1
РЕФЕРАТ
Работа содержит 107 страниц, 15 рисунков 21 таблицы. Было
использовано 41 источников.
Актуальность темы:
Актуальность темы оговоренная ростом ценности информации,
постоянным появлением новых угроз информационной безопасности и
важностью процесса аутентификации при построении защиты информационной
системы На данный момент нет существует универсального решение, какое
может обеспечить необходимый уровень защищенности аутентификации в
любой распределенной системе. Много широко распространенные в настоящее
время алгоритмы аутентификации остаются уязвимыми для разных типов атак.
В то же время алгоритмы, обладающие достаточной степенью защищенности,
обычно требуют наличии сложной инфраструктуры и остаются непонятными
для широкого круги пользователей.
Предлагаемое решение многофакторной аутентификации охватывает
случаи аутентификации пользователя, даже если некоторые с факторов нет
совпадают или отсутствуют. Это также помогает квалифицировать недостающие
факторы, не раскрывая конфиденциальные данные опрокидывающей стороны.
Цель исследование:
Эта работа направлено на повышение уровня безопасности абонентского
соединение за счет обеспечение гибкости работы многофакторной
аутентификации для установка безопасного связи между пользователем и
удаленным сервером.
Задачи исследование:
1. исследовать методы безопасности да конфиденциальности при
удаленном доступе;
2
2. провести анализ возможных мероприятий для обеспечение
безопасности при удаленном доступе;
3. исследовать современные да потенциальные источники да
проблемные операции MFA;
4. предложить усовершенствованный метод оценки уровня
безопасности абонентского соединения
Объект исследование: процесс обеспечение безопасной передачи данных
при удаленном доступе к сетевых ресурсов.
Предмет исследования: метод оценки уровня безопасности
абонентского соединение при организации удаленного доступа.
Методы исследование: основными методами исследование есть
математическое да имитационное моделирование.
Научная новизна:
Предложено новый метод оценки уровня безопасности абонентского
соединение при организации удаленного доступа, обеспечивающее заданный
уровень безопасности за счет гибкости работы многофакторной
аутентификации.
Предлагаемое решение многофакторной аутентификации охватывает
случаи аутентификации пользователя, даже если некоторые с факторов нет
совпадают или отсутствуют.
Практическое значение полученных результатов:
Применение метода оценки уровня безопасности абонентского
соединения при организации удаленного доступа.
Публикации:
Результаты магистерской диссертации опубликовано в 3 сборных
материалов конференций.
3
Ключевые слово: удаленный доступ, аутентификация, защита
информации, VPN, SFA, 2FA, MFA
4
СОДЕРЖАНИЕ
РЕФЕРАТ ................................................................................................................. 4
ВВЕДЕНИЕ ............................................................................................................ 13
РОДИЛ 1 ................................................................................................................. 14
ОБЗОР СИСТЕМ УДАЛЕННОГО ДОСТУПА .................................................. 14
1.1 исследование методов удаленного доступа ......................................... 16
1.2 исследование проблем безопасности при удаленном доступе
Ошибка!
Закладка нет определена.
1.3 Анализ технологии VPN ........................................................................ 30
Выводы ................................................. Ошибка! Закладка нет определена.
РАЗДЕЛ 2 35
ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 35
2.1 Обзор возможных мероприятий для обеспечение безопасности при
удаленном доступе ....................................... Ошибка! Закладка не определена.
2.2 Использование технологии vpn для обеспечение информационной
безопасности .......................................................................................................... 36
Выводы ........................................................................................................... 49
РАЗДЕЛ 3 ............................................................................................................... 50
АНАЛИЗ МНОГОФАКТОРНОЙ АВТЕНТИФИКАЦИИ ................................ 50
3.1 Эволюция методов аутентификации от SFA в MFA ........................... 50
3.2 исследование современных да потенциальных источников MFA ..... 56
5
3.3 исследование проблемы операции MFA .............................................. 64
Выводы ........................................................................................................... 73
РАЗДЕЛ 4 ............................................................................................................... 74
МЕТОД ПОВЫШЕНИЯ УРОВНЯ ОЦЕНКИ БЕЗОПАСНОСТИ
АБОНЕНСКОГО СОЕДИНЕНИЕ ПРИ ОРГАНИЗАЦИИ
УДАЛЕННОГО ДОСТУПА 74
1.1. Описание подхода основанного на использованы полиномов Лагранжа
75
1.2. Предложенная обратная методология, основана на полиноме
Лагранжа 77
1.3. Предлагаемое решение MFA ................................................................ 80
4.4 Усовершенствованный метод оценки уровня безопасности абонентского соединение
.................................................. .................................................. ............................... 83
4.5 Обсуждение да перспективы на будущее. ............................................ 87
Выводы ........................................................................................................... 89
РАЗДЕЛ 5 ............................................................................................................... 91
РАЗРАБОТКА СТАРТАП-ПРОЕКТА ................................................................ 91
5.1 Описание идеи проекта ...................................................................... 91
5.2 Технологический аудит идеи проекта ............................................... 91
5.3 Анализ возможностей рынке для запуска проекта .......................... 92
5.4. Разработка рыночной стратегии проекта ............................................ 97
5.5. Разработка маркетинговой программы стартап-проекта ................... 99
Выводы ......................................................................................................... 102
6
ОБЩИЕ ВЫВОДЫ ПО РАБОТЫ… ................................................................. 104
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ .......................................... 106
7
ПЕРЕЧЕНЬ УСЛОВНЫХ СОКРАЩЕНИЙ
FTP File Transfer Protocol Протокол передачи файлов в сети
HTTP HyperText Transfer Protocol Протокол передачи гипер-текстовых
документов
IKE Internet Key Exchange Стандартный протокол набора
протоколов IPsec
IP Internet Protocol Интернет протокол
IPsec IP Security Набор протоколов для
обеспечения защиты данных,
передаваемых по помощью
протокола IP
MFA Multi-Factor Authentication Многофакторная
аутентификация PPP Point-to-Point Protocol
Протокол точка-точка
PPTP Point-to-Point Tunneling
Protocol
Тоннельный протокол типа
точка- точка
8
SFA Single-Factor Authentication Однофакторная аутентификация
SLIP Serial Line Internet Protocol Протокол Интернет для
последовательной
линии
SSL Secure Sockets Layer Уровень защищенности сокетов
TCP Transmission Control Protocol Протокол управление передачей
TLS
PIN
ID
ECG
GPS
FTE
FTA
CER
EER
FAR
Transport layer security
Personal Identification Номер
ID Number
Electrocardiography
Global Positioning System
Failure to Enroll
Failure to Acquire
Crossover Error Rate EER
Equal Error Rate
False Accept Rate
Защита на транспортном уровне
Персональный
идентификационный номер
ID Number
Электрокардиографи
я Система
глобального
позиционирование
Ошибка регистрации
Невозможность
приобретения Ошибка
кроссовера EER Ровный
уровень ошибок
Ошибочный коэффициент принятие
VPN Virtual Private Networks Виртуальная частная сеть
9
ВВЕДЕНИЕ
В данный время офисы теряют четкие пределы. В организациях
компьютерная сеть не ограничивается только локальной сетью, которая
размещена в одном или в нескольких офисах, что близко расположены между
собой. Мобильность набирает большую популярность. Пользователи теперь
могут находиться на большой расстояния от головного офиса, например, если
филиалы находятся в других городах или странах или когда работник
организации едет в командировки.
Эту проблему можно решить организовав удаленный доступ. Для
организации удаленного доступа могут использоваться разные схемы и
продукты. Продукты удаленного доступа могут существенно отличаться
реализованными в них функциями, а значит, и возможностями при решении
конкретной практической задачи.
Несмотря на все преимущества удаленного доступа возникает ряд
проблем, что могут помешать. Причиной поэтому множественные ограничение.
Первым ограничением является требование к скорости интернет-соединения,
поскольку малая скорость становится причиной искажений в изображении,
звуках и т.д. При открытии удаленного доступа вы подвергаете свой ПК
некоторой опасности, поскольку, фактически,
«Выкладываете» все материалы в глобальную сеть, однако и это легко решается
за помощью грамотной конфигурации настроек программы.
В такому связанном мире, механизм защиты защищенных переданных
данных
- это, прежде всего, аутентификация. Аутентификация остается основным
защитой от незаконного доступа к устройству или любому другому
приложению, оффлайн или в режиме онлайн.
10
1 ОБЗОР СИСТЕМ УДАЛЕННОГО ДОСТУПА
Удаленный доступ это широкое понятие, объединяющее в себе разные
варианты взаимодействия сетей, компьютеров да приложений. Существует
много схем взаимодействия, которые можно отнести к удаленному доступу. Для
них характерно использование глобальных сетей или глобальных каналов
Также, удаленном доступа присуща несимметричность взаимодействия, когда,
центральный компьютер или центральная сеть с одной стороны, а с другой
отдельный компьютер, терминал или маленько сеть, каким нужный доступ к
ресурсов главной сети
Системы удаленного доступа технологии, которые предоставляют
прозрачное подключение для удаленных пользователей, что расположены нет в
локальной сети компании Удаленный доступ наиболее используют для
подключения домашних компьютеров, ноутбуков или телефонов рабочих к сети
организации. Провайдеры интернета также пользуются удаленным доступом,
чтобы подключать своих клиентов в сеть Интернет[1].
Когда клиенты запускают программы удаленного доступа, они
инициируют подключение к главного сервера. Затем сервер делает проверку
аутентификации и обслуживает связь при подключении, до тех пор когда сеанс
нет завершится пользователем или администратором сети.
Для доступа к ресурсам пользователи удаленного доступа используют
обычные средства. Например, удаленный клиент, работающий на компьютере с
Windows может подключиться к сетевому диску или принтеру с помощью
проводника Windows. Подключение есть постоянным это значит, что под
время удаленного сеанса пользователям нет нужно постоянно подключаться к
сетевых ресурсов. Так как при удаленном доступе полностью поддерживаются
буквы дисков да универсальные имена UNC (Uniform Naming Конвенция).
11
Большинство коммерческих да пользовательские приложения работают без
дополнительных модификаций [1].
на Рис.1.1 представлен логический эквивалент подключения удаленного
клиента к сервера удаленного доступа.
Рис.1.1 Логический эквивалент подключение удаленного доступа
Различают два основные виды удаленного доступа:
Соединение по коммутируемой линии (dial-upconnection);
Соединение с использованием виртуальных частных сетей (Virtual
Private Networks, VPN).
12
Оба виды соединений работают за моделью "клиент-сервер". Клиент
удаленного доступа это компьютер, который имеет возможность
подключаться к удаленного компьютера и работать с его ресурсами или с
ресурсами удаленной сети все равно, как с ресурсами своей местной сети.
Единственная отличие удаленной работы от локальной с точки зрения клиента
более низкое скорость соединение. Сервер удаленного доступа (Remote Access
Services, RAS)
- это компьютер, способен принимать входящие запросы от клиентов
удаленного доступа и предоставлять им собственные ресурсы или ресурсы
локальной сети.
Подключение удаленного доступа, изображенное на Рис.1.2, состоит из
клиента удаленного доступа, сервера удаленного доступа и инфраструктуры
глобальной сети (Wide Area Network ( WAN).
Рис.1.2 Компоненты подключение удаленного доступа
1.1 исследование методов удаленного доступа
Существует три метода подключения удаленного пользователя или
13
отделения фирмы к локальной сети компании:
Эмуляция терминала - это метод, при котором пользователь удаленного
терминала с помощью специального программного обеспечения подключается
по глобальной сети к другому компьютеру как локальный узел. Этот способ
часто используется на основном комплекте и мини-компьютерах, но мало
распространен в локальной сети
Удаленное управление это метод, какой разрешает удаленном
пользователю управлять одним компьютером в локальной сети
Метод удаленного узла основанный на использовании сервера
удаленного доступа, какой разрешает отдельным компьютерам или локальным
сетям появляться с центральной сетью. Программное обеспечение удаленного
компьютера, реализующего функции удаленного узла, позволяет ему
функционировать как полноценный пользователь локальной сети
Анализ метода терминального доступа
Принцип работы терминального доступа работает да, что удаленный
терминал нет выполняет вычисление. Все процессы происходят на центральных
машинах, информация перенаправляется от клавиатуры да мыши терминала.
