Поскольку сервер подтверждает запрос клиента на обслуживание, то клиент и сервер разделяют одинаковый ключ шифрования. При желании клиент и сервер могут шифровать все данные их сессии, используя этот ключ, или они могут выбрать не шифровать данные вообще.
Поскольку сервер удостоверил клиента, остальные шаги служат для удостоверения сервера. Это решает проблему неперсонифицированного вторжения в качестве сервера (т.е. подмены сервера). Клиент в этом случае требует, чтобы сервер послал назад сообщение, состоящее из временного штампа и аутентификатора клиента вместе со значением временной марки. Это сообщение зашифровано. Если сервер поддельный, он не знает действительного ключа шифрования сервера.
Таким образом, вторгнуться в систему можно только тогда, когда взломщик может узнать имя и пароль клиента.
5.4.2.Настройка сервера безопасности
Администратор может изменить следующие параметры настройки сервера управления доступом (как это показано на рис.5.5):
· максимальное количество администраторов системы защиты, одновременно работающих в сети (поле “Количество администраторов, одновременно находящихся в сети”);
· период времени, в течение которого сервер управления доступом ожидает подтверждения активности клиентских компьютеров. Если в течение указанного периода такое подтверждение не получено, сервер управления доступом отключает данный компьютер от сети. Данный параметр может принимать значения от 10 до 60 секунд (поле “Период обновления информации о клиенте, с”)[6].
Рис.5.5.Настройка сервера безопасности.
6.ВЫБОР И РАСПРЕДЕЛЕНИЕ ПАРОЛЕЙ ЗАЩИТЫ. МОНИТОРИНГ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА.
6.1.Выбор паролей
Пароль – это секретное слово, известное только конкретному пользователю. При правильном использовании пароль удостоверяет личность пользователя, входящего в компьютерную сеть[7].
Пользователь выбирает кодовую комбинацию из нескольких литер, записывает ее в память ЭВМ и затем, чтобы получить доступ к вычислительной системе, он должен будет ввести пароль с клавиатуры. Многие системы при этом выключают “печатающую головку”, так что вводимый пароль не отображается на экране дисплея[8].
Объектом аутентификации может быть некоторый объем знаний человека. При выборе пароля естественно возникает вопрос, каким должен быть его размер и стойкость к несанкционированному подбору?
Чем больше длина пароля, тем большую безопасность будет обеспечивать система, так как потребуются большие усилия для его подбора. Это обстоятельство можно представить в терминах ожидаемого времени раскрытия пароля или ожидаемого безопасного времени. Ожидаемое безопасное время (Тб)- полупроизведение числа возможных паролей и времени, требуемого для того, чтобы попробовать каждый пароль из последовательности запросов. Представим эти формулы:
(6.1)
Где t – время, требуемое на попытку введения пароля, равное E/R;
R – скорость передачи (символы в минуту) в линии связи;
Е – число символов в передаваемом сообщении при попытке получить доступ (включая пароль и служебные символы);
S – длина пароля;
А – число символов в алфавите, из которых составляется пароль.
Если после каждой неудачной попытки подбора автоматически предусматривается некоторая задержка (например, 10 секунд), то безопасное время резко увеличивается. Если в дополнение к R,E,M и А примем, что пароль может быть раскрыт посторонним лицом с вероятностью Р , то получим формулу Андерсона:
(6.2) Если R,E,M и A фиксированы, то каждое значение S будет давать различную вероятность Р правильного его отгадывания. Если мы хотим построить систему, где незаконный пользователь имел бы вероятность отгадывания пароля не большую, чем Р , то следует выбрать такое S, которое бы удовлетворяло выражению (6.2).
Нетрудно заметить, что в выражениях (6.1) и (6.2) величина S является показателем степени и, следовательно, оказывает большое влияние на безопасное время и вероятность раскрытие пароля[2].Проведем расчет длины пароля для различных категорий пользователей сети нашего подразделения. Допустим, что будет применяться стандартный английский алфавит, т.е. А=26; период времени подбора пароля М=3 месяца; скорость передачи R=600 символов в минуту; число символов в передаваемом сообщении Е=20.
