Усовершенствованный метод оценки уровня безопасности абонентского соединения при организации удаленного доступа

Подробнее
Текстовая версия:

РЕФЕРАТ

Работа содержит 107 страниц, 15 рисунков 21 таблицы. Было использовано 41 источников.

Актуальность темы:

Актуальность темы оговоренная ростом ценности информации, постоянным появлением новых угроз информационной безопасности и важностью процесса аутентификации при построении защиты информационной системы На данный момент нет существует универсального решение, какое может обеспечить необходимый уровень защищенности аутентификации в любой распределенной системе. Много широко распространенные в настоящее время алгоритмы аутентификации остаются уязвимыми для разных типов атак. В то же время алгоритмы, обладающие достаточной степенью защищенности, обычно требуют наличии сложной инфраструктуры и остаются непонятными для широкого круги пользователей.

Предлагаемое решение многофакторной аутентификации охватывает случаи аутентификации пользователя, даже если некоторые с факторов нет совпадают или отсутствуют. Это также помогает квалифицировать недостающие факторы, не раскрывая конфиденциальные данные опрокидывающей стороны.

Цель исследование:

Эта работа направлено на повышение уровня безопасности абонентского соединение за счет обеспечение гибкости работы многофакторной аутентификации для установка безопасного связи между пользователем и удаленным сервером.

Задачи исследование:

Объект исследование: процесс обеспечение безопасной передачи данных при удаленном доступе к сетевых ресурсов.

Предмет исследования: метод оценки уровня безопасности абонентского соединение при организации удаленного доступа.

Методы исследование: основными методами исследование есть математическое да имитационное моделирование.

Научная новизна:

Предложено новый метод оценки уровня безопасности абонентского соединение при организации удаленного доступа, обеспечивающее заданный уровень безопасности за счет гибкости работы многофакторной аутентификации.

Предлагаемое решение многофакторной аутентификации охватывает случаи аутентификации пользователя, даже если некоторые с факторов нет совпадают или отсутствуют.

Практическое значение полученных результатов:

Применение метода оценки уровня безопасности абонентского соединения при организации удаленного доступа.

Публикации:

Результаты магистерской диссертации опубликовано в 3 сборных материалов конференций.

Ключевые слово: удаленный доступ, аутентификация, защита информации, VPN, SFA, 2FA, MFA

СОДЕРЖАНИЕ

ПЕРЕЧЕНЬ УСЛОВНЫХ СОКРАЩЕНИЙ

FTP File Transfer Protocol Протокол передачи файлов в сети

HTTP HyperText Transfer Protocol Протокол передачи гипер-текстовых

документов

IKE Internet Key Exchange Стандартный протокол набора

протоколов IPsec

IP Internet Protocol Интернет протокол

IPsec IP Security Набор протоколов для обеспечения защиты данных, передаваемых по помощью протокола IP

MFA Multi-Factor Authentication Многофакторная аутентификация PPP Point-to-Point Protocol Протокол точка-точка

PPTP Point-to-Point Tunneling

Protocol


Тоннельный протокол типа точка- точка

SFA Single-Factor Authentication Однофакторная аутентификация

SLIP Serial Line Internet Protocol Протокол Интернет для последовательной

линии

SSL Secure Sockets Layer Уровень защищенности сокетов

TCP Transmission Control Protocol Протокол управление передачей

TLS PIN

ID ECG GPS

FTE FTA CER EER FAR


Transport layer security Personal Identification Номер

ID Number Electrocardiography Global Positioning System

Failure to Enroll Failure to Acquire

Crossover Error Rate EER Equal Error Rate

False Accept Rate


Защита на транспортном уровне Персональный идентификационный номер

ID Number Электрокардиография Система глобального позиционирование Ошибка регистрации

Невозможность приобретения Ошибка кроссовера EER Ровный уровень ошибок

Ошибочный коэффициент принятие

VPN Virtual Private Networks Виртуальная частная сеть

ВВЕДЕНИЕ

В данный время офисы теряют четкие пределы. В организациях компьютерная сеть не ограничивается только локальной сетью, которая размещена в одном или в нескольких офисах, что близко расположены между собой. Мобильность набирает большую популярность. Пользователи теперь могут находиться на большой расстояния от головного офиса, например, если филиалы находятся в других городах или странах или когда работник организации едет в командировки.

Эту проблему можно решить организовав удаленный доступ. Для организации удаленного доступа могут использоваться разные схемы и продукты. Продукты удаленного доступа могут существенно отличаться реализованными в них функциями, а значит, и возможностями при решении конкретной практической задачи.

Несмотря на все преимущества удаленного доступа возникает ряд проблем, что могут помешать. Причиной поэтому множественные ограничение. Первым ограничением является требование к скорости интернет-соединения, поскольку малая скорость становится причиной искажений в изображении, звуках и т.д. При открытии удаленного доступа вы подвергаете свой ПК некоторой опасности, поскольку, фактически,

«Выкладываете» все материалы в глобальную сеть, однако и это легко решается за помощью грамотной конфигурации настроек программы.

В такому связанном мире, механизм защиты защищенных переданных данных

- это, прежде всего, аутентификация. Аутентификация остается основным защитой от незаконного доступа к устройству или любому другому приложению, оффлайн или в режиме онлайн.

1 ОБЗОР СИСТЕМ УДАЛЕННОГО ДОСТУПА

Удаленный доступ – это широкое понятие, объединяющее в себе разные варианты взаимодействия сетей, компьютеров да приложений. Существует много схем взаимодействия, которые можно отнести к удаленному доступу. Для них характерно использование глобальных сетей или глобальных каналов Также, удаленном доступа присуща несимметричность взаимодействия, когда, центральный компьютер или центральная сеть с одной стороны, а с другой – отдельный компьютер, терминал или маленько сеть, каким нужный доступ к ресурсов главной сети

Системы удаленного доступа – технологии, которые предоставляют прозрачное подключение для удаленных пользователей, что расположены нет в локальной сети компании Удаленный доступ наиболее используют для подключения домашних компьютеров, ноутбуков или телефонов рабочих к сети организации. Провайдеры интернета также пользуются удаленным доступом, чтобы подключать своих клиентов в сеть Интернет[1].

Когда клиенты запускают программы удаленного доступа, они инициируют подключение к главного сервера. Затем сервер делает проверку аутентификации и обслуживает связь при подключении, до тех пор когда сеанс нет завершится пользователем или администратором сети.

Для доступа к ресурсам пользователи удаленного доступа используют обычные средства. Например, удаленный клиент, работающий на компьютере с Windows может подключиться к сетевому диску или принтеру с помощью проводника Windows. Подключение есть постоянным – это значит, что под время удаленного сеанса пользователям нет нужно постоянно подключаться к сетевых ресурсов. Так как при удаленном доступе полностью поддерживаются буквы дисков да универсальные имена UNC (Uniform Naming Конвенция).

Большинство коммерческих да пользовательские приложения работают без дополнительных модификаций [1].

на Рис.1.1 представлен логический эквивалент подключения удаленного клиента к сервера удаленного доступа.

Рис.1.1 Логический эквивалент подключение удаленного доступа Различают два основные виды удаленного доступа:

Оба виды соединений работают за моделью "клиент-сервер". Клиент удаленного доступа – это компьютер, который имеет возможность подключаться к удаленного компьютера и работать с его ресурсами или с ресурсами удаленной сети все равно, как с ресурсами своей местной сети. Единственная отличие удаленной работы от локальной с точки зрения клиента – более низкое скорость соединение. Сервер удаленного доступа (Remote Access Services, RAS)

Подключение удаленного доступа, изображенное на Рис.1.2, состоит из клиента удаленного доступа, сервера удаленного доступа и инфраструктуры глобальной сети (Wide Area Network ( WAN).

Рис.1.2 Компоненты подключение удаленного доступа

Существует три метода подключения удаленного пользователя или отделения фирмы к локальной сети компании:

Анализ метода терминального доступа

Принцип работы терминального доступа работает да, что удаленный терминал нет выполняет вычисление. Все процессы происходят на центральных машинах, информация перенаправляется от клавиатуры да мыши терминала. После обработки графически информация передается на монитор терминала.

Преимущества системы терминального доступа:

программного обеспечения, поскольку, например, вместо 40 лицензий покупается всего 10.

Недостатки системы терминального доступа:

обеспечение, да и для работы с самим терминальным сервером да другим оборудованием, что влечет за собой увеличение расходов на приобретение лицензий.

Использование терминального доступа в качества эффективного ИТ-решения подходит, прежде всего, для динамической растущих организаций, где постоянное увеличение количества рабочих мест требует более рационального использования имеющихся в компании ресурсов [2].

Анализ метода удаленного управление

Удаленное управление – это метод, позволяющий удаленному пользователю получить контроль над компьютером какой находится в локальной сети корпорации. Скорость проведение сеанса да его возможности зависят от характеристик управляемого компьютера, потому что на нем выполняется обработка всех сетевых команд. Коды нажатия клавиш, которые делаются на удаленном компьютеры, присылаются на управляемый компьютер, а все изменения транслируются на экран удаленного устройства. Файлы да прикладные программы нет загружаются в удаленный компьютер. Недостатком метода есть использование двух устройств для одной работы [3]. Принцип работы удаленного управление

Для работы на двух компьютерах: удаленный системе да хост-системе, нужно специальное программное обеспечение для удаленного управление. Система, что есть удаленной может быть ПК филиалов, домашним ПК или портативный компьютер, местонахождение которого меняется каждый день. Хост- системой может быть любой компьютер, подключенный к локальной сети, настроенный для удаленного доступа.

