим усиленную аутентификацию, позволит сеансам TELNETили FTPпроходить усиленную аутентификацию, прежде чем они будут разрешены. Системы сети могут запрашивать для разрешения доступа и статические пароли, однако эти пароли, даже если они станут известны злоумышленнику, не могут быть использованы, пока средства усиленной аутентификации и ; другие компоненты Firewallпредотвращают проникновение ' нарушителей или обход ими Firewall.
- Сборник информационных материалов по курсу «Защита информации и информационная безопасность»
- Вопрос 1.
- Основные понятия безопасности компьютерных систем.
- Современные программные угрозы информационной безопасности.
- Компьютерные вирусы.
- Троянские кони (программные закладки).
- Средства нарушения безопасности компьютерных сетей
- Вопрос 2.
- Угроза раскрытия
- Угроза целостности
- Угроза отказа служб
- Субъекты, объекты и доступ
- Уровни безопасности, доверие и секретность
- Вопрос 3.
- Объектно-концептуальная модель рпс.
- Пространство отношений доступа к объектам вс.
- Использование понятия легитимности при построении модели безопасности вс.
- Вопрос 4. Классификация удаленных атак на компьютерные сети Понятие удаленной атаки
- Вопрос 5. Политики и модели безопасности
- Модели дискретного доступа
- Модели мандатного доступа
- Модель Белла и Лападула
- Удаленное чтение
- Доверенные субъекты
- Проблема системы z
- Модель системы безопасности с полным перекрытием
- Модели контроля целостности
- Модель понижения уровня субъекта
- Модель понижения уровня объекта
- Объединение моделей безопасности
- Проблемы контроля целостности ядра системы
- Вопросы 6 и 7. Методы анализа безопасности программного обеспечения.
- Контрольно-испытательные методы анализа безопасности по.
- Логико-аналитические методы анализа безопасности по.
- Вопрос 8. Анализ novell netware с точки зрения таксономии причин нарушения информационной безопасности
- Неправильное внедрение модели безопасности
- 1. Отсутствие подтверждения старого пароля при его смене.
- 2. Недостатки в реализации опций Intruder detection и Force periodic password changes.
- 3. Слабое значение идентификатора супервизора.
- 4. Право на создание файлов в каталоге sys:mail.
- 5. Ненадежность атрибута «только для выполнения».
- 6. Получение прав пользователя сервером очереди.
- 1. Возможность обращения хэш-функции
- 2. Атака с использованием сервера печати.
- 3. Использование состояния отсутствия информации.
- 1. Приведение базы данных связок в неработоспособное состояние.
- 2. Недостатки механизма подписи пакетов.
- 1. Передача нешифрованных паролей программой syscon.
- Ошибки в администрировании системы
- 1. Наличие права на запись в системный каталог
- 2. Наличие права на чтение sys:system
- Вопросы 9-10. Механизмы реализации основных типов удаленных атак
- 1. Анализ сетевого трафика.
- 6. Сетевой червь (worm).
- Вопрос 11. Удаленные атаки на ос novell netware 3.12
- 2. Ложный сервер сети Novell NetWare 3.12.
- Вопрос 13. Удаленные атаки на хосты internet
- 1. Исследование сетевого трафика сети Internet.
- 2. Ложный arp-сервер в сети Internet.
- 3. Ложный dns-сервер.
- 4. Навязывание хосту ложного маршрута с помощью протокола icmp для создания в сети ложного маршрутизатора.
- 5. Подмена одного из участников сетевого обмена в сети при использовании протокола tcp.
- 6. Использование недостатков идентификации tcp-пакетов для атаки на rsh-сервер.
- Вопросы 14 – 16. Использование систем firewall
- Достоинства применения Firewall.
- Недостатки, связанные с применением Firewall.
- Структура и функционирование Firewall.
- Принципы работы Firewall.
- Режим доступа к службам.
- Усиленная аутентификация.
- Фильтрация пакетов.
- Шлюзы прикладного и сетевого уровня.
- Вопросы 17-21. Основные схемы защиты на основе Firewall.
- Firewall — маршрутизатор с фильтрацией пакетов.
- Firewallна основе шлюза.
- Экранированный шлюз.
- Firewall –экранированная подсеть.
- Объединение модемного пула с Firewall
- Вопрос 22. Особенности защиты сетей на основе Firewall
- Этапы разработки политики доступа к службам.
- Гибкость политики.
- Обеспечение Firewall.
- Администрирование Firewall.