Wydawnictwo Helion
ul. Koœciuszki 1c
44-100 Gliwice
tel. 032 230 98 63
e-mail: helion@helion.pl
PRZYK£ADOWY ROZDZIA£
PRZYK£ADOWY ROZDZIA£
IDZ DO
IDZ DO
ZAMÓW DRUKOWANY KATALOG
ZAMÓW DRUKOWANY KATALOG
KATALOG KSI¥¯EK
KATALOG KSI¥¯EK
TWÓJ KOSZYK
TWÓJ KOSZYK
CENNIK I INFORMACJE
CENNIK I INFORMACJE
ZAMÓW INFORMACJE
O NOWOœCIACH
ZAMÓW INFORMACJE
O NOWOœCIACH
ZAMÓW CENNIK
ZAMÓW CENNIK
CZYTELNIA
CZYTELNIA
FRAGMENTY KSI¥¯EK ONLINE
FRAGMENTY KSI¥¯EK ONLINE
SPIS TREœCI
SPIS TREœCI
DODAJ DO KOSZYKA
DODAJ DO KOSZYKA
KATALOG ONLINE
KATALOG ONLINE
Podstawy ochrony
komputerów
Zadbaj o bezpieczeñstwo swojego komputera
• Poznaj zagro¿enia, na jakie nara¿ony jest komputer
• Naucz siê kontrolowaæ dostêp do komputera
• Stosuj techniki zapewniaj¹ce bezpieczeñstwo w sieci
Czy mój komputer na pewno jest bezpieczny? Wiele osób zadaje sobie to pytanie
dopiero w momencie, kiedy system zaczyna zachowywaæ siê w podejrzany sposób.
Okazuje siê wówczas, ¿e skaner wykrywa dziesi¹tki, a nawet setki wirusów, programy
zaczynaj¹ dzia³aæ nieprawid³owo, a z dysku gin¹ wa¿ne dane. Pó³ biedy, jeœli jest to
tylko domowy komputer z prywatnymi plikami. Du¿o gorsze skutki mo¿e mieæ
w³amanie do firmowej bazy danych lub przechwycenie poufnej komunikacji.
Ksi¹¿ka „Podstawy ochrony komputerów” to wszechstronne wprowadzenie do
najwa¿niejszych zagadnieñ dotycz¹cych bezpieczeñstwa danych i sprzêtu. Czytaj¹c j¹,
poznasz zagro¿enia, jakie czyhaj¹ na u¿ytkowników komputerów, ale tak¿e skuteczne
techniki ochrony. Nauczysz siê kontrolowaæ dostêp do danych, prowadziæ efektywn¹
politykê zabezpieczeñ, wykrywaæ i usuwaæ wirusy oraz zapobiegaæ przenikaniu ich do
systemu. Dowiesz siê, jak zapewniæ bezpieczeñstwo komputera w sieci oraz jak u¿ywaæ
szyfrowania do przesy³ania poufnych informacji. Przeczytasz te¿ o najnowszych
technikach zabezpieczenia bazuj¹cego na danych biometrycznych (wzorze siatkówki
czy odciskach palców) oraz ochronie sieci bezprzewodowych.
• Niebezpieczeñstwa gro¿¹ce u¿ytkownikom komputerów
• Kontrolowanie dostêpu do komputera
• Walka z wirusami
• Prowadzenie skutecznej polityki zabezpieczeñ
• Bezpieczne korzystanie z sieci
• Szyfrowanie poufnych danych
• Komunikacja bez ryzyka
• Zabezpieczenia biometryczne
• Tworzenie bezpiecznych sieci bezprzewodowych
Stosuj skuteczne zabezpieczenia i zapewnij
maksymalne bezpieczeñstwo swojemu komputerowi!
Autorzy: Rick Lehtinen, Deborah Russell, G T Gangemi
T³umaczenie: Julia Szajkowska
ISBN: 978-83-246-0780-8
Tytu³ orygina³u:
Computer Security Basics
Format: B5, stron: 304
3
Spis tre
ļci
Przedmowa .....................................................................................................................7
Cz
ýļë I Bezpieczeħstwo dzisiaj .........................................................................11
1. Wst
ýp .............................................................................................................................13
Nowe zagroĔenie
13
Czym jest bezpieczeþstwo komputera?