За помощью удаленного управление мобильные работники, которые используют ноутбуки или работники филиалов, что используют рабочие станции, управляют ПК в корпоративной сети. Все нажатие клавиш пользователя да перемещение мыши отправляются на корпоративный компьютер, а изображение на этом экране пересылается на ноутбук для отображение. Это да, как если б пользователь сидел перед компьютером, подключенным к сети. Удаленным пользователям не нужны копии программ на своих компьютерах, поскольку программы реально работают на локальных рабочих станциях в штаб-квартире корпорации [4].

Метод удаленного управление имеет ряд преимуществ:

В тот же время удаленный доступ имеет определенные недостатки:

Даже с этими ограничениями, для удаленного ввода данных и небольших передач файлов, метод удаленного управлением может быть эффективным и экономическим решением.

Анализ метода удаленного узла

До недавнего времени удаленное управление было методом удаленного доступа. Однако, с внедрением мощных портативных ноутбуков, доступных быстрых модемов, мостов и маршрутизаторов, более продвинутых алгоритмов сжатия и клиент-серверных приложений, удаленный узел набирает популярность. За помощью удаленного узла множество ПК на разных локациях ссылаются на сервер главного офиса, что разрешает им работать как бы непосредственно подключено к корпоративной локальной сети [4]. Принцип работы удаленного узла проиллюстрированный на Рис.1.4

Промышленные тенденции к клиент-серверным приложениям и графическим приложениям, основанных на графическом интерфейс, предопределяют спрос на решение удаленных узлов. Архитектура удаленного узла похожа на архитектуру клиент- сервер. Удаленно система действует как клиент да сервер связи, какой предоставляет доступ к

нужного сервера. Программы или части программ обрабатываются на удаленной системе. Через линию передаются только данные сети, такие как электронная почта. Поскольку узел удаленного доступа есть прозрачным, он есть методом доступа к клиента / сервера.

Удаленный узел разрешает пользователям подключаться к сети да получать доступ к локальной сети, да если б они были локально присоединены. Хотя доступ есть более медленным, пользователь может получить доступ к файловому сервера непосредственно, вместо того, чтобы переносить файл на локальный диск, какой необходимый для метода удаленного управление. Для редактирование документа на сетевом диска, например, удаленный пользователь просто открывает его вместо того, чтобы передать документ на локальный диск. Это делает удаленный узел намного проще в использовании, чем дистанционное управление.

Желательно, чтобы на удаленном ПК кроме сетевого системного программного оборудования находилось все прикладное программное обеспечение, необходимое для сеанса связи: все выполняемые файлы, необходимые для программы. В в противном случае их необходимо будет передавать с сетевого сервера на канал. связи. Они имеют, как правило, большие объемы данных, так что это потребует значительных затрат времени.

Как каждый полноценный пользователь локальной сети, удаленный узел имеет свой сетевой адрес. Сетевая операционная система превращает сетевые пакеты, которые нужно передать через модем, из формата протокола IP или IPX в формат, совместимый со стандартом последовательной передачи. С появлением все больше количества программ, поддерживающих архитектуру "клиент – сервер", усиливается тенденция на программное обеспечение для удаленных узлов. Такой программы позволяют обрабатывать большие файлы данных на серверах локальной сети, а на удаленный ПК передавать только результат обработки.

Удаленно система выполняет клиентские функции, а серверы домашнего офиса выполняют настоящие функции сервера. Это разрешает удаленным пользователям воспользоваться преимуществом удаленной обработки для реализации графических приложений. В то время как удаленный доступ предполагает подключение непосредственно к хост-системе, удаленный узел подключается к удаленному сервера доступа. При подключении к корпоративной сети, сетевые ресурсы выглядят локальными, как если бы удаленный пользователь был непосредственно подключен к локальной сети.

Удаленный узел имеет следующие преимущества:

Пользователь может установить соединение для загрузка сообщений, отключить линию, а затем прочитать сообщение в автономном режиме на предыдущем экране удобнее. Это дает возможность сократить время подключения, что приводит к снижение издержек.

Удаленный узел также имеет свои недостатки:

Поскольку пользователи удаленного узла получают доступ к сети, как если б они были локально присоединены, нежелательные вторжение способны перемещаться по сети без изучение сложных процедур доступа

Неотъемлемой свойством систем удаленного доступа есть наличие глобальных соединений. За своей сутью глобальные коммуникации, которые простираются на десятки и тысячи километров, не мешают повредить доступа к данным, что передаются по этих линиях. Нет может быть никакой гарантии, что в некоторых, недоступных для управления точка пространства, некоторые, например, пользуясь анализатором протоколов, нет подключится к носителю передачи, чтобы перехватить да декодировать пакетные данные. Это все равно опасно для всех типов территориальных каналов и не связано с использованием собственных, арендованных каналов связи или услуг общественных наземных сетей, таких как Интернет. Но использование глобальных сетей еще больше ухудшает ситуацию, в этом случае для злоумышленника доступ к данных есть более разнообразнее да более удобным. Поэтому получить доступ к данных может больше количество пользователей.

Безопасно система -

это система, которая надежно хранит информацию и всегда может придавать ее пользу. вачам , да система, какая защищает данные от злоумышленников.

Брандмауэр (firewall) - устройство, что представляет собой универсальный компьютер, имеющий специальное ПО, установленный на нем, который расположен между защищенной (внутренней) сетью да глобальными сетями. Брандмауэр контролирует все потоки информации между внутренними и глобальными сетями, пересылая данные в соответствии с предопределенными правилами. Или правила являются формальным выражением политики безопасности, утвержденным в компании. Брандмауэры основаны на двух основных методах безопасности: фильтрация пакетов, посреднические сервисы (proxy-services). Эти две функции можно использовать как по отдельности, да и в комбинации.

Пакетно фильтрация. Использование маршрутизаторов как брандмауэра

Фильтрация осуществляется на транспортном уровне: все проходящие через пакеты брандмауэр, анализируются, другие, что имеют определенные ("неавторизованные") значение в некоторых полях, отвергаются.

Пропуск в внутреннюю сеть пакетов сетевого уровня или кадров канального уровня за адресам (MAC-адреса, IP-адреса, IPX-адреса) или номерами портов TCP, данных приложений. Например, чтобы трафик telnet не заходил за границы внутренней сети, брендмауэр должен фильтровать все пакеты, в заголовка TCP которых указан адрес порта процесса-получателя, равный 23 (этот номер зарезервированный по сервису telnet). Труднее отслеживать трафик FTP работает с большим диапазоном возможных номеров портов, что требует задания более сложных правил фильтрации.

Для фильтрации пакетов также используется простой маршрутизатор, действительно, на базе маршрутизаторов работают много пакетных фильтров. Брандмауэры обеспечивают более надежную защиту данных, чем маршрутизаторы. Фильтрация файерволом есть лучшая за фильтрацию маршрутизатором. Главные преимущества это: брандмауэр имеет лучшие логические способности, брандмауэр имеет большую количество возможностей аудита всех событий, которые связанные с безопасностью.

Прокси - сервисы (proxy-services). Прокси услуги не позволяют прямую передачу трафика между внутренними и внешними сетями Чтобы связаться с удаленной службой, клиент-пользователь локальной сети определяет логическое соединение с прокси службой, что работает на брандмауэр. Услуга прокси устанавливает отдельное подключение к "истинной" службе, работая на сервере внешней сети, получает ответ от нее и отправляет ее клиенту, пользователю локальной сети, к назначенного точки назначение.

Для каждой услуги нужна специальная программа: прокси-сервис. Обычно экран безопасности включает в себя прокси услуги для FTP, HTTP, TELNET. Многие защитные экраны имеют средства для создания прокси программ для других служб. Некоторые продажи прокси услуг требуют, что клиент имел специальное ПО. Например: Sock – широко используемый набор инструментов для создание прокси программ.

Прокси-сервисы нет только отправляют сервисные запросы, например, разработан посредником CERN (с фр. Organisation européenne pour la recherche nucléaire ) , работающий под протоколом HTTP, может накапливать данные в кэш брандмауэра, так что пользователи внутренней сети могут получать данные с намного быстрее.

Журналы событий, поддерживаемые службами прокси, могут помочь предотвратить вторжению на основе записей регулярных неудачных попыток. Другой важной особенностью прокси услуг, что положительно влияет на безопасность системы, есть то, что когда брандмауэр отказывается защищаться прокси услугой, оригинал остается недоступным.

Прокси - сервисы более надежные фильтров, но они имеют меньшую производительность обмена данными между внутренней и внешней сетями, они также нет владеют тем степенью прозрачности для приложений да конечных пользователей, что собственно для фильтров.

Используя технологию защищенного канала передаваемые данные по доступной транспортной сети (например, интернет) должны быть обеспечены заданным уровнем безопасности. Для этого должны выполняться три основные функции: взаимная аутентификация абонентов, защита от несанкционированного доступа сообщение, что передаются по канала, подтверждение целостности, что поступает по канала сообщения.

Взаимная аутентификация двух сторон при установке соединения может выполняться, например, обменом сертификаты. Для обеспечение Секретности можно использовать любой метод шифрования. Например, симметричные сеансовые ключи используют для шифрование переданных сообщений. Сеансовые ключи шифруются используя открытые ключи. Симметричные ключи имеют большую скорость шифрование да дешифрование процессов, нож ассиметричные. Для того, чтобы достичь целостность сообщений нужно к сообщение, какое нет зашифрованное сессионным ключом добавить дейджест.

