Администрирование информационных сетей
Основные понятия
· Информационно вычислительная сеть (ИВС) – комплекс программных и аппаратных средств для обеспечения автоматизации производства и других сфер деятельности человека, включающий в качестве составной части кабельное и сетеобразующее оборудование.
· Администратор ИВС – должностное лицо, ответственное за работоспособность и надлежащее функционирование всех частей ИВС.
· Пользователь ИВС (Юзер) - физическое лицо, имеющее доступ к определенным ресурсам ИВС, идентифицируемое бюджетом пользователя(учетной записью). Администратор ИВС так же является пользователем ИВС, обладая, в общем случае, неограниченным доступом ко всем ресурсам ИВС.
· Бюджет или учетная запись пользователя(Аккаунт) – запись в специализированной БД (БД учетных записей), содержащая информацию о пользователе ИВС. Используется для идентификации пользователя в системе, проверке полномочий пользователя и обеспечения доступа пользователя к тем или иным ресурсам системы. Характеризуется атрибутами, например имя для входа(логин), пароль, профиль в системе, список принадлежности к группам и т.п. Пароль служит для защиты бюджета от несанкционированного использования.
· Регистрация пользователя в системе – создание администратором ИВС (или другим уполномоченным лицом) бюджета пользователя для конкретного физического лица.
· Ресурсы ИВС – физические и логические объекты ИВС, имеющие определенную функциональность, доступную для использования.
· Права доступа к ресурсу – степень свободы действий пользователя по отношению к данному ресурсу.
· Назначение прав доступа к ресурсу – процедура создания в системе специальной записи пользователя или ее аналогу(например группа пользователей) присваиваются определенные права доступа к ресурсу. Назначение прав доступа в современных ИВС осуществляется через списки управления доступом (Access Control List-ACL)
· Список управления доступом (ACL) – хранилище в виде отдельных записей, с информацией о том, кто обладает правами на ресурс и каковы эти правила.
· Аудит или контроль использования ресурсов – процесс контроля использования ресурсов, включающий возможность ведения журнала попыток доступа к ресурсам. Журнал аудита ведется на основе данных, поступающих от процедур авторизации.
Править]Позиционирование и технологии
Все продукты Mifare базируются на ISO 14443 Type A 13,56 МГц стандарте бесконтактных смарт-карт. Предназначены в первую очередь для идентификации личности и микроплатежных систем. Характеризуются невысокой дальностью чтения до 10 см.[1]
[править]Микросхемы меток (карт)
На сегодня производятся следующие виды микросхем для карт:
· Mifare Classic 1k, Mifare Classic 4k;
· Mifare Ultralight;
· Mifare Ultralight C;
· Mifare Plus;
· Mifare DESFire EV1.
Некоторые другие типы карт либо сняты с производства (Mifare DESFire) либо умерли в стадии пилотных проектов (Mifare PRO, Mifare PROX, Mifare Lite).
Выпускается также ряд изделий под другими торговыми марками, так или иначе связанных с технологиями Mifare:
· Метки торговых марок SmartMX, SmartMX2, Smart eID имеют режим эмуляции Mifare.
· Микросхемы NFC имеют режимы эмуляции Mifare.
· Контактные смарткарты под торговой маркой Mifare SAM содержат криптоалгоритмы семейства Mifare.
Править]Mifare Classic, Mifare Plus
Семейство Mifare Classic состоит из двух карт — Mifare Classic 1k и Mifare Classic 4k. Mifare Classic 1k была исторически первой.
Карты Mifare Classic предлагали надстройку над ISO 14443A-3 с криптографической защитой данных. Содержат 4-байтный неизменяемый уникальный код карты и 1 или 4 КБ пользовательских и конфигурационных данных карты.
Для защиты данных используется лицензионный проприетарный криптоалгоритм Crypto-1 (его описание не опубликовано производителем). Однако он был восстановлен при помощиреверс-инжиниринга и оказался слишком простым. Недостатки алгоритма стали причиной многочисленных нападок на Mifare и на бесконтактные технологии вообще. Лицензия на криптоалгоритм предлагалась в составе микросхем считывателей либо в виде отдельных криптопроцессоров (Security Access Module, SAM).
Семейство Mifare Plus является развитием Mifare Classic с использованием стандартной криптографии AES. Mifare Plus имеет режим совместимости с Mifare Classic. Выпускаются 4 типа меток различающихся объемом памяти (2 или 4 КБ), длиной уникального кода (4 или 7 байт) и набором команд.
Править]Mifare Ultralight, Mifare Ultralight C
Mifare Ultralight — самые простые карты семейства. Фактически являются урезанным Mifare Classic (без криптографической защиты). Содержат 7-байтный неизменяемый уникальный код карты и 64 байт пользовательских и конфигурационных данных карты.
