|
Название
публикации:
«СРАВНИТЕЛЬНЫЙ
АНАЛИЗ
СИСТЕМ
УПРАВЛЕНИЯ УДАЛЕННЫМ ДОСТУПОМ»
В статье рассматривается вопросы сравнительный анализ систем управления
удаленным доступом. Приведены методы и сравнение характеристики
протоколов RADIUS, TACACS+ и Kerberos. Рассчитан примерное время,
которое понадобится злоумышленнику для того чтобы расшифровать
программный модуль системы защиты информации.
Ключевые слова: RADIUS, TACACS+, UDP, TCP, аутентификация,
авторизация, несанкционированный доступ, доступность, расшифровка,
конфиденциальность, целостность.
RADIUS (Remote Access Dial-In User Service) использует в своей основе
протокол UDP, и поэтому относительно быстр, процесс авторизации происходит
в контексте процесса аутентификации. Реализация RADIUS и сервера
ориентирована на однопроцессное обслуживание клиентов (хотя возможна и
многопроцессное) поддерживает довольно ограниченное число типов
аутентификации, имеет среднюю степень защищенности.
Протокол TACACS+ (Terminal Access Controller Access Control System)
основан на использовании протокола TCP, поэтому потенциально медленнее
RADIUSа, но за то позволяет вести мультипроцессную обработку процессов (в
каждый момент времени могут обслуживаться несколько пользователей).
Степень защищенности высокое (зашифровано все тело пакета).
473
RADIUS базируется на протоколе UDP (пакетной передачи данных без
гарантии доставки пакета). Следовательно RADIUS-клиент на любой запрос
должен дожидаться ответа от сервера в течении некоторого времени и при
отсутствии перепослать пакет еще раз.
TACACS+-клиент тоже должен всегда дожидаться ответа от сервера, но
только гарантией передачи пакета он не озабочен. За то у TACACS+ имеет место
другой момент: для обработки какого-либо запроса TACACS+ сервер и клиент
должны установить TCP – соединение (даже если весь пакет будет состоять из
посылки и приема двух не больших пакетов), а с точки зрения времени это
довольно накладный процесс.
RADIUS будет более эффективен в сетях, где процент потерянных пакетов
менее 50%; в других сетях лучше использовать TACACS+.
Для доступа к какому-либо сервису RADIUS обрабатывает один запрос
(аутентификацию – запрос, ответ), а у TACACS+ - два (аутентификацию и
авторизацию), но при этом при использовании TACACS+ есть возможность
получить доступ к другому серверу.
Протокол TACACS+ не допускает наличия брандмауэра между клиентом
и сервером в принципе. Дело в том, что найти соответствующий разделяемый
секрет для обработки пришедшего запроса можно только по IP-адресу клиента,
а при работе через брандмауэр запрос будет приходить всегда с IP – брандмауэра.
В RADIUSе, напротив, IP-адрес клиента содержится еще и в самом пакете,
поэтому какой адрес использовать серверу (реальный или внутрипакетный) для
поиска разделяемого секрета решать установщикам, но возможность работы
через брандмауэр есть.
В отношении шифрования: в RADIUSе шифруются только clear text
пароли, весь остальной пакет остается «открытым» (с точки зрения
безопасности, даже имя пользователя является очень важным параметром). В
TACACS+ открытым является только заголовок работы (не несущий никакой
ценной информации), а все тело зашифровано. Но у TACACS+ также есть одна
небольшая уязвимость: TACACS+ поддерживает авторизацию, называемую в
474
документации outbound (то есть внешняя), т.е. само решение аутентифицировать
пользователя или нет принимает клиент. При этом TACACS+-сервер должен
прислать клиенту пароль (в том числе имеется возможность запроса у сервера
clear text пароля), а клиент будет сравнивать этот пароль с введенным
пользователем. Вот и получается, что если выполняются следующие условия:
- TACACS+-сервер поддерживает эту опцию;
- TACACS+-сервер не проверяет исходящий адрес приходящих запросов
(а даже если и проверяет, IP-адреса могут быть поддельными);
- злоумышленник узнал разделяемый секрет (что возможно, поскольку он
лежит в открытом виде и на сервере и на клиенте);
- тот же взломщик узнал некоторое количество имен пользователей. Тогда
этот же злоумышленник может элементарно узнать пароли из TACACS+-
сервера.
В TACACS+ возможность перенаправления запроса отсутствует. RADIUS
протокол же имеет такую возможность: RADIUS-сервер умеет перенаправлять
запрос другому RADIUS-серверу.
Таким
образом,
RADIUS
позволяет
проектировать
гибкую
распределенную систему. Все выше рассмотренные средства защиты
информации реализуются двумя способами:
- программными;
- аппаратными.
Аппаратными способ построения технических средств защиты
информации (ТСЗИ) от НСД по показателям эффективности защищенности от
злоумышленного изучения, а также влияние надежности ТСЗИ на функции
защиты информации от несанкционированный доступ (НСД) побеждает «за
явным преимуществом». Но так как аппаратный способ является дорогостоящим
то во многих случаях целесообразнее использовать программный способ
реализации средств защиты информации (СЗИ). Абсолютно стойких от
злоумышленного изучения СЗИ не существует. Но увеличить время
устойчивости системы к злоумышленным действиям можно путем обновления и
475
совершенствования программных средств. Естественно, что ежедневное
обновления является наилучшем средством от НСД, но к сожаленью это не
выгодно и отчасти не реально. Для выбора максимального срока обновления
программного обеспечения, необходимо произвести расчеты оценки времени,
необходимого злоумышленнику для изучения СЗИ от НСД.
Полагая, что задача изучения (расшифровки) программы длинной
N
,
написанной на некотором языке, по сложности соизмерима с написанием
программы длинной
N
на том же языке воспользуемся аппроксимацией
уравнения времени, необходимого для написания программы, если известна
только длина программы
N
бит. В этом случае среднее время изучения
(расшифровки) программы
T
можно найти как:
(1)
С
учетом
того
что
злоумышленник имеет какую-то степень усталости и работает не 24 часа, а 8 то
получаемые численные значения в (1) нужно умножить на 3.
Так как аппаратные средства усложняют задачу злоумышленника по
изучению (расшифровке) программы, то целесообразно будет учитывать и
количество серверов используемых системой.
Рассчитаем примерное время, которое понадобится злоумышленнику
(группе злоумышленников) для того чтобы расшифровать программный модуль
системы защиты информации, по полученной формуле:
(2)
где,
n
– количество серверов используемых системой;
N
– длина текста программы, написанной на некотором языке, бит;
- алфавит языка текста программы;
S
– число Страуда (S = 4 ÷ 20 операций в секунду) характеризует
количество объектов, которыми может оперировать мозг злоумышленника
(группы злоумышленников) одновременно.
S
N
T
4
log
2
2
S
N
n
T
4
log
3
2
2
476
T
P
/
1
0,999967
30000000
/
1
001
,
0
001
,
0
P
0,99997
33075000
/
1
001
,
0
001
,
0
P
0,999989
90000000
/
1
001
,
0
001
,
0
P
Do'stlaringiz bilan baham: |
