Безопасность и Internet


Развитие методов и средств аутентификации


Для работы с пользователями межсетевой экран (а при необходимости и другие средства безопасности, например, шлюз VPN) может выполнять аутентификацию пользователей либо полностью самостоятельно, либо с привлечением внешних систем аутентификации и авторизации, которые имеются в сетевых операционных системах или системах удаленного доступа. Самостоятельное выполнение аутентификации экраном ведет к дублированию базы учетных записей пользователей, что нежелательно по многим причинам. В то же время сегодня в корпоративных сетях широко используются средства аутентификации, основанные на централизованной службе каталогов, такой как NDS компании Novell или Directory Services компании Microsoft (которую должна сменить служба Active Directory для Windows 2000, обладающая существенно более высокой масштабируемостью и совместимостью с основными стандартами Internet ). Такие системы аутентификации обладают многими привлекательными свойствами:

  • обеспечивается единый логический вход пользователя в сеть (а не на отдельный сервер),
  • администратор работает с единственной записью учетных данных о каждом пользователе и системном ресурсе,
  • система отлично масштабируются за счет распределенного характера базы данных каталога,
  • доступ к данным каталога осуществляется с помощью стандартного для Internet протокола LDAP (службой Directory Services не поддерживается)
  • данные о пользователях и ресурсах сети хранятся в иерархическом виде, соответствующем структуре организации и сети.

Для повышения эффективности работы с пользователями межсетевой экран должен уметь использовать учетные данные, хранящиеся в службе каталогов сети, при конструирования правил доступа (например, обращаясь к ним по протоколу LDAP), а также выполнять транзитную аутентификацию, выполняя роль посредника между пользователем и используемой в сети системой аутентификации. Такой вариант работы средств безопасности позволяет администратору средств безопасности сосредоточиться на выполнении своих прямых обязанностей и не дублировать работу по администрированию пользователей.

Особым случаем является аутентификация массовых клиентов предприятия, которые возникают при ведении бизнеса с помощью Internet. При усложнении схем бизнеса появляются различные категории массовых клиентов, которым нужно давать разные права доступа. Для аутентификации массовых клиентов традиционные схемы на основе индивидуальных паролей неэффективны, так как требуют ввода в систему и хранения каждого пароля, и, следовательно, плохо масштабируются. Для работы с массовыми пользователями очень желательно, чтобы межсетевой экран поддерживал технологию аутентификации на основе цифровых сертификатов стандарта X.509 и инфраструктуры публичных ключей (PKI), которая получает все большее распространение в Internet. Сертификаты позволяют разбить пользователей на несколько классов и предоставлять доступ в зависимости от принадлежности пользователя к определенному классу. Инфраструктура публичных ключей нужна для организации жизненного цикла сертификатов и позволяет, в частности, проверить подлинность предъявленного сертификата за счет проверки подлинности цифровой подписи сертифицирующей организации (Certificate Authority) или цепочки сертифицирующих организаций, если организация, выдавшая сертификат, не входит в перечень пользующихся на данном предприятии доверием сертификационных центров.

Аутентификация на основе сертификатов может применяться не только к массовым клиентам, но и к сотрудникам предприятий-партнеров, а также и к собственным сотрудникам.

Поддержка межсетевым экраном сертификатов и инфраструктуры публичных ключей приводит к исключительно масштабируемым системам аутентификации, так как в этом случае в системе требуется хранить только открытые ключи нескольких корневых сертифицирующих организаций и поддерживать протоколы взаимодействия с их серверами сертификатов. Для успешной работы в гетерогенной среде, порождаемой взаимодействием с различными пользователями и организациями, важно, чтобы средства безопасности могли поддерживать продукты PKI основных ведущих производителей, таких как Entrust, Netscape, Microsoft и т.п.




Начало  Назад  Вперед



Книжный магазин