Читайте также: |
|
Многие службы сетей TCP / IP (FTP, HTTP, rlogin, Telnet и т.п.) разрабатывались довольно давно и, естественно, не учитывают современных требований по безопасности. Такого рода стандартные службы и некоторые из прикладных пользовательских приложений не требуют какой-либо идентификации и аутентификации удаленных пользователей, либо рассчитаны на управление доступом пользователей к ресурсам на основе имен и паролей, передаваемых по сети в открытом виде («открытым текстом»). Это позволяет получать доступ к таким службам и приложениям всем желающим (или тем кто может перехватить имена и пароли, передаваемые по сети).
МЭ реализуют три основных метода установления подлинности пользователя:
• User Authentication;
• Client Authentication;
• Transparent Session Authentication.
Прозрачный метод установления подлинности пользователя (User Authentication) предоставляет возможность определять привилегии доступа для каждого пользователя в отдельности (даже если это многопользовательская ЭВМ) для протоколов FTP, TELNET, HTTP и RLOGIN, независимо от IP -адреса клиентского компьютера Например, если пользователь вынужден обращаться к серверам организации из внешней сети, то администратор безопасности может разрешить ему доступ во внутреннюю сеть без того, чтобы его привилегии распространялись на всех других пользователей его рабочего компьютера.
МЭ могут выполнять проверку подлинности пользователя при помощи специального Сервера Безопасности, функционирующего на шлюзовом компьютере. МЭ перехватывает все попытки авторизации пользователя на сервере и перенаправляет их соответствующему Серверу Безопасности. После того, как подлинность пользователя установлена Сервером Безопасности МЭ открывает второе соединение на необходимый сервер приложения. Все последующие пакеты сессии также перехватываются и инспектируются межсетевым экраном на шлюзе.
Client Authentication позволяет администратору предоставлять привилегии доступа хостам (сетевым компьютерам) с определенными IP -адресами, пользователи которых, прошли соответствующие процедуры установления подлинности. В противовес User Authentication, Client Authentication не ограничена только определенными службами, и может обеспечить аутентификацию любого приложения, как стандартного, так и специфичного.
Client Authentication не является прозрачной для пользователя, но, в тоже время, не требует какого-либо дополнительного программного обеспечения или модификации существующего. Для такого вида установления подлинности администратор может указать, каким образом каждый из пользователей должен будет авторизоваться, какой сервер и какие службы ему будут доступны, сколько времени, в какие часы и дни и сколько сессий может быть им открыто.
Механизм Transparent Session Authentication можно использовать для любых служб. При этом установление подлинности будет происходить для каждой сессии.
После того, как пользователь инициировал соединение непосредственно с сервером, МЭ распознает, что требуется установление подлинности клиента, и инициирует соединение с Агентом Авторизации Сессий.
Агент производит необходимую авторизацию, после чего МЭ разрешает данное соединение, если подлинность клиента установлена.
Современные межсетевые экраны поддерживают следующие варианта схем авторизации пользователей:
SecurID —пользователь набирает номер, высвечивающийся на электронной карточке Security Dynamics SecurID;
S / Key —от пользователя требуется набрать соответствующую запрашиваемому номеру комбинацию S/Key ключа;
OS Password - пользователь должен набрать пароль пользователя базовой операционной системы;
Internal - пользователь набирает специальный пароль, хранимый на МЭ;
RADIUS - требуется ввод в соответствии с инструкциями сервера безопасности RADIUS и др.
Дата добавления: 2015-08-13; просмотров: 121 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
Трансляция сетевых адресов | | | Противодействие некоторым сетевым атакам |