После обработки графически информация передается на монитор терминала.
Преимущества системы терминального доступа:
Отсутствие в конечном оборудовании сложных деталей и проведение
модернизации на сервере вместо клиентских станций увеличивает срок службы
терминалов до 7-10 лет. Также существенно снижается уровень
энергопотребления всей сети (приблизительно на две трети, по сравнению с
сетью из обычных компьютеров).
Установка лицензий на сервере с учетом количества одновременно
работающих в программе пользователей, а не с учетом общего количества
рабочих мест, уменьшает финансовые расходы на приобретение
соответствующего
14
программного обеспечения, поскольку, например, вместо 40 лицензий
покупается всего 10.
Отсутствие съемных накопителей информации делает невозможным
любое копирование данных пользователем.
Отсутствие возможности самостоятельно устанавливать программы
делает невозможным занесение пользователем вируса в базу данных и
предотвращает возникновению конфликта между разными приложениями.
Хранение данных только на сервере сводит к минимуму риск потери
важной информации в результате сбоев в работе конечного оборудования (на
сервере все данные автоматически копируются и сохраняются по отдельности).
Модернизация оборудование затрагивает только сервер, при этом для
пользователя станции совершенно не нуждаются дополнительные настройки.
Администрирование сети максимально упрощено за счет
централизованного управление всеми станциями через сервер. Для
оборудование нового рабочего места достаточно подключения к сети
дополнительного терминала, настройка которого занимает менее часа и не
требует физического присутствия ИТ- специалиста.
Недостатки системы терминального доступа:
Отсутствие связи между терминалом и сервером или поломка сервера
делает невозможным продолжение работы всех пользователей сети.
Ошибки администратора при настройке программного обеспечения
сервера тянут некорректную работу всех пользовательских рабочих мест.
При использовании некоторых программных продуктов (например, от
Microsoft) могут понадобиться дополнительные лицензии - как на
программное
15
обеспечение, да и для работы с самим терминальным сервером да другим
оборудованием, что влечет за собой увеличение расходов на приобретение
лицензий.
Использование терминального доступа в качества эффективного ИТ-
решения подходит, прежде всего, для динамической растущих организаций, где
постоянное увеличение количества рабочих мест требует более рационального
использования имеющихся в компании ресурсов [2].
Анализ метода удаленного управление
Удаленное управление это метод, позволяющий удаленному
пользователю получить контроль над компьютером какой находится в
локальной сети корпорации. Скорость проведение сеанса да его возможности
зависят от характеристик управляемого компьютера, потому что на нем
выполняется обработка всех сетевых команд. Коды нажатия клавиш, которые
делаются на удаленном компьютеры, присылаются на управляемый
компьютер, а все изменения транслируются на экран удаленного устройства.
Файлы да прикладные программы нет загружаются в удаленный компьютер.
Недостатком метода есть использование двух устройств для одной работы [3].
Принцип работы удаленного управление
Для работы на двух компьютерах: удаленный системе да хост-системе,
нужно специальное программное обеспечение для удаленного управление.
Система, что есть удаленной может быть ПК филиалов, домашним ПК или
портативный компьютер, местонахождение которого меняется каждый день.
Хост- системой может быть любой компьютер, подключенный к локальной
сети, настроенный для удаленного доступа.
За помощью удаленного управление мобильные работники, которые
используют ноутбуки или работники филиалов, что используют рабочие
станции, управляют ПК в корпоративной сети. Все нажатие клавиш
пользователя да перемещение мыши отправляются на корпоративный
16
компьютер, а изображение на этом экране пересылается на ноутбук для
отображение. Это да, как если б пользователь сидел перед компьютером,
подключенным к сети. Удаленным пользователям не нужны копии программ на
своих компьютерах, поскольку программы реально работают на локальных
рабочих станциях в штаб-квартире корпорации [4].
Метод удаленного управление имеет ряд преимуществ:
Это повышает производительность приложений, которые нет
нуждаются графического пользовательского интерфейса. Эти программы
обычно не предназначены для архитектуры клиент/сервер и централизованно
обрабатываются. Такие программы, как запросы базы данных, могут
воспользоваться преимуществом вычислительной мощности хоста, не завися от
относительно ограниченной мощности удаленной системы.
Удаленное управление поддерживает корпоративные инвестиции в
старый и медленнее рабочие станции, портативные ПК и модемы. Поскольку
удаленное управление не требует локальной обработки, не обязательно
оснащать каждого удаленного пользователя мощными компьютерами,
высокопроизводительными дисководами и быстрые модемы.
Нету необходимости в дополнительном лицензировании программного
обеспечение, поскольку удаленная система не требует дополнительного
программного обеспечение. Вся обработка происходит на хост-системе.
В тот же время удаленный доступ имеет определенные недостатки:
Производительность, как правило, плохая при использовании
графических приложений, таких как Microsoft Windows, электронных таблиц
или приложений для обработки изображений, через то, что изображение да
экраны передаются по коммутируемых линиях.
Удаленные пользователи не могут получить доступ к сетевым услугам,
как если бы они были непосредственно подключены к локальной сети, и часто
нужно изучать новые методы доступа к сетевых услуг через систему хоста.
Реализация удаленного управление создает технические проблемы.
Хост- система должна работать, чтобы удаленный пользователь мог
17
воспользоваться преимуществами находящегося в нем программного
обеспечения. Если хост- система выключена или возникает проблема,
удаленный пользователь нет в смоги работать.
С всеми методами удаленного управление безопасность вызывает
беспокойство. При использовании удаленного управление на мониторы хост-
системы отображается вся информация, какая обрабатывается дистанционно,
что разрешает случайном наблюдателю просматривать всю деятельность на
экране, включая электронную почту и конфиденциальную информацию.
Удаленный пользователь может получать доступ и запускать
электронную почту или другие программы только при подключении к хост-
системе через линию набор. Вся работа должна выполняться по коммутируемой
линии.
Даже с этими ограничениями, для удаленного ввода данных и небольших
передач файлов, метод удаленного управлением может быть эффективным и
экономическим решением.
Анализ метода удаленного узла
До недавнего времени удаленное управление было методом удаленного
доступа. Однако, с внедрением мощных портативных ноутбуков, доступных
быстрых модемов, мостов и маршрутизаторов, более продвинутых алгоритмов
сжатия и клиент-серверных приложений, удаленный узел набирает
популярность. За помощью удаленного узла множество ПК на разных локациях
ссылаются на сервер главного офиса, что разрешает им работать как бы
непосредственно подключено к корпоративной локальной сети [4]. Принцип
работы удаленного узла проиллюстрированный на Рис.1.4
Промышленные тенденции к клиент-серверным приложениям и
графическим приложениям, основанных на графическом интерфейс,
предопределяют спрос на решение удаленных узлов. Архитектура удаленного
узла похожа на архитектуру клиент- сервер. Удаленно система действует как
клиент да сервер связи, какой предоставляет доступ к
18
нужного сервера. Программы или части программ обрабатываются на
удаленной системе. Через линию передаются только данные сети, такие как
электронная почта. Поскольку узел удаленного доступа есть прозрачным, он
есть методом доступа к клиента / сервера.
Удаленный узел разрешает пользователям подключаться к сети да
получать доступ к локальной сети, да если б они были локально присоединены.
Хотя доступ есть более медленным, пользователь может получить доступ к
файловому сервера непосредственно, вместо того, чтобы переносить файл на
локальный диск, какой необходимый для метода удаленного управление. Для
редактирование документа на сетевом диска, например, удаленный
пользователь просто открывает его вместо того, чтобы передать документ на
локальный диск. Это делает удаленный узел намного проще в использовании,
чем дистанционное управление.
Желательно, чтобы на удаленном ПК кроме сетевого системного
программного оборудования находилось все прикладное программное
обеспечение, необходимое для сеанса связи: все выполняемые файлы,
необходимые для программы. В в противном случае их необходимо будет
передавать с сетевого сервера на канал. связи. Они имеют, как правило,
большие объемы данных, так что это потребует значительных затрат времени.
Как каждый полноценный пользователь локальной сети, удаленный узел
имеет свой сетевой адрес. Сетевая операционная система превращает сетевые
пакеты, которые нужно передать через модем, из формата протокола IP или IPX
в формат, совместимый со стандартом последовательной передачи. С
появлением все больше количества программ, поддерживающих архитектуру
"клиент сервер", усиливается тенденция на программное обеспечение для
удаленных узлов. Такой программы позволяют обрабатывать большие файлы
данных на серверах локальной сети, а на удаленный ПК передавать только
результат обработки.
19
Удаленно система выполняет клиентские функции, а серверы домашнего
офиса выполняют настоящие функции сервера. Это разрешает удаленным
пользователям воспользоваться преимуществом удаленной обработки для
реализации графических приложений. В то время как удаленный доступ
предполагает подключение непосредственно к хост-системе, удаленный узел
подключается к удаленному сервера доступа. При подключении к
корпоративной сети, сетевые ресурсы выглядят локальными, как если бы
удаленный пользователь был непосредственно подключен к локальной сети.
Удаленный узел имеет следующие преимущества:
Производительность лучше с этим методом, нож с методом удаленного
управление при использовании графики и приложений, поскольку изображение
на экране нет передаются через линию.
Удаленным пользователям нет нужно переучиться, чтобы получить
доступ к сетевых ресурсов или использовать удаленные программы.
Пользователь связанный с компьютером и сетью, как если б они были
непосредственно подключены к локальной сети.
Производительность удаленных пользователей нет зависит от
подключение к корпоративному филиал. Программы резидентны на удаленной
системе и могут работать независимо.
Поскольку производительность пользователей нет полностью зависит от
удаленного подключение, тарифы на основе линий связи можно возвести к
минимума. Например, при удаленном доступе к электронной почты удаленный
пользователь не обязан поддерживать открытое подключение к телефонной
линии к корпоративного отделение под время просмотра сообщений.
Пользователь может установить соединение для загрузка сообщений,
отключить линию, а затем прочитать сообщение в автономном режиме на
предыдущем экране удобнее. Это дает возможность сократить время
подключения, что приводит к снижение издержек.
Удаленный узел также имеет свои недостатки:
Удаленный узел требует дополнительного лицензирование прикладного
20
программного обеспечение для каждого удаленного пользователя, поскольку
программы выполняются независимо от каждой удаленной системы.
Удаленный узел требует инвестиций в более мощные удаленные
компьютеры, более высокие накопительные диски и более быстрые модемы или
маршрутизаторы.
Поскольку пользователи удаленного узла получают доступ к сети, как
если б они были локально присоединены, нежелательные вторжение способны
перемещаться по сети без изучение сложных процедур доступа
1.2 исследование проблем безопасности при удаленном доступе
Неотъемлемой свойством систем удаленного доступа есть наличие
глобальных соединений. За своей сутью глобальные коммуникации, которые
простираются на десятки и тысячи километров, не мешают повредить доступа к
данным, что передаются по этих линиях. Нет может быть никакой гарантии, что
в некоторых, недоступных для управления точка пространства, некоторые,
например, пользуясь анализатором протоколов, нет подключится к носителю
передачи, чтобы перехватить да декодировать пакетные данные. Это все равно
опасно для всех типов территориальных каналов и не связано с использованием
собственных, арендованных каналов связи или услуг общественных наземных
сетей, таких как Интернет. Но использование глобальных сетей еще больше
ухудшает ситуацию, в этом случае для злоумышленника доступ к данных
есть более разнообразнее да более удобным. Поэтому получить доступ к
данных может больше количество пользователей.
Безопасно система -
это система, которая надежно хранит информацию и всегда может придавать
ее пользу. вачам , да система, какая защищает данные от злоумышленников.