Безопасный канал в общедоступной сети часто называют виртуальной частной сетью (VPN). Существует два способы образование VPN (рис.2.1): за помощью специального ПО конечных узлов, за помощью специального ПО для шлюзов, что находятся на границы между частными да общественными сетями.

В случае, если на (Рис.2.1, a) программное обеспечение, установленное на удаленном клиентском компьютеры, устанавливает безопасный канал с корпоративным сетевым сервером, к которому клиент обращается к ресурсам. В этом способе преимуществом есть полный защита канала по всему маршрута да возможность использовать разные протоколы для создания безопасных каналов. Недостатками есть избыточность и децентрализация решение. Избыточность проявляется в том, что наиболее уязвимыми в основном являются сети с коммутацией пакетов, а каналы беспроводной сети или выделенные каналы. Установка программного обеспечения на все клиентские компьютеры и серверы локальной сети не есть обязательным. Децентрализация нет дает возможности централизованно управлять ресурсами сети. Администрировать каждый сервер да каждый компьютер пользователя для конфигурации у них средств защиты данных в большой сети тяжело и не удобно.

В другому случае (рис.3.1, б) клиенты да серверы нет создают защищенный канал – это заложено только внутри общедоступной сети из коммутацией пакетов. Канал создается между поставщиком услуг удаленной связи общедоступной сети и маршрутизаторам корпоративной сети Реализация такого подхода сложнее – она требует стандартного протокола для создания защищенного канала, установка программного обеспечение, что поддерживает такой протокол, всем провайдерам необходимо поддерживать протокол производителями удаленных серверов и маршрутизаторов доступа.

Виртуально частная сеть (VPN) составляет собой подключение типа

"точка-точка" в частной или глобальной сети. VPN-клиенты используют специальные TCP / IP-протоколы, так называемые туннельными протоколами, что обеспечивают установка защищенного канала обмена данным между двумя компьютерами. С точки зрения компьютеров, что взаимодействуют между ими организуется выделенный канал типа «точка-точка», хотя на самом деле, соответствующие данные передаются через Интернет, как и любые другие пакеты. При подключении к удаленного сервера VPN клиент создает виртуальный канал «точка-точка» через интернет [6]. Сервер удаленного доступа принимает вызов, делает проверку

аутентификации стороны, вызывающей и пересылающей данные между локальной сетью компании да VPN-клиент.

VPN-подключение удаленного доступа. VPN-подключение удаленного доступа дает пользователям возможность работать дома или в дороге, получая доступ к серверу частной сети с помощью инфраструктуры глобальной сети. Для подключение VPN пользователя существует связь "точка- точка" между клиентским компьютером и сервером организации. Реальная инфраструктура общей или публичной сети не имеет значения, так как данные передаются подобно к того, как если б они передавались по выделенном частном канала.

VPN-подключение типа «сеть-сеть». VPN-подключение типа

«сеть-сеть» (иногда называется VPN-подключением типа «маршрутизатор- маршрутизатор») назначено для маршрутизации подключений между разными филиалами организации, а также между организациями через общедоступную сеть,

обеспечивая при этом защита подключений. Если сети соединены через Интернет, как показано на следующей картинке, маршрутизатор с поддержкой VPN пересылает пакеты другому такому маршрутизатору через VPN- подключение. С точки зрения маршрутизаторов VPN-подключения на логическом уровни функционирует как выделен канал уровня передачи данных.

С помощью VPN-подключений можно подключить две частные сети. VPN-сервер обеспечивает маршрутизацию подключение к сети, к которой присоединено VPN сервер. Маршрутизатор какой делает вызов проходит проверку аутентификации на ответственном маршрутизаторе и в целях взаимной проверки аутентификации маршрутизатор, какой отвечает делает проверку аутентификации на маршрутизаторе, который делал вызов. При VPN – подключение типа «сеть-сеть» пакеты, что отправляются с любого с маршрутизаторов через VPN-подключение, обычно формируются нет на маршрутизаторы. на Рис.1.6 представлено VPN-подключение между двумя удаленными сайтами через Интернет.

Свойства VPN-подключение:

Инкапсуляция. Обеспечивается инкапсуляция частных данных с использованием заголовка, какой имеет в себе сведения о маршрутизации для передачи этих данных по транзитная сеть.

Проверка аутентификации. Существует три разные формы проверки аутентификации для Подключение VPN.

Проверка аутентификации на уровне пользователя по протоколу PPP (Point- to-Point Protocol). Для установка VPN-подключение VPN-сервер выполняет проверку аутентификации VPN-клиента, что пытается установить подключение, на уровне пользователя по протоколу PPP и проверяет, имеет ли VPN- клиент соответствующие разрешения на доступ. При взаимный проверке аутентификации VPN-клиент также выполняет проверку подлинности VPN-сервера, что гарантирует защита от компьютеров, издающих себя за VPN-серверы[7].

Проверка подлинности на уровне компьютера по протоколу IKE (Internet Key Exchange). Чтобы установить сопоставление безопасности IPSec, VPN-клиент и VPN-сервер используют протокол IKE для обмена сертификатами компьютеров или предварительно ключ. В обоих случаях VPN-клиент и VPN-сервер выполняют взаимную проверку аутентификации на уровни компьютер. Проверка аутентификации на основе сертификата компьютера есть одним с самых надежных способов и рекомендуется к применение. При проверке аутентификации на уровни компьютера используются подключения по протоколам L2TP/IPSec или IKE версии 2.

Проверка аутентификации источника данных и обеспечение целостности данных. Чтобы убедиться в том, что источником отправленных по VPN-подключению данных есть другая сторона VPN-подключение и что они переданы в неизмененном виде, в данные включается контрольная сумма шифрование, основана на ключи шифрование, какой известный только отправителю да получателю. Функции проверки прохождение данных и обеспечение целостности данных доступны для подключений по протоколах L2TP / IPSec и IKE версии 2.

Шифрование данных. Для обеспечение конфиденциальности данных при передачи по общий или публичной транзитивный сети они шифруются отправителем и расшифровываются получателем. Успешность процессов шифрование и расшифровка гарантируется в том случае, когда отправитель и получатель используют общий ключ шифрования.

Выводы

РАЗДЕЛ 2

ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Безопасность является серьезной проблемой в большинстве сетевых сред, но особенно когда удаленный доступ предоставляется мобильным пользователям и филиалам. Пользуясь удаленным доступом можно встретить хакеров, которые подвержены к подлогу или краже конфиденциальной информации [5]. Должны быть употреблены соответствующие меры предосторожности, чтобы не допустить серьезных потерь пользуясь удаленным доступом.

В зависимости от размера сети и важности информации, к которой возможно получить удаленный доступ, можно использовать один или несколько методов безопасности.

Аутентификация. Это предполагает проверку удаленного абонента за с помощью идентификатора пользователя и пароля, таким образом контролируя доступ к серверу. Безопасность усиливается, если ID и пароли шифруются до выходом по канала связи.

Ограничение доступа. Это предполагает назначение каждому удаленному пользователю определенного расположение (есть каталога или диска), к которого можно обращаться на сервере. Доступ к конкретных серверов можно даже контролировать.

Ограничение времени. Для каждого удаленного пользователя дается определенный время для сеанса. После истечения времени сеанс прерывается.

Ограничение подключение. Количество попыток подключение есть ограничен.

Например когда Возможно ввести определенную количество попыток за неделя или за день.

Ограничение протокола. Это предусматривает ограничение пользователей определенным протоколом для удаленного доступа.

Обратная связь. При обратном вызове принимается звонок клиента, линия отключается, да сервер перезванивает для клиента после проверки правильности номера телефона Этот метод хорош для филиалов, но у других случаях он нет всегда есть хорошим решением. Для тех кто меняет свое местонахождение постоянно.

Шифрование. Когда беспроводные услуги используются для удаленного доступа, шифрование есть важным для защиты конфиденциальной информации, поскольку она пересекает эфир. Устройства на обоих концах запускают программное обеспечение кодирования и декодирования информации. Несмотря на то, что программное обеспечение для шифрование есть дополнительной расходом при пользовании услугами пакетного радиосвязи, новая беспроводная услуга, основана на технологии сотовой цифровой пакетной передачи данных, использует аутентификацию да шифрование как цельные функции, что препятствует случайном перехвату [4].

VPN не была первой технологией удаленного подключения. Ранишь наиболее распространенный способ подключения компьютеров между несколькими офисами заключался в использовании выделенной линии. Арендованные линии, такие как ISDN (Digital Network Integrated Services, 128 Кбит/с), – это частные сетевые соединения, которые Телекоммуникационная компания может арендовать своим клиентам. Арендованные линии предоставили компании возможность расширить свою частную сеть вне ее непосредственного географического района. Или соединение образуют единственную глобальную сеть (WAN) для бизнеса. Несмотря на то, что арендованные линии

надежные, аренда стоит дорого, с увеличением расстояния между офисами расходы растут.

Сегодня Интернет является более доступным, чем когда-либо ранее, и Интернет- провайдеры продолжают развивать более быстрые, более надежные услуги за низшей стоимостью, чем арендованные линии. Чтобы воспользоваться этим, большинство предприятий заменили арендованные линии новыми технологиями, что используют подключение к Интернет, нет жертвуя производительностью да безопасностью. Предприятия начали с создания интрасетей, являющихся частными интрасетями, назначенными для использование только работниками компании. Интернет разрешил удаленным коллегам работать вместе, используя такие технологии, как общий доступ к рабочему столу. Добавляя VPN, предприятия могут расширить свои ресурсы интросети, разрешая работникам работать с удаленных офисов или домов.

