Лекция 12
Желіні қорғау әдістері. Аутентификация.
Ортақ құпиялы кілтке негізделген аутентификация.
Желілерді қорғау
Соңғы кездері корпоративті желілер Интернетке жиі қосылуда немесе тіпті оны өзінің негізі ретінде қолдануда. Корпоративті желілерге заңсыз енудің залалдарын ескере отырып қорғану әдістері қарастырылуда. Корпоративті ақпарат желілерін қорғау үшін бранмауэрлер қолданылады. Брандмауэр – бұл желіні екі немесе одан да көп бөліктерге бөлетін, пакеттердің бір бөліктен екіншісіне өту шарттарын анықтайтын, және бірнеше ережелерден тұратын жүйе немесе жүйелер құрылымы. Ережеге сай бұл шекара кәсіпорынның жергілікті желісі мен Интернет арасына қойылады, әйтсе де оны ішінара жүргізуге де болады. Дегенмен жеке компьютерлерді қорғау тиімсіз сондықтан да әдетте бүкіл желі қорғалады. Брандмауэр бүкіл трафикті өзі арқылы өткізуді және де әр пакетті өткізуге немесе өткізбеуге өзі шешім шығарады. Брандмауэр шешім қабылдау үшін бірнеше ережелер орындауы қажет. Брандмауэр ақпараттық құралдармен (яғни жекелеген физикалық құрылғылар) сондай-ақ арнайы программалар түрінде болуы мүмкін. Ережеге сай брандмауэр жұмыс істейтін операциялық жүйеге өзгерістер енгізіледі: мақсаты – брандмауэрдің өзін-өзі қорғауын күшейту. Бұл өзгерістер операциялық жүйе ядросына сондай-ақ конфигурацияның сәйкес файлдарына да тиесілі. Брандмауэрдің өзінде қолданушы бөліктерінің орналасуына рұқсат етілмейді, онда тек администраторлық бөлік қана болады. Кейбір брандмауэрлер тек бір ғана қолданушылық режимде жұмыс істейді, ал біразында программалық кодтардың тұтастығын тексеру жүйесі болады. Әдетте брандмауэр трафик бөліктерін тасмалдауға бөгет қоятын фильтрлерді немесе экрандарды қоса есептегенде бірнеше әртүрлі компоненттерден тұрады. Барлық брандмауэрлерді екі типке бөлуге
болады:
• сүзгілі бағыттаушылар көмегімен ІP пакеттерді сүзгілеуді іске асыратын пакеттік сүзгілер;
• желідегі қандай да бір қызметті қолдану мүмкінділігіне бөгет
қоятын қолданбалы деңгей серверлері. Осылайша брандмауэрге
желілер арасында орналасатын компоненттер жиыны немесе
төмендегідей қасиеттерге ие жүйе деп анықтама беруге болады:
• ішкі желіден сыртқы желіге және сыртқы желіден ішкі желіге
өтетін бүкіл трафик осы жүйе арқылы өтуі керек.
• тек жергілікті қорғалу стратегиясынан өткен трафик қана осы жүйе
арқылы өте алады.
• жүйе рұқсатсыз қолданушылардан сенімді қорғалады.
Аутентификация (немесе идентификация) - әңгімелесушісі өзін кім деп айтты, сол болып табылатындығын процесс көмегімен қанағаттандыратын әдіс. Енудің белсенді арам әрекеттерінде жойылған процестің шынайылығын тексеру күрделі тапсырма болып табылады және криптографияға негізделген күрделі хаттамаларды талап етеді.
Аутентификациялау және авторизация ұғымдарын кейде шатастырып алатынын айтып өтейік. Аутентификация сіздің әңгімелесушіңіздің сұрағының шынайылығымен байланысты. Мысалы, клиенттік процесс файлдық серверге назар аударып, былай дейді: «Мен Скоттың процесімін және мен соocbook.old файлын жойғым келеді». Файл-сервер келесі екі сұрақты шешуі тиіс:
Шынында да бұл процесс Скоттікі ме (аутентификация)?
Скотт соocbook.old файлын жоюға құқығы бар ма (авторизация)?
Екі сұраққа да екі ойлы емес, нақты жауап алынғаннан кейін ғана сұралған әрекет орындалуы мүмкін. Бірінші сұрақ кілттік болып табылады. Оның кіммен сөйлесіп отырғанын сервер білгеннен кейін, рұқсат құқын тексеру үшін локальді кестенің немесе берілгендер қорын қарап шығу ғана талап етіледі.
Барлық аутентификация хаттамаларымен қолданылатын ортақ схема келесі әрекеттерден тұрады. Алиса Бобпен немесе кілттердің жайылуының сенімді деп есептелінетін Орталығымен қорғалған қосылыс орнатқысы келеді. Сосын әртүрлі бағыттарда тағы бірнеше хабарламалар жіберіледі. Солардың жіберілу кезінде Труди есімді бұзық қыз Алисаны немесе Бобты алдау үшін, сол хабарламаларды алып, өзгертіп және қайтадан ойнатуы, немесе келісімді үзіп жіберуі мүмкін.
Әйткенмен, хаттама өз жұмысын аяқтағаннан кейін, Алиса Бобпен сөйлесіп отырғандығына, ал Боб Алисамен сөйлесіп отырғанына сенімді болуы керек. Бұдан басқа хаттамалардың көбінде әңгімелесушілер, бірінен кейін бірі келетін ақпараттармен алмасу үшін қолданатын, құпиялық сеанс кілтін орнатады. Тәжірибе жүзінде берілгендермен барлық алмасулар, олардың өнімділіктері ашық кілтті алгоритмдердің өнімділігінен үлкендеу болғандықтан, құпиялы кілтті алгоритмдердің бірінің көмегімен шифрленеді (АЕS немесе үштік DES). Әйткенмен, ашық кілтті алгоритмдер аутентификациялау хаттамаларында және сеанс кілтін анықтау үшін кеңінен қолданылады.
Әрбір жаңа қосылыс үшін жаңа, кездейсоқ таңдалған сеанс кілтінің қолданылу мақсаты, қолданушының ашық және жабық кілттері қолданысымен жіберілетін трафик минимизациясынан, қаскүнемге тиісті болатын шифрланған тексттің санын кішірейтуден, сонымен қатар егер процесс тоқтау берсе және түйін бөгеті бөтен қолға тию жағдайында зиян келтіру минимизациясынан тұрады.сондықтан қосылысты орнатқаннан кейін процесте тек бір уақытша сеанс кілті сақталуы керек. Барлық тұрақты кілттер мұқият өшірілу керек.
Ортақ құпиялы кілтке негізделген аутентификация
Біздің бірінші аутентификация хаттамамызда, Алиса мен Бобта ортақ құпиялы КАВ кілт бар деп ұйғардық. Бұл құпиялы кілт жөнінде жеке кездесуде немесе телефон арқылы келісуге болады, бірақ кез келген жағдайда желі бойынша емес.
Бұл хаттаманың негізінде көптеген аутентификация хаттамаларында қолданылатын принцип жатыр: бір жағы екіншісіне кездейсоқ сан жібереді, басқа жағы ерекше бейнемен қайта құрып нәтижесін қайтарады. Бұндай хаттамалар дыбыс беру-пікір (оклик-отзыв) түріндегі хаттамалар деп аталады. Осы және келесі аутентификациялар хаттамаларында келесі шартты белгілеулер қолданылады:
Достарыңызбен бөлісу: |