Kerberos-5.
К настоящему времени Kerberos выдержал уже четыре модификации, из которых четвертая получила наибольшее распространение. Недавно группа, продолжающая работу над Kerberos, опубликовала спецификацию пятой версии системы, основные особенности которой отражены в стандарте RFC 1510. Эта модификация Kerberos имеет ряд новых свойств, из которых можно выделить следующие. Уже рассмотренный ранее механизм передачи полномочий серверу на действия от имени клиента, значительно облегчающий идентификацию в сети в ряде сложных случаев, является нововведением пятой версии. Пятая версия обеспечивает более упрощенную идентификацию пользователей в удаленных Kerberos-областях, с сокращенным числом передач секретных ключей между этими областями. Данное свойство, в свою очередь, базируется на механизме передачи полномочий. Если в предыдущих версиях Kerberos для шифрования использовался исключительно алгоритм DES (Data Encryption Standard – Стандарт Шифрования Данных), надежность которого вызывала некоторые сомнения, то вданной версии возможно использование различных алгоритмов шифрования, отличных от DES.
Заключение.
Многие производители сетевого и телекоммуникационного оборудования обеспечивают поддержку работы с Kerberos в своих устройствах. Так, фирма TELEBIT, являясь крупнейшим поставщиком маршрутизаторов для связи по коммутируемым и выделенным линиям, недавно анонсировала поддержку Kerberos–клиента семейством маршрутизаторов NetBlazer. Снабженные UNIX–подобной операционной системой, устройства NetBlazer обеспечивают их удаленное конфигурирование по сети с помощью функций telnet и rlogin .Поэтому работоспособность сети, в особенности если это сеть достаточно больших размеров, сильно зависит от защищенности коммуникационных узлов, которыми являются маршрутизаторы NetBlazer, от непредвиденных или злонамеренных изменений конфигурации. Использование Kerberos в таких сетях позволит обеспечить доступ к внутренним установкам маршрутизатора только администраторам сети. Следует, однако, отметить, что использование Kerberos не является решением всех проблем, связанных с попытками несанкционированного доступа в сеть (например, он бессилен, если кто-либо узнал пароль пользователя), поэтому его наличие не исключает других стандартных средств поддержания соответствующего уровня секретности в сети. Несмотря на это, Kerberos в настоящее время является одним из наиболее известных способов защиты сети от несанкционированного доступа. Основываясь исключительно на программных средствах и не требуя дополнительных “железных” устройств, он обеспечивает защиту сети с минимальным воздействием на трафик. Kerberos обеспечивает такой уровень защиты сети, при котором подключение к ней не дает возможности доступа к важной информации без регистрации пользователя в секретной базе Kerberos (что может быть проделано только с участием администратора сети). При этом для пользователя сети такая защита практически прозрачна, поскольку требует от него лишь дополнительного ввода пароля.
В случае с Kerberos неприятность заключалась не в алгоритме шифрования, а в способе получения случайных чисел, т.е. в методе реализации алгоритма. Когда в октябре прошлого года пришло известие о просчетах в системе генерации случайных чисел в программных продуктах Netscape, обнаруженных студентами университета Беркли, Стивен Лодин обнаружил подобную неприятность с Kerberos. Совместно с Брайаном Доулом он сумел найти брешь и в системе Kerberos. Действующие лица этой истории – не дилетанты. Выпускники университета Purdue (штат Иллинойс) сотрудничали с лабораторией COAST (Computer Operations, Audit and Security Technology), профессионально занятой вопросами компьютерной безопасности и руководимой проф. Спаффордом, который является также основателем PCERT (Purdue Computer Emergency Response Team) – университетского отряда “быстрого реагирования” на компьютерные ЧП. PCERT, в свою очередь, член аналогичной международной организации FIRST (Forum of Incident Response Team).
Характерно содержание первого обращения к прессе (от 16 февраля 1996 г.), которое от лица первооткрывателей сделал проф. Спаффорд. В нем, наряду с информацией о ненадежности системы паролей и возможностях ее взлома в течение пяти минут, говорится о задержке дальнейшего распространения технической информации до тех пор, пока разработчиками не будут внесены коррективы препятствующие несанкционированному доступу.
4. Виртуальные частные сети.
Одной из важнейших задач является защита потоков корпоративных данных, передаваемых по открытым сетям. Открытые каналы могут быть надежно защищены лишь одним методом – криптографическим.