Цель VPN - обеспечить безопасное да надежное соединение между компьютерными сетями через существующую общедоступную сеть, как правило, Интернет.

Хорошо разработана VPN обеспечивает следующие преимущества:

Виртуальная частная сеть – это защищенный тоннель между двумя или более компьютерами в Интернете, что позволяет им получать доступ друг к другу, как и в локальной сети Ранее VPN использовались в основном компаниями для надежного подключения удаленных отделений или подключения роуминговых работников в офисную сеть, но сегодня они также являются важной услугой для потребителей, защищая их от атак при подключении к общедоступным. беспроводных сетей.

Открытые беспроводные сети представляют серьезную угрозу для пользователей. поскольку злоумышленники в одних и тех же сетях могут использовать разные методы для мониторинга веб-трафика и даже похищать учетные записи на сайтах, которые нет используют протокол безопасности HTTPS. Кроме того, некоторые операторы сети Wi-Fi намеренно вводят рекламу в веб-трафик, что может привести к нежелательного отслеживание.

В некоторых регионах мира правительства контролируют пользователей, посещающих определенные веб-сайты с целью выявления политической принадлежности и диссидентов - практики, которая угрожает свободе слова и правом человека.

Используя VPN-соединение, весь трафик можно безопасно маршрутизировать через сервер, расположен в других местах мира. Это защищает

от локальных попыток отслеживания и взлома и даже скрывает настоящий адрес Интернет-протокола от веб-сайтов да служб, к которых осуществляется доступ.

Существуют разные технологии VPN с разной степенью шифрования. Например, протокол туннелирование точка-точка (PPTP) есть быстрым, но намного меньше безопасным, чем другие протоколы, такие как IPSec или OpenVPN, использующий SSL / TLS (Secure Sockets Layer / Transport Layer Security). Кроме того, при использовании VPN на основе TLS важный также тип алгоритма шифрование и длина ключа.

Хотя OpenVPN поддерживает множество комбинаций шифров, протоколов обмена. ключами да алгоритмов хеширование, самой распространенной реализацией, какую предлагают провайдеры VPN для соединений OpenVPN, есть шифрование AES с обменом ключами RSA да подписями SHA. Рекомендуемыми вариантами есть шифрование AES-256 с ключом RSA не менее 2048 бит и криптографической хэш-функцией SHA-2 (SHA-256) вместо SHA-1.

Следует отметить, что шифрование может повлиять на скорость подключения. Выбор технологии VPN да методов шифрование след делать в каждому конкретном случае, в зависимости от того, какие данные будут переданы.

VPN также используется для доступа к содержимого в Интернет, какой недоступен в определенных регионах, хотя это зависит от того, насколько владельцы содержимого придерживаются ограничений. Поставщики услуг VPN обычно используют серверы во многих странах мира и позволяют пользователям легко переключаться между ними. К примеру, пользователи могут подключаться через сервер в одной стране, чтобы получить доступ к ограниченному содержимому при этом или другой стране.

Пользователи таких стран, как Китай или Турция, где правительства регулярно блокируют доступ к определенных веб-сайтов с политических причин, обычно используют VPN для обхода этих ограничений.

Развертывая VPN на международном уровне, вам нужно убедиться, что законы и правила разных стран не нарушаются, поскольку услуги VPN там могут быть ограничены.

Правила могут ориентироваться на потребителей, которые пытаются посещать запрещенные веб-сайты, но они также могут применяться к предприятий, подключаемых к филиалам в других местах. Суть заключается в том, чтобы проверить законы в всех странах, где размещается сайт VPN, чтобы убедиться, что он законен и существуют ли правила, которые могут нарушить конфиденциальность [8].

В меру рост разнообразия да интенсивности киберугроз администраторам сетей нужно сбалансировать желание полностью заблокировать внутренние сети своей организации от доступа к Интернет, одновременно обеспечивая повсеместный доступ к внутренней сети из многих удаленных устройств, сотрудников, клиентов да IoT. Этого баланса можно достичь за помощью использование виртуальной частной сети (VPN), какая использует Интернет для обеспечение безопасного доступа к виртуальной сети.

Лучшим способом очистки конфиденциальных данных и приложений является предоставление доступа к них за помощью “нестандартной доступности”, например, Интернет. Сети, учитывающие инфраструктуру, в которой данные конфиденциальности хранятся, изолированные от Интернета, с целью их защиты отображаются IP- адреса, недоступные через Интернет. Безопасность усиливается за счет ограничения доступа к ряда ссылок, поэтому доступ к них может обрабатываться только от

певческого трафика только по разрешенным внешним вложениям. Как одиночные, так и переплетенные ограждения называются «частными ограждениями».

Предприятие может иметь частную сеть, связывающую всю свою ИТ- инфраструктуру и компьютеры служащих с корпоративной интрасетью Эта сеть разрешает получить доступ к всех внутренних ИТ-услуг, таких как заработная плата, электронная почта и т.д., в штаб-квартире предприятия. В меру рост бизнеса частную сеть можно также расширить к дополнительных филиалов.

Специальный транспорт данных за арендованными линиями связи часто используется для установка связи между офисами для их частной сети, сохраняя сеть отдельно от Интернета. Телекоммуникационные услуги, используемых для создания этой связи между местонахождениеми, есть достаточно дорогими, и нужны более экономичные альтернативы.

Для установка связи между офисами, для их частной сети при сохранении сети по отдельности от интернета часто используется выделен транспорт данных с арендованными линиями электросвязи. Телекоммуникационные услуги, которые используются для создание связи с этим между местами расположение, достаточно дороги и необходимы более экономические альтернативы.

Благодаря достижениям в области криптографии, вычислительной техники и интернету стало возможным шифровать трафик данных и туннелировать его через интернет на сервер, расположен в частной сети. Защищенный тоннель создает виртуальную связь, какой расширяет частную сеть через общедоступную сеть.

VPN может использовать одну с многих технологий, таких как Интернет-протокол (IPsec), безопасность транспортного уровня (SSL /TLS), безопасность транспортного уровня данных (DTLS), надежно подключая устройства или сети

через общедоступны сети для расширение или формирование частной сети.

Те сами технологии, которые используются для создание виртуального связи между сетями, также могут быть использованы для подключение устройств пользователя к частной сети. Общее использование VPN состоит в обеспечении удаленных работников безопасным доступом к Интернета к ИТ-услуг своей компании. Сотрудники используют VPN- клиентов, установленных на корпоративных ноутбуках или мобильных устройствах, для подключение к VPN-сервера, какой присутствует в частной сети компании.

Случай использование удаленного доступа нет ограничивается доступом сотрудников. Любой устройство, подключен к Интернет, может использовать VPN, чтобы быть частью частной сети. Устройства могут варьироваться от обычных вычислительных устройств, таких как ноутбуки, до специализированных промышленных датчиков или бытовой электроники, таких как смарт-телевизоры.

Чем больше устройств и услуг подключение к глобальной сети, угроза кибератак увеличивается. Доступ VPN к нужных вам устройств помогает уменьшить потенциальные угрозы. Верно реализована VPN разрешает только доверенным устройствам получить доступ к частной сети да применяет надежные средства контроля доступа для обеспечения наименее привилегированного доступа. Или мероприятия уменьшают количество атак, доступных для хакеров, чтобы нарушить безопасность сети.

Решения VPN также обеспечивают взаимную аутентификацию, при которой как VPN-сервер, так подключающее устройство аутентифицируют друг друга. В случае успеха подключаемый к сети пользователь аутентифицирует с использованием имени пользователя / пароля и, необязательно, с использованием другой формы

аутентификации, какая может быть токеном безопасности, например за помощью мобильного телефона или смарт-карты. После того, как устройство и пользователь идентифицируются, сервер VPN может определять правила доступа, да что пользователь получает только доступ к подмножеству систем/услуг, к которым они имеют право доступа.

Еще одним преимуществом безопасности использования VPN является шифрование данных, какое защищает от прослушивание да утраты данных.

Сегодня использование услуг SaaS набирает популярность. Что также может обеспечить распределенное использование ресурсов

Но не все программы SaaS предлагают достаточно высокий уровень безопасности. Обычно приложения SaaS полагаются только на аутентификацию имени пользователя да пароля. Если вы нет будете следовать рекомендации относительно обеспечение безопасности для защиты пароля и блокировки аккаунта при неудачных попытках, для получение несанкционированного доступа можно использовать грубые атаки да эксплуатация на слабых механизмах восстановление пароля. Поэтому целесообразно разрешить принудительные политики корпоративной безопасности с помощью VPN для подключения к корпоративной безопасности сети, а потом доступа к приложениям SaaS через корпоративную сеть.

HTTPS также нет можно рассматривать как альтернативу VPN. HTTPS нет можно использовать непрерывно в течении всего сеанса просмотра. Обычно он используется только на определенных сайтах и только для определенных транзакций, передающих конфиденциальную информацию, такую как имя пользователя / пароль или данные кредитной карты. HTTPS хорошо защищает конфиденциальную информацию под время использование, но VPN самое лучшее держит весь сеанс просмотра конфиденциальным да защищает весь трафик при подключении к ненадежных сетей. HTTPS использует TCP да обеспечивает защита веб-приложений.

