logo
СуперШпор

24. Механизмы защиты данных в сетях эвм. Аутентификация в сети на примере Kerberos.

Основной механизм защиты данных в сетях - шифрование информации.

При помощи процедуры шифрования отправитель сообщения преобразует его из простого текста в набор символов, не поддающийся прочтению без применения специального ключа, известного получателю. Получатель сообщения, используя ключ, преобразует переданный ему набор символов обратно в текст. Т.о., если информация в зашифрованном виде попадет к злоумышленнику, он просто не сможет ей воспользоваться.

Авторизационный сервер (authentication server), обрабатывает все запросы пользователей на предмет получения того или иного вида сетевых услуг, получая запрос от пользователя, обращается к БД и определяет, имеет ли пользователь право на совершение данной операции. Пароли пользователей по сети не передаются, что также повышает степень защиты информации.

Ticket-granting server (сервер выдачи разрешений) получает от авторизационного сервера "пропуск", содержащий имя пользователя и его сетевой адрес, время запроса и ряд др. параметров, уникальный сессионный ключ. Пакет, содержащий "пропуск", передается также в зашифрованном виде. После получения и расшифровки "пропуска" сервер выдачи разрешений проверяет запрос и сравнивает ключи и затем дает "добро" на использование сетевой аппаратуры или программ.

Межсетевой защитный экран (Firewall или Brandmauer)— комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.

Основная задача - защита компьютерных сетей или отдельных узлов от несанкционированного доступа.

Может быть выполнен как:

- пакетный фильтр

- фильтр уровня соединения

- фильтр уровня приложения

- proxy-server (прокси-сервер)

Firewall - аналогия стены, которая разделяет смежные здания, предохраняя от распространения пожара

Аутентификация – это проверка подлинности предъявленного пользователем идентификатора. Бывает односторонняя и двухсторонняя (взаимная). Может выполняться на основе многоразового пароля, одноразового пароля, сертификатов.

Протокол Kerberos предлагает механизм взаимной аутентификации клиента и сервера перед установлением связи м/у ними. Учтено, что начальный обмен информацией м/у клиентом и сервером происходит в незащищённой среде, а передаваемые пакеты могут быть перехвачены и модифицированы.

Основная концепция — если есть секрет, известный только двоим, то любой из его хранителей может с лёгкостью удостовериться, что имеет дело со своим напарником. Для этого ему достаточно проверить, знает ли его собеседник общий секрет.

AS – Authentication server –сервер аутентификации.

TGS – Ticket-Granting Server – сервер выдачи мандатов

25. ОС вычислительных сетей, сравнительная характеристика, взаимодействие между собой, поддержка аппаратных средств (UNIX/Linux, Novell NetWare, Windows95/98/ME, Windows NT, Windows 2000/XP/Vista). Инсталляция, основные протоколы, службы, функционирование, сопровождение.

Novell NetWare 4.1. Специализированная операционная система, оптимизированная для работы в качестве файлового сервера и принт-сервера Ограниченные средства для использования в качестве сервера приложений: не имеет средств виртуальной памяти и вытесняющей многозадачности, а поддержка симметричного мультипроцесcирования отсутствовала до самого недавнего времени.

Серверные платформы: компьютеры на основе процессоров Intel, рабочие станции RS/6000 компании IBM под управлением операционной системы AIX с помощью продукта NetWare for UNIX. Поставляется с оболочкой для клиентов: DOS, Macintosh, OS/2, UNIX, Windows (оболочка для Windows NT разрабатывается компанией Novell в настоящее время, хотя Microsoft уже реализовала клиентскую часть NetWare в Windows NT).

Организация одноранговых связей возможна с помощью ОС PersonalWare. Имеет справочную службу NetWare Directory Services (NDS), поддерживающую централизованное управление, распределенную, полностью реплицируемую, автоматически синхронизируемую и обладающую отличной масштабируемостью. Поставляется с мощной службой обработки сообщений Message Handling Service (MHS), полностью интегрированную (начиная с версии 4.1) со справочной службой.

Поддерживаемые сетевые протоколы: TCP/IP, IPX/SPX, NetBIOS, Appletalk. Поддержка удаленных пользователей: ISDN, коммутируемые телефонные линии, frame relay, X.25 - с помощью продукта NetWare Connect (поставляется отдельно).

Безопасность: аутентификация с помощью открытых ключей метода шифрования RSA; сертифицирована по уровню C2. Хороший сервер коммуникаций. Встроенная функция компрессии диска. Сложное обслуживание

Microsoft Windows NT Server 3.51 и 4.0.

Серверные платформы: компьютеры на базе процессоров Intel, PowerPC, DEC Alpha, MIPS. Клиентские платформы: DOS, OS/2, Windows, Windows for Workgroups, Macintosh.

Организация одноранговой сети возможна с помощью Windows NT Workstation и Windows for Workgroups. Windows NT Server представляет собой отличный сервер приложений: он поддерживает вытесняющую многозадачность, виртуальную память и симметричное мультипроцессирование, а также прикладные среды DOS, Windows, OS/2, POSIX.

Справочные службы: доменная для управления учетной информацией пользователей (Windows NT Domain Directory service), справочные службы имен WINS и DNS.