Брандмауэр (firewall) - устройство, что представляет собой
универсальный компьютер, имеющий специальное ПО, установленный на нем,
который расположен между защищенной (внутренней) сетью да глобальными
сетями. Брандмауэр контролирует все потоки информации между внутренними
и глобальными сетями, пересылая данные в соответствии с предопределенными
21
правилами. Или правила являются формальным выражением политики
безопасности, утвержденным в компании. Брандмауэры основаны на двух
основных методах безопасности: фильтрация пакетов, посреднические сервисы
(proxy-services). Эти две функции можно использовать как по отдельности, да и
в комбинации.
Пакетно фильтрация. Использование маршрутизаторов как брандмауэра
Фильтрация осуществляется на транспортном уровне: все проходящие
через пакеты брандмауэр, анализируются, другие, что имеют определенные
("неавторизованные") значение в некоторых полях, отвергаются.
Пропуск в внутреннюю сеть пакетов сетевого уровня или кадров
канального уровня за адресам (MAC-адреса, IP-адреса, IPX-адреса) или
номерами портов TCP, данных приложений. Например, чтобы трафик telnet не
заходил за границы внутренней сети, брендмауэр должен фильтровать все
пакеты, в заголовка TCP которых указан адрес порта процесса-получателя,
равный 23 (этот номер зарезервированный по сервису telnet). Труднее
отслеживать трафик FTP работает с большим диапазоном возможных номеров
портов, что требует задания более сложных правил фильтрации.
Для фильтрации пакетов также используется простой маршрутизатор,
действительно, на базе маршрутизаторов работают много пакетных фильтров.
Брандмауэры обеспечивают более надежную защиту данных, чем
маршрутизаторы. Фильтрация файерволом есть лучшая за фильтрацию
маршрутизатором. Главные преимущества это: брандмауэр имеет лучшие
логические способности, брандмауэр имеет большую количество возможностей
аудита всех событий, которые связанные с безопасностью.
Прокси - сервисы (proxy-services). Прокси услуги не позволяют прямую
передачу трафика между внутренними и внешними сетями Чтобы связаться с
удаленной службой, клиент-пользователь локальной сети определяет
логическое соединение с прокси службой, что работает на брандмауэр. Услуга
прокси устанавливает отдельное подключение к "истинной" службе, работая на
сервере внешней сети, получает ответ от нее и отправляет ее клиенту,
22
пользователю локальной сети, к назначенного точки назначение.
Для каждой услуги нужна специальная программа: прокси-сервис.
Обычно экран безопасности включает в себя прокси услуги для FTP, HTTP,
TELNET. Многие защитные экраны имеют средства для создания прокси
программ для других служб. Некоторые продажи прокси услуг требуют, что
клиент имел специальное ПО. Например: Sock широко используемый набор
инструментов для создание прокси программ.
Прокси-сервисы нет только отправляют сервисные запросы, например,
разработан посредником CERN фр. Organisation européenne pour la recherche
nucléaire ) , работающий под протоколом HTTP, может накапливать данные в
кэш брандмауэра, так что пользователи внутренней сети могут получать данные
с намного быстрее.
Журналы событий, поддерживаемые службами прокси, могут помочь
предотвратить вторжению на основе записей регулярных неудачных попыток.
Другой важной особенностью прокси услуг, что положительно влияет на
безопасность системы, есть то, что когда брандмауэр отказывается защищаться
прокси услугой, оригинал остается недоступным.
Прокси - сервисы более надежные фильтров, но они имеют меньшую
производительность обмена данными между внутренней и внешней сетями, они
также нет владеют тем степенью прозрачности для приложений да конечных
пользователей, что собственно для фильтров.
Используя технологию защищенного канала передаваемые данные по
доступной транспортной сети (например, интернет) должны быть обеспечены
заданным уровнем безопасности. Для этого должны выполняться три основные
функции: взаимная аутентификация абонентов, защита от
несанкционированного доступа сообщение, что передаются по канала,
подтверждение целостности, что поступает по канала сообщения.
Взаимная аутентификация двух сторон при установке соединения может
выполняться, например, обменом сертификаты. Для обеспечение Секретности
можно использовать любой метод шифрования. Например, симметричные
23
сеансовые ключи используют для шифрование переданных сообщений.
Сеансовые ключи шифруются используя открытые ключи. Симметричные
ключи имеют большую скорость шифрование да дешифрование процессов, нож
ассиметричные. Для того, чтобы достичь целостность сообщений нужно к
сообщение, какое нет зашифрованное сессионным ключом добавить дейджест.
Безопасный канал в общедоступной сети часто называют виртуальной
частной сетью (VPN). Существует два способы образование VPN (рис.2.1): за
помощью специального ПО конечных узлов, за помощью специального ПО
для шлюзов, что находятся на границы между частными да общественными
сетями.
В случае, если на (Рис.2.1, a) программное обеспечение, установленное на
удаленном клиентском компьютеры, устанавливает безопасный канал с
корпоративным сетевым сервером, к которому клиент обращается к ресурсам. В
этом способе преимуществом есть полный защита канала по всему маршрута да
возможность использовать разные протоколы для создания безопасных каналов.
Недостатками есть избыточность и децентрализация решение. Избыточность
проявляется в том, что наиболее уязвимыми в основном являются сети с
коммутацией пакетов, а каналы беспроводной сети или выделенные каналы.
Установка программного обеспечения на все клиентские компьютеры и серверы
локальной сети не есть обязательным. Децентрализация нет дает возможности
централизованно управлять ресурсами сети. Администрировать каждый сервер
да каждый компьютер пользователя для конфигурации у них средств защиты
данных в большой сети тяжело и не удобно.
В другому случае (рис.3.1, б) клиенты да серверы нет создают
защищенный канал это заложено только внутри общедоступной сети из
коммутацией пакетов. Канал создается между поставщиком услуг удаленной
связи общедоступной сети и маршрутизаторам корпоративной сети Реализация
такого подхода сложнее она требует стандартного протокола для создания
защищенного канала, установка программного обеспечение, что поддерживает
такой протокол, всем провайдерам необходимо поддерживать протокол
24
производителями удаленных серверов и маршрутизаторов доступа.
1.3 Анализ технологии VPN
Виртуально частная сеть (VPN) составляет собой подключение типа
"точка-точка" в частной или глобальной сети. VPN-клиенты используют
специальные TCP / IP-протоколы, так называемые туннельными протоколами,
что обеспечивают установка защищенного канала обмена данным между двумя
компьютерами. С точки зрения компьютеров, что взаимодействуют между ими
организуется выделенный канал типа «точка-точка», хотя на самом деле,
соответствующие данные передаются через Интернет, как и любые другие
пакеты. При подключении к удаленного сервера VPN клиент создает
виртуальный канал «точка-точка» через интернет [6]. Сервер удаленного
доступа принимает вызов, делает проверку
аутентификации стороны, вызывающей и пересылающей данные между
локальной сетью компании да VPN-клиент.
VPN-подключение удаленного доступа. VPN-подключение удаленного
доступа дает пользователям возможность работать дома или в дороге, получая
доступ к серверу частной сети с помощью инфраструктуры глобальной сети.
Для подключение VPN пользователя существует связь "точка- точка" между
клиентским компьютером и сервером организации. Реальная инфраструктура
общей или публичной сети не имеет значения, так как данные передаются
подобно к того, как если б они передавались по выделенном частном канала.
VPN-подключение типа «сеть-сеть». VPN-подключение типа
«сеть-сеть» ногда называется VPN-подключением типа «маршрутизатор-
маршрутизатор») назначено для маршрутизации подключений между разными
филиалами организации, а также между организациями через общедоступную
сеть,
25
обеспечивая при этом защита подключений. Если сети соединены через
Интернет, как показано на следующей картинке, маршрутизатор с поддержкой
VPN пересылает пакеты другому такому маршрутизатору через VPN-
подключение. С точки зрения маршрутизаторов VPN-подключения на
логическом уровни функционирует как выделен канал уровня передачи данных.
С помощью VPN-подключений можно подключить две частные сети.
VPN-сервер обеспечивает маршрутизацию подключение к сети, к которой
присоединено VPN сервер. Маршрутизатор какой делает вызов проходит
проверку аутентификации на ответственном маршрутизаторе и в целях
взаимной проверки аутентификации маршрутизатор, какой отвечает делает
проверку аутентификации на маршрутизаторе, который делал вызов. При VPN
подключение типа «сеть-сеть» пакеты, что отправляются с любого с
маршрутизаторов через VPN-подключение, обычно формируются нет на
маршрутизаторы. на Рис.1.6 представлено VPN-подключение между двумя
удаленными сайтами через Интернет.
Свойства VPN-подключение:
Инкапсуляция. Обеспечивается инкапсуляция частных данных с
использованием заголовка, какой имеет в себе сведения о маршрутизации для
передачи этих данных по транзитная сеть.
Проверка аутентификации. Существует три разные формы проверки
аутентификации для Подключение VPN.
Проверка аутентификации на уровне пользователя по протоколу PPP
(Point- to-Point Protocol). Для установка VPN-подключение VPN-сервер
выполняет проверку аутентификации VPN-клиента, что пытается установить
подключение, на уровне пользователя по протоколу PPP и проверяет, имеет ли
VPN- клиент соответствующие разрешения на доступ. При взаимный проверке
аутентификации VPN-клиент также выполняет проверку подлинности VPN-
сервера, что гарантирует защита от компьютеров, издающих себя за VPN-
26
серверы[7].
Проверка подлинности на уровне компьютера по протоколу IKE (Internet
Key Exchange). Чтобы установить сопоставление безопасности IPSec, VPN-
клиент и VPN-сервер используют протокол IKE для обмена сертификатами
компьютеров или предварительно ключ. В обоих случаях VPN-клиент и VPN-
сервер выполняют взаимную проверку аутентификации на уровни компьютер.
Проверка аутентификации на основе сертификата компьютера есть одним с
самых надежных способов и рекомендуется к применение. При проверке
аутентификации на уровни компьютера используются подключения по
протоколам L2TP/IPSec или IKE версии 2.
Проверка аутентификации источника данных и обеспечение целостности
данных. Чтобы убедиться в том, что источником отправленных по VPN-
подключению данных есть другая сторона VPN-подключение и что они
переданы в неизмененном виде, в данные включается контрольная сумма
шифрование, основана на ключи шифрование, какой известный только
отправителю да получателю. Функции проверки прохождение данных и
обеспечение целостности данных доступны для подключений по протоколах
L2TP / IPSec и IKE версии 2.
Шифрование данных. Для обеспечение конфиденциальности данных при
передачи по общий или публичной транзитивный сети они шифруются
отправителем и расшифровываются получателем. Успешность процессов
шифрование и расшифровка гарантируется в том случае, когда отправитель и
получатель используют общий ключ шифрования.
Выводы
1. Рассмотрены способы удаленного доступа. Был проведен анализ
методов: терминального доступа, удаленного управление да удаленного узла.
Были выявлены главные преимущества и недостатки данных методов
2. Обнаружены проблемы защиты информации при организации
удаленного доступа. Был описан принцип работы брандмауэра и его методы
безопасности: фильтрация пакетов да прокси - услуги.
27
3. Проанализировано технологию VPN. Было исследовано два типы VPN-
подключений: подключение удаленного доступа, подключение типа «сеть-
сеть». Рассмотрены свойства подключения VPN.
28
РАЗДЕЛ 2
ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
2.1 Обзор возможных мероприятий для обеспечение безопасности
при удаленном доступе
Безопасность является серьезной проблемой в большинстве сетевых сред,
но особенно когда удаленный доступ предоставляется мобильным
пользователям и филиалам. Пользуясь удаленным доступом можно встретить
хакеров, которые подвержены к подлогу или краже конфиденциальной
информации [5]. Должны быть употреблены соответствующие меры
предосторожности, чтобы не допустить серьезных потерь пользуясь удаленным
доступом.
