Идентификация объектов и пользователей
Для того, чтобы установить подлинность субъектов и объектов системы, все субъекты и объекты, зарегистрированные в системе, должны иметь уникальные имена — идентификатоpы. Идентификация субъекта (объекта) представляет собой присвоение этому субъекту (объекту) уникального имени (идентификатора).
Каждому зарегистрированному в компьютерной системе объекту или субъекту сопоставляется некоторая информация, однозначно идентифицирующая его. Эту информацию принято называть идентификационной информацией данного объекта или субъекта.
Под субъектом обычно понимают человека — пользователя или пользовательского агента (программу), — осуществляющего доступ к некоторому ресурсу от его имени. Идентификационная информация может быть либо постоянной, либо изменяемой в процессе эксплуатации. Носителем идентификационной информации об объекте является придаваемый каждому объекту индивидуальный идентификатор.
В общем случае идентификатором может быть некоторое устройство или признак, по которому определяется объект. Идентификаторами могут быть строка символов (логин), карточка со штрих-кодом, различные бесконтактные радиотеги, бесконтактные карты, брелоки, магнитные карточки, смарт-карты, изображение радужной оболочки глаза, отпечаток пальца, отпечаток ладони и другие физические признаки. Каждый идентификатор характеризуется определенным уникальным двоичным кодом.
В компьютерных системах чаще всего используется идентификатор (логин) который представляет собой последовательность любых символов. Логин должен быть заранее зарегистрирован в системе администратором службы безопасности. В процессе регистрации администратором в базу эталонных данных системы защиты для каждого пользователя заносятся следующие элементы данных:
фамилия, имя, отчество и, при необходимости, другие характеристики пользователя;
уникальный идентификатор пользователя;
имя процедуры установления подлинности;
используемая для подтверждения подлинности эталонная информация, например, пароль;
ограничения на используемую эталонную информацию, например, минимальное и максимальное время, в течение которого указанный пароль будет считаться действительным;
полномочия пользователя по доступу к компьютерным ресурсам.
Идентификация — это процесс распознавания объекта или субъекта по его идентификатору. Идентификатор объекта предъявляется считывателю, который считывает и передает в систему его индивидуальный код для проведения процедуры распознавания.
В последнее время широкое распространение получают средства электронной идентификации — бесконтактные средства радиочастотной идентификации и смарт-карты. Объектом или субъектом идентификации может быть человек, животное, транспортное средство, оборудование, контейнер с грузом, изделие в процессе производства, товар, ценные предметы.
Средства электронной идентификации объектов находят широкое применение в автоматизированных системах управления многими процессами (на производстве, в торговле, при транспортных перевозках и т.п.), в системах управления доступом, в системах учета, хранения, обращения, охраны, оповещения, наблюдения и т.п.
Средства электронной идентификации стремительно внедряются практически во все сферы хозяйственной деятельности человека, внося в них принципиально новые качества, например:
в системах автоматизации производства они позволяют отслеживать все тонкости прохождения технологического процесса для каждого изделия и строить децентрализованные системы управления, значительно более надежные, чем централизованные;
в системах грузовых и пассажирских перевозок они позволяют автоматически отслеживать передвижение каждого транспортного средства, каждого груза и каждого пассажира практически без дополнительных затрат времени;
в системах складирования, хранения, в музеях, библиотеках, на выставках, в животноводстве они позволяют вести автоматизированный учет хранения и обращения каждого объекта;
в системах санкционированного доступа они позволяют устанавливать персональные условия и приоритеты каждому предъявителю для прохода в различные помещения охраняемой территории, вести непрерывный учет о пересечении посетителями всех контролируемых точек;
в разнообразных платежных системах они используются для оплаты услуг (таксофон, транспорт, музеи и т.п.) и мелких покупок.
Существует определенное различие между идентификацией объектов — товаров, изделий, предметов — и идентификацией субъектов — пользователей компьютерной системы или сети.
Для идентификации объекта из первой группы (товары, изделия, предметы и т.п.) достаточно произвести считывание информации с идентификатора, связанного с этим объектом, например, считывание штрих-кода данного объекта. При этом проверка подлинности товара или изделия как правило осуществляется путем визуальной проверки которая не всегда является достоверной. Проверка достоверности товара и защита от фальсификаций является предметом отдельного изучения и не входит в рамки нашего курса.
