Лекция 11. Протоколы аутентификации в Windows Технологии и продукты Microsoft в обеспечении ИБ.

Презентация:



Advertisements
Похожие презентации
Администрирование RAS серверов. RAS (Remote Access Server) сервер – это сервер удаленного доступа. Используется для соединения компьютеров по коммутируемым.
Advertisements

Пакеты передачи данных Виды сетевых протоколов. В локальной сети данные передаются от одной рабочей станции к другой блоками, которые называют пакетами.
Аутентификация в компьютерной сети Дисциплина «Построение Windows-сетей» Сергеев А. Н. Волгоградский государственный социально-педагогический университет.
ЗАЩИТА ИНФОРМАЦИИ ПОДГОТОВИЛА
Лекция 5 - Стандарты информационной безопасности распределенных систем 1. Введение 2. Сервисы безопасности в вычислительных сетях 3. Механизмы безопасности.
Организация компьютерной безопасности и защита информации автор: Чекашов а Ирин а 10А учитель: Антонова Е.П год.
Инструментальные средства визуальной коммуникации и прикладной дизайн Лекция 5.
Технологии и продукты Microsoft в обеспечении ИБ Лекция 7. Криптографические функции в.NET Framework.
Выполняла студентки группы 19D-411: Макущенко Мария.
Различия и особенности распространенных протоколов. Принципы работы протоколов разных уровней. Предоставление сетевых услуг. Борисов В.А. КАСК – филиал.
Технологии защищенного канала. Физический Канальный Сетевой Транспортный Сеансовый Презентационный Прикладной PPTP Протоколы, формирующие защищенный канал.
Организация и технология защиты информации Лекция 6. Криптопровайдеры. API для работы с криптосервисами Windows.
Лекция 20 Авторизация и аутоидентификация. Определение Аутентифика́ция (Authentication) проверка принадлежности субъекту доступа предъявленного им идентификатора;
Шлюзы Итак, шлюз согласует коммуникационные протоколы одного стека с коммуникационными протоколами другого стека. Программные средства, реализующие шлюз,
Технология ViPNet Центр Технологий Безопасности ТУСУР, 2010.
Администрирование информационных систем Механизмы обеспечения безопасности данных.
Аутентификация Способы аутентификации. Идентификация – это предъявление пользователем какого-то уникального, присущего только ему признака- идентификатора.
Web-узлы. Разработка и администрирование.. Часть 1. Web-технология.
«Информационная безопасность вычислительных сетей. Модель взаимодействия открытых систем OSI / ISO »
Администрирование информационных систем Лекция 7.
Транксрипт:

Лекция 11. Протоколы аутентификации в Windows Технологии и продукты Microsoft в обеспечении ИБ

Высшая школа экономики Цели Рассмотреть принципы работы и основные особенности протоколов аутентификации, используемых в ОС Windows

Высшая школа экономики Протоколы аутентификации в Windows SPNEGO NTLM Kerberos

Высшая школа экономики SPNEGO SPNEGO (сокр. от Simple and Protected GSS- API Negotiation Mechanism) – механизм, который используется для аутентификации клиентского приложения на удаленном сервере в том случае, когда ни одна из сторон не знает, какой протокол аутентификации поддерживает другая сторона.

Высшая школа экономики Обобщенный прикладной программный интерфейс службы безопасности GSS-API Предназначен для защиты коммуникаций между компонентами программных систем «клиент/сервер» Услуги по взаимной аутентификации партнеров, контролю целостности и обеспечению конфиденциальности сообщений Пользователи - коммуникационные протоколы (обычно прикладного уровня) или программные системы, выполняющие пересылку данных Не зависит от конкретной языковой среды и механизмов безопасности => открытость прикладных систем и соответствующих средств защиты

Высшая школа экономики SPNEGO и GSS-API SPNEGO – стандартный псевдо-механизм GSS-API определяет, какие механизмы GSS-API являются доступными выбирает один из них передает ему «право» осуществлять операции по обеспечению безопасного взаимодействия приложений. расширение Microsoft HTTP Negotiate 1-я реализация - в Internet Explorer 5.01 и IIS 5.0 с целью поддержки SSO, позже переименовано в Integrated Windows Authentication SPNEGO мог выбирать между Kerberos и NTLM

Высшая школа экономики Kerberos Разработан в 1980-х гг. в MIT Текущая версия: 5, John Kohl / Clifford Neuman RFC 1510, 1993 г. RFC 4120, 2005 г. Сетевая служба – «доверенный посредник», обеспечивающий безопасную сетевую проверку подлинности Дает пользователю возможность работать на нескольких машинах сети Использует криптографию с секретным ключом DES или Triple-DES (3DES) Windows Vista поддержка AES

Высшая школа экономики Типы удостоверений мандат (ticket) используется для безопасной передачи серверу данных о клиенте сервер может проверить, действительно ли мандат был выдан клиенту, который его предъявляет аутентификатор (authenticator) блок информации, зашифрованный с помощью секретного ключа аутентификатор предъявляется вместе с мандатом клиент создает аутентификатор каждый раз, когда хочет воспользоваться службами сервера

Высшая школа экономики Схема Kerberos 1. Запрос мандата на выделение мандата сервера 2. Мандат на выделение мандата сервера 3. Запрос мандата сервера 4. Мандат сервера 5. Запрос услуги 6. Метка времени, зашифрованная сеансовым ключом

Высшая школа экономики NTLM Разработан Microsoft для реализации SSO Challenge-Response протокол ни пароль, ни его хеш не передаются «как есть» пароль и хеш используются для генерации ответа (response) на случайный запрос (challenge) аутентифицирующая сторона сравнивает полученный ответ с вычисленным локально Версии NTLM v.1 NTLM v.2 – «усиленная» Появился в Windows 2000 and Windows 2003 До сих пор поддерживается

Высшая школа экономики SSH (Secure Shell) Позволяет производить удалённое управление компьютером и передачу файлов Разработан как замена Telnet Превосходит по безопасности FTP при передаче файлов через удаленные хосты Позволяет удаленно подключаться к Unix-системам Обе стороны соединения (клиентская и сервер) аутентифицируются Данные и пароли при передаче можно шифровать Возможен выбор различных алгоритмов шифрования. Версия 1 - много уязвимостей Версия 2 поддерживает 3DES, Blowfish, Twofish и др. криптоалгоритмы позволяет использовать смарт-карты.

Высшая школа экономики Реализация SSH Запатентован компанией SSH Communications Security Доступны реализации с открытым исходным текстом OpenSSH бесплатная версия набора протоколов SSH для инструментов связности сети Cygnus Solutions: перенос с Unix на Windows пакета свободно распространяемых программ Cygwin обеспечивает шифрование всего трафика (включая пароли), помогает нейтрализовать атаки, связанные с прослушиванием, "захватом" соединений другие атаки на уровне сети Предлагает средства для безопасного туннелирования и методы аутентификации

Высшая школа экономики Использованные источники Авдошин С.М., Савельева А.А. Криптотехнологии Microsoft // М.: Новые технологии, с. - (Прил. к журн. "Информационные технологии"; N 9/2008) Linn J. RFC 2734: Generic Security Service Application Program Interface // Version 2, Update 1, January Kohl J., Neuman C. RFC-1510: The Kerberos Network Authentication Service (V5) // September Available at: Шнайер Б. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си. М.: ТРИУМФ, Neuman C., Hartman S., Raeburn K. RFC-4210: The Kerberos Network Authentication Service (V5) // July Available at:

Спасибо за внимание!