Mifare Ultralight C является развитием Mifare Ultralight с использованием стандартной криптографии DES и увеличенным объемом памяти (192 байта).
Mifare Classic 1k и Mifare Ultralight являются наиболее массовыми картами семейства.
Править]Mifare DESFire EV1
Развитие неудачного продукта Mifare DESFire. Самые сложные и дорогие карты семейства. Полностью удовлетворяет стандарту ISO 14443A. Предлагает криптозащищенную (DES, AES) файловую систему с гибко настраиваемыми условиями доступа. Карты DesFire оказались слишком дорогими и функциональными для микроплатежных систем и слишком примитивными для государственных и банковских средств идентификации личности.
Править]SmartMX, SmartMX2, Smart eID
Карты торговых марок SmartMX, SmartMX2 и Smart eID формально не относятся к Mifare, однако имеют режим эмуляции карт Mifare Classic, Mifare Plus и Mifare DESFire (последние 2 только в SmartMX2). Полностью удовлетворяют стандарту ISO 14443A. Являются полноценными смарткартами с встроенным микропроцессором (ядро Intel 8051), криптопроцессорами, большой памятью программ (до 256 КБ) и данных (до 144 КБ EEPROM). Имеют все необходимые сертификаты и предназначены для работы в системах государственной и банковской идентификации личности.
Править]Микросхемы считывателей, NFC и Mifare SAM
Править]Стандартные микросхемы считывателей
Выпускается ряд микросхем содержащих необходимые для построения Mifare считывателя цепи. В разных комбинациях поддерживаются стандарты ISO 14443A, ISO 14443B, ISO 15693. Микросхемы также содержат в себе Security Access Module.
· SLRC400 — устарела.
· MFRC500 — устарела.
· MFRC522, MFRC523 — миниатюрная версия с пониженным напряжением питания.
· MFRC530, MFRC531
· CLRC632 — наиболее функциональное изделие без NFC.
Править]Микросхемы NFC-считывателей
Выпускается семейство микросхем для Near Field Communication PN532, PN533. Эти микросхемы могут читать и эмулировать карты Mifare.
Править]Mifare SAM
NXP интегрировал поддержку Crypto-1 (наряду с DES, AES) в ряд классических контактных смарткарт с интерфейсом ISO/IEC 7816, которые предлагаются под торговой маркой Mifare SAM. Данные смарткарты позиционируются как безопасные сертифицированные криптопроцессоры для систем с повышенной стойкостью.
Смысл в том что физическая стойкость микроконтроллеров общего применения в считывателях становится много ниже безопасности всех остальных компонентов системы (криптоалгоритмов и физической стойкости меток). Чтобы выровнять ситуацию предлагается использовать Mifare SAM в качестве криптографического сопроцессора в считывателе. Разумеется, сказанное относится только к DES и AES. Crypto-1 в Mifare SAM существует в основном для единообразия применения. Понятно также что в этом качестве можно использовать любую другую контактную смарткарту с DES, AES и соответствующим уровнем защиты.
Легкость замены смарткарт также облегчает и делает безопаснее процедуру замены криптоключей в системе.
Править]Технические подробности
Править]Криптоалгоритм Crypto-1
В картах Mifare Classic используется проприетарный лицензионный криптоалгоритм Crypto-1. Первоначально стойкость алгоритма была основана на его секретности. Алгоритм не разглашался, использовать его можно было только в составе микросхем Philips (позднее NXP). Однако низкая криптостойкость алгоритма и популярность технологии привела к тому что на сегодняшний день алгоритм не является секретом и относительно легко взламывается.[2]
Однако, такая ситуация не привела к падению популярности Mifare или распространению случаев взлома реальных систем.[источник не указан 253 дня] Причина кроется в том что в любой реальной системе аппаратура криптозащиты является лишь последним рубежом обороны, ее прикрывают многочисленные организационные мероприятия. Осознание этого факта привело к всплеску популярности карт Mifare Ultralight которые не имеют вообще никакой криптозащиты (поэтому немного дешевле).
Все современные микросхемы считывателей Mifare фирмы NXP умеют работать с Crypto-1. Однако не все имеют возможность безопасного энергонезависимого хранения ключей. В микросхемы MFRC52x и NFC ключи подгружаются перед каждой транзакцией по незащищенному интерфейсу. Для сравнения, в остальных микросхемах ключ записывается однократно энергонезависимо и не может быть считан снаружи.
Править]Mifare Classic
Править]Многофункциональность карты
· Объем памяти карты составляет 1 или 4 КБ, стандарт EEPROM, батарея питания не требуется.
· Надежно разграниченные между собой 16 или 40 секторов, поддерживающие многофункциональное применение. Каждый сектор имеет свой набор ключей доступа, что позволяет разграничивать доступ к различным приложениям.
· Каждый сектор состоит из 4 блоков (3 информационных и 1 для хранения ключей).
