Организация контроля доступа
Распределенная служба безопасности
Kerberos
ACL
Защита информации
43.00K

Организация контроля доступа. Распределенная служба безопасности

1. Организация контроля доступа

2. Распределенная служба безопасности

Имеется две больших группы функций
службы безопасности: идентификация
и авторизация.
Идентификация проверяет
идентичность объекта (например,
пользователя или сервиса).
Авторизация (или управление
доступом) назначает привилегии
объекту, такие как доступ к файлу.

3.

Авторизация - это только часть
решения. В распределенной сетевой
среде обязательно должна работать
глобальная служба идентификации,
так как рабочей станции нельзя
доверить функции идентификации
себя или своего пользователя.

4.

Служба идентификации
представляет собой механизм
передачи третьей стороне функций
проверки идентичности пользователя.

5. Kerberos

Служба безопасности OSF DCE
базируется на системе
идентификации Kerberos,
разработанной в 80-е годы и
расширенной за счет добавления
элементов безопасности.

6.

Kerberos использует шифрование,
основанное на личных ключах, для
обеспечения трех уровней защиты.
Самый нижний уровень требует, чтобы
пользователь идентифицировался только
при установлении начального соединения,
предполагая, что дальнейшая
последовательность сетевых сообщений
исходит от идентифицированного
пользователя.

7.

Следующий уровень требует
идентификацию для каждого сетевого
сообщения. На последнем уровне все
сообщения не только идентифицируются,
но и шифруются.
Система безопасности не должна сильно
усложнять жизнь конечного пользователя в
сети, то есть он не должен запоминать
десятки паролей и кодов.

8. ACL

Весьма полезным сетевым средством
для целей безопасности является
служба прав доступа или, другими
словами, авторизация.
Служба авторизации OSF базируется на
POSIX-совместимых списках прав
доступа - ACL.

9.

В то время как система Kerberos
основана на личных ключах, в
настоящее время широкое
распространение получили методы,
основанные на публичных ключах
(например, метод RSA).
OSF собирается сделать DCEприложения переносимыми из
Kerberos в RSA.

10. Защита информации

Средства защиты информации встроены в
NetWare на базовых уровнях операционной
системы, а не являются надстройкой в виде
какого-либо приложения.
Поскольку NetWare использует на файлсервере особую структуру файлов, то
пользователи не могут получить доступ к
сетевым файлам, даже если они получат
физический доступ к файл-серверу.

11.

Операционные системы NetWare
содержат механизмы защиты
следующих уровней:
защита информации о пользователе;
защита паролем;
защита каталогов;
защита файлов;
межсетевая защита.

12.

В 1983 году фирма Novell ввела в
систему концепций локальной сети
понятия имени пользователя, пароля
и характеристики пользователя (user
profile).

13.

Характеристика пользователя содержит
перечень ресурсов, к которым
пользователь имеет доступ, и права,
которыми он обладает при работе с
этими ресурсами.
Администратор сети может ограничить
права пользователя по входу в сеть
датой, временем и конкретными
рабочими станциями.

14.

Средства обнаружения нарушений
защиты и блокировки действий
нарушителя извещают
администратора сети о попытках
несанкционированного доступа.

15.

В версии NetWare 3.12 пароли хранятся
на сервере в зашифрованном виде.
Пароль, задаваемый пользователем,
передается по кабелю также в
зашифрованном виде, что
обеспечивает защиту от попыток
узнать пароль путем "прослушивания"
сети.

16.

В версии NetWare 4.x использована
более надежная схема
идентификации пользователя при
логическом входе в сеть, основанная
на использовании технологии защиты
RSA public key/private key.

17.

При использовании этой технологии пароль и
личный ключ пользователя никогда не
передаются по кабелям, что полностью
исключает возможность узнать чужой
пароль.
В службу каталогов NDS также введен новый
уровень управления доступом, который
может быть введен в действие
администратором в любой части сети.

18.

С точки зрения защиты ОС NetWare не делает
различия между операционными системами
рабочих станций.
Станции, работающие под управлением DOS,
Windows, OS/2, Macintosh и UnixWare,
обслуживаются совершенно одинаково, и
все функции защиты применяются ко всем
операционным системам, которые могут
использоваться в сети NetWare.
English     Русский Правила