69. Сервис Директории и Служб Имен
В настоящее время все больше исследований проводится для решения проблем, связанных с безопасностью при обеспечении надежного механизма для распределения общих ключей. Большая часть этой работы выполняется в области сервиса имени домена и сервиса директорий. Далее рассматриваются разработки протоколов LDAP и DNSSEC.
LDAP
Lightweight Directory Access Protocol (LDAP) – это протокол для обращения к сервису директорий в режиме реального времени. Протокол LDAP был разработан Университетом шт. Мичиган в 1995 г. для обеспечения более легкого доступа к директориям Х.500. Протокол Х.500 был слишком сложным и требовал слишком много ресурсов компьютера для многих потребителей, поэтому и был разработан упрощенный вариант. Протокол LDAP особо ориентирован на приложения управления и просмотра, которые обеспечивают интерактивный доступ к директориям в режиме чтение/запись.
При совместном использовании с директорией, поддерживающей протоколы Х.500, данный протокол предполагается применять в качестве дополнения к протоколу доступа к директории Х.500 Directory Access Protocol (DAP). RFC 1777 – это версия 2 протокола LDAP. В настоящее время ведется работа над версией 3, которая будет являться базовой для сети интернет. Протокол LDAP использует непосредственно протокол TCP и может быть использован для обращения как к автономному сервису директории LDAP, так и для обращения к сервису директории, которая заканчивается директорией Х.500. Данный стандарт определяет:
сетевой протокол для получения доступа к информации в директории;
информационную модель, которая определяет форму и характер информации;
пространство имен, которое устанавливает, как информация снабжена ссылками и организована;
распределенную модель функционирования, которая устанавливает, как данные могут быть распределены и снабжены ссылками (в версии 3).
Общая модель, принятая в LDAP, – это один из клиентов, выполняющий протокольные операции с серверами. В этой модели клиент передает запрос протокола, описывающий серверу операцию, которую необходимо выполнить. Этот сервер становится ответственным за проведение необходимых операций в директории. По завершении операций сервер посылает ответ, содержащий какие-либо результаты или ошибки.
В версиях 1 и 2 протокола LDAP не был предусмотрен возврат ссылок сервером клиенту. Если сервер LDAP не знает ответа на запрос, он скорее обратится к другому серверу за информацией, чем пошлет клиенту сообщение о необходимости перейти к данному другому серверу. Однако, для улучшения функционирования и распределения эта версия протокола позволяет серверам возвращать клиентам ссылки на другие серверы. Такая установка позволяет серверам отбросить работу по установлению контактов с другими серверами для ускорения выполняемых операций. Протокол LDAP оперирует на допущении того, что существуют один или более серверов, которые совместно обеспечивают доступ к информационному дереву директории DIT. Это дерево составлено из входов, которые имеют имена: одно или более атрибутивное значение входа формирует его соответствующее отличительное имя RDN, которое должно быть уникальным среди других таких же входов. Соединение имен RDN в последовательности входов от конкретного входа к непосредственному подуровню корня дерева формирует это отличительное имя, которое является уникальным в дереве. Некоторые серверы могут содержать кэш-память или теневые копии входов, которые могут быть использованы для ответа на поисковый запрос, сравнительные запросы, но будут возвращать ссылки или взаимодействовать с другими серверами, если поступил запрос на операции по модификации. Протокол LDAP устанавливает следующие операции:
Связывающая операция инициирует протокольный сеанс между клиентом и сервером и обеспечивает аутентификацию клиента для сервера. Связывающая операция должна быть первым оперативным запросом, полученным сервером от клиента в протокольном сеансе в версиях 1 и 2, однако данное ограничение было отменено в версии 3.
Операция по прекращению связи завершает протокольный сеанс.
Поисковая операция позволяет клиенту сделать запрос на выполнение сервером поиска от его имени.
Операция по модификации позволяет клиенту сделать запрос на выполнение модификации информационной базы директории сервером от его имени.
Операция по дополнению позволяет клиенту сделать запрос на введение дополнительного входа в директории.
Операция по удалению позволяет клиенту запросить удаление какого-либо входа из директории.
Операция по модификации имени RDN позволяет клиенту изменить последний компонент имени входа в директории.
Операция по сравнению позволяет клиенту сравнивать утверждение, обеспечиваемое входом директории.
Операция на завершение позволяет клиенту запросить сервер отставить невыполненную операцию.
Расширенная операция является новой в версии 3, она введена для обеспечения определения дополнительных операций для тех видов сервиса, которые недоступны где-либо еще в протоколе; например, отмеченные цифровым способом операции и результаты.
Примечание. Связывающая операция протокола LDAP в версии 2 позволяет лишь простую аутентификацию, состоящую из пароля открытого (незашифрованного текста), и аутентификацию Kerberos версии 4. В версии 3 допущен любой механизм SASL уровня безопасности и простой аутентификации. SASL позволяет обращаться к сервису обеспечения целостности и секретности. Также допускается возврат аутентификационных данных сервером клиенту, если сервер изберет именно этот путь.