· Блок является самым малым компонентом, к которому адресуется пользователь, и состоит из 16 байт.
· Срок хранения данных в памяти до 10 лет.
· До 100 000 циклов записи.
Править]Типичное время проведения операций
· Идентификация карты — 3 мс (старт, ответ на запрос, антиколлизия, выбор).
· Считывание (16-байтный блок) — 2,5 мс (без аутентификации), 4,5 мс (с аутентификацией).
· Cчитывание + контрольное чтение — мин. 8,5 мс (без аутентификации), мин. 10,5 мс (с аутентификацией).
· Типичная операция по выдаче билета < 100 мс, включая идентификацию карты, чтение шести блоков (768 бит, 2 сектора аутентификации) и запись двумя блоками (256 бит) с дублированием.
· Проведение операции возможно, когда карта находится в движении.
Править]Mifare в России
В России реализуются десятки государственных и частных проектов, основанных на применении Mifare. Практически каждый житель сколько нибудь крупного города имеет карту Mifare.
Наиболее массовое применение — оплата транспортных услуг. Метрополитен использует Classic 1k и Ultralight. Наземный транспорт — Classic 1k. Известны программы выдачи карт социальной защиты пенсионерам и студентам (Classic 1k), например Социальная карта москвича. Новые типы загранпаспортов и некоторые визы используют технологию SmartMX
NTLM
С появлением NT компания Microsoft спроектировала и развернула более надежный протокол аутентификации NTLM. В NTLM используется более эффективный алгоритм аутентификации, который создает более надежный хеш паролей (NTLM hash). Пароль NTLM может содержать до 128 символов. В отличие от хеширования LAN Manager, ограниченного использованием только символов ASCII, NTLM совместим с полным набором символов Unicode, что повышает сложность паролей. NTLM-хеш отсекается на 128-м символе, преобразуется в 16-разрядное значение Unicode, обрабатывается распределительной функцией MD4 и сохраняется в 32-символьной шестнадцатеричной строке. За счет использования NTLM-хеша в операциях запрос—ответ последовательность аутентификации NTLM гораздо сложнее процедуры LAN Manager.
NTLMv2
В итоге выяснилось, что и NTLM уязвим, и специалисты Microsoft подготовили NTLMv2, который до сих пор считается достаточно надежным, хотя сейчас предпочтительный протокол — Kerberos. NTLMv2 по-прежнему широко используется для локальной регистрации и в некоторых других случаях. NTLMv2 похож на NTLM, но в хеше пароля NTLMv2 используется аутентификация сообщений HMAC-MD5, а последовательности запрос—ответ присваивается метка времени, чтобы предотвратить атаки, в ходе которых взломщик записывает учетные данные и впоследствии их использует.
В целом NTLMv2 более устойчив к атакам с применением «грубой силы», нежели NTLM, так как в протоколе применяется 128-разрядный ключ шифрования. Известно только о двух программах взлома паролей (одна из них — LC5 компании Symantec), с помощью которых удавалось открыть хеши паролей NTLMv2.
Протоколы аутентификации для удалённого доступа
Часть протоколов сетевой аутентификации были разработаны специально для обеспечения удаленного доступа к информационным ресурсам посредством открытых каналов связи (к примеру, телефонные линии, Internet). В качестве примера можно привести протоколы PAP, CHAP, EAP, RADIUS, TACACS и другие. В качестве примера кратко рассмотрим работу протокола RADIUS.
TACACS
TACACS (terminal access controller access control system) - собственно
система управления авторизацией и аутентификацией
TACACS - это протокол аутентификации маршрутизаторов Cisco
В данной статье я опишу основные принципы настройки сервера и клиента TACACS+(плюс указывает на версию протокола, которая используется в настоящее время).
TACACS имеет очень широкое применение, т.к. может обеспечивать работу всех
Ciscoк с единым сервером авторизации, который также позволяет устанавливать привилегии различных пользователей в широких пределах, например, давать определённым пользователям доступ только к определённым командам, давать пользователям пользоваться определёнными сервисами только с заданных адресов, организовывать группы пользователей, вести лог-файл доступа пользователей (это особенно важно для маршрутизаторов, т.к. позволяет определить, какие пользователи и сколько пользовались определёнными сетевыми службами: ppp, slip и.т.д.), выполнять для пользователей определённые команды ОС.
Генерация ключевой пары вне устройства
В этом случае пользователь может сделать резервную копию закрытого ключа. Если устройство выйдет из строя, будет потеряно, повреждено или уничтожено, пользователь сможет сохранить тот же закрытый ключ в памяти нового устройства. Это необходимо, если пользователю требуется расшифровать какие-либо данные, сообщения, и т.д., зашифрованные с помощью соответствующего открытого ключа. Однако при этом закрытый ключ пользователя подвергается риску быть похищенным, что означает его компрометацию.