Безопасность корпоративных сетей становиться чрезвычайно актуальной задачей сейчас, когда фирмы, имеющие развитые собственные сети, начинают проявлять интерес к предоставлению отдельных информационных услуг своим клиентам, а также сами пользуются стандартными ресурсами Internet. При отсутствии комплекса мер по обеспечению безопасности, корпоративные данные фирмы могут быть использованы несанкционированно в целях, не имеющих ничего общего с целями фирмы.

Большинство современных систем защиты информационных ресурсов, как правило, едины в одном, они обычно используют пару идентификатор+пароль для идентификации (опознания) и аутентификации (проверки того факта, что обратившийся к ресурсу пользователь является именно тем, за кого он себя выдает).

Несмотря на наличие двух факторов, влияющих на аутентификацию пользователя в таких системах с информационной точки зрения, с точки зрения безопасности оба эти фактора имеют одну и ту же природу (информационную, нематериальную) и обладают всеми вытекающими из этого свойствами (возможность дешевого и неявного копирования и т.д.).

Существуют и многофакторные защищенные системы, в которых часть факторов является материальными или ограниченными во времени информационными компонентами. Всем известны примеры с использованием электронных ключей и магнитных или электронных карт, так же широко практикуется применение одноразовых паролей.

Недостатком таких систем защиты с аппаратными компонентами является необходимость взаимодействия этих компонент с самой системой. Обычно это предполагает наличие специализированного аппаратного интерфейса, что ограничивает применимость таких систем. Простые системы с одноразовыми паролями используют для аутентификации ту же информационную компоненту (одноразовый пароль).

Уникальность технологий Security Dynamics заключается в том, что материальный объект привязки карта не требует непосредственного взаимодействия со специализированным оборудованием типа аппаратных считывателей карт, PCMCIA слотов и т.д. Это позволяет легко интегрировать такую систему аутентификации в любую информационную среду.

Простейшая электронная карта SecurID фирмы Security Dynamics представляет собой генератор одноразовых паролей размером с кредитную карту, пароли меняются каждые 60 секунд, т.е. период актуальности каждого пароля равен 60 секундам. Каждая карта регистрируется в системе и ассоциируется (по ее серийному номеру) с определенным пользователем (его идентификатором и PIN-кодом), и генерируемый пароль действителен только для него (пароль генерируется на основе PIN-кода, серийного номера карты и времени его генерации). Выпускаются изделия, выполненные в виде брелков. Высокая степень защиты обеспечивается применением криптостойких алгоритмов кодирования.

Клиентские части таких защищаемых систем не требуют наличия особенных клиентских компонент. Вместо этого в точку предоставления сервиса (сетевой сервер, WEB сервер, сервер баз данных, аппаратный сервер доступа) устанавливается программный агент, который взаимодействует с серверами аутентификации, посылая им запросы на аутентификацию доступа.

Обработкой запросов в такой системе занимается сервер аутентификации ACE/Server. Решение о результате аутентификации пользователя принимается сервером на основе полученного от агента идентификатора пользователя и его пароля, который был создан картой SecurID Card и введен пользователем по запросу агента. Серверы ACE/Server способны функционировать на платформах Windows NT и UNIX ведущих производителей. Один сервер может обслуживать множество различных агентов одновременно. Можно использовать серверы аутентификации парами master/slave (рабочий и запасной). В состав ACE/Server входят средства администрирования, аудита, трассировки и мониторинга, генерации отчетов. Поддерживается возможность распределенного администрирования. Кроме того, в состав серверов входит сервер базы данных Progress 7 RDBMS, Progress 4GL и SQL интерфейс к базе в виде API для C.

Фирма Security Dynamics предлагает решения по интеграции своей системы в сетевые информационные среды операционных систем Windows NT, Novell NetWare, UNIX, Open VMS и MAC OS, в службы WWW серверов, в программные или аппаратные серверы удаленного доступа. Совместно с ведущими производителями программного и аппаратного обеспечения фирма Security Dynamics выработала спецификацию единого API.

Это позволило интегрировать их систему в firewall системы (CheckPoint - Firewall-1, продукты Raptor Systems, TIS - Gaunlet-3.1, Milkyway Networks - Black Hole Internet Firewall и т.д.), серверы баз данных и другие продукты третьих фирм. Все решения фирмы Security Dynamics реализуются на основе выпускаемых фирмой продуктов:

• Электронные карты SecurID Cards.
• SecurID Card - в виде электронной кредитной карты с жидкокристаллическим цифровым индикатором. PIN-код вводится как часть пароля, в качестве второй части используется сгенерированный картой код.
• SecurID Key Fob - в виде брелка с жидкокристаллическим цифровым индикатором.
• SecurID PINPAD Card разновидность SecurID Card с цифровой клавиатурой предназначенной для ввода PIN-кода. Результирующий пароль генерируется на основе введенного PIN-кода владельца.
• Программный аналог SoftID электронной карты SecurID PINPAD Card - не обладает свойствами материального объекта со всеми вытекающими из этого последствиями. Применение этого продукта оправдано лишь в крайних случаях.
• Серверы аутентификации ACE/Server.
• UNIX: Sun Microsystems SunOS/Solaris, IBM AIX, Hewlett Packard HP-UX.
• Windows NT 4.0/Intel..
• Агенты ACE/Agent.
• ACE/Agent for Window NT with WebID Feature Set представляет собой программный агент для Windows NT 3.51/4.0. Кроме аутентификации доступа к сети NT, аутентифицирует входящие соединения RAS. Программная компонента WebID позволяет производить аутентификацию доступа к WWW ресурсам сервера IIS.
• ACE/Client for NetWare -программный агент для Novell NetWare
• ACE/Agent for UNIX для платформ Sun Microsystems SunOS/Solaris, IBM AIX, Hewlett-Packard HP-UX, Digital UNIX, SGI IRIX, SCO UNIX.
• ACE/Server Access Manager является программным агентом для Windows NT 3.51/4.0, который, выполняя функции TACACS/RADIUS сервера, для реальной аутентификации пользователя взаимодействует с серверами ACE/Server.
• ACM/100, ACM/400, ACM/1600 представляют собой аппаратные устройства контроля доступа к интерфейсам RS-232 и содержат встроенных агентов ACE/Agent.
• SecurPBX ACE/Agent представляет собой программный продукт, который позволяет авторизовать доступ абонентов PBX сети к определенным ресурсам: модемным пулам, выделенным каналам, Internet каналам и т.д.

Технологии фирмы Security Dynamics поддерживаются программными и аппаратными продуктами третьих фирм. Как правило, такие продукты содержат те же агенты ACE/Agent. В качестве неполного перечня таких фирм можно привести: 3Com, Bay Networks, Cisco Systems, DEC, IBM, CheckPoint Software и другие.В приведенном на рис.1 примере защищенной системы один сервер аутентификации обслуживает множество агентов в серверах различных операционных систем, WEB серверах и серверах баз данных, аппаратных серверах удаленного доступа.

Применение решений фирмы Security Dynamics в комплексе с имеющимися средствами (от 3Com, Cisco, Novell и т.д.), в сочетании с их фирменными протоколами, методами шифрации и т.п. cпособно значительно повысить безопасность корпоративной сети.

Статья подготовлена в фирме Линкомп Юрием Короленко и Дмитрием Прохоровым
тел. 234-1536, 234-1687