Аутентификация. Способы аутентификации. Несмотря на сложность и труднопроизносимость терминов "идентификация" и "аутентификация", каждый пользователь современных информационных систем сталкивается с процедурами, скрывающимися за этими терминами, неоднократно в течение рабочего дня. Не углубляясь в технические подробности, можно сказать, что эти процедуры выполняются каждый раз, когда пользователь вводит пароль для доступа к компьютеру, в сеть, к базе данных или при запуске прикладной программы. В результате их выполнения он получает либо доступ к ресурсу, либо вежливый отказ в доступе. Строго говоря, этот процесс состоит из двух частей – идентификации и аутентификации. Идентификация – это предъявление пользователем какого-то уникального, присущего только ему признака-идентификатора. Это может быть пароль, какая-то биометрическая информация, например отпечаток пальца, персональный электронный ключ или смарткарта и т.д. Аутентификация – это процедура, проверяющая, имеет ли пользователь с предъявленным идентификатором право на доступ к ресурсу. Эти процедуры неразрывно связаны между собой, поскольку способ проверки определяет, каким образом и что пользователь должен предъявить системе, чтобы получить доступ. Если ИТ-департамент не предпринимает специальных усилий, то количество паролей, которые необходимо помнить обычному пользователю, может достигать 5–6. Это приводит либо к тому, что пользователи пишут пароли на бумажках и приклеивают на видных местах, что сводит на нет все усилия по защите информации, либо к постоянной путанице и забываниям паролей, что вызывает повышенную нагрузку и регулярную головную боль службы поддержки. Если к этому добавить, что каждый пароль должен состоять не менее чем из 6–8 произвольных букв, цифр и спецсимволов, и каждый пароль необходимо периодически менять, то представить серьезность проблемы не составит труда. Аутентификация для доступа в сеть При рассмотрении вопросов аутентификации для доступа в сеть будем предполагать, что клиентские рабочие станции функционируют под управлением операционной системы Windows 2000 или Windows XP. Понятно, что еще встречаются рудименты типа Windows 95/98, однако прогресс неумолим и переход на современные операционные системы – вопрос времени. В рассматриваемых операционных системах за аутентификацию отвечает специальный модуль операционной системы, который называется GINA DLL. GINA означает Graphic Identification and Authentication – графическая DLL для идентификации и аутентификации. Данный модуль вызывается из процесса Winlogon и отвечает за реагирование на комбинацию Ctrl-Alt-Del, получение от пользователя его идентификатора (в классическом варианте – имя пользователя и пароль), передачу его процессу Winlogon для аутентификации, блокировку рабочей станции, переключение пользователей в Windows XP и другие задачи подобного рода. 1 Интерфейс GINA DLL документирован, и любой желающий может реализовать свой вариант этого модуля в соответствии с собственными потребностями. В дистрибутив Windows входит GINA DLL, реализованная Microsoft, – так называемая MSGINA, которая осуществляет аутентификацию с использованием пароля. Различные способы аутентификации пользователей в Lan2net NAT Firewall. Механизм аутентификации нужен для задания нужных администратору правил доступа и безопасности, настройки подсчета трафика. Lan2net NAT Firewall обеспечивает механизм аутентификации, прозрачный для любого приложения, - как стандартного, так и нестандартного. В зависимости от потребностей администратора, в Lan2net NAT Firewall используются различные способы аутентификации. Каждый пользователь может одновременно попадать под несколько способов аутентификации. Помимо этого, все виды аутентификации имеют свой приоритет. Эта возможность может использоваться, например, для определения правил доступа после превышения лимита трафика. В Lan2net NAT Firewall используются следующие способы аутентификации: IP-адрес. Пользователь аутентифицируется по IP-адресу Это самый простой способ аутентификации. Проверяется IP адрес и, если он совпадает с IP адресом, указанным в свойствах пользователя, то трафик считается на этого пользователя и применяются все правила безопасности этого пользователя. IP + MAC адреса. Дополнительно проверяется соответствие IP и MAC адресов. В этом случае используется дополнительная проверка MAC адреса, т.е. физического адреса сетевой карты. Изменить IP адрес на своем компьютере может практически любой минимально продвинутый пользователь, - использование аутентификации IP+MAC делает это невозможным. MAC-адрес. Проверяется MAC-адрес пользователя. Этот способ обычно используется в том случае, если IP адреса локальной сети раздаются автоматически. Проверяется только адрес MAC, жестко привязанный к конкретной сетевой карте. Диапазон IP-адресов. В этом случае пользователь аутентифицируется по диапазону IP-адресов. Этот способ нужен, если необходимо определить права доступа группе компьютеров или целой сети. NTLM аутентификация. Авторизация производится по логину пользователя NT-домена. Пользователь аутентифицируется с помощью специального приложения - клиента Lan2net NTLM Client. Этот способ используется в случае, когда пользователи работают на различных машинах локальной сети. При использовании этого метода считается трафик конкретного пользователя, в независимости от того, на каком компьютере он работает. 2 Аутентификация по логину и паролю Lan2net. Авторизация производится по логину и паролю пользователя, заведенного в Lan2net. Этот способ аналогичен NTLM аутентификации, но в данном случае логин и парль хранятся в базе данных Lan2net. Пользователь аутентифицируется с помощью специального приложения - клиента Lan2net Login Client. 3