Wednesday, October 18th, 2017

Процесс подлинности жизненного цикла и вы (Часть 1)

Published on Февраль 2, 2009 by   ·   Комментариев нет

Как настроить вашу подлинность (Identity) и как она используется для обеспечения доступа внутри сети?

Если кто-нибудь спросит вас о вашей подлинности, сможете вы ее предоставить? Что такое ваша подлинность? Это что-то, что подтверждает, что вы можете что-то делать, например, как водительская лицензия? Это строка цифр, на которое ссылается ваше правительство, когда берет плату за транзакции? Или все эти вещи являются лишь частью чего-то большего? Будьте уверены, что подлинность – это горячо обсуждаемая тема.

Если вы хотите ознакомиться с остальными статьями из этой серии, то, пожалуйста, прочтите: Процесс подлинности жизненного цикла и вы (Часть 2)

Но какое отношение подлинность имеет к безопасности (security)? Что такое в действительности подлинность (identity), а как она относится к доступу к мировой сети? Почему она так важна для вас?

Ваша подлинность в контексте корпоративной сети – это пропуск. Этот пропуск представляет вас в сетевых системах. Она используется при принятии решений о том, предоставлять или запрещать вам доступ к ресурсам, данным или информации. Системные администраторы могут иметь доступ практически ко всему, в то время как секретарша начальника может иметь доступ лишь к электронному ящику начальника и его календарю. С этой точки зрения, подлинность можно назвать ключом (key), т.к. она позволяет вам получить доступ к чему-то точно также, как ключ позволяет вам получить доступ к комнате или зданию.

Оставляя без присмотра старые подлинности, вы словно сбрасываете старые ключи вокруг в кучу. Ключи, лежащие в этой старой куче обычно являются бесполезными, но случаются ошибки, и вы случайно можете оставить без присмотра основной ключ (master key). Что еще хуже, вы можете случайно выбросить в эту кучу действующий ключ, который позволит обычному пользователю получить доступ к комнате!

А это будет очень плохо для любой области, которую вы пытаетесь защитить. По этой причине разработка менеджера для доступа и подлинности (Identity and Access Management) или менеджера жизненного цикла подлинности (Identity Lifecycle Management) или как еще вы хотите назвать процесс, который помогает управлять вашими подлинностями с начала их использования и до момента их удаления, является очень важным аспектом безопасности любой организации.

Анатомия сетевого доступа: Идентификация

Для того, чтобы получить доступ к любому сетевому ресурсу, такому как общий файл, принтер, данные электронной почты (email data), базы данных (databases) и в некоторых случаях доступ к самой сети, вы должны выполнить назначение (assertions) для вашей подлинности. Подлинность – это частичка информации, которая используется для ответа на вопросы: “Кто вы, можете ли вы доказать это, что вы хотите, и есть ли у вас но это права?” Вы должны идентифицировать себя, пройти аутентификацию вашей подлинности, и быть авторизованными для доступа к ресурсу.

Пример из реального мира

Представьте сетевой ресурс, в виде модного ночного клуба в центре города, в котором каждый хочет потусоваться. Вы хотите войти внутрь, и посмотреть, что там. Когда вы входите внутрь, большой парень на входе в зеркальных черных очках спрашивает, кто вы такой, и просит предъявить ваше приглашение (identification). Вы показываете ему ваше приглашение (это не обязательно ваша идентификация, но оно часто заменяет ее). Он проверяет информацию, которую вы ему предоставили с действительностью. Он уже знает, что вы хотите в клуб (ответ на вопрос, что вы хотите?). Поэтому, он проверяет свой список, и узнает есть ли у вас доступ в клуб (проходит авторизация), и в зависимости о результата авторизации вы либо направляетесь внутрь, либо вас выпроваживают на улицу.

Нечто подобное происходит, когда вы пытаетесь получить доступ к ресурсу в сети. Однако, существует одна вещь, которая отличается во многих сетях, особенно в сети Active Directory, это то, что у вас есть то, чего нету у охранника: trusted identification source (источник доверительной идентификации). Подумайте об этом: Нет ничего, что бы помешало вам предоставить фальшивое приглашение охраннику (кроме вашей честности и закона в большинстве стран, конечно). В большинстве случает это будет слабой аутентификации (weak authentication). Другим примером слабой аутентификации будет использование вашего сетевого адреса (network address) для идентификации вас в качестве авторизованного пользователя.

В этом случае может помочь мощная аутентификация (strong authentication). В случае Active Directory, Kerberos – это протокол аутентификации (authentication protocol), а KDC или контроллер домена (Domain Controller) – это проверенный элемент, которому каждый компонент безопасности домена (security domain) доверяет аутентификационные права (authenticating credentials). Как скажет контроллер домена (Domain Controller), так и будет!

В чем различие между подлинностью и аутентификацией ?

Звучит странно? Еще задумываетесь, как это относится к процессу идентификации?

Подлинность – это кто вы есть. Сама по себе подлинность не сильно нужна, и как раз здесь приходит на помощь аутентификация.

Аутентификация – это процесс подтверждения, что подлинность представляет именно то, что есть на самом деле. У вас должен быть способ доказать, или аутентифицировать, что вы – это тот, за кого вы себя выдаете. В противном случае, нет никакого смысла в использовании такой безопасности.

В Active Directory существует несколько уровней аутентификации (authentication layer), которые помогают в течение всего жизненного цикла процесса доступа к сети. С самого начала входа с сеть до получения билетов Kerberos, ваша подлинность должна быть проверена и подтверждена, т.е. пройти аутентификацию.

Авторизация происходит после того, как вы прошли аутентификацию. В действительности, нет нужды даже рассматривать авторизацию для доступа к ресурсу до тех пор, пока мы не знаем, что была пройдена аутентификация. Если ваша подлинность была авторизована для доступа к ресурсу, то она представлена записью в списке контроля доступа (Access Control List — ACL), и она называется записью контроля доступа (Access Control Entry — ACE).

Помните, что подлинность имеет смысл, лишь когда она представляет определенный ресурс.

Источник www.windowsecurity.com


Смотрите также:

Tags:

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]