В зависимости от размера сети и важности информации, к которой
возможно получить удаленный доступ, можно использовать один или несколько
методов безопасности.
Аутентификация. Это предполагает проверку удаленного абонента за с
помощью идентификатора пользователя и пароля, таким образом контролируя
доступ к серверу. Безопасность усиливается, если ID и пароли шифруются до
выходом по канала связи.
Ограничение доступа. Это предполагает назначение каждому удаленному
пользователю определенного расположение (есть каталога или диска), к
которого можно обращаться на сервере. Доступ к конкретных серверов можно
даже контролировать.
Ограничение времени. Для каждого удаленного пользователя дается
определенный время для сеанса. После истечения времени сеанс прерывается.
Ограничение подключение. Количество попыток подключение есть
ограничен.
Например когда Возможно ввести определенную количество попыток за неделя или
за день.
29
Ограничение протокола. Это предусматривает ограничение пользователей
определенным протоколом для удаленного доступа.
Обратная связь. При обратном вызове принимается звонок клиента,
линия отключается, да сервер перезванивает для клиента после проверки
правильности номера телефона Этот метод хорош для филиалов, но у других
случаях он нет всегда есть хорошим решением. Для тех кто меняет свое
местонахождение постоянно.
Шифрование. Когда беспроводные услуги используются для удаленного
доступа, шифрование есть важным для защиты конфиденциальной информации,
поскольку она пересекает эфир. Устройства на обоих концах запускают
программное обеспечение кодирования и декодирования информации.
Несмотря на то, что программное обеспечение для шифрование есть
дополнительной расходом при пользовании услугами пакетного радиосвязи,
новая беспроводная услуга, основана на технологии сотовой цифровой пакетной
передачи данных, использует аутентификацию да шифрование как цельные
функции, что препятствует случайном перехвату [4].
2.2 Использование технологии vpn для обеспечение информационной
безопасности
VPN не была первой технологией удаленного подключения. Ранишь
наиболее распространенный способ подключения компьютеров между
несколькими офисами заключался в использовании выделенной линии.
Арендованные линии, такие как ISDN (Digital Network Integrated Services, 128
Кбит/с), это частные сетевые соединения, которые Телекоммуникационная
компания может арендовать своим клиентам. Арендованные линии
предоставили компании возможность расширить свою частную сеть вне ее
непосредственного географического района. Или соединение образуют
единственную глобальную сеть (WAN) для бизнеса. Несмотря на то, что
арендованные линии
30
надежные, аренда стоит дорого, с увеличением расстояния между офисами
расходы растут.
Сегодня Интернет является более доступным, чем когда-либо ранее, и
Интернет- провайдеры продолжают развивать более быстрые, более надежные
услуги за низшей стоимостью, чем арендованные линии. Чтобы воспользоваться
этим, большинство предприятий заменили арендованные линии новыми
технологиями, что используют подключение к Интернет, нет жертвуя
производительностью да безопасностью. Предприятия начали с создания
интрасетей, являющихся частными интрасетями, назначенными для
использование только работниками компании. Интернет разрешил удаленным
коллегам работать вместе, используя такие технологии, как общий доступ к
рабочему столу. Добавляя VPN, предприятия могут расширить свои ресурсы
интросети, разрешая работникам работать с удаленных офисов или домов.
Цель VPN - обеспечить безопасное да надежное соединение между
компьютерными сетями через существующую общедоступную сеть, как
правило, Интернет.
Хорошо разработана VPN обеспечивает следующие преимущества:
Расширенные связи в разных географических местах без
использования выделенной линии.
Повышенная безопасность обмена данным.
Гибкость для удаленных офисов да сотрудников относительно
использование интрасети через существующее подключение к Интернету, как
если бы они были непосредственно подключены к сети.
Экономия времени да денег.
Повышенная производительность для географически
распределенных ресурсов В тот же время от VPN всегда нужно:
31
Безопасность. VPN должен защищать данные под время
путешествия в общедоступной сети. Если злоумышленники пытаются угнать
данные, они нет смогут их прочитать или использовать.
Надежность. Сотрудники да удаленные офисы должны иметь
возможность подключаться к VPN без любых проблем, и VPN должна
обеспечивать одинаковое качество соединения для каждого пользователя, даже
когда он обрабатывает максимальную количество одновременных соединений.
Масштабируемость. Услуги VPN должны быть расширяемыми.
Виртуальная частная сеть это защищенный тоннель между двумя или
более компьютерами в Интернете, что позволяет им получать доступ друг к
другу, как и в локальной сети Ранее VPN использовались в основном
компаниями для надежного подключения удаленных отделений или
подключения роуминговых работников в офисную сеть, но сегодня они также
являются важной услугой для потребителей, защищая их от атак при
подключении к общедоступным. беспроводных сетей.
Открытые беспроводные сети представляют серьезную угрозу для
пользователей. поскольку злоумышленники в одних и тех же сетях могут
использовать разные методы для мониторинга веб-трафика и даже похищать
учетные записи на сайтах, которые нет используют протокол безопасности
HTTPS. Кроме того, некоторые операторы сети Wi-Fi намеренно вводят
рекламу в веб-трафик, что может привести к нежелательного отслеживание.
В некоторых регионах мира правительства контролируют пользователей,
посещающих определенные веб-сайты с целью выявления политической
принадлежности и диссидентов - практики, которая угрожает свободе слова и
правом человека.
Используя VPN-соединение, весь трафик можно безопасно
маршрутизировать через сервер, расположен в других местах мира. Это
защищает
32
от локальных попыток отслеживания и взлома и даже скрывает настоящий
адрес Интернет-протокола от веб-сайтов да служб, к которых осуществляется
доступ.
Существуют разные технологии VPN с разной степенью шифрования.
Например, протокол туннелирование точка-точка (PPTP) есть быстрым, но
намного меньше безопасным, чем другие протоколы, такие как IPSec или
OpenVPN, использующий SSL / TLS (Secure Sockets Layer / Transport Layer
Security). Кроме того, при использовании VPN на основе TLS важный также
тип алгоритма шифрование и длина ключа.
Хотя OpenVPN поддерживает множество комбинаций шифров,
протоколов обмена. ключами да алгоритмов хеширование, самой
распространенной реализацией, какую предлагают провайдеры VPN для
соединений OpenVPN, есть шифрование AES с обменом ключами RSA да
подписями SHA. Рекомендуемыми вариантами есть шифрование AES-256 с
ключом RSA не менее 2048 бит и криптографической хэш-функцией SHA-2
(SHA-256) вместо SHA-1.
Следует отметить, что шифрование может повлиять на скорость
подключения. Выбор технологии VPN да методов шифрование след делать в
каждому конкретном случае, в зависимости от того, какие данные будут
переданы.
VPN также используется для доступа к содержимого в Интернет, какой
недоступен в определенных регионах, хотя это зависит от того, насколько
владельцы содержимого придерживаются ограничений. Поставщики услуг VPN
обычно используют серверы во многих странах мира и позволяют
пользователям легко переключаться между ними. К примеру, пользователи
могут подключаться через сервер в одной стране, чтобы получить доступ к
ограниченному содержимому при этом или другой стране.
33
Пользователи таких стран, как Китай или Турция, где правительства
регулярно блокируют доступ к определенных веб-сайтов с политических
причин, обычно используют VPN для обхода этих ограничений.
Развертывая VPN на международном уровне, вам нужно убедиться, что
законы и правила разных стран не нарушаются, поскольку услуги VPN там
могут быть ограничены.
Правила могут ориентироваться на потребителей, которые пытаются
посещать запрещенные веб-сайты, но они также могут применяться к
предприятий, подключаемых к филиалам в других местах. Суть заключается в
том, чтобы проверить законы в всех странах, где размещается сайт VPN, чтобы
убедиться, что он законен и существуют ли правила, которые могут нарушить
конфиденциальность [8].
В меру рост разнообразия да интенсивности киберугроз администраторам
сетей нужно сбалансировать желание полностью заблокировать внутренние
сети своей организации от доступа к Интернет, одновременно обеспечивая
повсеместный доступ к внутренней сети из многих удаленных устройств,
сотрудников, клиентов да IoT. Этого баланса можно достичь за помощью
использование виртуальной частной сети (VPN), какая использует Интернет
для обеспечение безопасного доступа к виртуальной сети.
Лучшим способом очистки конфиденциальных данных и приложений
является предоставление доступа к них за помощью нестандартной
доступности”, например, Интернет. Сети, учитывающие инфраструктуру, в
которой данные конфиденциальности хранятся, изолированные от Интернета, с
целью их защиты отображаются IP- адреса, недоступные через Интернет.
Безопасность усиливается за счет ограничения доступа к ряда ссылок,
поэтому доступ к них может обрабатываться только от
34
певческого трафика только по разрешенным внешним вложениям. Как
одиночные, так и переплетенные ограждения называются «частными
ограждениями».
Предприятие может иметь частную сеть, связывающую всю свою ИТ-
инфраструктуру и компьютеры служащих с корпоративной интрасетью Эта сеть
разрешает получить доступ к всех внутренних ИТ-услуг, таких как заработная
плата, электронная почта и т.д., в штаб-квартире предприятия. В меру рост
бизнеса частную сеть можно также расширить к дополнительных филиалов.
Специальный транспорт данных за арендованными линиями связи часто
используется для установка связи между офисами для их частной сети,
сохраняя сеть отдельно от Интернета. Телекоммуникационные услуги,
используемых для создания этой связи между местонахождениеми, есть
достаточно дорогими, и нужны более экономичные альтернативы.
Для установка связи между офисами, для их частной сети при сохранении
сети по отдельности от интернета часто используется выделен транспорт
данных с арендованными линиями электросвязи. Телекоммуникационные
услуги, которые используются для создание связи с этим между местами
расположение, достаточно дороги и необходимы более экономические
альтернативы.
Благодаря достижениям в области криптографии, вычислительной
техники и интернету стало возможным шифровать трафик данных и
туннелировать его через интернет на сервер, расположен в частной сети.
Защищенный тоннель создает виртуальную связь, какой расширяет частную
сеть через общедоступную сеть.
VPN может использовать одну с многих технологий, таких как Интернет-
протокол (IPsec), безопасность транспортного уровня (SSL /TLS), безопасность
транспортного уровня данных (DTLS), надежно подключая устройства или
сети
35
через общедоступны сети для расширение или формирование частной сети.
Те сами технологии, которые используются для создание виртуального
связи между сетями, также могут быть использованы для подключение
устройств пользователя к частной сети. Общее использование VPN состоит в
обеспечении удаленных работников безопасным доступом к Интернета к ИТ-
услуг своей компании. Сотрудники используют VPN- клиентов, установленных
на корпоративных ноутбуках или мобильных устройствах, для подключение к
VPN-сервера, какой присутствует в частной сети компании.
Случай использование удаленного доступа нет ограничивается доступом
сотрудников. Любой устройство, подключен к Интернет, может использовать
VPN, чтобы быть частью частной сети. Устройства могут варьироваться от
обычных вычислительных устройств, таких как ноутбуки, до
специализированных промышленных датчиков или бытовой электроники, таких
как смарт-телевизоры.
Чем больше устройств и услуг подключение к глобальной сети, угроза
кибератак увеличивается. Доступ VPN к нужных вам устройств помогает
уменьшить потенциальные угрозы. Верно реализована VPN разрешает только
доверенным устройствам получить доступ к частной сети да применяет
надежные средства контроля доступа для обеспечения наименее
привилегированного доступа. Или мероприятия уменьшают количество атак,
доступных для хакеров, чтобы нарушить безопасность сети.
Решения VPN также обеспечивают взаимную аутентификацию, при
которой как VPN-сервер, так подключающее устройство аутентифицируют друг
друга. В случае успеха подключаемый к сети пользователь аутентифицирует с
использованием имени пользователя / пароля и, необязательно, с
использованием другой формы
36
аутентификации, какая может быть токеном безопасности, например за
помощью мобильного телефона или смарт-карты. После того, как устройство и
пользователь идентифицируются, сервер VPN может определять правила
доступа, да что пользователь получает только доступ к подмножеству
систем/услуг, к которым они имеют право доступа.