Так называемые выделенные линии не обладают особыми преимуществами перед линиями общего пользования в плане информационной безопасности. Выделенные линии хотя бы частично будут располагаться в неконтролируемой зоне, где их могут повредить или осуществить к ним несанкционированное подключение. Единственное реальное достоинство – это гарантированная пропускная способность выделенных линий, а вовсе не какая-то повышенная защищенность. Впрочем, современные оптоволоконные каналы способны удовлетворить потребности многих абонентов, поэтому и указанное достоинство не всегда облечено в реальную форму.
Любопытно упомянуть, что в мирное время 95 % трафика Министерства обороны США передается через сети общего пользования (в частности через). В военное время эта доля должна составлять «лишь» 70 %. Можно предположить, что Пентагон – не самая бедная организация. Американские военные полагаются на сети общего пользования потому, что развивать собственную инфраструктуру в условиях быстрых технологических изменений – занятие очень дорогое и бесперспективное, оправданное даже для критически важных национальных организаций только в исключительных случаях.
Представляется естественным возложить на межсетевой экран задачу шифрования и дешифрования корпоративного трафика на пути во внешнюю сеть и из нее. Чтобы такое шифрование/дешифрование стало возможным, должно произойти начальное распределение ключей. Современные криптографические технологии предлагают для этого целый ряд методов.
После того, как межсетевые экраны осуществили криптографическое закрытие корпоративных потоков данных, территориальная разнесенность сегментов сети проявляется лишь в разной скорости обмена с разными сегментами. В остальном вся сеть выглядит как единое целое, а от абонентов не требуется привлечение каких-либо дополнительных защитных средств.
Пожалуй, нигде слово виртуальный не получило столь широкого распространения, как в сфере информационных технологий: виртуальная память, виртуальная машина, виртуальная реальность, виртуальный канал, виртуальный офис. Это произошло благодаря возможности так запрограммировать логику функционирования объекта, что для пользователя его (логические) поведение и свойства никак не будут отличаться от реального прототипа. Бегство в «виртуальный мир» может быть вызвано, скажем, принципиальной невозможностью оперировать с реальным объектом, экономическими соображениями либо временным фактором.
Виртуальные частные сети (Virtual Private Networks - VPN) являются не только «горячей» темой для индустриальных аналитиков, но привлекают также пристальное внимание как провайдеров сетевых услуг (Network Service Provider - NSP) и Internet-провайдеров (ISP), так и корпоративных пользователей. Компания Infonetics Research прогнозирует, что рынок VPN будет расти более чем на 100 % ежегодно вплоть до 2001 г., и его объем достигнет 12 млрд. долл. Она также сообщает, что 92 % крупных Internet-провайдеров и 60 % от общего числа ISP планируют предоставлять услуги VPN к концу 1998 г.
Прежде чем переходить к анализу причин, вызвавших столь бурный рост популярности VPN, напомним, что просто частные (корпоративные) сети передачи данных строятся, как правило, с использованием арендованных (выделенных) каналов связи коммутируемых телефонных сетей общего пользования (Public Switched Telephone Network - PSTN). В течение многих лет такие частные сети проектировались с учетом конкретных корпоративных требований, что в результате транслировалось в фирменные протоколы, поддерживающие фирменные же приложения (правда, в последнее время приобрели популярность протоколы Frame Relay и ATM). Выделенные каналы позволяют обеспечить надежную защиту конфиденциальной информации, однако оборотная сторона медали – это высокая стоимость эксплуатации и трудности при расширении сети, не говоря уже о возможности подключения к ней мобильного пользователя в непредусмотренной точке. В то же время для современного бизнеса характерны значительное рассредоточение и мобильность рабочей силы. Все больше пользователей нуждается в доступе к корпоративной информации посредством коммутируемых каналов, увеличивается также количество сотрудников, работающих на дому. Западные аналитики предсказывают, что к концу 1999 г. 80 % корпоративных пользователей будут иметь, по крайней мере, по одному портативному компьютеру (безусловно, проекция этого предсказания на Украину может вызвать только улыбку, но рано или поздно украинская экономика, изнасилованная прогрессом, вынуждена будет принять правила игры, диктуемые промышленно развитыми странами).
Далее, частные сети не в состоянии обеспечить такие же возможности для коммерческой деятельности, которые предоставляет Internet и IP-базированные приложения, к примеру, продвижение продукции, поддержка заказчиков или постоянная связь с поставщиками. Такое взаимодействие в режиме on-line требует объединения частных сетей, которые, как правило, используют разные протоколы и приложения, разные системы управления сетью и разных поставщиков услуг связи.