Д. 1 Бағдарламалық жасақтама түрлері және олардың қауіпсіздігін қамтамасыз етудің негізгі тәсілдері
Д.-10 Spring Security парольдерді хэштеу және шифрлау
жүктеу/скачать 82,43 Kb.
|
| Д.-10 Spring Security парольдерді хэштеу және шифрлау.
СНАР протоколында статикалық жасырын паролдері қолданылады. РАР протоколына СНАР протоколының ерекшелігі әрбір пайдаланушыға өз паролдері арқылы берілгендерді пайдалануға мүмкіндік береді. РАР протоколына қарағанда СНАР протоколдары желілерде көп қолданылады. СНАР протоколындағы паролдерді шифрлеу жүйесі криптографиялық алгоритмдердің хэштеу жүйесі көмегімен орындалады. СНАР протоколында RFC 1334 стандартында ХЭШ – функциясы HD 5 алгоритмдерімен анықталады. Яғни бұл алгоритм мәні 16 –байттан тұрады. СНАР протоколы 4 типтен пакеттермен анықталады: - Шақыру (Challenge); - Жауап (Response); - Нақтылау (Sеicess); - Жоққа шығару (Tailure); Аутентификация процесі СНАР протоколында шақыру панелін пайдалану арқылы басталады. Жойылғыш кампьютер дайджест нәтижесінде алынған шақыру функциясын бір нақты функция көмегімен шифрлеп, жасырын сөзді табады . Дайджест сұранысты қайталаған жаққа жауап пакет түрін қайтарады. Бір жақты хэш - функциясы Шақыру және Жауап пакеттеріне қолданғандықтан, жойылуы пайдаланушының паролін анықтау мүмкін болмайды. Сервер жауап пакетін қабылдап, қабылданған жауап парағын нәтижемен салыстырады. Егер нәтижелер сәйкес келсе, онда аутентификация сәтті өтеді және жойылған кампьютерге сервер нақтылау пакетін жібереді. Кері жағдайда сервер жойылушы компьютерге жоққа шығару пакетін жіберіп, байланысты үзеді. Егер жауап пакеті қайталанып берілсе, онда Шақыру пакеті серверде қайталанып жіберіледі. S/ Key протoколы Бір ретті паролдермен құрылған аутентификация протоколдарының енң таралған интернеттегі стандартты протоколға S/Key протоколы жатады. Бұл протоколдар көптеген жүйелерде қолданылады, сонымен қатар CISCO компаниясының TACACS жүйесінде де қолданылады. S/Key ашық жүйемен жұмыс атқарады және әрбір пайдаланушыға жеке пароль береді. Бұл паролдер генерациялары бір жақты функциялармен жүргізіледі. S/Key протаколы MD4 хэштеу алгоритмімен анықталады. Ал S/Key протаколдарының кейбір түрлері MD5 хэштеу функциясын қолданады. Аутентификация жиыны 100 бір жақты паролдерден тұрады. Тізімдегі бір жақты паролдер N-100 болады. Ал W101 кілтін есептеу үшін L функциясының аргументі және берілген функцияны 101 рет орындайтын рекурсив мына түрде есептеледі. Мұндағы К кілті пайдаланушылардың жасырын кілті болып табылады, ал N және W101 жасырынды емес сандар берілгендер қорында қайталама ретінде сақталады. W101 мәнін қабылдаған қайталанушы бөлімі бір жақты функцияны бір рет орындайды. W’101=h(W’100). Егер аутентификация W’100=W100 сәйкес келсе, онда аутентификация дұрыс, әрі сәтті орындалғанын анықтайды. S/Key протоколы әрбір пайдаланушы үшін идентификатор және тұрақты жасырын пароль бекітеді. Берілгендер фазасы әдетте пайдаланушылар сұранысымен орындалады. Жойылу мүмкіндігін орталықтан басқару. Жойылушы байланыстар локалды сервер жүйесімен байланысады. Әдетте егер локальді желі үлкен сигменттерді байланыстырса, онда жойылу мүмкіндігі үшін бір сервер аз болады. Локалды жүйеде бірнеше серверді байланыстыру кампьютерге жүктеледі, орталықтырылған жүйемен басқару дегенді білдіреді. Пайдаланушылар жойылушы серверге өту үшін RAS протоколы арқылы немесе СННР протоколдары арқылы аутентификациялық протоколдар жүреді. Пайдаланушы логикалық жүйеге ену үшін қажетті серверге сұраныс жібереді, аутентификациядан өтеді, авторазацияланады және нәтижесінде рұқсат алады да өзіне қажетті операцияны орындайды. Ал кері жағдайда рұқсат берілмей өз қажеттілігін ала алмайды. Мұндай жүйе пайдаланушы үшін ыңғайсыз. Себебі, пайдаланушы бірнеше рет аутентификация процесінен өтеді, жасырын паролдерді есте сақтау қажет болады. Желі серверіне өту үшін өте ыңғайсыз жағдай туындайды. Мұндай