Еще одним преимуществом безопасности использования VPN является
шифрование данных, какое защищает от прослушивание да утраты данных.
Сегодня использование услуг SaaS набирает популярность. Что также
может обеспечить распределенное использование ресурсов
Но не все программы SaaS предлагают достаточно высокий уровень
безопасности. Обычно приложения SaaS полагаются только на аутентификацию
имени пользователя да пароля. Если вы нет будете следовать рекомендации
относительно обеспечение безопасности для защиты пароля и блокировки
аккаунта при неудачных попытках, для получение несанкционированного
доступа можно использовать грубые атаки да эксплуатация на слабых
механизмах восстановление пароля. Поэтому целесообразно разрешить
принудительные политики корпоративной безопасности с помощью VPN для
подключения к корпоративной безопасности сети, а потом доступа к
приложениям SaaS через корпоративную сеть.
HTTPS также нет можно рассматривать как альтернативу VPN. HTTPS
нет можно использовать непрерывно в течении всего сеанса просмотра. Обычно
он используется только на определенных сайтах и только для определенных
транзакций, передающих конфиденциальную информацию, такую как имя
пользователя / пароль или данные кредитной карты. HTTPS хорошо защищает
конфиденциальную информацию под время использование, но VPN самое
лучшее держит весь сеанс просмотра конфиденциальным да защищает весь
трафик при подключении к ненадежных сетей. HTTPS использует TCP да
обеспечивает защита веб-приложений.
37
Таким образом, он не может обеспечить трафик из всех не интернет-программ,
которые можно использовать на устройствах, таких как электронная почта или
VoIP, и потоковых программ, которые не полагаются на TCP, такие как Skype
или Spotify. За помощью VPN можно защитить весь трафик с устройства,
независимо от программы, генерирующей трафик. Будучи защищенным
транспортным протоколом для конкретных приложений, HTTPS не действует
как VPN и, следовательно, не может обеспечить всех преимуществ VPN, таких
как доступ к общих файлов, сетевых принтеров да других сетевых ресурсов в
большей приватной сети.
Основная цель VPN обеспечить безопасный доступ к частной сети без
непосредственного подключения к частной физической сети. Таким образом,
VPN расширяет все услуги, доступные в частной сети, как если бы устройства
были непосредственно подключены в частную сеть.
Корпоративные ИТ-специалисты могут предоставлять такие услуги, как
файловые серверы, серверы печати, веб-сайты интрасети, ERP-системы,
резервные серверы тому подобное. Эти услуги предназначены только для
внутреннего использования, но не с VPN работник нет ограничивается
физическим местонахождением и может иметь прямое подключение к
внутренней ИТ-сети с любого географического расположение.
Эта же частная сеть может предоставлять специализированные услуги для
подключенных к Интернета устройств, таких как IP-телефония или управление
устройствами. VPN можно использовать для надежного подключение этих
устройств к вычислительной инфраструктуре, предоставляющей
специализированные услуги через приватную сеть. VPN отличное решение
для безопасной передачи данных, передаваемые и принимаются разными
устройствами.
Вы также должны понимать, что с VPN также существуют риски
безопасности. Сюда входят похищение VPN, при котором неавторизованный
38
пользователь похищает соединение VPN с удаленного клиента, атаки
«посредине», в которых злоумышленник может перехватывать данные, слабая
аутентификация пользователя, раздельное туннелирование, в котором
пользователь получает доступ к опасному подключение к Интернету, а также
доступ к подключению к частной сети VPN, заражение вредным программным
обеспечением на клиентском компьютере, предоставление слишком больших
прав доступа к сети и утечки DNS, когда компьютер использует DNS-
соединение по умолчанию, а не защищен VPN-сервер DNS[9].
Чтобы устранить или риски, вам след рассмотреть дополнительные
функции безопасности VPN, выбирая продукт VPN. Сюда входят обязательные
средства безопасности:
Поддерживает надежную аутентификацию.
Надежные алгоритмы шифрование.
Использование антивирусного программного обеспечение да
средств обнаружение да предотвращение вторжения.
Надежный защита за по умолчанию для портов
администрирование да обслуживание.
Поддержка цифрового сертификат.
Поддержка регистрации да аудита.
Возможность назначать адреса
клиентам в частной сети, сохраняя все адреса
частными.
Кроме того, администраторы сети и безопасности, персонал справочной
службы да удаленные пользователи должны быть обучены придерживаться
лучших практик безопасности под время развертывание да постоянного
использования VPN.
Другой способ улучшить безопасность VPN это Perfect Forward Secrecy
(PFS). Если используется PFS, зашифрованы сообщение да сеансы, записаны
в
39
прошлом, нет могут быть получены да расшифрованные, если долгосрочные
секретные ключи или пароли возбуждены.
За помощью PFS каждый сеанс VPN использует разную комбинацию
ключей шифрования, поэтому даже если злоумышленники украдут один ключ,
они нет смогут расшифровать любые другие сеансы VPN.
Существует четыре основных типы VPN:
VPN-брандмауэр оснащен как брандмауэром, да и VPN-
возможностями. Этот тип использует защиту, предоставляет малое количество
брендовых. аудио, для ограничения доступа к внутренним сетям и обеспечивает
перевод адрес, аутентификацию пользователя, аварийные сигналы да
протоколирование.
Аппаратный VPN обеспечивает высокую пропускную способность
сети и улучшает производительность да надежность, но есть дорогим.
Программное обеспечение VPN обеспечивает гибкость
относительно управление трафиком. Это самое лучшее, когда конечные точки
нет контролируются одной стороной да при использовании разных
брандмауэров да маршрутизаторы.
(SSL) Secure Socket Layer VPN позволяет пользователям
подключаться к устройств VPN за помощью веб-браузер. SSL используется для
шифрование трафика между веб-браузером и устройством VPN.
Протоколы туннельного VPN предлагают различные функции и уровни
защиты, и каждый имеет свои преимущества да недостатки. Существует пять
основных протоколов туннелирование VPN: протокол туннельной защиты
Secure Socket (SSTP), протокол туннелирование Point-to-Point (PPTP), протокол
туннелирование уровня второго (L2TP), OpenVPN да Интернет-версия обмена
ключами 2 (IKEv2).
SSTP использует протокол HTTPS для передачи трафика через
брандмауэры да веб-прокси, которые могут блокировать другие Протоколы.
40
SSTP обеспечивает механизм передачи трафика протокола PPP (point-to-point)
через канал SSL. Использование PPP позволяет поддерживать сильные методы
аутентификации, тогда как SSL обеспечивает безопасность на транспортном
уровни с расширенными переговорами относительно ключей, шифрованием и
проверкой целостности.
PPTP разрешает шифровать трафик нескольких протоколов, а потом
обратите его в заголовок, какой будет отправлен по сети Интернет- протокола
(IP). PPTP можно использовать для удаленного доступа да соединение VPN от
точки к точки. под время использование Интернета сервер PPTP
- это сервер VPN с поддержкой PPTP с одним интерфейсом в Интернете и
другим интерфейсом в корпоративной интросети. PPTP использует соединение
протокола управление передачей для управление тоннелем да общей
инкапсуляции маршрутизации для перенос кадров PPP для туннелированных
данных.
L2TP позволяет шифровать трафик с несколькими протоколами, а
затем использовать любой носитель, поддерживающий доставку PPP, например
IP или асинхронный режим передачи данных. L2TP это комбинация PPTP и
пересылка уровня 2(L2F). L2TP представляет лучшие возможности PPTP и L2F.
В отличие от PPTP, L2TP возлагается на защиту IP (IPsec) в транспортном
режиме для служб шифрования. Сочетание L2TP и IPsec известно как
L2TP/IPsec. L2TP и IPsec должны поддерживаться как клиентом VPN, да и
сервером VPN. L2TP / IPsec - идеальная прямая тайна.
OpenVPN - это программное приложение с открытым кодом,
реализующее методы VPN для создание безопасных соединений точка-точка
или сайт-сайт в маршрутизированные или мостовые конфигурации и средства
удаленного доступа. Он использует собственный протокол безопасности,
который использует SSL/TLS для обмена ключами. OpenVPN позволяет
партнерам проверять подлинность один одного за помощью закрытого ключа,
сертификат или имя пользователя и
41
пароль. Большинство поставщиков VPN, что используют OpenVPN, используют
прямую тайну.
IKEv2 - это протокол на основе IPSec, какой используется в
Windows 7 и более новых версиях. IKEv2 - стандарт следующего поколение для
безопасного обмена ключами между одноранговыми сетями VPN. IKEv2
особенно полезный для автоматического восстановление соединений VPN,
когда пользователи временно теряют свои Интернет-соединение.
Какой самый безопасный протокол VPN?
Несмотря на то, что они работают с открытым кодом, многие считает
OpenVPN самым безопасным протоколом VPN. Он стабилен и надежен, легко
настраивается для работы на любому порта, поддерживает аппаратное
ускорение для повышение скорости, способен обходить брандмауэры да
трансляцию сетевых адрес (NAT) и использует библиотеки OpenSSL для
шифрование. Однако для этого требуется клиентское программное обеспечение,
и его нет можно использовать на iPhone и только на ограниченной количества
телефонов Android.
Еще один защищенный протокол - VPN-L2TP/IPSec. Он имеет мощный
алгоритм шифрование, дополнительное программное обеспечение для
устройств нет нужно, встроенный в большинство настольных операционных
систем и мобильных устройств, достаточно простой в реализации да нет имеет
известных серьезных уязвимостей. Однако он имеет проблемы с
брандмауэрами, его труднее настроить на сервере Linux и относительно легко
заблокировать провайдеров.
SSTP обеспечивает надежное шифрование, его очень тяжело обнаружить
да заблокировать и поддерживается на всех устройствах Microsoft Windows.
Однако он поддерживается нет всеми провайдерами VPN и имеет ограниченное
поддержку для устройств, что не принадлежат к Windows [10].
42
Наименее безопасным протоколом VPN является PPTP. Его преимущества
включают простую настройку, широкую поддержку большинства устройств и
низкие накладные расходы. Поскольку он существует долгое время, ему
известны проблемы безопасности, которыми могут воспользоваться хакеры
(или государственные учреждения). Он имеет слабое шифрование и его
сравнительно легко заблокировать провайдерами.
IKEv2 поддерживается как часть реализации Windows IPSec и прост в
использовании. Однако ошибки разработчика все еще случаются, а также
существует проблема совместимости между разными поставщиками.
Какой протокол VPN самый лучший для предприятий да пользователей?
Для тех, кто ищет наиболее безопасный, OpenVPN может быть хорошим
вариантом. Для тех, кто ищет поддержку многих устройств, PPTP может быть
хорошим решением.
Выводы
1. Было рассмотрено предохранительные мероприятия, которые
употребляются, чтобы нет допустить серьезных потерь пользуясь удаленным
доступом.
2. Было рассмотрено использование технологии VPN
для обеспечения информационной сохранности.
VPN обеспечивает доступ к защищенной корпоративной сети через
незащищенные общедоступные сети. Хотя VPN является улучшением по
сравнению с передачей незашифрованных данных через общедоступные сети,
пользователи, которые планируют развертывание VPN или уже используют эту
технологию, должны учитывать потенциальные недостатки безопасности.
Использование VPN значительно повышает безопасность каналов связи
распределенных узлов.
43
РАЗДЕЛ 3
АНАЛИЗ МНОГОФАКТОРНОЙ АВТЕНТИФИКАЦИИ
3.1 Эволюция методов аутентификации от SFA к MFA
Постоянный рост количества интеллектуальных устройств и
соответствующих нагрузок на подключение имеет поражены мобильные
услуги, которые легко предлагаются в любой точке земного шара[11]. В таком
связанном мире, механизм защиты защищенных переданных данных - это,
прежде всего, аутентификация.