Таким образом, он не может обеспечить трафик из всех не интернет-программ, которые можно использовать на устройствах, таких как электронная почта или VoIP, и потоковых программ, которые не полагаются на TCP, такие как Skype или Spotify. За помощью VPN можно защитить весь трафик с устройства, независимо от программы, генерирующей трафик. Будучи защищенным транспортным протоколом для конкретных приложений, HTTPS не действует как VPN и, следовательно, не может обеспечить всех преимуществ VPN, таких как доступ к общих файлов, сетевых принтеров да других сетевых ресурсов в большей приватной сети.

Основная цель VPN – обеспечить безопасный доступ к частной сети без непосредственного подключения к частной физической сети. Таким образом, VPN расширяет все услуги, доступные в частной сети, как если бы устройства были непосредственно подключены в частную сеть.

Корпоративные ИТ-специалисты могут предоставлять такие услуги, как файловые серверы, серверы печати, веб-сайты интрасети, ERP-системы, резервные серверы тому подобное. Эти услуги предназначены только для внутреннего использования, но не с VPN работник нет ограничивается физическим местонахождением и может иметь прямое подключение к внутренней ИТ-сети с любого географического расположение.

Эта же частная сеть может предоставлять специализированные услуги для подключенных к Интернета устройств, таких как IP-телефония или управление устройствами. VPN можно использовать для надежного подключение этих устройств к вычислительной инфраструктуре, предоставляющей специализированные услуги через приватную сеть. VPN – отличное решение для безопасной передачи данных, передаваемые и принимаются разными устройствами.

Вы также должны понимать, что с VPN также существуют риски безопасности. Сюда входят похищение VPN, при котором неавторизованный пользователь похищает соединение VPN с удаленного клиента, атаки «посредине», в которых злоумышленник может перехватывать данные, слабая аутентификация пользователя, раздельное туннелирование, в котором пользователь получает доступ к опасному подключение к Интернету, а также доступ к подключению к частной сети VPN, заражение вредным программным обеспечением на клиентском компьютере, предоставление слишком больших прав доступа к сети и утечки DNS, когда компьютер использует DNS-соединение по умолчанию, а не защищен VPN-сервер DNS[9].

Чтобы устранить или риски, вам след рассмотреть дополнительные функции безопасности VPN, выбирая продукт VPN. Сюда входят обязательные средства безопасности:

Кроме того, администраторы сети и безопасности, персонал справочной службы да удаленные пользователи должны быть обучены придерживаться лучших практик безопасности под время развертывание да постоянного использования VPN.

Другой способ улучшить безопасность VPN – это Perfect Forward Secrecy (PFS). Если используется PFS, зашифрованы сообщение да сеансы, записаны в

прошлом, нет могут быть получены да расшифрованные, если долгосрочные секретные ключи или пароли возбуждены.

За помощью PFS каждый сеанс VPN использует разную комбинацию ключей шифрования, поэтому даже если злоумышленники украдут один ключ, они нет смогут расшифровать любые другие сеансы VPN.

Существует четыре основных типы VPN:

Протоколы туннельного VPN предлагают различные функции и уровни защиты, и каждый имеет свои преимущества да недостатки. Существует пять основных протоколов туннелирование VPN: протокол туннельной защиты Secure Socket (SSTP), протокол туннелирование Point-to-Point (PPTP), протокол туннелирование уровня второго (L2TP), OpenVPN да Интернет-версия обмена ключами 2 (IKEv2).

пароль. Большинство поставщиков VPN, что используют OpenVPN, используют прямую тайну.

Какой самый безопасный протокол VPN?

Несмотря на то, что они работают с открытым кодом, многие считает OpenVPN самым безопасным протоколом VPN. Он стабилен и надежен, легко настраивается для работы на любому порта, поддерживает аппаратное ускорение для повышение скорости, способен обходить брандмауэры да трансляцию сетевых адрес (NAT) и использует библиотеки OpenSSL для шифрование. Однако для этого требуется клиентское программное обеспечение, и его нет можно использовать на iPhone и только на ограниченной количества телефонов Android.

Еще один защищенный протокол - VPN-L2TP/IPSec. Он имеет мощный алгоритм шифрование, дополнительное программное обеспечение для устройств нет нужно, встроенный в большинство настольных операционных систем и мобильных устройств, достаточно простой в реализации да нет имеет известных серьезных уязвимостей. Однако он имеет проблемы с брандмауэрами, его труднее настроить на сервере Linux и относительно легко заблокировать провайдеров.

SSTP обеспечивает надежное шифрование, его очень тяжело обнаружить да заблокировать и поддерживается на всех устройствах Microsoft Windows. Однако он поддерживается нет всеми провайдерами VPN и имеет ограниченное поддержку для устройств, что не принадлежат к Windows [10].

Наименее безопасным протоколом VPN является PPTP. Его преимущества включают простую настройку, широкую поддержку большинства устройств и низкие накладные расходы. Поскольку он существует долгое время, ему известны проблемы безопасности, которыми могут воспользоваться хакеры (или государственные учреждения). Он имеет слабое шифрование и его сравнительно легко заблокировать провайдерами.

IKEv2 поддерживается как часть реализации Windows IPSec и прост в использовании. Однако ошибки разработчика все еще случаются, а также существует проблема совместимости между разными поставщиками.

Какой протокол VPN самый лучший для предприятий да пользователей?

Для тех, кто ищет наиболее безопасный, OpenVPN может быть хорошим вариантом. Для тех, кто ищет поддержку многих устройств, PPTP может быть хорошим решением.

Выводы

VPN обеспечивает доступ к защищенной корпоративной сети через незащищенные общедоступные сети. Хотя VPN является улучшением по сравнению с передачей незашифрованных данных через общедоступные сети, пользователи, которые планируют развертывание VPN или уже используют эту технологию, должны учитывать потенциальные недостатки безопасности. Использование VPN значительно повышает безопасность каналов связи распределенных узлов.

РАЗДЕЛ 3

АНАЛИЗ МНОГОФАКТОРНОЙ АВТЕНТИФИКАЦИИ

Постоянный рост количества интеллектуальных устройств и соответствующих нагрузок на подключение имеет поражены мобильные услуги, которые легко предлагаются в любой точке земного шара[11]. В таком связанном мире, механизм защиты защищенных переданных данных - это, прежде всего, аутентификация.

Согласно фундаментальной работе в [12], аутентификация – это процесс, когда “пользователь идентифицирует себя сам, отправив x в систему; система аутентифицирует его личность путем вычисление F(x) да проверяя, что оно равно сохраненном значению y ′′ . Это определение существенно нет изменилось с иногда несмотря на то, что простой пароль уже не является единственным фактором для проверки прав пользователя [13].

Аутентификация остается основной защитой от незаконного доступа к устройству или любому другому приложению, офлайн или в режиме онлайн Рис. 3.1 Возвращение во времени транзакций были аутентифицированы преимущественно с помощью физической присутствия, есть, например, путем нанесение восковой пломбы [14].

Сначала для аутентификации субъекта использовался только один фактор. на тот время однофакторная аутентификация (SFA) в основном была принята сообществом через ее простоту да удобство для пользователей. Как пример, можно рассмотреть использование пароля (или PIN-кода) для подтверждение право собственности на идентификатор пользователя. По-видимому, это самый слабый уровень аутентификации. Разделившись паролем, можно сейчас же сломать учетный запись. Больше того, несанкционированный пользователь может также попробовать получить доступ, используя атаку за словарем, таблицу радуги или техники социальной инженерии [15]. Обычно при использовании этого типа аутентификации следует учитывать минимальное требование относительно сложности пароля.

Кроме того, было понятно, что аутентификация только по одному фактору не есть надежной для обеспечение должного защиты через ряд угроз безопасности [16].

Как интуитивный шаг вперед была предложена двухфакторная аутентификация. (2FA), сочетающая репрезентативные данные (комбинация имени пользователя/пароль) с фактором личного владения, например смарт-картой или телефоном. Сегодня доступны три типа факторных групп для связи лица с установленными данным:

Впоследствии была предложена многофакторная аутентификация (MFA), чтобы обеспечить более высокий уровень безопасности да облегчить постоянный защита вычислительных устройств, а также других важных служб от несанкционированного доступа, используя более двух категорий учетных данных. По большей части MFA базируется на биометрии, что есть автоматизированным распознаванием людей на основе их поведенческой и биологических характеристик [17]. Этот шаг обеспечил улучшенный уровень безопасности, поскольку пользователи должны были представить доказательства своей личности, опирающейся на два или больше разных факторов

Обсуждено эволюция методов аутентификации показана Рис. 3.2.

Однофакторная аутентификация Двухфакторная аутентификация Многофакторная аутентификация

Фактор знаний: PIN-код, пароль, вопрос безопасности


Фактор собственности: Смартфон, ключ-карта, одноразовый пароль


Биометрический фактор: отпечатки пальцев, распознавание лицо, распознавание поведения

Рис.3.2 Эволюция методов аутентификации от SFA к MFA.

Сегодня ожидается, что MFA будет использоваться в сценариях, где требования безопасности выше, нож обычно. За данным SC Media UK, 68 процентов европейцы готовы использовать биометрическую аутентификацию для платежей. Рассмотрим повседневную практику снятия наличных денег в банкоматах. Здесь пользователь должен предоставить физический токен (карту), представляющий фактор владения, и поддержать его PIN-код, что представляет фактор знание, чтобы иметь возможность получить доступ к лицевого счета и снять деньги.

