Администратор ИВС – должностное лицо, ответственное за работоспособность и надлежащее функционирование всех частей ИВС

Администрирование информационных сетей

Основные понятия

· Информационно вычислительная сеть (ИВС) – комплекс программных и аппаратных средств для обеспечения автоматизации производства и других сфер деятельности человека, включающий в качестве составной части кабельное и сетеобразующее оборудование.

· Администратор ИВС – должностное лицо, ответственное за работоспособность и надлежащее функционирование всех частей ИВС.

· Пользователь ИВС (Юзер) - физическое лицо, имеющее доступ к определенным ресурсам ИВС, идентифицируемое бюджетом пользователя(учетной записью). Администратор ИВС так же является пользователем ИВС, обладая, в общем случае, неограниченным доступом ко всем ресурсам ИВС.

· Бюджет или учетная запись пользователя(Аккаунт) – запись в специализированной БД (БД учетных записей), содержащая информацию о пользователе ИВС. Используется для идентификации пользователя в системе, проверке полномочий пользователя и обеспечения доступа пользователя к тем или иным ресурсам системы. Характеризуется атрибутами, например имя для входа(логин), пароль, профиль в системе, список принадлежности к группам и т.п. Пароль служит для защиты бюджета от несанкционированного использования.

· Регистрация пользователя в системе – создание администратором ИВС (или другим уполномоченным лицом) бюджета пользователя для конкретного физического лица.

· Ресурсы ИВС – физические и логические объекты ИВС, имеющие определенную функциональность, доступную для использования.

· Права доступа к ресурсу – степень свободы действий пользователя по отношению к данному ресурсу.

· Назначение прав доступа к ресурсу – процедура создания в системе специальной записи пользователя или ее аналогу(например группа пользователей) присваиваются определенные права доступа к ресурсу. Назначение прав доступа в современных ИВС осуществляется через списки управления доступом (Access Control List-ACL)

· Список управления доступом (ACL) – хранилище в виде отдельных записей, с информацией о том, кто обладает правами на ресурс и каковы эти правила.

· Аудит или контроль использования ресурсов – процесс контроля использования ресурсов, включающий возможность ведения журнала попыток доступа к ресурсам. Журнал аудита ведется на основе данных, поступающих от процедур авторизации.

 

Авторизация, аутентификация, идентификация и аудит

· Аутентификация - процедура проверки подлинности входящего в систему объекта, предъявившего свой идентификатор. В зависимости от степени… · Авторизация - процедура предоставления субъекту определенных прав доступа к…

Технологии идентификации

Штрих - кодовая идентификация

Штриховой Код EAN13 является непрерывным, имеет фиксированную длину и высокую плотность записи позволяет отобразить 13 цифр от 0 до 9.  

Радиочастотная идентификация

EM4100 (EM4102, EM-Marin) - формат бесконтактных радиочастотных идентификационных карт компании EM Microelectronic-Marin, одни из самых… Mifare — торговая марка семейства бесконтактных смарт-карт. Торговая марка… Считается наиболее распространённой торговой маркой бесконтактных смарт-карт в мире: продано более 1 млрд смарт-карт и…

История

· 1996 — Первая транспортная схема в Сеуле, использующая Mifare Standard 1k. · 1997 — Mifare PRO с сопроцессором Triple DES. · 1998 — Mikron была куплена компанией Philips

Править]Позиционирование и технологии

Все продукты Mifare базируются на ISO 14443 Type A 13,56 МГц стандарте бесконтактных смарт-карт. Предназначены в первую очередь для идентификации личности и микроплатежных систем. Характеризуются невысокой дальностью чтения до 10 см.^[1]

[править]Микросхемы меток (карт)

На сегодня производятся следующие виды микросхем для карт:

· Mifare Classic 1k, Mifare Classic 4k;

· Mifare Ultralight;

· Mifare Ultralight C;

· Mifare Plus;

· Mifare DESFire EV1.

Некоторые другие типы карт либо сняты с производства (Mifare DESFire) либо умерли в стадии пилотных проектов (Mifare PRO, Mifare PROX, Mifare Lite).

Выпускается также ряд изделий под другими торговыми марками, так или иначе связанных с технологиями Mifare:

· Метки торговых марок SmartMX, SmartMX2, Smart eID имеют режим эмуляции Mifare.

· Микросхемы NFC имеют режимы эмуляции Mifare.

· Контактные смарткарты под торговой маркой Mifare SAM содержат криптоалгоритмы семейства Mifare.

Править]Mifare Classic, Mifare Plus

Семейство Mifare Classic состоит из двух карт — Mifare Classic 1k и Mifare Classic 4k. Mifare Classic 1k была исторически первой.