DNSSEC
Система имени домена DNS стала важной действующей частью инфраструктуры сети интернет. И все же она еще не имеет сильного механизма защиты для обеспечения целостности данных или аутентификации. Расширения к DSN обеспечивают эти виды сервиса для устройств с функциями защиты или для приложений за счет использования криптографических цифровых подписей. Эти цифровые подписи включены в защищенные зоны в виде ресурсных записей. Во многих случаях защита все еще может быть обеспечена даже через DNS серверы, в которых функции защиты не предусмотрены. Эти расширения также предусматривают хранение аутентифицированных общих ключей в DSN. Такое хранение ключей может поддерживать общий сервис распределения общих ключей так же, как и безопасность DNS. Хранящиеся ключи позволяют устройствам с функциями защиты запомнить аутентифицирующий ключ зон в дополнение к тем зонам, к которым они изначально настроены. Ключи, связанные с именами DNS, могут быть запрошены для поддержки других протоколов. Предусмотрено применение целого ряда алгоритмов и типов ключей. Расширения защиты предусматривают дополнительную аутентификацию транзакций протокола DSN.
- 1. Понятие информационной безопасности
- 2. Важность и сложность проблемы информационной безопасности
- 3. Основные составляющие информационной безопасности
- 4. Категории информационной безопасности
- 5. Требования к политике безопасности в рамках iso
- 6. Общие сведения о стандартах серии iso 27000
- Разработчики международных стандартов
- Русские переводы международных стандартов
- 7. Iso 15408 - Общие критерии оценки безопасности информационных технологий
- 8. Iso 18028 - Международные стандарты сетевой безопасности серии
- Iso/iec 18028-1:2006 Информационные технологии. Методы обеспечения безопасности. Сетевая ит безопасность. Управление сетевой безопасностью.
- Iso/iec 18028-5:2006 Информационные технологии. Методы обеспечения безопасности. Защита сетевых взаимодействий при помощи Виртуальных Частных Сетей
- 9. Российские стандарты гост
- 10. Модель сетевого взаимодействия
- 11. Модель безопасности информационной системы
- 12. Классификация криптоалгоритмов
- 13. Алгоритмы симметричного шифрования
- 14. Криптоанализ
- Дифференциальный и линейный криптоанализ
- 15. Используемые критерии при разработке алгоритмов
- 16. Сеть Фейштеля
- 17. Алгоритм des Принципы разработки
- Проблемы des
- 18. Алгоритм idea
- Принципы разработки
- Криптографическая стойкость
- 21. Создание случайных чисел
- 22. Требования к случайным числам
- Случайность
- Непредсказуемость
- Источники случайных чисел
- Генераторы псевдослучайных чисел
- Криптографически созданные случайные числа
- Циклическое шифрование
- Режим Output Feedback des
- Генератор псевдослучайных чисел ansi x9.17
- 23. Разработка Advanced Encryption Standard (aes) Обзор процесса разработки aes
- Обзор финалистов
- Критерий оценки
- Запасной алгоритм
- Общая безопасность
- 25. Основные способы использования алгоритмов с открытым ключом
- Алгоритм rsa
- 27. Алгоритм обмена ключа Диффи-Хеллмана
- 28. Транспортное кодирование
- 29. Архивация
- Требования к хэш-функциям
- 31. Цифровая подпись Требования к цифровой подписи
- Прямая и арбитражная цифровые подписи
- 32. Симметричное шифрование, арбитр видит сообщение:
- 33. Симметричное шифрование, арбитр не видит сообщение:
- 34. Шифрование открытым ключом, арбитр не видит сообщение:
- 35. Стандарт цифровой подписи dss
- Подход dss
- 36. Отечественный стандарт цифровой подписи гост 3410
- 37. Алгоритмы распределения ключей с использованием третьей доверенной стороны Понятие мастер-ключа
- 38. Протоколы аутентификации
- Взаимная аутентификация
- 39. Элементы проектирования защиты сетевого периметра.
- 40. Брандмауэр и маршрутизатор.
- 41. Брандмауэр и виртуальная частная сеть.
- 42. Многоуровневые брандмауэры.
- 43. Прокси-брандмауэры.
- 44.Типы прокси.
- 46.Недостатки прокси-брандмауэров.
- 48. Виртуальные локальные сети.
- 49. Границы виртуальных локальных сетей.
- 50. Частные виртуальные локальные сети.
- 51. Виртуальные частные сети.
- 52. Основы построения виртуальной частной сети.
- 53. Основы методологии виртуальных частных сетей.
- 54. Туннелирование.
- 55. Защита хоста.
- 56. Компьютерные вирусы
- Структура и классификация компьютерных вирусов
- 2.3.3. Механизмы вирусной атаки
- 58. Протокол ррр рар
- 59. Протокол ррр chap
- 60. Протокол ррр еар
- 68. Виртуального удаленного доступа
- 69. Сервис Директории и Служб Имен
- 70. По и информационная безопасность
- 71. Комплексная система безопасности. Классификация информационных объектов