19
ZagroĔenia
23
Dlaczego naleĔy kupowaè zabezpieczenia
29
Co ma zrobiè uĔytkownik?
31
Podsumowanie
32
2. Krótka historia zabezpiecze
ħ .......................................................................................33
Informacja i kontrola nad niñ
33
Ochrona komputera — dawniej i dziĈ
35
Wczesne próby ochrony komputerów
38
Krok w stronö standaryzacji
42
Ustawodawstwo i peänomocnictwa dotyczñce ochrony komputerów
48
Podsumowanie
56
Cz
ýļë II Ochrona komputera ............................................................................57
3. Ochrona systemu komputerowego i kontrola dost
ýpu ..............................................59
Po czym poznaè bezpieczny system?
59
Dostöp do systemu — logowanie
60
Podsumowanie
87
4
_ Spis tre
ļci
4. Wirusy i inne przejawy dzikiego
Ŝycia ........................................................................89
Koszty ponoszone w zwiñzku z dziaäaniem szkodliwego oprogramowania
89
Wirusy a zdrowie publiczne
90
Wirusy, robaki i konie trojaþskie (ojej!)
90
Kto pisze wirusy?
100
Remedium
102
Rozdmuchana sprawa wirusów
103
Odrobina profilaktyki
104
Podsumowanie
104
5. Ustanowienie i utrzymanie polityki zabezpiecze
ħ .................................................. 107
Zabezpieczenia administracyjne
108
Ogólnie rozumiane planowanie i administracja
109
Codzienna administracja
114
Podziaä obowiñzków
120
Podsumowanie
121
6. Ataki przez sie
ë i sĥabe punkty internetu .................................................................. 123
Internet
123
Czym sñ protokoäy sieciowe?
127
Delikatna sieè
134
Podsumowanie
143
Cz
ýļë III Zabezpieczenia komunikacyjne ......................................................145
7. Szyfrowanie ................................................................................................................ 147
Odrobina historii
148
Czym jest kodowanie?
150
Standard kodowania danych
161
Inne algorytmy kryptograficzne
171
Uwierzytelnianie wiadomoĈci
176
Rzñdowe programy kryptograficzne
177
Ograniczenia eksportowe
179
Podsumowanie
179
8. Komunikacja i zabezpieczenia sieci ............................................................................181
Kiedy äñcznoĈè jest bezpieczna?
182
Modemy
185
Sieci
186
Ochrona sieci
194
Podsumowanie
206
Spis tre
ļci
_
5
Cz
ýļë IV Inne rodzaje zabezpieczeħ .............................................................207
9. Zabezpieczenia fizyczne i biometryka ......................................................................209
Zabezpieczenia fizyczne
210
Zamki i klucze — wczoraj i dziĈ
213
Biometryka
218
Delikatne przypomnienie
224
Podsumowanie
225
10. Zabezpieczenia sieci bezprzewodowej .....................................................................227
Jak siö tu dostaliĈmy?
227
Infrastruktura bezprzewodowa w dzisiejszych czasach
228
Jak dziaäa sieè bezprzewodowa?
232
Zabawa z polami
235
O co chodzi z tymi decybelami?
239
Dlaczego jest to tak waĔne?
239
Zalecam odbiór zbiorczy
239
Bezprzewodowe ataki w warstwie fizycznej
240
Podsumowanie
251
Cz
ýļë V Dodatki ..............................................................................................253
A Model OSI ....................................................................................................................255
B Tempest .......................................................................................................................259
C Orange Book, FIPS PUBS i Common Criteria ..............................................................265
Skorowidz .................................................................................................................. 289
59
ROZDZIA
Ĥ 3.
Ochrona systemu komputerowego
i kontrola dost
ýpu
Ochrona komputera to pojöcie, które dotyczy zagadnieþ zwiñzanych z zapewnieniem wäa-
Ĉciwego zamkniöcia pomieszczeþ serwerowni i centrali telefonicznej, zabezpieczenia kom-
putera przed niepowoäanym dostöpem, ochrony kont odpowiednio silnymi hasäami, zabez-
pieczania plików i trzymania siö terminów wykonywania kopii zapasowej, która chroni dane
przed unicestwieniem, szyfrowania wiadomoĈci przesyäanych w sieci i wreszcie stosowania
osäon, które zmniejszñ prawdopodobieþstwo przechwycenia danych poprzez odczyt zmian
pola elektromagnetycznego, emitowanego przez urzñdzenia (system TEMPEST). Ale ludzie,
mówiñc o ochronie komputera, majñ z reguäy na myĈli tak zwanñ ochronö systemu kompu-
terowego, co jest synonimem ochrony danych.