Карты Mifare Classic предлагали надстройку над ISO 14443A-3 с криптографической защитой данных. Содержат 4-байтный неизменяемый уникальный код карты и 1 или 4 КБ пользовательских и конфигурационных данных карты.

Для защиты данных используется лицензионный проприетарный криптоалгоритм Crypto-1 (его описание не опубликовано производителем). Однако он был восстановлен при помощиреверс-инжиниринга и оказался слишком простым. Недостатки алгоритма стали причиной многочисленных нападок на Mifare и на бесконтактные технологии вообще. Лицензия на криптоалгоритм предлагалась в составе микросхем считывателей либо в виде отдельных криптопроцессоров (Security Access Module, SAM).

Семейство Mifare Plus является развитием Mifare Classic с использованием стандартной криптографии AES. Mifare Plus имеет режим совместимости с Mifare Classic. Выпускаются 4 типа меток различающихся объемом памяти (2 или 4 КБ), длиной уникального кода (4 или 7 байт) и набором команд.

Править]Mifare Ultralight, Mifare Ultralight C

Mifare Ultralight — самые простые карты семейства. Фактически являются урезанным Mifare Classic (без криптографической защиты). Содержат 7-байтный неизменяемый уникальный код карты и 64 байт пользовательских и конфигурационных данных карты.

Mifare Ultralight C является развитием Mifare Ultralight с использованием стандартной криптографии DES и увеличенным объемом памяти (192 байта).

Mifare Classic 1k и Mifare Ultralight являются наиболее массовыми картами семейства.

Править]Mifare DESFire EV1

Развитие неудачного продукта Mifare DESFire. Самые сложные и дорогие карты семейства. Полностью удовлетворяет стандарту ISO 14443A. Предлагает криптозащищенную (DES, AES) файловую систему с гибко настраиваемыми условиями доступа. Карты DesFire оказались слишком дорогими и функциональными для микроплатежных систем и слишком примитивными для государственных и банковских средств идентификации личности.

Править]SmartMX, SmartMX2, Smart eID

Карты торговых марок SmartMX, SmartMX2 и Smart eID формально не относятся к Mifare, однако имеют режим эмуляции карт Mifare Classic, Mifare Plus и Mifare DESFire (последние 2 только в SmartMX2). Полностью удовлетворяют стандарту ISO 14443A. Являются полноценными смарткартами с встроенным микропроцессором (ядро Intel 8051), криптопроцессорами, большой памятью программ (до 256 КБ) и данных (до 144 КБ EEPROM). Имеют все необходимые сертификаты и предназначены для работы в системах государственной и банковской идентификации личности.

Править]Микросхемы считывателей, NFC и Mifare SAM

Править]Стандартные микросхемы считывателей

Выпускается ряд микросхем содержащих необходимые для построения Mifare считывателя цепи. В разных комбинациях поддерживаются стандарты ISO 14443A, ISO 14443B, ISO 15693. Микросхемы также содержат в себе Security Access Module.

· SLRC400 — устарела.

· MFRC500 — устарела.

· MFRC522, MFRC523 — миниатюрная версия с пониженным напряжением питания.

· MFRC530, MFRC531

· CLRC632 — наиболее функциональное изделие без NFC.

Править]Микросхемы NFC-считывателей

Выпускается семейство микросхем для Near Field Communication PN532, PN533. Эти микросхемы могут читать и эмулировать карты Mifare.

Править]Mifare SAM

NXP интегрировал поддержку Crypto-1 (наряду с DES, AES) в ряд классических контактных смарткарт с интерфейсом ISO/IEC 7816, которые предлагаются под торговой маркой Mifare SAM. Данные смарткарты позиционируются как безопасные сертифицированные криптопроцессоры для систем с повышенной стойкостью.

Смысл в том что физическая стойкость микроконтроллеров общего применения в считывателях становится много ниже безопасности всех остальных компонентов системы (криптоалгоритмов и физической стойкости меток). Чтобы выровнять ситуацию предлагается использовать Mifare SAM в качестве криптографического сопроцессора в считывателе. Разумеется, сказанное относится только к DES и AES. Crypto-1 в Mifare SAM существует в основном для единообразия применения. Понятно также что в этом качестве можно использовать любую другую контактную смарткарту с DES, AES и соответствующим уровнем защиты.

Легкость замены смарткарт также облегчает и делает безопаснее процедуру замены криптоключей в системе.