Как правило, приложения MFA можно разделить на три рыночные группы: (i) коммерческие приложения, есть Вход в учетный запись, электронная коммерция, банкомат, контроль физического доступа тому подобное; (ii) государственные заявки, есть документы, что свидетельствуют личность, государственный документ, паспорт, водительские право, социальное обеспечение, пограничный контроль тому подобное; и (iii) судебно- медицинские программы, есть уголовное расследование, пропажи детей, идентификация трупов и т.е. д. Как правило, количество сценариев, связанных с аутентификацией, действительно много. Сегодня MFA становится чрезвычайно важным фактором для:

В настоящее время одной из основных проблем MFA является отсутствие корреляции между идентификатором пользователя и идентификаторами интеллектуальных датчиков в электронном устройстве/системе [18]. Что касается безопасности, это отношение имеет быть установлено да, чтобы только законный оператор, например, тот, чья личность аутентифицировать заранее, могла получить права доступа. В то же время процесс MFA должен быть максимально удобным для пользователя, например:

Биометрия действительно делает значительный вклад в схему MFA и может значительно улучшить проверку личности, сочетая фактор знание да мультимодальные

биометрическими факторами, что значительно усложняет преступнику подслушивать системы, выдавая себя за другую человека. Однако использование биологических факторов имеет свои проблемы, в основном связанные с простотой использования, что в значительный степени влияет на удобство использование системы MFA.

С точки зрения пользователей, сканер отпечатков пальцев уже обеспечивает наиболее широко интегрированный биометрический интерфейс. Это в основном связано с тем, что его используют на рынке производители смартфонов. С другой стороны, его не рекомендуется использовать в качестве автономного метода аутентификации. Однако использование любых биометрических данных часто требует набора отдельных сенсорных устройств. Использование уже интегрированных позволяет снизить затраты на систему аутентификации и облегчить внедрение конечными пользователями. Фундаментальный компромисс между удобством использования и безопасностью является одним из важнейших факторов при рассмотрении систем аутентификации сегодня[19].

Другая проблема заключается в том, что использование биометрии сплачивается на бинарном механизме принятия решений[20]. Это было хорошо изучено за последние десятилетие в классической теории статистических решений с точки зрения аутентификации. Существуют разные возможны решение для контроля небольшой несоответствия фактических «измеренных» биометрических данных и хранящихся в ранее данных восторженных образцах. Двумя широко используемыми методами являются: коэффициент ошибочного принятия (FAR) [21] и коэффициент ошибочного отклонения (FRR) [22]. Манипуляции с критериям принятие решение позволяют настроить структуру аутентификации на основе заранее определенных затрат, рисков и выгоды. Операция MFA сильно зависит от FAR и FRR, поскольку получение нулевых значений для обоих показателей практически невозможно. Оценка более нож

одной биометрической характеристики для установка лица человека может значительно улучшить работу системы MFA.

В настоящее время в системах аутентификации уже используется огромное количество датчиков, позволяющих идентифицировать пользователя. В этом разделе мы подробно рассмотрим факторы, подходящие для MFA, соответствующие датчики, доступны на рынке, и связанные с этим проблемы. Кроме того, мы предоставляем дополнительную информацию о тех, которые могут быть развернуты в ближайшем будущем.

Широко развернуты датчики / источники MFA

Сегодня идентификация и аутентификация для доступа к конфиденциальным данных – один из основных вариантов использования MFA. Далее перечисляются факторы, уже доступны для использование MFA без приобретение дополнительного специализированного оборудование.

Обычный способ аутентификации пользователя – запрос PIN-кода, пароля и т.д. [23]. Секретный пароль традиционно представляет фактор знания. Для аутентификации пользователя нужно только простой устройство введение (по крайней мере, одна кнопка).

Затем пароль может быть дополнен физическим токеном. - например, картой, какая рекомендуется в качества второго фактора группы владение. С аппаратной точки зрения пользователь может представить смарт-карту, телефон, переносной устройство и т.д. д., которые сложнее делегировать[24].

В этом случае система должна быть оборудована радио интерфейсом, что обеспечивает двусторонний связь с токеном. С другого стороны, самый известный программный маркер - это одноразовый пароль, сгенерированный программным

обеспечением. Основным недостатком вышеупомянутого фактора есть проблема неконтролируемого дублирование.

Большинство современных интеллектуальных электронных устройств оснащены микрофоном, позволяющим использовать распознавание голоса как фактор для MFA [25]. В тот же время, технологический прогресс завтрашнего дня может позволить специальным агентствам не только распознавать говорящих, но и имитировать их голоса, включая интонацию, тембр тому подобное, что есть серьезным недостатком использование голоса как основного метода аутентификации.

Следующим шагом можно рассмотреть распознавание лица. В начале своего развития технология базировалось на анализе знаковых изображений, которых было относительно просто воспроизвести, предоставив системе фотографию [26]. Следующим этапом было предоставление возможности трехмерного распознавания лица, т.е. просьба пользователя двигать головой во время процесса аутентификации определенным образом. Наконец, прогресс этой системы достиг точки признания фактических выражений. пользователя. Чтобы обеспечить распознавание лицо, нужно оснастить систему по крайней мере одним выходным устройством и камерой.

Методы распознавания радужки существуют на рынке более 20 лет. Этот подход нет требует от пользователя находиться близко к устройства восторг при анализе цветового изображения человеческого глаза . Еще один привлекательный метод – анализ сетчатки глаза [27]. Здесь увлекается и анализируется тонко ткань, что складывается с нервных клеток, которые расположены в задний части глаза. Анализ сетчатки является еще одной привлекательной методикой [27]. Здесь увлекается и анализируется тонко ткань, что складывается с нервных клеток, расположенных в задний части глаза. Из-за сложную строение капилляров, что поставляют сетчатку кровью, сетчатка глаза каждой человека уникально. Самыми большими проблемами этих методов есть необходимость в высококачественном устройства съемки да надежной математический технике для анализа изображение.

Некоторые системы используют анализ физической формы руки для аутентификации пользователя. Сначала для проверки предмета использовались привязки, но такие методы использовались нет часто. В дальнейшем планшетный сканер использовался для получения изображения без необходимости фиксировать руку пользователя в одном конкретном положении [28]. Сегодня в некоторых системах используются обычные камеры, которые нет нуждаются тесного контакта с поверхностью. Однако этот подход не слишком устойчив к окружающей среде. Некоторые производители применяют да звону фотоплетизмографию (PPG), чтобы определить, или находится переносной устройство (например, умный часы) в настоящее время на запястье пользователя или нет. Этот процесс аналогичен процесса измерение пульса.

Достижение сканеров отпечатков пальцев дают возможность также собрать изображение вены пальца [29]. Более сложные устройства используют распознавание отпечатков ладони, чтобы приобрести и сохранить форму / движение целой руки. на современном этапе развития биометрия вен все еще уязвимая к атак замены.

Большинство поставщиков смартфонов / персональных компьютеров в настоящее время используют сканер отпечатков пальцев в качестве основного механизма аутентификации. Это решение есть интуитивно понятным в использовании, но остается

чрезвычайно простым в изготовлении – главным образом благодаря тому, что наши отпечатки пальцев можно получить почти из чего-либо, к чему мы прикасаемся. Интеграционный потенциал этого метода действительно высокий, хочет его также нет рекомендуется использовать как самостоятельный подход к аутентификации. Большинство поставщиков смартфонов устанавливают дополнительную камеру для получение отпечатков пальцев вместо более безопасного распознавание вен.

Подобно к распознавание вен, тепловой датчик используется для реконструкции уникального теплового изображение потока крови в теле в непосредственной близости. Много проблем с этим методом аутентификации может возникнуть через условия пользователя: болезнь или эмоции могут существенно повлиять на восприятии цифры.

Использование географического положение устройства и пользователя для проверки возможности предоставление доступа к устройства / услуги есть особым случаем аутентификации на основе расположение. Важно отметить, что сигнал GPS может быть легко заблокирован или считаться неисправным из-за свойства распространение; таким образом, рекомендуется использовать по крайней мере два источники расположение, например, GPS и идентификатор сотовой сети. Смартфон можно использовать для поддержки MFA с точки зрения определение местоположения.

Будущее интеграции MFA

Ускоренное внедрение в многих отраслях, а также повышение доступности биометрических услуг в широком спектре легкодоступных потребительских товаров подталкивают к концепции тесной интеграции MFA. В данный

время исследователи и первопроходцы технологий пытаются интегрировать новые датчики для использования в системах MFA.

Своего времени функция распознавание поведения использовалась для анализа ритма набора текста военным телеграфистом для отслеживание передвижение войск. Сегодня жесты для целей аутентификации могут варьироваться от обычных к «трудно имитированных», поскольку запрограммированы двигателем навыки приводят к тому, что движение организуется к фактическому исполнение.

Современный пример такой идентификации – это прикосновение к экрану смартфона. Этот подход можно легко комбинировать с любыми методами аутентификации при ввод текста, поскольку шаблон набора текста уникален для каждого человека. В случае, если система MFA специально разработана для анализа определенных жестов, от пользователя требуется воспроизвести ранее изученное движение, удерживая или надев сенсорное устройство.

Очевидным шагом аутентификации для широко используемых портативных и переносных устройств есть использование отпечатков пальцев акселерометра. К примеру, каждый владелец смартфона может быть проверен на основе модели ходи путем непрерывного мониторинга данных акселерометра, которые практически невозможно подделать другой человеком.