Po czym pozna
ë bezpieczny system?
Najbardziej intuicyjna definicja zabezpieczonego systemu komputerowego to stwierdzenie,
Ĕe Twój komputer nie robi niczego, co do niego nie naleĔy — nawet jeĈli uĔytkownicy nie
wypeäniajñ swoich obowiñzków w tym wzglödzie. Bezpieczny system nie gubi danych w nim
zapisanych, nie pozwala na zäoĈliwe lub przypadkowe ich zmienianie ani nie zezwala na od-
czyt i modyfikacje tych danych przez ludzi do tego nieupowaĔnionych.
W jaki sposób dziaäa ochrona systemu? Istniejñ cztery gäówne sposoby zabezpieczania:
Kontrola dost
öpu do systemu
Metody kontroli dostöpu zapewniajñ, Ĕe Ĕaden nieupowaĔniony uĔytkownik nie dostanie
siö do systemu, a takĔe zachöcajñ (lub wröcz zmuszajñ) uprawnionych uĔytkowników do
Ĉwiadomego zwiökszania poziomu zabezpieczeþ — jednym ze sposobów jest regularna
zmiana haseä. Poza tym, system chroni hasäa i zapisuje dane dotyczñce dziaäalnoĈci po-
szczególnych uĔytkowników w systemie, szczególnie jeĈli ich dziaäania wkraczajñ na pole
zabezpieczeþ (na przykäad prowadzi dzienniki wejĈcia do systemu, otwarcia plików, ko-
rzystania ze specjalnych uprawnieþ). Kontrola dostöpu do systemu to serce procesu uwie-
rzytelniania.
60
_
Rozdzia
ĥ 3. Ochrona systemu komputerowego i kontrola dostýpu
Kolejny dziaä obejmuje podstawy zagadnienia kontroli dostöpu. W dodatku C znajduje siö
opis wymogów odpowiedzialnoĈci, jakie zawarte sñ w dokumencie Orange Book. OkreĈlajñ
one metody kontroli dostöpu, wäaĈciwe dla danego poziomu bezpieczeþstwa systemu. Do-
kument Orange Book, choè zostaä juĔ zastñpiony przez kolejny — Common Criteria, nadal jest
waĔnym Ēródäem danych dotyczñcych bezpieczeþstwa.
Kontrola dost
öpu do danych
Zbiór tych metod okreĈla, które osoby majñ mieè dostöp do okreĈlonych danych i jakie
mogñ podejmowaè dziaäania. Innym terminem okreĈlajñcym ten typ kontroli dostöpu jest
autoryzacja, która definiuje uprawnienia uĔytkownika po zakoþczeniu procesu uwierzy-
telniania. System, z którym pracujesz, moĔe obsäugiwaè swobodnñ kontrolö dostöpu
(DAC — przyp. täum.), zezwalajñcñ Ci na okreĈlenie, czy inni uĔytkownicy majñ prawo
odczytywaè lub zmieniaè Twoje dane. OczywiĈcie system moĔe korzystaè z narzuconej
kontroli dostöpu
1
. Wtedy to system okreĈla reguäy dostöpu, bazujñc na poziomach bezpie-
czeþstwa przypisanych poszczególnym uĔytkownikom, plikom i innym elementom sys-
temu. Kontrola dostöpu oparta o role
2
jest systemem hybrydowym, który rozszerza proces
indywidualnej autoryzacji na grupy uĔytkowników.
Zarz
ñdzanie systemem i zabezpieczeniami
Ta grupa metod, niezwiñzanych z pracñ w sieci, w praktyce tworzy lub przeäamuje system
zabezpieczeþ, jasno okreĈlajñc obowiñzki administratora systemu, uczñc jego uĔytkowni-
ków odpowiednich zachowaþ i pilnujñc, aby stosowali siö do polityki ochrony firmy. Do
niej takĔe zaliczamy ogólniej rozumiane zarzñdzanie zabezpieczeniami, jak choèby okre-
Ĉlenie zagroĔeþ, na jakie naraĔony jest Twój system, i kosztu stworzenia systemu, który
Ciö przed nimi uchroni.