Править]Технические подробности

Править]Криптоалгоритм Crypto-1

В картах Mifare Classic используется проприетарный лицензионный криптоалгоритм Crypto-1. Первоначально стойкость алгоритма была основана на его секретности. Алгоритм не разглашался, использовать его можно было только в составе микросхем Philips (позднее NXP). Однако низкая криптостойкость алгоритма и популярность технологии привела к тому что на сегодняшний день алгоритм не является секретом и относительно легко взламывается.^[2]

Однако, такая ситуация не привела к падению популярности Mifare или распространению случаев взлома реальных систем.^{[источник не указан 253 дня]} Причина кроется в том что в любой реальной системе аппаратура криптозащиты является лишь последним рубежом обороны, ее прикрывают многочисленные организационные мероприятия. Осознание этого факта привело к всплеску популярности карт Mifare Ultralight которые не имеют вообще никакой криптозащиты (поэтому немного дешевле).

Все современные микросхемы считывателей Mifare фирмы NXP умеют работать с Crypto-1. Однако не все имеют возможность безопасного энергонезависимого хранения ключей. В микросхемы MFRC52x и NFC ключи подгружаются перед каждой транзакцией по незащищенному интерфейсу. Для сравнения, в остальных микросхемах ключ записывается однократно энергонезависимо и не может быть считан снаружи.

Править]Mifare Classic

Править]Многофункциональность карты

· Объем памяти карты составляет 1 или 4 КБ, стандарт EEPROM, батарея питания не требуется.

· Надежно разграниченные между собой 16 или 40 секторов, поддерживающие многофункциональное применение. Каждый сектор имеет свой набор ключей доступа, что позволяет разграничивать доступ к различным приложениям.

· Каждый сектор состоит из 4 блоков (3 информационных и 1 для хранения ключей).

· Блок является самым малым компонентом, к которому адресуется пользователь, и состоит из 16 байт.

· Срок хранения данных в памяти до 10 лет.

· До 100 000 циклов записи.

Править]Типичное время проведения операций

· Идентификация карты — 3 мс (старт, ответ на запрос, антиколлизия, выбор).

· Считывание (16-байтный блок) — 2,5 мс (без аутентификации), 4,5 мс (с аутентификацией).

· Cчитывание + контрольное чтение — мин. 8,5 мс (без аутентификации), мин. 10,5 мс (с аутентификацией).

· Типичная операция по выдаче билета < 100 мс, включая идентификацию карты, чтение шести блоков (768 бит, 2 сектора аутентификации) и запись двумя блоками (256 бит) с дублированием.

· Проведение операции возможно, когда карта находится в движении.

Править]Mifare в России

В России реализуются десятки государственных и частных проектов, основанных на применении Mifare. Практически каждый житель сколько нибудь крупного города имеет карту Mifare.

Наиболее массовое применение — оплата транспортных услуг. Метрополитен использует Classic 1k и Ultralight. Наземный транспорт — Classic 1k. Известны программы выдачи карт социальной защиты пенсионерам и студентам (Classic 1k), например Социальная карта москвича. Новые типы загранпаспортов и некоторые визы используют технологию SmartMX

 

Биометрическая идентификация

Биометрические характеристики можно разделить на две группы: 1 Физиологические биометрические характеристики (называемые физическими или… 2 Поведенческие биометрические характеристики (также называемые динамическими биометрическими характеристиками) -…

Идентификации на основе карт с магнитной полосой

Существенным преимуществом магнитных карт является их низкая стоимость. К основным недостаткам данной технологии можно отнести: · ограничение по объему информации, которая может быть записана на магнитную… · незащищенность от копирования;

Технологии аутентификации

Налицо так называемая двухфакторная аутентификация. Вам надо иметь персональный носитель (SIM-карту) и знать личный PIN-код. Они связаны между… А3 - Алгоритм аутентификации абонента в сети мобильной связи стандарта GSM. … А8 - Алгоритм генерации сеансового ключа для шифра A5

Аутентификация по многоразовым паролям

Задачи протокола

В течение более чем десяти лет протоколы аутентификации в основном обеспечивали защиту путем сохранения паролей в скрытой форме (обычно… 1 Компьютер получает данные для идентификации и аутентификации от… 2 Сервер аутентификации генерирует случайное произвольное значение (называемое запросом - challenge) и посылает его…

LAN Manager

❖ пароли могут состоять из ограниченной последовательности 128 символов ASCII; ❖ длина пароля не превышает 14 символов; ❖ если пароль содержит менее 14 символов, то отсутствующие символы заменяются легко угадываемой хешированной…

NTLM

С появлением NT компания Microsoft спроектировала и развернула более надежный протокол аутентификации NTLM. В NTLM используется более эффективный алгоритм аутентификации, который создает более надежный хеш паролей (NTLM hash). Пароль NTLM может содержать до 128 символов. В отличие от хеширования LAN Manager, ограниченного использованием только символов ASCII, NTLM совместим с полным набором символов Unicode, что повышает сложность паролей. NTLM-хеш отсекается на 128-м символе, преобразуется в 16-разрядное значение Unicode, обрабатывается распределительной функцией MD4 и сохраняется в 32-символьной шестнадцатеричной строке. За счет использования NTLM-хеша в операциях запрос—ответ последовательность аутентификации NTLM гораздо сложнее процедуры LAN Manager.