Согласно фундаментальной работе в [12], аутентификация это процесс,
когда “пользователь идентифицирует себя сам, отправив x в систему; система
аутентифицирует его личность путем вычисление F(x) да проверяя, что оно
равно сохраненном значению y ′′ . Это определение существенно нет изменилось
с иногда несмотря на то, что простой пароль уже не является единственным
фактором для проверки прав пользователя [13].
Аутентификация остается основной защитой от незаконного доступа к
устройству или любому другому приложению, офлайн или в режиме онлайн
Рис. 3.1 Возвращение во времени транзакций были аутентифицированы
преимущественно с помощью физической присутствия, есть, например, путем
нанесение восковой пломбы [14].
Сначала для аутентификации субъекта использовался только один фактор.
на тот время однофакторная аутентификация (SFA) в основном была принята
сообществом через ее простоту да удобство для пользователей. Как пример,
можно рассмотреть использование пароля (или PIN-кода) для подтверждение
право собственности на идентификатор пользователя. По-видимому, это самый
слабый уровень аутентификации. Разделившись паролем, можно сейчас же
сломать учетный запись. Больше того, несанкционированный пользователь
может также попробовать получить доступ, используя атаку за словарем,
таблицу радуги или техники социальной инженерии [15]. Обычно при
44
использовании этого типа аутентификации следует учитывать минимальное
требование относительно сложности пароля.
Кроме того, было понятно, что аутентификация только по одному фактору
не есть надежной для обеспечение должного защиты через ряд угроз
безопасности [16].
Как интуитивный шаг вперед была предложена двухфакторная аутентификация.
(2FA), сочетающая репрезентативные данные (комбинация имени
пользователя/пароль) с фактором личного владения, например смарт-картой или
телефоном. Сегодня доступны три типа факторных групп для связи лица с
установленными данным:
1. Фактор знаний - то, что пользователь знает, например, пароль или,
просто, "секрет";
2. Фактор собственности - то, что есть в пользователя, например,
карты, смартфоны или другие жетоны;
3. Биометрический фактор - это то, что есть пользователем, то есть
биометрические данные или поведение.
Впоследствии была предложена многофакторная аутентификация (MFA),
чтобы обеспечить более высокий уровень безопасности да облегчить
постоянный защита вычислительных устройств, а также других важных служб
от несанкционированного доступа, используя более двух категорий учетных
данных. По большей части MFA базируется на биометрии, что есть
автоматизированным распознаванием людей на основе их поведенческой и
биологических характеристик [17]. Этот шаг обеспечил улучшенный уровень
безопасности, поскольку пользователи должны были представить
доказательства своей личности, опирающейся на два или больше разных
факторов
Обсуждено эволюция методов аутентификации показана Рис. 3.2.
45
Однофакторная аутентификация Двухфакторная аутентификация Многофакторная аутентификация
Фактор знаний: PIN-
код, пароль, вопрос
безопасности
Фактор собственности:
Смартфон, ключ-карта,
одноразовый пароль
Биометрический фактор:
отпечатки пальцев,
распознавание лицо,
распознавание поведения
Рис.3.2 Эволюция методов аутентификации от SFA к MFA.
Сегодня ожидается, что MFA будет использоваться в сценариях, где
требования безопасности выше, нож обычно. За данным SC Media UK, 68
процентов европейцы готовы использовать биометрическую аутентификацию
для платежей. Рассмотрим повседневную практику снятия наличных денег в
банкоматах. Здесь пользователь должен предоставить физический токен (карту),
представляющий фактор владения, и поддержать его PIN-код, что представляет
фактор знание, чтобы иметь возможность получить доступ к лицевого счета и
снять деньги.
Как правило, приложения MFA можно разделить на три рыночные
группы: (i) коммерческие приложения, есть Вход в учетный запись, электронная
коммерция, банкомат, контроль физического доступа тому подобное; (ii)
государственные заявки, есть документы, что свидетельствуют личность,
государственный документ, паспорт, водительские право, социальное
обеспечение, пограничный контроль тому подобное; и (iii) судебно-
медицинские программы, есть уголовное расследование, пропажи детей,
идентификация трупов и т.е. д. Как правило, количество сценариев, связанных с
аутентификацией, действительно много. Сегодня MFA становится чрезвычайно
важным фактором для:
Подтверждение личности пользователя и электронного устройства
(или его системы);
Проверка подключение к инфраструктуры;
46
Проверка взаимосвязанных устройств IoT, таких как смартфон,
планшет, или любой другой цифровой токен.
В настоящее время одной из основных проблем MFA является отсутствие
корреляции между идентификатором пользователя и идентификаторами
интеллектуальных датчиков в электронном устройстве/системе [18]. Что
касается безопасности, это отношение имеет быть установлено да, чтобы только
законный оператор, например, тот, чья личность аутентифицировать заранее,
могла получить права доступа. В то же время процесс MFA должен быть
максимально удобным для пользователя, например:
1. Клиенты сначала регистрируются и проходят аутентификацию в
поставщика услуг для активации и управления услугами, к которым они хотят
получить доступ;
2. После получения доступа к услуге пользователь должен пройти
простой SFA с отпечатком пальца / токеном, заранее подписанным
поставщиком услуг;
3. После начального принятие системой клиент проходит
аутентификацию, войдя в систему с тем же именем пользователя и паролем,
которые были установлены ранее на клиентском портале (или в социальной
сети). Для дополнительной безопасности управляющая платформа может
включать вторичные факторы аутентификации. После того, как пользователь
успешно прошел все тесты, фреймворк автоматически аутентифицируется на
сервисной платформе;
4. Вторичная аутентификация происходит автоматически на основе
биометрического MFA, поэтому пользователю будет предложено ввести
дополнительный код или предоставить токен-пароль только в случае сбоя MFA.
Биометрия действительно делает значительный вклад в схему MFA и
может значительно улучшить проверку личности, сочетая фактор знание да
мультимодальные
47
биометрическими факторами, что значительно усложняет преступнику
подслушивать системы, выдавая себя за другую человека. Однако
использование биологических факторов имеет свои проблемы, в основном
связанные с простотой использования, что в значительный степени влияет на
удобство использование системы MFA.
С точки зрения пользователей, сканер отпечатков пальцев уже
обеспечивает наиболее широко интегрированный биометрический интерфейс.
Это в основном связано с тем, что его используют на рынке производители
смартфонов. С другой стороны, его не рекомендуется использовать в качестве
автономного метода аутентификации. Однако использование любых
биометрических данных часто требует набора отдельных сенсорных устройств.
Использование уже интегрированных позволяет снизить затраты на систему
аутентификации и облегчить внедрение конечными пользователями.
Фундаментальный компромисс между удобством использования и
безопасностью является одним из важнейших факторов при рассмотрении
систем аутентификации сегодня[19].
Другая проблема заключается в том, что использование биометрии
сплачивается на бинарном механизме принятия решений[20]. Это было хорошо
изучено за последние десятилетие в классической теории статистических
решений с точки зрения аутентификации. Существуют разные возможны
решение для контроля небольшой несоответствия фактических «измеренных»
биометрических данных и хранящихся в ранее данных восторженных образцах.
Двумя широко используемыми методами являются: коэффициент ошибочного
принятия (FAR) [21] и коэффициент ошибочного отклонения (FRR) [22].
Манипуляции с критериям принятие решение позволяют настроить структуру
аутентификации на основе заранее определенных затрат, рисков и выгоды.
Операция MFA сильно зависит от FAR и FRR, поскольку получение нулевых
значений для обоих показателей практически невозможно. Оценка более нож
48
одной биометрической характеристики для установка лица человека может
значительно улучшить работу системы MFA.
3.2 исследование современных да потенциальных источников MFA
В настоящее время в системах аутентификации уже используется
огромное количество датчиков, позволяющих идентифицировать пользователя.
В этом разделе мы подробно рассмотрим факторы, подходящие для MFA,
соответствующие датчики, доступны на рынке, и связанные с этим проблемы.
Кроме того, мы предоставляем дополнительную информацию о тех, которые
могут быть развернуты в ближайшем будущем.
Широко развернуты датчики / источники MFA
Сегодня идентификация и аутентификация для доступа к
конфиденциальным данных – один из основных вариантов использования MFA.
Далее перечисляются факторы, уже доступны для использование MFA без
приобретение дополнительного специализированного оборудование.
1. Защита паролем
Обычный способ аутентификации пользователя запрос PIN-кода, пароля и т.д.
[23]. Секретный пароль традиционно представляет фактор знания. Для
аутентификации пользователя нужно только простой устройство введение (по
крайней мере, одна кнопка).
2. Токен
Затем пароль может быть дополнен физическим токеном. - например, картой,
какая рекомендуется в качества второго фактора группы владение. С
аппаратной точки зрения пользователь может представить смарт-карту,
телефон, переносной устройство и т.д. д., которые сложнее делегировать[24].
В этом случае система должна быть оборудована радио интерфейсом, что
обеспечивает двусторонний связь с токеном. С другого стороны, самый
известный программный маркер - это одноразовый пароль, сгенерированный
программным
49
обеспечением. Основным недостатком вышеупомянутого фактора есть
проблема неконтролируемого дублирование.
3. Голосовая биометрия
Большинство современных интеллектуальных электронных устройств
оснащены микрофоном, позволяющим использовать распознавание голоса как
фактор для MFA [25]. В тот же время, технологический прогресс завтрашнего
дня может позволить специальным агентствам не только распознавать
говорящих, но и имитировать их голоса, включая интонацию, тембр тому
подобное, что есть серьезным недостатком использование голоса как основного
метода аутентификации.
4. Распознавание лицо
Следующим шагом можно рассмотреть распознавание лица. В начале своего
развития технология базировалось на анализе знаковых изображений, которых
было относительно просто воспроизвести, предоставив системе фотографию
[26]. Следующим этапом было предоставление возможности трехмерного
распознавания лица, т.е. просьба пользователя двигать головой во время
процесса аутентификации определенным образом. Наконец, прогресс этой
системы достиг точки признания фактических выражений. пользователя. Чтобы
обеспечить распознавание лицо, нужно оснастить систему по крайней мере
одним выходным устройством и камерой.
5. Очковая методология
Методы распознавания радужки существуют на рынке более 20 лет. Этот
подход нет требует от пользователя находиться близко к устройства восторг
при анализе цветового изображения человеческого глаза . Еще один
привлекательный метод анализ сетчатки глаза [27]. Здесь увлекается и
анализируется тонко ткань, что складывается с нервных клеток, которые
расположены в задний части глаза. Анализ сетчатки является еще одной
привлекательной методикой [27]. Здесь увлекается и анализируется тонко
50
ткань, что складывается с нервных клеток, расположенных в задний части
глаза. Из-за сложную строение капилляров, что поставляют сетчатку кровью,
сетчатка глаза каждой человека уникально. Самыми большими проблемами
этих методов есть необходимость в высококачественном устройства съемки да
надежной математический технике для анализа изображение.
6. Геометрия рук
Некоторые системы используют анализ физической формы руки для
аутентификации пользователя. Сначала для проверки предмета использовались
привязки, но такие методы использовались нет часто. В дальнейшем
планшетный сканер использовался для получения изображения без
необходимости фиксировать руку пользователя в одном конкретном положении
[28]. Сегодня в некоторых системах используются обычные камеры, которые
нет нуждаются тесного контакта с поверхностью. Однако этот подход не
слишком устойчив к окружающей среде. Некоторые производители применяют
да звону фотоплетизмографию (PPG), чтобы определить, или находится
переносной устройство (например, умный часы) в настоящее время на запястье
пользователя или нет. Этот процесс аналогичен процесса измерение пульса.
7. Распознавание вен
Достижение сканеров отпечатков пальцев дают возможность также собрать
изображение вены пальца [29]. Более сложные устройства используют
распознавание отпечатков ладони, чтобы приобрести и сохранить форму /
движение целой руки. на современном этапе развития биометрия вен все еще
уязвимая к атак замены.
