Лекция 11. Протоколы аутентификации в Windows Технологии и продукты Microsoft в обеспечении ИБ

Высшая школа экономики Цели Рассмотреть принципы работы и основные особенности протоколов аутентификации, используемых в ОС Windows

Высшая школа экономики Протоколы аутентификации в Windows SPNEGO NTLM Kerberos

Высшая школа экономики SPNEGO SPNEGO (сокр. от Simple and Protected GSS- API Negotiation Mechanism) – механизм, который используется для аутентификации клиентского приложения на удаленном сервере в том случае, когда ни одна из сторон не знает, какой протокол аутентификации поддерживает другая сторона.

Высшая школа экономики Обобщенный прикладной программный интерфейс службы безопасности GSS-API Предназначен для защиты коммуникаций между компонентами программных систем «клиент/сервер» Услуги по взаимной аутентификации партнеров, контролю целостности и обеспечению конфиденциальности сообщений Пользователи - коммуникационные протоколы (обычно прикладного уровня) или программные системы, выполняющие пересылку данных Не зависит от конкретной языковой среды и механизмов безопасности => открытость прикладных систем и соответствующих средств защиты

Высшая школа экономики SPNEGO и GSS-API SPNEGO – стандартный псевдо-механизм GSS-API определяет, какие механизмы GSS-API являются доступными выбирает один из них передает ему «право» осуществлять операции по обеспечению безопасного взаимодействия приложений. расширение Microsoft HTTP Negotiate 1-я реализация - в Internet Explorer 5.01 и IIS 5.0 с целью поддержки SSO, позже переименовано в Integrated Windows Authentication SPNEGO мог выбирать между Kerberos и NTLM

Высшая школа экономики Kerberos Разработан в 1980-х гг. в MIT Текущая версия: 5, John Kohl / Clifford Neuman RFC 1510, 1993 г. RFC 4120, 2005 г. Сетевая служба – «доверенный посредник», обеспечивающий безопасную сетевую проверку подлинности Дает пользователю возможность работать на нескольких машинах сети Использует криптографию с секретным ключом DES или Triple-DES (3DES) Windows Vista поддержка AES

Высшая школа экономики Типы удостоверений мандат (ticket) используется для безопасной передачи серверу данных о клиенте сервер может проверить, действительно ли мандат был выдан клиенту, который его предъявляет аутентификатор (authenticator) блок информации, зашифрованный с помощью секретного ключа аутентификатор предъявляется вместе с мандатом клиент создает аутентификатор каждый раз, когда хочет воспользоваться службами сервера

Высшая школа экономики Схема Kerberos 1. Запрос мандата на выделение мандата сервера 2. Мандат на выделение мандата сервера 3. Запрос мандата сервера 4. Мандат сервера 5. Запрос услуги 6. Метка времени, зашифрованная сеансовым ключом

Высшая школа экономики NTLM Разработан Microsoft для реализации SSO Challenge-Response протокол ни пароль, ни его хеш не передаются «как есть» пароль и хеш используются для генерации ответа (response) на случайный запрос (challenge) аутентифицирующая сторона сравнивает полученный ответ с вычисленным локально Версии NTLM v.1 NTLM v.2 – «усиленная» Появился в Windows 2000 and Windows 2003 До сих пор поддерживается

Высшая школа экономики SSH (Secure Shell) Позволяет производить удалённое управление компьютером и передачу файлов Разработан как замена Telnet Превосходит по безопасности FTP при передаче файлов через удаленные хосты Позволяет удаленно подключаться к Unix-системам Обе стороны соединения (клиентская и сервер) аутентифицируются Данные и пароли при передаче можно шифровать Возможен выбор различных алгоритмов шифрования. Версия 1 - много уязвимостей Версия 2 поддерживает 3DES, Blowfish, Twofish и др. криптоалгоритмы позволяет использовать смарт-карты.

Высшая школа экономики Реализация SSH Запатентован компанией SSH Communications Security Доступны реализации с открытым исходным текстом OpenSSH бесплатная версия набора протоколов SSH для инструментов связности сети Cygnus Solutions: перенос с Unix на Windows пакета свободно распространяемых программ Cygwin обеспечивает шифрование всего трафика (включая пароли), помогает нейтрализовать атаки, связанные с прослушиванием, "захватом" соединений другие атаки на уровне сети Предлагает средства для безопасного туннелирования и методы аутентификации

Высшая школа экономики Использованные источники Авдошин С.М., Савельева А.А. Криптотехнологии Microsoft // М.: Новые технологии, с. - (Прил. к журн. "Информационные технологии"; N 9/2008) Linn J. RFC 2734: Generic Security Service Application Program Interface // Version 2, Update 1, January Kohl J., Neuman C. RFC-1510: The Kerberos Network Authentication Service (V5) // September Available at: Шнайер Б. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си. М.: ТРИУМФ, Neuman C., Hartman S., Raeburn K. RFC-4210: The Kerberos Network Authentication Service (V5) // July Available at:

Спасибо за внимание!