NTLMv2

В итоге выяснилось, что и NTLM уязвим, и специалисты Microsoft подготовили NTLMv2, который до сих пор считается достаточно надежным, хотя сейчас предпочтительный протокол — Kerberos. NTLMv2 по-прежнему широко используется для локальной регистрации и в некоторых других случаях. NTLMv2 похож на NTLM, но в хеше пароля NTLMv2 используется аутентификация сообщений HMAC-MD5, а последовательности запрос—ответ присваивается метка времени, чтобы предотвратить атаки, в ходе которых взломщик записывает учетные данные и впоследствии их использует.

В целом NTLMv2 более устойчив к атакам с применением «грубой силы», нежели NTLM, так как в протоколе применяется 128-разрядный ключ шифрования. Известно только о двух программах взлома паролей (одна из них — LC5 компании Symantec), с помощью которых удавалось открыть хеши паролей NTLMv2.

Kerberos

· взаимная аутентификация между клиентом и сервером; · надежная защита пароля, так как Windows пересылает пароль только при… · последовательность запрос-ответ с меткой времени не позволяет взломщику использовать перехваченный пароль по…

Протоколы аутентификации для удалённого доступа

Часть протоколов сетевой аутентификации были разработаны специально для обеспечения удаленного доступа к информационным ресурсам посредством открытых каналов связи (к примеру, телефонные линии, Internet). В качестве примера можно привести протоколы PAP, CHAP, EAP, RADIUS, TACACS и другие. В качестве примера кратко рассмотрим работу протокола RADIUS.

Протокол аутентификации RADIUS

В рамках стандарта выделяются следующие роли: · Клиент RADIUS. Клиент RADIUS принимает от пользователей запросы на… · Сервер RADIUS. Основная задача сервера RADIUS заключается в централизованной обработке информации, предоставленной…

TACACS

TACACS (terminal access controller access control system) - собственно

система управления авторизацией и аутентификацией

TACACS - это протокол аутентификации маршрутизаторов Cisco

В данной статье я опишу основные принципы настройки сервера и клиента TACACS+(плюс указывает на версию протокола, которая используется в настоящее время).

TACACS имеет очень широкое применение, т.к. может обеспечивать работу всех

Ciscoк с единым сервером авторизации, который также позволяет устанавливать привилегии различных пользователей в широких пределах, например, давать определённым пользователям доступ только к определённым командам, давать пользователям пользоваться определёнными сервисами только с заданных адресов, организовывать группы пользователей, вести лог-файл доступа пользователей (это особенно важно для маршрутизаторов, т.к. позволяет определить, какие пользователи и сколько пользовались определёнными сетевыми службами: ppp, slip и.т.д.), выполнять для пользователей определённые команды ОС.

Аутентификация на основе одноразовых паролей

· использование механизма временных меток на основе системы единого времени; · применение общего пароля для легального пользователя и проверяющего списка… · использование общего пароля для пользователя и проверяющего генератора псевдослучайных чисел с одним и тем же…

Аутентификация по предъявлению цифрового сертификата

· получение открытого ключа СА (одноразовый процесс), · получение по некоторому незащищенному каналу от этого пользователя его… Аутентификация с открытым ключом используется как защищенный механизм аутентификации в таких протоколах как SSL, а…

Использование смарт-карт и USB-ключей

Смарт-карты

Для использования смарт-карт в компьютерных системах необходимо устройство чтения смарт-карт. Несмотря на название - устройство чтения (или…

USB-ключи

Аутентификацию на основе смарт-карт и USB-ключей сложнее всего обойти, так как используется уникальный физический объект, которым должен обладать… Для хранения и использования закрытого ключа разработчики используют различные…

Генерация ключевой пары вне устройства

В этом случае пользователь может сделать резервную копию закрытого ключа. Если устройство выйдет из строя, будет потеряно, повреждено или уничтожено, пользователь сможет сохранить тот же закрытый ключ в памяти нового устройства. Это необходимо, если пользователю требуется расшифровать какие-либо данные, сообщения, и т.д., зашифрованные с помощью соответствующего открытого ключа. Однако при этом закрытый ключ пользователя подвергается риску быть похищенным, что означает его компрометацию.

Генерация ключевой пары с помощью устройства

Классификация методов идентификации и аутентификации с точки зрения применяемых технологий представлена на рис. 2.