8. Сканер отпечатков пальцев
Большинство поставщиков смартфонов / персональных компьютеров в
настоящее время используют сканер отпечатков пальцев в качестве основного
механизма аутентификации. Это решение есть интуитивно понятным в
использовании, но остается
51
чрезвычайно простым в изготовлении главным образом благодаря тому, что
наши отпечатки пальцев можно получить почти из чего-либо, к чему мы
прикасаемся. Интеграционный потенциал этого метода действительно высокий,
хочет его также нет рекомендуется использовать как самостоятельный подход к
аутентификации. Большинство поставщиков смартфонов устанавливают
дополнительную камеру для получение отпечатков пальцев вместо более
безопасного распознавание вен.
9. Тепловое распознавание изображение
Подобно к распознавание вен, тепловой датчик используется для
реконструкции уникального теплового изображение потока крови в теле в
непосредственной близости. Много проблем с этим методом аутентификации
может возникнуть через условия пользователя: болезнь или эмоции могут
существенно повлиять на восприятии цифры.
10. Географическое расположение
Использование географического положение устройства и пользователя
для проверки возможности предоставление доступа к устройства / услуги есть
особым случаем аутентификации на основе расположение. Важно отметить, что
сигнал GPS может быть легко заблокирован или считаться неисправным из-за
свойства распространение; таким образом, рекомендуется использовать по
крайней мере два источники расположение, например, GPS и идентификатор
сотовой сети. Смартфон можно использовать для поддержки MFA с точки
зрения определение местоположения.
Будущее интеграции MFA
Ускоренное внедрение в многих отраслях, а также повышение
доступности биометрических услуг в широком спектре легкодоступных
потребительских товаров подталкивают к концепции тесной интеграции MFA.
В данный
52
время исследователи и первопроходцы технологий пытаются интегрировать
новые датчики для использования в системах MFA.
1. Определение поведения
Своего времени функция распознавание поведения использовалась для
анализа ритма набора текста военным телеграфистом для отслеживание
передвижение войск. Сегодня жесты для целей аутентификации могут
варьироваться от обычных к «трудно имитированных», поскольку
запрограммированы двигателем навыки приводят к тому, что движение
организуется к фактическому исполнение.
Современный пример такой идентификации это прикосновение к
экрану смартфона. Этот подход можно легко комбинировать с любыми
методами аутентификации при ввод текста, поскольку шаблон набора текста
уникален для каждого человека. В случае, если система MFA специально
разработана для анализа определенных жестов, от пользователя требуется
воспроизвести ранее изученное движение, удерживая или надев сенсорное
устройство.
Очевидным шагом аутентификации для широко используемых
портативных и переносных устройств есть использование отпечатков пальцев
акселерометра. К примеру, каждый владелец смартфона может быть проверен
на основе модели ходи путем непрерывного мониторинга данных
акселерометра, которые практически невозможно подделать другой человеком.
2. Техника формирование луча
С точки зрения электросвязи, методы радиочастотной идентификации
(RFID) и связи ближнего поля (NFC) уже получили широкое распространение и
признание в обществе. Последние тенденции в области безопасности
физического уровня утверждают, что использование беспроводных решений с
множественным входом и множеством выходов
53
(MIMO) для определение места расположение источники сигнала может стать
значительным прорывом в проверке токена на теле пользователя.
3. Электрокардиографическое (ЭКГ) распознавание
Данные ЭКГ можно было собрать с разумных часов пользователя или
трекера активности и сравнить с индивидуально сохраненным образцом.
Основное преимущество использование этого фактора для аутентификации
состоит в том, что сигналы ЭКГ выступают в качестве потенциального
биометрического метода с тем преимуществом, что их тяжело (или почти
невозможно) имитировать. Единый способ - использовать существующие
личные записи.
4. Электроэнцефалографическое (ЕЭГ) распознавание
Это решение основано на анализе мозговых волн и может
рассматриваться с фундаментального философского положение «Cogito ergo
sum» Р. Декарта или
«Я думаю, значит, я существую». Это позволяет получить уникальный образец
паттерна. мозговой активности человека. Раньше регистрацию данных ЭЭГ
можно было выполнять только в клинических условиях с использованием
инвазионных зондов под черепом или электродов с влажным гелем,
расположенных на коже черепа. Сегодня простой сбор ЭЭГ возможен с
использованием доступных на рынке устройств, что имеют размер гарнитуры.
5. Распознавание ДНК
Линии клеток человека являются важным ресурсом для исследований,
которые наиболее часто используются в обратных генетических подходах или в
качестве моделей заболеваний человека in vitro. Это также источник
уникальной информации о дактилоскопия ДНК. Несмотря на то, что этот
процесс занимает много времени и есть дорогостоящим, он потенциально
может использоваться для предварительной авторизации пользователя на
высоко защищенных объектах рядом с другими факторами.
54
На Табл. 3.1(a) и 3.1(б) приводится сравнение основных показателей для
уже задействованных и возникающих факторов. Факторы/датчики оцениваются
на основе следующих параметров:
Универсальность значит наличие фактора в каждой человеку;
Уникальность указывает, насколько хорошо фактор отличает одну
человека от другой;
Возможность сбора измеряет, насколько легко получить данные
для обработки;
Производительность указывает на достижимую
точность, скорость и надежность;
Приемлемость значит степень принятие технологии людьми в
их повседневной жизни;
Подмена указывает уровень сложности захвата и подделки образца.
Таблица 3.1(a) Сравнение соответствующих факторов для MFA: В -
высокий;
С - средний; Н - низкий; н - недоступен.
Фактор
Универсальность
Уникальность
Возможность
сбора
Защита паролем
н/ д
Н
В
Токен
н/д
С
В
Голосовая биометрия
С
Н
С
Распознавание
лицо
В
Н
С
Очковая
методология
В
В
С
Сканер отпечатков
пальцев
С
В
С
Геометрия рук
С
С
С
Географическое
расположение
н/д
Н
С
Распознавание вен
С
С
С
Тепловое
распознавание
В
В
Н
55
изображение
Определение
поведения
В
В
Н
Техника
формирование
луча
н/д
С
Н
ЭКГ
Н
В
Н
ЭЭГ
Н
В
Н
ДНК
В
В
Н
Таблица 3.1(б) Сравнение соответствующих факторов для MFA: В - высокий;
С - средний; Н - низкий; н - недоступен.
Фактор
Производитель
ность
Приемлемост
ь
Подмена
Защита паролем
В
В
В
Токен
В
В
В
Голосовая биометрия
Н
В
В
Распознавание
лицо
Н
В
С
Очковая
методология
С
Н
В
Сканер отпечатков
пальцев
В
С
В
Геометрия рук
С
С
С
Географическое
расположение
В
С
В
Распознавание вен
С
С
С
Тепловое
распознавани
е
изображение
С
В
В
Определение
поведения
Н
Н
Н
Техника
формирование
луча
Н
Н
В
ЭКГ
С
С
Н
ЭЭГ
С
Н
Н
ДНК
В
Н
Н
56
Однако при интеграции MFA для конечных пользователей необходимо
решить много других проблем. В следующем разделе мы подробно рассмотрим
или проблемы и формализуем рекомендации по упрощению интеграции
3.3 исследование проблемы операции MFA
Интеграция новых решений всегда была серьезной проблемой как для
разработчиков, так и для менеджеров. Ключевые проблемы представлены на
Рис. 3.3. Во-первых, принятие пользователями есть критическим аспектом для
принятие суровой идентификации и многофакторной аутентификации. При
принятии да развертывании решений MFA необходимо придерживаться
осторожного и тщательного подхода, когда большинство проблем возникает с
возможностей и потенциальных выгод.
1. Удобство и простота
Основные проблемы удобства использование, что возникают в процессе
аутентификации, можно охарактеризовать с трех точек зрения:
Эффективность Задача - время на регистрацию и время на
аутентификацию в системе;
Задача попытки эффективности номер
входа для проверки подлинности системы;
Настройка пользователя - или предоставляет пользователь
предпочтение определенный схеме аутентификации перед другой.
на приложение к подходов, что обсуждались раньше, исследователи уже
начали исследования более специфических эффектов в процедурах
аутентификации, основанных на разных человеческих факторах. Авторы
провели исследование того, как возраст пользователя влияет на эффективность
Задача в случаях использование ПИН и механизмов графического доступа.
Сделано заключение, что молодое поколение может тратить к 50 процентов
меньше времени на прохождение
57
процедуры аутентификации у обоих случаях. Интересно, что авторы показали,
что пол в поэтому же случае не влияет на результаты.
Другой подход, что обсуждался раньше, исследователи уже начали
исследование более специфических эффектов в процедурах аутентификации,
основанных на разных человеческих факторах. Авторы провели исследование
того, как возраст пользователя влияет на эффективность Задача в случаях
использование ПИН и механизмов графического доступа. Сделано заключение,
что молодое поколение может тратить к 50 процентов меньше времени на
прохождение процедуры аутентификации у обоих случаях. Интересно, что
авторы показали, что пол в том же случае не влияет на результаты. Однако
когнитивные отличия между пользователями, есть вербально или визуализация,
существенно влияют на исполнение Задача.
Удобство
использование
Эффективность задачи,
эффективность
предпочтения
пользователей, возраст,
когнитивные способности
качество устройства
введение особые
ограничение.
Биометрический
вероятностный
Биометрический
вероятностный
FAR, FRR, FTE, FTA
Безопасность
Подделка
данных
ввод, безопасность
передачи
социальная
инженерия
Интеграция
Новое оборудование,
программное обеспечение,
взаимодействие
систем независимость
поставщика, доступ к
выходного кода.
Надежность
Устойчивость к шума,
качество
входного
устройства,
надежность
Конфиденциальность
Устойчивость против
известных атак,
исследование
потенциальных
атак,
шаблон защиты
Рис. 3.3 Основные операционные задачи MFA.
Проблемы MFA
58
Кроме того, важную роль в этом процессе играют свойства устройства.
аутентификации. Авторы исследовали возможность использование текстовых
паролей на мобильных устройствах. Было доказано, что использование
смартфона или другого оборудования без клавиатуры для создания пароля
имеет неудовлетворительную удобство использование в сравнить со обычными
ПК.
Сегодня большинство онлайн-сервисов аутентификации основаны на
знаниях, есть зависят от комбинации имени пользователя да пароля. Более
сложные системы требуют, чтобы пользователь взаимодействовал с
дополнительными токенами (одноразовые пароли, генераторы кода, телефоны и
т. д.). Дополняя традиционные стратегии аутентификации, MFA невозможно без
биометрии. С этой точки зрения в работе [9] было проведено анализ того, как
геймификация и радость могут положительно повлиять на принятие новых
технологий. Проведенное исследование взаимодействия с жестами показало,
что безопасность и взаимодействие с пользователем нет Обязательно должны
противоречить один одном. Эта работа также продвигала удовлетворение как
лучший способ быстрого внедрения технологий. В справке рассматривалась
возможность использования решения ЭКГ для аутентификации, и не было
сделан вывод, что применение ЭКГ еще не подходит для динамического
сценария с реального жизнь.
Многие исследователи продвигали использование персональных
портативных устройств под время процедуры MFA. Michelin et al. предложили
использовать камеру смартфона для лица и радужки признания при сохранении
принятие решений в облака. Другая работа по биометрический аутентификации
для устройства Android продемонстрировала повышенный уровень
удовлетворенности, связанный с более высокой эффективностью задач,
достигнутой по помощью решение MFA. В какой изучается удобство
использование и практичность биометрической аутентификации на рабочем
59
месте. Был сделан заключение, что простота использование технологии да ее
экологический контекст играют жизненную важную роль - интеграция и
внедрение всегда повлечет за собой собой дополнительные и неожиданные
расходы ресурсов
Чрезвычайно важная проблема в удобстве использования MFA
заключается в поэтому, что «нет все пользователи могут использовать любую
заданную биометрическую систему». Люди, потерявшие концовку в результате
аварии, могут нет пройти аутентификацию за отпечатком пальца. Люди с
ослабленным зрением могут испытывать трудности при использовании методов
аутентификации на основе радужной оболочки глаза.