Хорошая поддержка совместной работы с сетями NetWare: поставляется клиентская часть (редиректор) для сервера NetWare (версий 3.х и 4.х в режиме эмуляции 3.х, справочная служба NDS поддерживается, начиная с версии 4.0), выполненная в виде шлюза в Windows NT Server или как отдельная компонента для Windows NT Workstation. Служба обработки сообщений - Microsoft Exchange Server, интегрированная с остальными службами Windows NT Server.

Поддерживаемые сетевые протоколы: TCP/IP, IPX/SPX, NetBEUI, Appletalk. Поддержка удаленных пользователей: ISDN, коммутируемые телефонные линии, frame relay, X.25 - с помощью встроенной подсистемы Remote Access Server (RAS).

Служба безопасности: мощная, использует избирательные права доступа и доверительные отношения между доменами; узлы сети, основанные на Windows NT Server, сертифицированы по уровню C2. Простота установки и обслуживания. Отличная масштабируемость.

И ещё дохрена!!!:

Cравнительные характеристики сетевых операционных систем

Наименование:

NetWare 4.1

Windows NT Server 4.0

Unix

Многозадачность

кооперативная

вытесняющая

вытесняющая

Защита памяти отдельного процесса

нет

есть

есть

Многопоточность

есть

есть

есть

Поддержка SMP

есть

есть

есть

Кластеры

нет

нет

есть

Избыточная отказоустойчивость

SFT III

нет

есть для некоторых версий

Сертификация по C2

сеть

рабочая станция (NT 3.51)

разные варианты для различных версий

Поддержка алфавитно-цифровых терминалов

нет

нет

есть

Сетевой графический интерфейс

нет

у независимых фирм

есть

Логическая организация ресурсов

служба каталогов

домены

домены (NIS)

Быстродействие сетевой файловой

системы

отличное

очень хорошее

низкое (NFS)

Novell NetWare 4.1 и Microsoft Windows NT Server 4.0

Novell NetWare 4.1

Специализированная операционная система, оптимизированная для работы в качестве файлового сервера и принт-сервера. Ограниченные средства для использования в качестве сервера приложений. Отсутствуют API основных операционных сред, используемых для разработки приложений, - UNIX, Windows, OS/2. Серверные платформы: компьютеры на основе процессоров Intel, рабочие станции RS/6000 компании IBM под управлением операционной системы AIX с помощью продукта NetWare for UNIX. Для клиентских рабочих станций поставлялись оболочки для клиентов: DOS, Macintosh, OS/2, UNIX, Windows (3.x, 9x, Windows NT Workstation, существуют и клиентские части NetWare в Windows 9x и NT от Microsoft) Организация одноранговых связей возможна с помощью ОС Personal NetWare Имеет справочную службу NetWare Directory Services (NDS), поддерживающую централизованное управление, распределенную, полностью реплицируемую, автоматически синхронизируемую и обладающую отличной масштабируемостью. Поставляется с мощной службой обработки сообщений Message Handling Service (MHS), полностью интегрированную (начиная с версии 4.1) со справочной службой. Поддерживаемые сетевые протоколы: TCP/IP, IPX/SPX, NetBIOS, Appletalk Поддержка удаленных пользователей: ISDN, коммутируемые телефонные линии, frame relay, X.25 - с помощью продукта NetWare Connect (поставляется отдельно). Безопасность: аутентификация с помощью открытых ключей метода шифрования RSA; сертифицирована по уровню C2. Хороший сервер коммуникаций. Встроенная функция компрессии диска. Сложное обслуживание, требующее высокой квалификации.

Microsoft Windows NT Server 4.0

Серверные платформы: компьютеры на базе процессоров Intel, PowerPC, DEC Alpha, MIPS.

ОС клиентских рабочих станций: DOS, OS/2, Windows 3.x, Windows for Workgroups, Windows 9x, Windows NT Workstation, Macintosh. Организация одноранговой сети возможна с помощью Windows NT Workstation, Windows 9x и Windows for Workgroups. Windows NT Server представляет собой сравнительно хороший сервер приложений: он поддерживает вытесняющую многозадачность, виртуальную память и симметричное мультипроцессирование, а также прикладные среды DOS, Windows, OS/2, POSIX. Справочные службы: доменная для управления учетной информацией пользователей (Windows NT Domain Directory service), справочные службы имен WINS и DNS. Хорошая поддержка совместной работы с сетями NetWare: поставляется клиентская часть (редиректор) для сервера NetWare (версий 3.х и 4.х в режиме эмуляции 3.х, справочная служба NDS поддерживается, начиная с версии 4.0), выполненная в виде шлюза в Windows NT Server или как отдельная компонента для Windows NT Workstation и Windows 9x;

Служба обработки сообщений - Microsoft Mail, основанная на DOS- платформе, версия для платформы Windows NT - Microsoft Message Exchange, интегрированная с остальными службами Windows NT Server. Поддерживаемые сетевые протоколы: TCP/IP, IPX/SPX, NetBEUI, Appletalk. Поддержка удаленных пользователей: ISDN, коммутируемые телефонные линии, frame relay, X.25 - с помощью встроенной подсистемы Remote Access Server (RAS).

Служба безопасности: мощная, использует избирательные права доступа и доверительные отношения между доменами; узлы сети, основанные на Windows NT Server, сертифицированы по уровню C2. Простота установки и обслуживания. Отличная масштабируемость.