Таблица 6.1
Выбор длины паролей
Выбор длины пароля в значительной степени определяется развитием технических средств, их элементной базы и быстродействия. В настоящее время широко применяются пароли, где S>10. В связи с этим возникают вопросы: как и где хранить пароль и как связать его с аутентификации пользователя? Ведь хорошо известно, что, несмотря на самые строгие предупреждения о недопустимости хранения пароля на листке бумаги на рабочем месте, многие сотрудники именно так и поступают, причем, при увеличении его длины, их непрерывно возрастает. Это объясняется естественной боязнью человека забыть пароль в самый неподходящий момент.
На помощь приходит комбинированная система, в которой код пароля состоит из двух частей. Первая часть состоит из 3-4х знаков, которые легко могут быть запомнены человеком. Вторая часть содержит количество знаков, определяемое требованиями к защите и возможностями технической реализации системы, она помещается на физический носитель и определяет ключ-пароль, расчет длины которого ведется по указанной выше методике[2].
Худшими паролями являются очевидные слова, инициалы, географические названия и имена людей, телефонные номера, даты рождения или полные слова какого-либо языка: в языке ограниченное число слов и компьютер сможет их достаточно быстро перебрать[9]. В Приложении 1 приведен список стандартных паролей адаптированных к условиям России, применение которых крайне нежелательно.
Приведем несколько правил формирования “правильных” паролей:
· пароль должен быть неожиданным, лучше – случайным,
· при малейшей опасности желательно сменить все пароли,
· не желательно использование одного и того же пароля в разных системах[5].
В качестве пароля может быть использован набор ответов на M стандартных и N ориентированных на пользователя вопросов. Этот метод получил название “вопрос - ответ”. Когда пользователь делает попытку включиться в работу, система случайным образом выбирает и задает ему некоторые (или все) из этих вопросов. Пользователь должен дать правильные ответы на все вопросы, чтобы получить доступ к информации.
При увеличении длины пароля нельзя увеличивать периодичность его смены на новые значения более 1 года. Коды паролей необходимо менять обязательно, так как за большой период времени увеличивается вероятность их перехвата путем прямого хищения носителя, снятия его копии, принуждения человека. Выбор периодичности необходимо определять из конкретных условий работы системы, но не реже одного раза в год. Причем дата замены и периодичность должны носить случайный характер[2].
6.2.Мониторинг несанкционированного доступа
На этапе эксплуатации администрация безопасности выполняет следующие функции:
· поддерживает средства защиты в работоспособном состоянии и периодически контролирует корректность их работы;
· производит изменения в настройке средств защиты на основании и в полном соответствии с изменениями в плане защиты. Они могут быть вызваны различными причинами, например, изменениями списка пользователей, состава сотрудников и их должностных или функциональных обязанностей, расширением номенклатуры используемых технических и программных средств, задач и т.п. Рекомендуется проводить эти изменения в системе только по утвержденным документам;
· осуществляет текущий контроль над работой пользователей системы;
· анализирует содержимое журналов регистрации событий, формируемых средствами защиты, и т.п.
6.2.1.Текущий контроль над работой пользователей системы
Администратор может управлять эксплуатацией каждой рабочей станции с помощью диалога "Монитор" утилиты NetAdmin. Для каждого защищаемого компьютера (в соответствии с приобретенным комплектом системы Secret Net NT) предусмотрен специальный знак - экран, под которым указано имя компьютера в системе. Текущее состояние компьютера в системе отображается с помощью цвета экрана и специальных символов на нем, приведенных в табл.6.2.
Таблица 6.2
Символы, отображающие текущее состояние рабочей станции в системе Secret Net NT
Администратор может получить информацию о текущем состоянии рабочей станции и о ее пользователе в данный момент времени и, при необходимости, может приостановить работу любого пользователя системы на определенном компьютере.