С точки зрения электросвязи, методы радиочастотной идентификации (RFID) и связи ближнего поля (NFC) уже получили широкое распространение и признание в обществе. Последние тенденции в области безопасности физического уровня утверждают, что использование беспроводных решений с множественным входом и множеством выходов

(MIMO) для определение места расположение источники сигнала может стать значительным прорывом в проверке токена на теле пользователя.

Данные ЭКГ можно было собрать с разумных часов пользователя или трекера активности и сравнить с индивидуально сохраненным образцом. Основное преимущество использование этого фактора для аутентификации состоит в том, что сигналы ЭКГ выступают в качестве потенциального биометрического метода с тем преимуществом, что их тяжело (или почти невозможно) имитировать. Единый способ - использовать существующие личные записи.

Это решение основано на анализе мозговых волн и может рассматриваться с фундаментального философского положение «Cogito ergo sum» Р. Декарта или

«Я думаю, значит, я существую». Это позволяет получить уникальный образец паттерна. мозговой активности человека. Раньше регистрацию данных ЭЭГ можно было выполнять только в клинических условиях с использованием инвазионных зондов под черепом или электродов с влажным гелем, расположенных на коже черепа. Сегодня простой сбор ЭЭГ возможен с использованием доступных на рынке устройств, что имеют размер гарнитуры.

Линии клеток человека являются важным ресурсом для исследований, которые наиболее часто используются в обратных генетических подходах или в качестве моделей заболеваний человека in vitro. Это также источник уникальной информации о дактилоскопия ДНК. Несмотря на то, что этот процесс занимает много времени и есть дорогостоящим, он потенциально может использоваться для предварительной авторизации пользователя на высоко защищенных объектах рядом с другими факторами.

На Табл. 3.1(a) и 3.1(б) приводится сравнение основных показателей для уже задействованных и возникающих факторов. Факторы/датчики оцениваются на основе следующих параметров:

С - средний; Н - низкий; н /д - недоступен.

Фактор

Универсальность

Уникальность

Возможность сбора

Защита паролем

н/ д

Н

В

Токен

н/д

С

В

Голосовая биометрия

С

Н

С

Распознавание

лицо

В

Н

С

Очковая

методология

В

В

С

Сканер отпечатков

пальцев

С

В

С

Геометрия рук

С

С

С

Географическое

расположение

н/д

Н

С

Распознавание вен

С

С

С

Тепловое

распознавание

В

В

Н

изображение

Определение

поведения

В

В

Н

Техника формирование

луча

н/д

С

Н

ЭКГ

Н

В

Н

ЭЭГ

Н

В

Н

ДНК

В

В

Н

Таблица 3.1(б) Сравнение соответствующих факторов для MFA: В - высокий;

С - средний; Н - низкий; н /д - недоступен.

Фактор

Производительность

Приемлемость

Подмена

Защита паролем

В

В

В

Токен

В

В

В

Голосовая биометрия

Н

В

В

Распознавание

лицо

Н

В

С

Очковая

методология

С

Н

В

Сканер отпечатков

пальцев

В

С

В

Геометрия рук

С

С

С

Географическое

расположение

В

С

В

Распознавание вен

С

С

С

Тепловое распознавание

изображение

С

В

В

Определение

поведения

Н

Н

Н

Техника формирование

луча

Н

Н

В

ЭКГ

С

С

Н

ЭЭГ

С

Н

Н

ДНК

В

Н

Н

Однако при интеграции MFA для конечных пользователей необходимо решить много других проблем. В следующем разделе мы подробно рассмотрим или проблемы и формализуем рекомендации по упрощению интеграции

Интеграция новых решений всегда была серьезной проблемой как для разработчиков, так и для менеджеров. Ключевые проблемы представлены на Рис. 3.3. Во-первых, принятие пользователями есть критическим аспектом для принятие суровой идентификации и многофакторной аутентификации. При принятии да развертывании решений MFA необходимо придерживаться осторожного и тщательного подхода, когда большинство проблем возникает с возможностей и потенциальных выгод.

1. Удобство и простота

Основные проблемы удобства использование, что возникают в процессе аутентификации, можно охарактеризовать с трех точек зрения:

на приложение к подходов, что обсуждались раньше, исследователи уже начали исследования более специфических эффектов в процедурах аутентификации, основанных на разных человеческих факторах. Авторы провели исследование того, как возраст пользователя влияет на эффективность Задача в случаях использование ПИН и механизмов графического доступа. Сделано заключение, что молодое поколение может тратить к 50 процентов меньше времени на прохождение

процедуры аутентификации у обоих случаях. Интересно, что авторы показали, что пол в поэтому же случае не влияет на результаты.

Другой подход, что обсуждался раньше, исследователи уже начали исследование более специфических эффектов в процедурах аутентификации, основанных на разных человеческих факторах. Авторы провели исследование того, как возраст пользователя влияет на эффективность Задача в случаях использование ПИН и механизмов графического доступа. Сделано заключение, что молодое поколение может тратить к 50 процентов меньше времени на прохождение процедуры аутентификации у обоих случаях. Интересно, что авторы показали, что пол в том же случае не влияет на результаты. Однако когнитивные отличия между пользователями, есть вербально или визуализация, существенно влияют на исполнение Задача.

Удобство использование

Эффективность задачи, эффективность предпочтения

пользователей, возраст, когнитивные способности качество устройства введение особые

ограничение.

Биометрический вероятностный

Биометрический вероятностный

FAR, FRR, FTE, FTA

Безопасность

Подделка данных

ввод, безопасность передачи социальная инженерия


Интеграция

Новое оборудование, программное обеспечение, взаимодействие

систем независимость

поставщика, доступ к выходного кода.

Надежность

Устойчивость к шума, качество входного устройства, надежность

Конфиденциальность

Устойчивость против известных атак, исследование потенциальных атак, шаблон защиты

Рис. 3.3 Основные операционные задачи MFA.

Кроме того, важную роль в этом процессе играют свойства устройства. аутентификации. Авторы исследовали возможность использование текстовых паролей на мобильных устройствах. Было доказано, что использование смартфона или другого оборудования без клавиатуры для создания пароля имеет неудовлетворительную удобство использование в сравнить со обычными ПК.

Сегодня большинство онлайн-сервисов аутентификации основаны на знаниях, есть зависят от комбинации имени пользователя да пароля. Более сложные системы требуют, чтобы пользователь взаимодействовал с дополнительными токенами (одноразовые пароли, генераторы кода, телефоны и т. д.). Дополняя традиционные стратегии аутентификации, MFA невозможно без биометрии. С этой точки зрения в работе [9] было проведено анализ того, как геймификация и радость могут положительно повлиять на принятие новых технологий. Проведенное исследование взаимодействия с жестами показало, что безопасность и взаимодействие с пользователем нет Обязательно должны противоречить один одном. Эта работа также продвигала удовлетворение как лучший способ быстрого внедрения технологий. В справке рассматривалась возможность использования решения ЭКГ для аутентификации, и не было сделан вывод, что применение ЭКГ еще не подходит для динамического сценария с реального жизнь.

Многие исследователи продвигали использование персональных портативных устройств под время процедуры MFA. Michelin et al. предложили использовать камеру смартфона для лица и радужки признания при сохранении принятие решений в облака. Другая работа по биометрический аутентификации для устройства Android продемонстрировала повышенный уровень удовлетворенности, связанный с более высокой эффективностью задач, достигнутой по помощью решение MFA. В какой изучается удобство использование и практичность биометрической аутентификации на рабочем месте. Был сделан заключение, что простота использование технологии да ее экологический контекст играют жизненную важную роль - интеграция и внедрение всегда повлечет за собой собой дополнительные и неожиданные расходы ресурсов

Чрезвычайно важная проблема в удобстве использования MFA заключается в поэтому, что «нет все пользователи могут использовать любую заданную биометрическую систему». Люди, потерявшие концовку в результате аварии, могут нет пройти аутентификацию за отпечатком пальца. Люди с ослабленным зрением могут испытывать трудности при использовании методов аутентификации на основе радужной оболочки глаза.

Биометрическая аутентификация требует интеграции новых услуг и устройств, что приводит к необходимости дополнительной образования под время усыновление, что усложняется для пожилых людей и из-за связанных с этим проблем понятности. Понятным есть одно: опыт пользователей играет важную роль в успешном внедрении MFA; некоторые говорит: «пользователь на первом месте». Сегодня исследование в области безопасности для аутентификации пользователей, основанной на знаниях, находятся в процессе поиска жизнеспособного компромисса между удобством использование и безопасностью - много проблем еще нет решены и вскоре появятся.

Интеграция

Даже если все проблемы удобства использование будут решены на этапе разработки, интеграция принесет дополнительные проблемы как с технологической, да и с человеческой точки зрения.

Большинство потребительских решений MFA остаются аппаратными. Как правило,

«интеграция физической и ИТ-безопасности может принести организации значительные преимущества, включая повышение эффективности да соответствия требованиям, а также улучшенную безопасность». Однако сходимость нет да просто. Связанные с этим проблемы

включают объединение групп физической да ИТ-безопасности, объединение компонентов разнородных систем и обновление систем физического доступа

При разработке системы MFA след тщательно учитывать независимость биометрических данных. Необходимо обеспечить соответствие критериям функциональной совместимости. Платформа должна иметь функциональные возможности для обработки биометрических данных с датчиков, отличных от начала развернутых. Также след учитывать использование мультибиометрия, есть одновременное использование более чем одного фактора.