Биометрическая аутентификация требует интеграции новых услуг и
устройств, что приводит к необходимости дополнительной образования под
время усыновление, что усложняется для пожилых людей и из-за связанных с
этим проблем понятности. Понятным есть одно: опыт пользователей играет
важную роль в успешном внедрении MFA; некоторые говорит: «пользователь
на первом месте». Сегодня исследование в области безопасности для
аутентификации пользователей, основанной на знаниях, находятся в процессе
поиска жизнеспособного компромисса между удобством использование и
безопасностью - много проблем еще нет решены и вскоре появятся.
Интеграция
Даже если все проблемы удобства использование будут решены на этапе
разработки, интеграция принесет дополнительные проблемы как с
технологической, да и с человеческой точки зрения.
Большинство потребительских решений MFA остаются аппаратными. Как
правило,
«интеграция физической и ИТ-безопасности может принести организации
значительные преимущества, включая повышение эффективности да
соответствия требованиям, а также улучшенную безопасность». Однако
сходимость нет да просто. Связанные с этим проблемы
60
включают объединение групп физической да ИТ-безопасности, объединение
компонентов разнородных систем и обновление систем физического доступа
При разработке системы MFA след тщательно учитывать независимость
биометрических данных. Необходимо обеспечить соответствие критериям
функциональной совместимости. Платформа должна иметь функциональные
возможности для обработки биометрических данных с датчиков, отличных от
начала развернутых. Также след учитывать использование мультибиометрия,
есть одновременное использование более чем одного фактора.
Еще одна серьезная проблема совместимости это зависимость от
поставщика. Корпоративные решение обычно разрабатываются как автономные
изолированные системы, которые предлагают чрезвычайно низкий уровень
гибкости. Интеграция недавно представленных на рынке датчиков нуждаются
сложных и дорогих обновлений, которые, быстрее за все, нет будут
рассматриваться ближайшим иногда.
Кроме того, следует отметить, что большинство доступных в настоящее
время решений MFA не имеют полностью/частично открытый исходный код.
Это ставит перед посторонними поставщиками услуг вопрос о надежность и
достоверность. При выборе структуры MFA следует в первую очередь
учитывать доступный уровень прозрачности, что предоставляется
поставщиками оборудование и программного обеспечение.
Безопасность да конфиденциальность
Любая структура MFA это цифровая система, состоящая из критически
важных компонентов, таких как датчики, хранилище данных, устройства
обработки и каналы связи. Все они обычно уязвимы для множества атак на
совершенно разных уровнях, начиная от попыток воспроизведения и заканчивая
атаками противника. Таким образом, безопасность есть необходимым
инструментом для обеспечение и сохранение конфиденциальности. Поэтому
начнем с атак, которые выполняются на самому
61
устройства ввода. Разрешение доступа к конфиденциальным персональным
данным и их обработки только законного контроллера подвергает сообщество
основными рисками, связанными с безопасностью MFA, которые перечислены
ниже.
Первый с ключевых рисков связанный с подделкой данных, какая будет
успешно принята системой MFA. Примечательно, что через то, что биометрия
используется разными структурами MFA, в злоумышленника появляется
прекрасная возможность проанализировать как технологию, что лежит в основе
датчика, так и сам датчик, в результате чего будут обнаружены наиболее
подходящие материалы для подделки. Основная цель архитекторов системы и
оборудования обеспечить или безопасное среда, или, если это невозможно,
заранее рассмотреть подходящие возможности спуфинга. Риск увлечения
физических или электронных образцов и воспроизведение их в системе MFA
должен быть тщательно устранен.
Обычно для защиты от атак с электронным воспроизведением нужно
использование метки времени. на жаль, выполнить атаку с использованием
биометрического спуфинга достаточно просто. Несмотря на то, что биометрия
может улучшить производительность системы MFA, они также могут увеличить
количество уязвимостей, которые могут быть использованы
злоумышленником. Дополнительным риском является кража
конфиденциальных данных во время передачи между датчиком и блоком
обработки/хранения. Такая кража может в первую очередь происходить через
опасное передача от устройства введение через извлечение и сопоставление
блоков в базе данных, и существует вероятность атаки. Должен быть
гарантирован необходимый уровень безопасности данных, чтобы противостоять
этому типа риска.
Еще одна возможность атаковать систему MFA - это увлечение выборки
секретных данных. Что касается факторов знание, система будет сейчас же
62
скомпрометированная, если нет будут использоваться решение с нулевым
разглашением. Особый интерес представляет получение биометрического
образца, который невозможно восстановить или изменить с течением времени.
Следовательно, защита биометрических данных требует более высокого уровня
безопасности на этапах сбора, передачи, хранение и обработки [30].
Следующий риск связан с воровством из хранилища данных. Обычно
базы данные хранятся централизованно, что обеспечивает единую точку отказа.
В тот же время некоторые из удаленных систем, контактирующих с базой
данных, не всегда имеют законные права на доступ к сохраненным личным
данным. Для защиты данных от кражи нужен высокий уровень изоляции на
приложение к использование необратимого шифрования [31]. Следующий риск
связан с атаками, связанными с местоположением. Сигнал GPS может быть
уязвим для блокировка места расположение (помехи) или подачи ложной
информации в приемник, чтобы он вычислял ошибочный время или место
расположение (подмена). Аналогичные методы могут быть применены к
услугам определение расположение на основе сотовой связи и WLAN [32,33].
Наконец, будучи системой информационных технологий, структура MFA
должна обеспечивать относительно высокие уровни «пропускной способности»,
что отображает способность системы удовлетворять потребности своих
пользователей с точки зрения количества попыток введения за период времени
Даже если биометрия считается подходящей в всех других аспектах, но система
может выполнять только, например, одно сопоставление на основе
биометрических данных в час, в тот время как нужно работать со скоростью
100 образцов в час, такое решение не следует рассматривать как выполнимое.
Здесь рекомендуется выбрать подходящее оборудование для обработки данных
для стороны сервера / восторг.
63
Структура безопасности MFA также должна поддерживать панель
тестирования на проникновение для оценки потенциальных слабых мест.
Сегодня разработчики часто проводят внешний аудит для оценки рисков и
действуют на основе такой оценки для более тщательного планирования Таким
образом, следует оценить систему MFA для обеспечения более безопасного
среды.
Надежность к рабочего среды
Даже если вопрос безопасности и конфиденциальности будут полностью
решенные, биометрические системы, в основном дактилоскопические, не
соответствовали требования «надежности» с самого начала своего пути [34]. В
основном это произошло через то, что эксплуатационные испытание
проводились в лабораторных условиях, а не в полевых условиях. Одним из
ярких примеров является распознавание голоса, которое было очень надежным
в тихой комнате, но не могло подтвердить пользователя в городских условиях.
Аналогичная проблема относится к методам раннего распознавания лиц,
которые нет работали без адекватной световой поддержки, качественной
камеры и и т.д. Обратной стороной медали была необходимость постоянного
наблюдение за испытуемым. Даже сегодня есть или советы о том, где смотреть /
класть пальцы, или наглядные пособия при проверке безопасности. Отсутствие
опыта взаимодействия между машинами и людьми обычно анализируется за
помощью показателей
«Отказ от регистрации» (FTE), а также «Отказ от набора» (FTA) [35]. Оба они
зависят от самих пользователей, а также от дополнительного шума.
окружающей среды.
Поскольку значительная часть MFA сильно зависит от биометрии, она
может быть классифицирована как вероятностная по своей природе. Основа
биометрической аутентификации лежит в области сопоставление со образцом,
какое, в свою очередь, базируется на приближении. Приблизительно
64
согласование есть важным аспектом в будь какой системе MFA, поскольку
разница между пользователями может иметь решающее значение из-за
множества факторов и неопределенности. Изображение, полученное во время
сканирование отпечатка пальца, будет отличаться каждый раз, когда оно будет
наблюдаться через угол обзора, давления, грязи, влажности или отличий
датчиков, даже если оно снято одной и тот же человеком.
Для количественной оценки эффективности системы биометрической
аутентификации используются два важных коэффициента ошибок: FAR и FRR.
FAR это процент самозванцев, которых ошибочно допустили в качества
настоящих пользователей. Он определяется как отношение количества ложных
совпадений к общего количества попыток сопоставления самозванцев FRR – это
количество настоящих пользователей, которым отказано в использовании
системы, какое определяется как отношение количества ошибочных отказов к
общей количества попыток подлинного сопоставления.
В литературе также рекомендуется использовать коэффициент ошибок
кроссовера (CER) на приложение к раньше оговоренных метрик. Этот параметр
определяется как вероятность того, что система находится в состоянии, в
котором FAR равное FRR. Чем ниже это значение, тем лучше работает система.
В соответствии с этого, «высший FAR лучший в системах, где безопасность нет
имеет первостепенного значение, тогда как более высокий FRR лучше в
приложениях с высоким уровнем безопасности». Точка равенства между FAR и
FRR называется равной частотой ошибок (EER). на основании
вышеизложенного можно еще раз сделать заключение, что система, какая
использует исключительно биометрические данные, нет может считаться лучше
структурой MFA.
Анализируя вышеперечисленные проблемы, можно оценить всю систему
MFA. Дальше предложено подход, что разрешает использовать MFA,
основанный при наличии большого количества датчиков.
65
Выводы
1. Была рассмотрена эволюция методов аутентификации от SFA к MFA.
2. Были исследованы современные да потенциальные источники MFA,
рассмотрены факторы, которые подходят для MFA, соответствующие датчики,
доступны на рынке, и связанные с этим проблемы.
3. Рассмотрены ключевые риски связаны с подделкой данных,
которые будут успешно приняты системой MFA.
4. Были исследованы интеграции новых услуг и устройств.
66
РАЗДЕЛ 4
МЕТОД ПОВЫШЕНИЯ УРОВНЯ ОЦЕНКИ БЕЗОПАСНОСТИ
АБОНЕНСКОГО СОЕДИНЕНИЕ ПРИ ОРГАНИЗАЦИИ УДАЛЕННОГО
ДОСТУП.
Обычно у пользователя есть имя пользователя/пароль/ПИН/токен, и его
дополнительно попросят использовать биометрический фактор, такой как черты
лицо или отпечатки пальцев. Если процедура аутентификации нет может
установить доверие с помощью этой комбинации факторов, то пользователю
будет предложено пройти аутентификацию с использованием другого раньше
зарегистрированного фактора или их набор. Эта система MFA может нет только
проверять точность назначенного для пользователя ввод, но также определять,
как пользователь взаимодействует с устройствами, то есть анализировать
поведение. Чем больше пользователь взаимодействует с биометрической
системой, тем вернее становится ее работа.
Еще одна особенность обсуждаемого сценария это фактическое
удобство использование датчика Если используется датчик (например,
устройство для чтение отпечатков пальцев), и этот устройство недоступно с того
места, где пользователь пытается войти в систему или получить доступ,
предназначенный для пользователя опыт становится неадекватным. Наличие
устройства двойного назначение - смартфона или умных часов (подходят для
исполнение примитивов информационной безопасности), какое пользователь
уже имеет в своему распоряжении как дополнительный фактор MFA (не
только в качестве токена) делает систему стоимость и удобство использование
намного разумнее.
Наличие большого количества сенсорных данных подводит нас к
следующему логического этапа их применение в MFA. Мы также предполагаем
возможное использование соответствующих факторов для аутентификации
пользователя без
67
использование специального «верификатор» с фактическими биометрическими
данным, за исключением данных, собранных в реальном времени.
4.1. Описание подхода основанного на использованы полиномов
Лагранжа
Один с подходов, рассмотренных в рамках данной работы, основанный на
использовании полиномов Лагранжа для разделения секрет. Системный секрет
S обычно «разделяется» между набором владельцев ключей. Его можно будет
восстановить позже, как описано в [35] и многих других работах, например,