04.02.2010

Свой или чужой?

Сергей Орлов, osp.ru

Сергей Орлов, osp.ru


«Аутентификация. Теория и практика обеспечения безопасного доступа к информационным ресурсам», под редакцией Александра Шелупанова, Сергея Груздева, Юрия Нахаева.


Книга коллектива авторов, посвященная вопросам аутентификации, представляет собой учебное пособие для вузов и адресована студентам и аспирантам, обучающимся по специальностям, связанным с защитой информации. Однако авторы не ограничивают сферу ее применения рамками образовательного процесса, рассчитывая, что она будет полезна и в практической деятельности специалистов ИТ, системных администраторов и администраторов безопасности различных сетей и систем: книга поможет им упорядочить и расширить знания по применению средств аутентификации и их интеграции с другими продуктами и решениями защиты информации.

Механизмы аутентификации широко используются в практике обеспечения безопасности сетей, систем и приложений. В последнее время вопросам информационной безопасности уделяется особое внимание и на государственном уровне, что находит отражение в новых законодательных нормах, поэтому литература данной тематики сейчас особенно актуальна. Авторам удалось систематизировать довольно противоречивые сведения и подходы к реализации решений безопасности, накопленные специалистами российских и зарубежных компаний (Microsoft, Aladdin, Cisco Systems, Crypto Pro, Citrix, Oracle), и представить методически выверенные теоретические и практические материалы. В заключительной части книги опубликованы готовые для использования в учебном процессе лабораторные работы по типовым решениям, где применяются продукты различных компаний. Они дополняют необходимые теоретические сведения, представленные читателю технологии и решения для обеспечения безопасного доступа к данным и приложениям, а также для организации защищенных сетевых соединений.

Как отмечают сами авторы, книга призвана раскрыть суть и возможности технологии аутентификации как базового элемента любой системы информационной безопасности. Она разбита на три большие части: «Теоретические основы», «Практика» и «Лабораторные работы». Первая начинается с общих определений и понятий, описания задач аутентификации, ее места в структуре защиты информации, методов парольной защиты и их недостатков, аутентификации с помощью биометрических характеристик, одноразовых паролей и аппаратно-программных ОТP-токенов.

Отдельные главы посвящены таким популярным темам, как криптография с открытым ключом (с перечнем российских стандартов на алгоритмы формирования и проверки цифровой подписи), инфраструктура открытых ключей (PKI), протоколы аутентификации в локальной сети (Kerberos, KDC, методика PKINIT), а также возможности смарт-карт, ключей USB и российских криптографических алгоритмов. Практически каждая глава содержит анализ достоинств и недостатков соответствующих методов аутентификации и возможных атак. В главе, посвященной механизмам аутентификации, представлены протоколы PPP PAP, CHAP и EAP, TACACS+, RADIUS, EAPOL, EAP-TLS, стандарты IEEE 802.1x в ОС Microsoft, Cisco NAC. Достаточно подробно описывают авторы суть протоколов SSL, TLS, SSH, S-HTTP и SOKS, поясняют механизм работы семейства протоколов IPSec, а также протоколов защищенного взаимодействия в беспроводных сетях.

В главе, где рассказывается о применении аппаратных средств аутентификации и хранении ключевой информации, авторы знакомят читателей с решениями PKI, типовыми требованиями, предъявляемыми к таким средствам, и особенностями их использования в корпоративной среде. Здесь же дается детальный разбор обязательных рекомендаций в отношении системы управления токенами (TMS) и практики их использования.

Тему практического обеспечения безопасного доступа к данным и приложениям в информационной среде организации продолжает следующая часть, где рассматриваются основные сервисы для надежной аутентификации и управления доступом (служба каталогов и домены, различные сервисы Active Directory), авторизация доступа, система аудита AD, управление идентификацией (ILM) и задачами, решаемыми с помощью PKI. Кроме того, читатели получают возможность изучить типовые практические решения на основе рекомендаций и продуктов Oracle, Aladdin и Citrix System.

В завершающую часть включены девять лабораторных работ: подготовка и настройка электронных ключей eToken, установка и настройка центра сертификации и использования ключей eToken в домене Windows Server 2003, применение eToken для безопасного доступа к информационным ресурсам, шифрование и ЭЦП, повышение защищенности систем на основе Windows Server 2003, организация доступа к СУБД Oracle с аутентификацией по имени/паролю в каталоге LDAP и на основе сертификатов, а также режимы работы IPSec в случае использования ПО CSP VPN Gate, настройка интерфейса для смарт-карт и конфигурация шлюза безопасности для подключения к приложениям из недоверенных сред.

Материалы по информационной безопасности целого ряда ведущих компаний (IBM, Check Point, Sun и др.) остались за рамками данной книги, но авторы надеются включить их во второе издание. Между тем свой главный замысел — раскрыть читателям суть и возможности технологии аутентификации как базового элемента любой системы информационной безопасности – им вполне удалось осуществить. Учебник поможет понять, как построить эффективную и управляемую систему для защиты корпоративных, государственных или частных информационных ресурсов. Это и есть основная задача строгой аутентификации пользователей при доступе к системам, приложениям, базам данных, сайтам Web и другим информационным ресурсам.