Rozdziaä 5. poĈwiöcony zostaä podstawom planowania i administracji ochronñ systemu.
W dodatku C znajdziesz informacje dotyczñce wymagaþ, jakie poszczególnym poziomom
zabezpieczeþ stawia dokumentacja Orange Book.
Projektowanie systemu
Te sposoby zabezpieczeþ korzystajñ z podstawowych moĔliwoĈci, jakie dajñ oprogramo-
wanie i urzñdzenia, których uĔywamy. Przykäadem moĔe tu byè architektura systemu,
dopuszczajñca segmentacjö pamiöci, co pozwala oddzieliè procesy uprzywilejowane od
tych nieuprzywilejowanych.
I chociaĔ dogäöbna analiza projektu bezpiecznego systemu wykracza poza pole tematycz-
ne tej ksiñĔki, w dodatku C wskazaliĈmy podstawowe wymagania Orange Book wobec sys-
temów o róĔnych poziomach zabezpieczeþ.
Dost
ýp do systemu — logowanie
System kontroluje dostöp do swoich zasobów, i jest to pierwszy etap zapewnienia ochrony
komputera. Kto moĔe wejĈè do systemu? Jak system zadecyduje, czy uĔytkownik ma prawo
z niego korzystaè? W jaki sposób wreszcie pilnowaè dziaäania kaĔdego z uĔytkowników?
1
MAC — przyp. täum.
2
RBAC — przyp. täum.
Dost
ýp do systemu — logowanie
_
61
Próba wejĈcia do systemu jest swego rodzaju realizacjñ scenariusza wezwanie-odpowiedĒ. Ty
mówisz systemowi, kim jesteĈ, a on Ĕñda, byĈ potwierdziä swojñ toĔsamoĈè, dostarczajñc mu
informacji, które bödñ odpowiadaè tym zapisanym uprzednio w jego pamiöci. Fachowe okre-
Ĉlenia tego dwustopniowego procesu to identyfikacja i uwierzytelnianie.
Identyfikacja i uwierzytelnianie
Identyfikacja to sposób na poinformowanie systemu, kim jesteĈ. Uwierzytelnianie ma z ko-
lei dowieĈè, Ĕe faktycznie jesteĈ tym, za kogo siö podajesz. W kaĔdym systemie wielodostö-
powym, w którym uĔytkownicy pracujñ w sieci lokalnej, oraz w wiökszoĈci komputerów
osobistych i przenoĈnych musisz dokonaè identyfikacji, a system musi sprawdziè wiarygod-
noĈè Twojej deklaracji, zanim zezwoli Ci na pracö. Istniejñ trzy klasyczne juĔ metody postö-
powania w takim przypadku.
Co wiesz?
Najlepiej znanym z nich jest podanie hasäa. Teoretycznie, jeĔeli znasz tajne hasäo do swo-
jego konta, to jesteĈ jego wäaĈcicielem. W praktyce nie jest to tak proste, poniewaĔ mogäeĈ
udostöpniè komuĈ hasäo albo ukradziono Ci je. JeĔeli gdzieĈ je zapisaäeĈ, istnieje szansa,
Ĕe ktoĈ je przeczytaä. JeĔeli zdradzisz je komuĈ, to ta osoba moĔe przekazaè je dalej. Hasäo
zbyt proste mo
Ĕna äatwo odgadnñè lub zäamaè je.
Co masz?
Przykäadami sñ klucze, tokeny, odznaki i karty magnetyczne, bez których nie masz dostö-
pu do swojego konta. Znów, zgodnie z teoriñ, posiadacz klucza jest jednoznaczny z wäaĈci-
cielem konta. Problemem jest to, Ĕe klucz moĔe zostaè skradziony, czy teĔ moĔesz go po-
Ĕyczyè komuĈ, kto zrobi jego kopiö. Klucze elektroniczne, odznaki i karty magnetyczne sñ
pewnñ formñ uwierzytelniania i pozwalajñ uzyskaè dostöp do budynków i pomieszczeþ
z komputerami. Najbardziej zaawansowane technologicznie tokeny to urzñdzenia, które
stale obliczajñ nowe hasäa, bazujñc na bieĔñcej dacie i korzystajñc z algorytmów zabezpie-
czajñcych. Te same hasäa sñ obliczane przez system. Hasäo uĔytkownika starajñcego siö o do-
stöp do systemu musi zgadzaè siö z hasäem obliczonym przez system.
