Скачать ZIP архив | Скачать RAR архив

Kerberos — является основным протоколом аутентификации в домене (аутентификационным сервером). Он обеспечивает распределение ключей симметричного шифрования и проверку подлинности пользователей работающих в незащищенной сети. Kerberos — это ПО, построенное по архитектуре «Клиент-Сервер». Клиентская часть устанавливается на все ПК защищаемой сети, кроме сервера Kerberos.

Серверная часть Kerberos называется центром распределения ключей (key distribution center, KDC) и состоит из двух компонент:
— сервер аутентификации (AS)
— сервер выдачи разрешений (tgs).

Каждому субьекту сети сервер Kerberos назначает разделяемый с ним ключ симметричного шифрования и поддерживает базу данных субьектов и их секретных ключей.

Kerberos в windows:
1 ключ пользователя генерируется на базе его пароля
2 в роли Kerberos-сервера выступают контроллеры домена, на каждом из которых должна работать служба Kerberos Key Distribution Center (KDC). Роль хранилища информации о пользователях и паролях берет на себя служба каталога ActiveDirectory.

Идентификация — присвоение пользователям идентификаторов (уникальных имен или меток) под которыми система знает пользователя. В большинстве случае идентификация сопровождается аутентификацией.

Аутентификация — это проверка соответствия субъекта и того, за кого он пытается себя выдать, с помощью некой уникальной информации (отпечатки пальцев, цвет радужки, голос и тд.), в простейшем случае — с помощью имени входа и пароля.

Авторизация — это проверка и определение полномочий на выполнение некоторых действий (например, чтение файла /var/mail/eltsin) в соответствии с ранее выполненной аутентификацией,

Система идентификации и аутентификации является одним из ключевых элементов инфраструктуры защиты от НСД любой ИС.

3 метода аутентификации:
1) Аутентификация по наличию у пользователя уникального объекта заданного типа «У МЕНЯ ЕСТЬ» — смарт-карта, USB-ключ.
2) Аутентификация основанная на том, что пользователю известна некоторая конфиденц.информация «Я ЗНАЮ» — пароль.
3) Аутентификация пользователя по его собственным уникальным хараеткристикам «Я ЕСТЬ» — биометрич.методы

Нередко комбинирование методов. Двухфакторная аутентификация.

Аутентификация — это проверка соответствия субъекта и того, за кого он пытается себя выдать, с помощью некой уникальной информации (отпечатки пальцев, цвет радужки, голос и тд.), в простейшем случае — с помощью имени входа и пароля.

Авторизация — это проверка и определение полномочий на выполнение некоторых действий (например, чтение файла /var/mail/eltsin) в соответствии с ранее выполненной аутентификацией,

Парольные системы аутентификации:
1 задание минимальной длины
2 установка требования использования различных букв и цифр
3 периодическая проверка админом на стойкость
4 установка макс и мин сроков жизни пароля
5 ограничение числа неудачных попыток ввода пароля
6 ведение журнала истории паролей

— является основным протоколом аутентификации в домене (аутентификационным сервером). Он обеспечивает распределение ключей симметричного шифрования и проверку подлинности пользователей работающих в незащищенной сети. Kerberos — это ПО, построенное по архитектуре «Клиент-Сервер». Клиентская часть устанавливается на все ПК защищаемой сети, кроме сервера Kerberos.

Серверная часть Kerberos называется центром распределения ключей (key distribution center, KDC) и состоит из двух компонент:
— сервер аутентификации (AS)
— сервер выдачи разрешений (tgs).

Каждому субьекту сети сервер Kerberos назначает разделяемый с ним ключ симметричного шифрования и поддерживает базу данных субьектов и их секретных ключей.

Kerberos в windows:
1 ключ пользователя генерируется на базе его пароля
2 в роли Kerberos-сервера выступают контроллеры домена, на каждом из которых должна работать служба Kerberos Key Distribution Center (KDC). Роль хранилища информации о пользователях и паролях берет на себя служба каталога ActiveDirectory.

Идентификация — присвоение пользователям идентификаторов (уникальных имен или меток) под которыми система знает пользователя. В большинстве случае идентификация сопровождается аутентификацией.

Аутентификация — это проверка соответствия субъекта и того, за кого он пытается себя выдать, с помощью некой уникальной информации (отпечатки пальцев, цвет радужки, голос и тд.), в простейшем случае — с помощью имени входа и пароля.

Авторизация — это проверка и определение полномочий на выполнение некоторых действий (например, чтение файла /var/mail/eltsin) в соответствии с ранее выполненной аутентификацией,

Система идентификации и аутентификации является одним из ключевых элементов инфраструктуры защиты от НСД любой ИС.

3 метода аутентификации:
1) Аутентификация по наличию у пользователя уникального объекта заданного типа «У МЕНЯ ЕСТЬ» — смарт-карта, USB-ключ.
2) Аутентификация основанная на том, что пользователю известна некоторая конфиденц.информация «Я ЗНАЮ» — пароль.
3) Аутентификация пользователя по его собственным уникальным хараеткристикам «Я ЕСТЬ» — биометрич.методы

Нередко комбинирование методов. Двухфакторная аутентификация.

Аутентификация — это проверка соответствия субъекта и того, за кого он пытается себя выдать, с помощью некой уникальной информации (отпечатки пальцев, цвет радужки, голос и тд.), в простейшем случае — с помощью имени входа и пароля.

Авторизация — это проверка и определение полномочий на выполнение некоторых действий (например, чтение файла /var/mail/eltsin) в соответствии с ранее выполненной аутентификацией,

Парольные системы аутентификации:
1 задание минимальной длины
2 установка требования использования различных букв и цифр
3 периодическая проверка админом на стойкость
4 установка макс и мин сроков жизни пароля
5 ограничение числа неудачных попыток ввода пароля
6 ведение журнала истории паролей