поиск по сайту
Система усиленной аутентификации рабочих станций в ЛВС NetWare

 Леонтьев Д. Н., Счастный Д. Ю.,

ЗАО <ОКБ САПР>, Москва

Система усиленной аутентификации рабочих станций в ЛВС NetWare

Существующая в данный момент система идентификации и аутентификации пользователей в ЛВС Novell NetWare ориентирована в основном на подтверждение подлинности пользователей в момент запроса доступа к ресурсам файлового сервера. В качестве базовой системы аутентификации используется схема с простым паролем. В то же время корректности рабочих станций сети уделяется недостаточное внимание. Единственная проверка ограничивается сравнением номера сетевой карты рабочей станции, с которой идет запрос доступа, со списком разрешенных сетевых карт для данного пользователя. Все проверки, осуществляемые при диалоге пользователя и файлового сервера, решают одну задачу: проверку подлинности пользователя.

Проверка номера сетевой карты при запросе пользователем доступа к ресурсам файлового сервера не является достаточно сильным средством пресечения попыток несанкционированного доступа. Внеся дополнительную строку в файл настройки сетевого программного обеспечения рабочей станции, пользователь может задать любой номер сетевой карты и легко получить доступ к ресурсам файлового сервера с любой рабочей станции ЛВС, при этом с точки зрения сервера данное соединение будет корректным. Для предотвращения описанной ситуации необходимо ограничивать доступ пользователей к файлам конфигурации сетевого программного обеспечения или контролировать их целостность. Для рабочих станций, работающих под управлением каких-либо средств защиты от НСД, недопустимо изменение номера сетевых карт. Неконтролируемое изменение данных параметров может привести к разрушению любого плана защиты.

Другим путем для получения несанкционированного доступа к ресурсам файлового сервера является подключение некорректной станции к сети. Принцип работы ЛВС EtherNet таков, что злоумышленник может незаметно подключить свою ЭВМ к кабелям ЛВС и работать как легальная станция. В случае дискредитации пароля пользователя нет никаких преград для несанкционированного доступа к ресурсам файлового сервера.

Следовательно, необходимо разработать систему усиленной аутентификации, которая проводила бы некоторый диалог между файловым сервером и рабочей станцией после того, как пользователь признан корректным с точки зрения Novell NetWare.

При этом необходимо добиться того, чтобы этот диалог всякий раз содержал уникальные данные. Иначе, прослушав один раз такой диалог, злоумышленник может в следующий раз полностью воспроизвести его и получить-таки доступ к ресурсам файлового сервера. В каждом сеансе работы системы усиленной аутентификации необходимо использовать случайные данные, которые должна при этом еще и обеспечивать проверку подлинности обеих сторон. Идеальным решением данной проблемы было бы применение механизма подтверждения подлинности, основанного на коде подтверждения достоверности (КПД), аналогичного электронной цифровой подписи (ЭЦП). Однако в этом случае необходимо решить проблему хранения секретных ключей станций.

Предлагаемая система усиленной аутентификации предоставляет дополнительный механизм проверки подлинности рабочих станций в момент запроса доступа к ресурсам файлового сервера с учетом всех перечисленных требований. Секретный ключ станции хранится в закодированном виде, причем кодируется он на секретном ключе пользователя, который, в свою очередь, хранится вне ЭВМ в Touch Memory пользователя. Даже в случае полного доступа к рабочей станции у злоумышленника нет никакой возможности получить доступ к секретному ключу станции. Доступ к секретному ключу файлового сервера также затруднен для пользователей, так как он хранится не на жестком диске, а во внутренней памяти платы <Аккорд>. Уникальность данных для каждого диалога обеспечивается использованием аппаратного генератора случайных числе платы <Аккорд>.

Система усиленной аутентификации не требует от пользователя существенных затрат времени и сил, являясь в то же время мощным инструментом проверки подлинности рабочих станций ЛВС.


ФорумФорум
Форум ОКБ САПР
ОбучениеОбучение
Кафедра «Защита информации» ФРТК МФТИ и собственные курсы стажировок по нашей продукции.