Для достоверной идентификации субъекта — пользователя компьютерной системы или сети — необходимо провести не только процедуру собственно идентификации, но и выполнить проверку подлинности данного пользователя. Если пользователь имеет идентификатор, зарегистрированный в системе или сети, он считается легальным (законным) пользователем; остальные пользователи относятся к нелегальным пользователям. Прежде чем получить доступ к ресурсам компьютерной системы или сети, пользователь проходит процесс первичного взаимодействия с компьютерной системой, который включает обязательные процедуры идентификации и аутентификации.
Системы идентификации и аутентификации пользователей являются обязательным элементом любой информационной системы. Задачей систем идентификации и аутентификации является определение и верификация набора полномочий пользователя при доступе к информационной системе. Во многих приложениях осуществление идентификации и аутентификации человека или программы для доступа к некоторому ресурсу является более важной задачей, чем обеспечение конфиденциальности информации. Практически все многопользовательские и сетевые операционные системы, а также банкоматы и кассовые терминалы требуют не только идентификации, но и аутентификации пользователя. С развитием Интернет и безбумажных технологий число приложений, которые требуют аутентификации пользователей, будет только возрастать.
1. Сбор информации
Первый этап реализации атак — это сбор информации об атакуемой системе или узле. Он включает такие действия как определение сетевой топологии, типа и версии операционной системы атакуемого узла, а также доступных сетевых и иных сервисов и т.п. Эти действия реализуются различными методами.
Изучение окружения
На этом этапе нападающий исследует сетевое окружение вокруг предполагаемой цели атаки. К таким областям, например, относятся узлы Internet-провайдера «жертвы» или узлы удаленного офиса атакуемой компании. На этом этапе злоумышленник может пытаться определить адреса «доверенных» систем (например, сеть партнера) и узлов, которые напрямую соединены с целью атаки (например, маршрутизатор ISP) и т.д. Такие действия достаточно трудно обнаружить, поскольку они выполняются в течение достаточно длительного периода времени и снаружи области, контролируемой средствами защиты (межсетевыми экранами, системами обнаружения атак и т.п.).
Идентификация топологии сети
Существует два основных метода определения топологии сети, используемых злоумышленниками:
Идентификация узлов
- Многие сетевые устройства и программы блокируют ICMP-пакеты и не пропускают их во внутреннюю сеть (или наоборот не пропускают их наружу). Например, MS Proxy Server 2.0 не разрешает прохождение пакетов по протоколу ICMP. В результате возникает неполная картина. С другой стороны, блокировка ICMP-пакета говорит злоумышленнику о наличии «первой линии обороны» — маршрутизаторов, межсетевых экранов и т.д.
- Использование ICMP-запросов позволяет с легкостью обнаружить их источник, что, разумеется, не может входить в задачу злоумышленника.
Адресация процессов
Для успешного обмена сообщениями между процессами, выполняющимися на двух различных хостах, необходимо, чтобы они могли идентифицировать друг друга. Идентификация требует наличия следующей информации о процессе:
□ имя или адрес хоста, которому принадлежит процесс;
□ идентификатор процесса внутри хоста.
Сначала рассмотрим адрес хоста. В Интернет-приложениях хосты идентифицируются с помощью IP-адресов, которые будут подробно изучены нами в главе 4. Пока нам достаточно знать, что IP-адрес представляет собой 32-разрядное двоичное число, уникальное для каждого хоста сети (говоря точнее, это число уникально для каждого интерфейса, с помощью которого осуществляется подключение хоста к сети). Проблема уникальности IP-адресов является очень важной, и в главе 4 мы подробно ее обсудим.
Идентификация процесса внутри хоста производится с помощью уникального для каждого процесса хоста номера порта. Популярные Интернет-протоколы прикладного уровня имеют стандартизированные (говорят: хорошо известные) значения номеров портов. Так, процесс, использующий протокол HTTP, получает порт номер 80, а процесс, использующий протокол SMTP, — порт номер 25. Хорошо известные номера портов можно найти в документе RFC 1700 (который в настоящее время является несколько устаревшим) и на сайте _http://www.iana.org (RFC 3232). Когда разработчик создает новое сетевое приложение, он должен назначить приложению собственный номер порта.
Уточнения, корректировки и обсуждения статьи «Адресация процессов» — под данным текстом, в комментариях.
Ответственность, за все изменения, внесённые в систему по советам данной статьи, Вы берёте на себя.
Копирование статьи «Адресация процессов», без указания ссылки на сайт первоисточника Компьютерные сети и многоуровневая архитектура интернета (conlex.kz), строго запрещено.