Еще одна серьезная проблема совместимости – это зависимость от поставщика. Корпоративные решение обычно разрабатываются как автономные изолированные системы, которые предлагают чрезвычайно низкий уровень гибкости. Интеграция недавно представленных на рынке датчиков нуждаются сложных и дорогих обновлений, которые, быстрее за все, нет будут рассматриваться ближайшим иногда.

Кроме того, следует отметить, что большинство доступных в настоящее время решений MFA не имеют полностью/частично открытый исходный код. Это ставит перед посторонними поставщиками услуг вопрос о надежность и достоверность. При выборе структуры MFA следует в первую очередь учитывать доступный уровень прозрачности, что предоставляется поставщиками оборудование и программного обеспечение.

Безопасность да конфиденциальность

Любая структура MFA – это цифровая система, состоящая из критически важных компонентов, таких как датчики, хранилище данных, устройства обработки и каналы связи. Все они обычно уязвимы для множества атак на совершенно разных уровнях, начиная от попыток воспроизведения и заканчивая атаками противника. Таким образом, безопасность есть необходимым инструментом для обеспечение и сохранение конфиденциальности. Поэтому начнем с атак, которые выполняются на самому

устройства ввода. Разрешение доступа к конфиденциальным персональным данным и их обработки только законного контроллера подвергает сообщество основными рисками, связанными с безопасностью MFA, которые перечислены ниже.

Первый с ключевых рисков связанный с подделкой данных, какая будет успешно принята системой MFA. Примечательно, что через то, что биометрия используется разными структурами MFA, в злоумышленника появляется прекрасная возможность проанализировать как технологию, что лежит в основе датчика, так и сам датчик, в результате чего будут обнаружены наиболее подходящие материалы для подделки. Основная цель архитекторов системы и оборудования – обеспечить или безопасное среда, или, если это невозможно, заранее рассмотреть подходящие возможности спуфинга. Риск увлечения физических или электронных образцов и воспроизведение их в системе MFA должен быть тщательно устранен.

Обычно для защиты от атак с электронным воспроизведением нужно использование метки времени. на жаль, выполнить атаку с использованием биометрического спуфинга достаточно просто. Несмотря на то, что биометрия может улучшить производительность системы MFA, они также могут увеличить количество уязвимостей, которые могут быть использованы злоумышленником. Дополнительным риском является кража конфиденциальных данных во время передачи между датчиком и блоком обработки/хранения. Такая кража может в первую очередь происходить через опасное передача от устройства введение через извлечение и сопоставление блоков в базе данных, и существует вероятность атаки. Должен быть гарантирован необходимый уровень безопасности данных, чтобы противостоять этому типа риска.

Еще одна возможность атаковать систему MFA - это увлечение выборки секретных данных. Что касается факторов знание, система будет сейчас же

скомпрометированная, если нет будут использоваться решение с нулевым разглашением. Особый интерес представляет получение биометрического образца, который невозможно восстановить или изменить с течением времени. Следовательно, защита биометрических данных требует более высокого уровня безопасности на этапах сбора, передачи, хранение и обработки [30].

Следующий риск связан с воровством из хранилища данных. Обычно базы данные хранятся централизованно, что обеспечивает единую точку отказа. В тот же время некоторые из удаленных систем, контактирующих с базой данных, не всегда имеют законные права на доступ к сохраненным личным данным. Для защиты данных от кражи нужен высокий уровень изоляции на приложение к использование необратимого шифрования [31]. Следующий риск связан с атаками, связанными с местоположением. Сигнал GPS может быть уязвим для блокировка места расположение (помехи) или подачи ложной информации в приемник, чтобы он вычислял ошибочный время или место расположение (подмена). Аналогичные методы могут быть применены к услугам определение расположение на основе сотовой связи и WLAN [32,33].

Наконец, будучи системой информационных технологий, структура MFA должна обеспечивать относительно высокие уровни «пропускной способности», что отображает способность системы удовлетворять потребности своих пользователей с точки зрения количества попыток введения за период времени Даже если биометрия считается подходящей в всех других аспектах, но система может выполнять только, например, одно сопоставление на основе биометрических данных в час, в тот время как нужно работать со скоростью 100 образцов в час, такое решение не следует рассматривать как выполнимое. Здесь рекомендуется выбрать подходящее оборудование для обработки данных для стороны сервера / восторг.

Структура безопасности MFA также должна поддерживать панель тестирования на проникновение для оценки потенциальных слабых мест. Сегодня разработчики часто проводят внешний аудит для оценки рисков и действуют на основе такой оценки для более тщательного планирования Таким образом, следует оценить систему MFA для обеспечения более безопасного среды.

Надежность к рабочего среды

Даже если вопрос безопасности и конфиденциальности будут полностью решенные, биометрические системы, в основном дактилоскопические, не соответствовали требования «надежности» с самого начала своего пути [34]. В основном это произошло через то, что эксплуатационные испытание проводились в лабораторных условиях, а не в полевых условиях. Одним из ярких примеров является распознавание голоса, которое было очень надежным в тихой комнате, но не могло подтвердить пользователя в городских условиях.

Аналогичная проблема относится к методам раннего распознавания лиц, которые нет работали без адекватной световой поддержки, качественной камеры и и т.д. Обратной стороной медали была необходимость постоянного наблюдение за испытуемым. Даже сегодня есть или советы о том, где смотреть / класть пальцы, или наглядные пособия при проверке безопасности. Отсутствие опыта взаимодействия между машинами и людьми обычно анализируется за помощью показателей

«Отказ от регистрации» (FTE), а также «Отказ от набора» (FTA) [35]. Оба они зависят от самих пользователей, а также от дополнительного шума. окружающей среды.

Поскольку значительная часть MFA сильно зависит от биометрии, она может быть классифицирована как вероятностная по своей природе. Основа биометрической аутентификации лежит в области сопоставление со образцом, какое, в свою очередь, базируется на приближении. Приблизительно согласование есть важным аспектом в будь какой системе MFA, поскольку разница между пользователями может иметь решающее значение из-за множества факторов и неопределенности. Изображение, полученное во время сканирование отпечатка пальца, будет отличаться каждый раз, когда оно будет наблюдаться через угол обзора, давления, грязи, влажности или отличий датчиков, даже если оно снято одной и тот же человеком.

Для количественной оценки эффективности системы биометрической аутентификации используются два важных коэффициента ошибок: FAR и FRR. FAR – это процент самозванцев, которых ошибочно допустили в качества настоящих пользователей. Он определяется как отношение количества ложных совпадений к общего количества попыток сопоставления самозванцев FRR – это количество настоящих пользователей, которым отказано в использовании системы, какое определяется как отношение количества ошибочных отказов к общей количества попыток подлинного сопоставления.

В литературе также рекомендуется использовать коэффициент ошибок кроссовера (CER) на приложение к раньше оговоренных метрик. Этот параметр определяется как вероятность того, что система находится в состоянии, в котором FAR равное FRR. Чем ниже это значение, тем лучше работает система. В соответствии с этого, «высший FAR лучший в системах, где безопасность нет имеет первостепенного значение, тогда как более высокий FRR лучше в приложениях с высоким уровнем безопасности». Точка равенства между FAR и FRR называется равной частотой ошибок (EER). на основании вышеизложенного можно еще раз сделать заключение, что система, какая использует исключительно биометрические данные, нет может считаться лучше структурой MFA.

Анализируя вышеперечисленные проблемы, можно оценить всю систему MFA. Дальше предложено подход, что разрешает использовать MFA, основанный при наличии большого количества датчиков.

Выводы

РАЗДЕЛ 4

МЕТОД ПОВЫШЕНИЯ УРОВНЯ ОЦЕНКИ БЕЗОПАСНОСТИ АБОНЕНСКОГО СОЕДИНЕНИЕ ПРИ ОРГАНИЗАЦИИ УДАЛЕННОГО

ДОСТУП.

Обычно у пользователя есть имя пользователя/пароль/ПИН/токен, и его дополнительно попросят использовать биометрический фактор, такой как черты лицо или отпечатки пальцев. Если процедура аутентификации нет может установить доверие с помощью этой комбинации факторов, то пользователю будет предложено пройти аутентификацию с использованием другого раньше зарегистрированного фактора или их набор. Эта система MFA может нет только проверять точность назначенного для пользователя ввод, но также определять, как пользователь взаимодействует с устройствами, то есть анализировать поведение. Чем больше пользователь взаимодействует с биометрической системой, тем вернее становится ее работа.

Еще одна особенность обсуждаемого сценария – это фактическое удобство использование датчика Если используется датчик (например, устройство для чтение отпечатков пальцев), и этот устройство недоступно с того места, где пользователь пытается войти в систему или получить доступ, предназначенный для пользователя опыт становится неадекватным. Наличие устройства двойного назначение - смартфона или умных часов (подходят для исполнение примитивов информационной безопасности), какое пользователь уже имеет в своему распоряжении – как дополнительный фактор MFA (не только в качестве токена) делает систему стоимость и удобство использование намного разумнее.

Наличие большого количества сенсорных данных подводит нас к следующему логического этапа их применение в MFA. Мы также предполагаем возможное использование соответствующих факторов для аутентификации пользователя без

использование специального «верификатор» с фактическими биометрическими данным, за исключением данных, собранных в реальном времени.

Один с подходов, рассмотренных в рамках данной работы, основанный на использовании полиномов Лагранжа для разделения секрет. Системный секрет S обычно «разделяется» между набором владельцев ключей. Его можно будет восстановить позже, как описано в [35] и многих других работах, например,