Скачать ZIP архив | Скачать RAR архив
Kerberos — является основным протоколом аутентификации в домене (аутентификационным сервером). Он обеспечивает распределение ключей симметричного шифрования и проверку подлинности пользователей работающих в незащищенной сети. Kerberos — это ПО, построенное по архитектуре «Клиент-Сервер». Клиентская часть устанавливается на все ПК защищаемой сети, кроме сервера Kerberos.
Серверная часть Kerberos называется центром распределения ключей (key distribution center, KDC) и состоит из двух компонент:
— сервер аутентификации (AS)
— сервер выдачи разрешений (tgs).
Каждому субьекту сети сервер Kerberos назначает разделяемый с ним ключ симметричного шифрования и поддерживает базу данных субьектов и их секретных ключей.
Kerberos в windows:
1 ключ пользователя генерируется на базе его пароля
2 в роли Kerberos-сервера выступают контроллеры домена, на каждом из которых должна работать служба Kerberos Key Distribution Center (KDC). Роль хранилища информации о пользователях и паролях берет на себя служба каталога ActiveDirectory.
Идентификация — присвоение пользователям идентификаторов (уникальных имен или меток) под которыми система знает пользователя. В большинстве случае идентификация сопровождается аутентификацией.
Аутентификация — это проверка соответствия субъекта и того, за кого он пытается себя выдать, с помощью некой уникальной информации (отпечатки пальцев, цвет радужки, голос и тд.), в простейшем случае — с помощью имени входа и пароля.
Авторизация — это проверка и определение полномочий на выполнение некоторых действий (например, чтение файла /var/mail/eltsin) в соответствии с ранее выполненной аутентификацией,
Система идентификации и аутентификации является одним из ключевых элементов инфраструктуры защиты от НСД любой ИС.
3 метода аутентификации:
1) Аутентификация по наличию у пользователя уникального объекта заданного типа «У МЕНЯ ЕСТЬ» — смарт-карта, USB-ключ.
2) Аутентификация основанная на том, что пользователю известна некоторая конфиденц.информация «Я ЗНАЮ» — пароль.
3) Аутентификация пользователя по его собственным уникальным хараеткристикам «Я ЕСТЬ» — биометрич.методы
Нередко комбинирование методов. Двухфакторная аутентификация.
Аутентификация — это проверка соответствия субъекта и того, за кого он пытается себя выдать, с помощью некой уникальной информации (отпечатки пальцев, цвет радужки, голос и тд.), в простейшем случае — с помощью имени входа и пароля.
Авторизация — это проверка и определение полномочий на выполнение некоторых действий (например, чтение файла /var/mail/eltsin) в соответствии с ранее выполненной аутентификацией,
Парольные системы аутентификации:
1 задание минимальной длины
2 установка требования использования различных букв и цифр
3 периодическая проверка админом на стойкость
4 установка макс и мин сроков жизни пароля
5 ограничение числа неудачных попыток ввода пароля
6 ведение журнала истории паролей
— является основным протоколом аутентификации в домене (аутентификационным сервером). Он обеспечивает распределение ключей симметричного шифрования и проверку подлинности пользователей работающих в незащищенной сети. Kerberos — это ПО, построенное по архитектуре «Клиент-Сервер». Клиентская часть устанавливается на все ПК защищаемой сети, кроме сервера Kerberos.
Серверная часть Kerberos называется центром распределения ключей (key distribution center, KDC) и состоит из двух компонент:
— сервер аутентификации (AS)
— сервер выдачи разрешений (tgs).
Каждому субьекту сети сервер Kerberos назначает разделяемый с ним ключ симметричного шифрования и поддерживает базу данных субьектов и их секретных ключей.
Kerberos в windows:
1 ключ пользователя генерируется на базе его пароля
2 в роли Kerberos-сервера выступают контроллеры домена, на каждом из которых должна работать служба Kerberos Key Distribution Center (KDC). Роль хранилища информации о пользователях и паролях берет на себя служба каталога ActiveDirectory.
Идентификация — присвоение пользователям идентификаторов (уникальных имен или меток) под которыми система знает пользователя. В большинстве случае идентификация сопровождается аутентификацией.
Аутентификация — это проверка соответствия субъекта и того, за кого он пытается себя выдать, с помощью некой уникальной информации (отпечатки пальцев, цвет радужки, голос и тд.), в простейшем случае — с помощью имени входа и пароля.
Авторизация — это проверка и определение полномочий на выполнение некоторых действий (например, чтение файла /var/mail/eltsin) в соответствии с ранее выполненной аутентификацией,
Система идентификации и аутентификации является одним из ключевых элементов инфраструктуры защиты от НСД любой ИС.
3 метода аутентификации:
1) Аутентификация по наличию у пользователя уникального объекта заданного типа «У МЕНЯ ЕСТЬ» — смарт-карта, USB-ключ.
2) Аутентификация основанная на том, что пользователю известна некоторая конфиденц.информация «Я ЗНАЮ» — пароль.
3) Аутентификация пользователя по его собственным уникальным хараеткристикам «Я ЕСТЬ» — биометрич.методы
Нередко комбинирование методов. Двухфакторная аутентификация.
Аутентификация — это проверка соответствия субъекта и того, за кого он пытается себя выдать, с помощью некой уникальной информации (отпечатки пальцев, цвет радужки, голос и тд.), в простейшем случае — с помощью имени входа и пароля.
Авторизация — это проверка и определение полномочий на выполнение некоторых действий (например, чтение файла /var/mail/eltsin) в соответствии с ранее выполненной аутентификацией,
Парольные системы аутентификации:
1 задание минимальной длины
2 установка требования использования различных букв и цифр
3 периодическая проверка админом на стойкость
4 установка макс и мин сроков жизни пароля
5 ограничение числа неудачных попыток ввода пароля
6 ведение журнала истории паролей