берілгендер қорын өзгерту жағдайында сақтап қалу оңайға түспейді. Мысалы егер қызметкерлерді жұмыстан шығарсақ оны тізімнен жою күрделене түседі. Паролдерді орнатып, өзгерту, аудиттер құру мәселесі туындайды. Көрсетілген қиындықтардың барлығына желіге аутентификациялау және авторизациялау қызметтерін атқаратын орталық жүйесін орнату қажет. Жүйеге кіруді бақылау орталығы үшін арнайы сервер беріледі, яғни ол серверді аутентификациялау сервері деп аталады. Бұл сервер жойылушы пайдаланушылардың нақтылығын тексеру үшін қолданылады. Сенімділік ақпараттық жүйе аутентификациясының қызметтерін, квалификациясын күшейтеді, яғни жоғарылатады. Жалпы компьютерлік желіні қолғау жүйесінің берілгендер қоры сақталады. Әдетте жойылушы компьютерлерге кіру мүмкіндігі көбінесе берілгендер қорын қорғау жүйесі орталақтандырылып әрекеттенеді. Операциялы жүйенің желісі каталогтар қызаметтерін сақтап, пайдаланушылардың эталонды парольдерін сақтайды, стандартты РАР және СНАР пратаколдарымен қызмет атқарады. Жойылушы сервер мен орталықтандырылған берілгендер қорын қорғау үшін сервер аутентификациясы қолданылады. РАР және СНАР протоколдары жойылушы сервермен және аутентификация серверлерін біріктіріп шағын жүйе құрады. Бұл шағын жүйелер барлық функцияларды орындайды. Орталықтандырылған жүйенің танымал протоколдарына TACACS(Terminal Access Controller Access Control System) және RADIUS (Remote Authentication Dial-In User Service). алуымызға болады. Олар ең алдымен ұйымдастыру үшін, орталық желіні бірнеше желіге бөлу үшін қолданылады. Мұндай жүйеде администратор берілгендер қорының идентификаторларын және пайдаланушы парольдерін басқарады. TACACS және RADIUS прoтoколдары бөлек сервер аутентификацияларын қолдануға болады. яғни мұндай жағдай NDS(Novell Directory Service) каталогтар қызметтері қолданылады. Ал TACACS және RADIUS протоколдары сыртқы жүйе аутентификацияларымен ұйымдастырылады. TACACS жүйесін қарастырайық. TACACS жүйесі клиент – сервер архитектурасымен орындалған жүйе. Ол құрамына жойылушы компьюерлердің бірнеше желісін енгізіп, аутентификация орнатады. TACACS cерверінде пайдаланушылар есебінен тұратын орталықтандырылған базадан тұрады. Берілгендер қоры жасырын парольдерден, атаулардын және қызметтер теориясынан тұрады. TACACS клиент сервері желіні желі ресурстарының сұраныстарын қанағаттандырады. Әрбір программалық жүйе үшін осындай сервер құрылап, стандартты протокол ұйымдастырады. TACACS cервері бір бірімен әрекеттеседі. TACACS протокол сонымен қатар сұраныстар типтерімен, есептерімен және байланыстармен де жұмыс атқарады. Сұраным бар клиент TACACS сервері мен жұмыс жасап өз сұранысына жауап табады. Протоколмен байланысудың бірнеше типтері бар. Олар: • AUTH-аутентификацияны орындау; • Login- пайдаланушының логикалық байланысы мен аутентификацияның орындалуы. • SLIP - Клиенттің IP адресін пайдаланып логикалық байланыстар арқылы аутентификацияны орындау; AUTH байланысы TACACS протоколына AUTH пакеттерінің хабарламаларын жіберу арқылы жүзеге асырылады. AUTH сервері шартты қанағаттандыруға, хабарлама ретінде REPY хабарламасын жібереді. Ал басқа аутентификацияның сервер жүйесіне тағы RADIUS жүйесін алуға болады. Өзінің функционалды мүмкіндіктеріне байланысты TACACS өте ұқсас. Тек практика жүзінде эквивалентті және ашық жүйе стандартына сай болып табылады. RADIUS протоколы ұйымдастырылуы бойынша аса күрделі. Өзін-өзі бақылау сұрақтары: 1. Идентификацияны және кіру мүмкіндігін басқару дегеніміз не? 2. Желіге кіру мүмкіндігін басқару әдісін атаңыз? 3. Жүйе агенті дегеніміз не? 4. Web – ке көру мүмкіндігін басқару дегеніміз не? 5. Берілгендерді шифрлеу дегеніміз не? 6. СНАР протоколының пакеттерін атаңыз? 7. Протоколмен байланысудың типтерін атаңыз? 8. Аутентификациялау сервері дегеніміз не? 9. Администратор қызметін атаңыз? 10. Аутентификация қалай жүреді? жүктеу/скачать 82,43 Kb. Достарыңызбен бөлісу:
|