Kim jeste
Ĉ?
Form
ñ potwierdzenia Twojej toĔsamoĈci majñ byè zachowania i pewne cechy fizjologiczne
— odciski palców, däoni, wzór siatkówki czy töczówki, próbki gäosu, podpis, kolejnoĈè
wciskanych klawiszy. Systemy biometryczne porównujñ Twoje cechy osobnicze z dany-
mi, które majñ zapisane, i na tej podstawie weryfikujñ Twojñ toĔsamoĈè. Czasami poja-
wiajñ siö problemy z niepoprawnñ pozytywnñ i negatywnñ identyfikacjñ; zdarza siö, Ĕe
peänoprawny uĔytkownik zostanie odrzucony, a osoba bez uprawnieþ dopuszczona do
systemu. Istnieje jeszcze jeden powaĔny problem z tym rodzajem uwierzytelniania — lu-
dzie nie czujñ siö swobodnie, stajñc w obliczu wspomnianych metod weryfikacji.
Uwierzytelnianie wielostopniowe
Uwierzytelnianie wielostopniowe to poäñczenie wspomnianych powyĔej metod. W ten spo-
sób, jeĈli osoba zagraĔajñca Twoim danym przedrze siö przez pierwszy stopieþ zabezpieczeþ,
nadal musi pokonaè kolejne. Hasäa sñ nadal zdecydowanie najczöĈciej wybieranñ formñ za-
bezpieczeþ. W wielostopniowym systemie zabezpieczeþ podaniu nazwy uĔytkownika i hasäa
62
_
Rozdzia
ĥ 3. Ochrona systemu komputerowego i kontrola dostýpu
towarzyszyäyby inne formy identyfikacji. W rzeczywistoĈci tokeny i urzñdzenia biometrycz-
ne raczej nie zastöpujñ konwencjonalnych nazw uĔytkownika i haseä, a bardziej sñ do nich
dodatkiem. Wiöcej informacji na ten temat znajduje siö w rozdziale 9.
Proces logowania
WiökszoĈè systemów wymaga od uĔytkownika podania unikatowej nazwy uĔytkownika lub
innego identyfikatora oraz hasäa. Identyfikator to zwykle Twoje imiö, inicjaäy, nazwa dziaäu
lub numer konta (bazujñcy na Twoim imieniu i (lub) grupie zaszeregowania) przypisany
przez administratora systemu. Hasäo skäada siö przewaĔnie z ciñgu liter i (lub) cyfr i powin-
no byè znane tylko Tobie.
Konkretne rozwiñzania uwierzytelniania, oparte o podawanie nazwy uĔytkownika i hasäa,
róĔniñ siö w zaleĔnoĈci od systemu operacyjnego. Jednak zawsze w jego skäad wchodzi przy-
najmniej jedna z podanych poniĔej metod.
Szyfrowanie
MoĔna zaszyfrowaè hasäo tak, aby nikt niepowoäany nie byä wstanie go poznaè, nawet je-
Ĕeli bödzie Ĉledziä transmisjö czy badaä przechowywane dane. Przeciwieþstwem szyfro-
wania jest wysyäanie wiadomoĈci jawnym tekstem. W takim razie hasäo lub inne informacje
sñ wysyäane bez Ĕadnych modyfikacji.
Wyzwanie-odpowied
Ē
Ta metoda wymaga uwierzytelniania na poczñtku transmisji, a Ĕñdanie to jest powtarzane
podczas jej trwania w losowo okreĈlonych odstöpach czasu.
Kolejne dziaäy poĈwiöciäem opisowi kilku modeli tych mechanizmów.
Password Authentication Protocol
Protokóä uwierzytelniania hasäem (PAP) zobowiñzuje uĔytkownika do podania jego nazwy
i hasäa, które sñ nastöpnie porównywane z wartoĈciami zapisanymi w tablicy. Protokóä PAP
w zasadzie nie róĔni siö niczym od klasycznego logowania do systemu Unix. Informacje o haĈle
i nazwie uĔytkownika sñ przekazywane jawnie, bez szyfrowania.
Challenge Handshake Authentication Protocol (CHAP)
Protokóä CHAP jest takim rodzajem uwierzytelniania, w którym urzñdzenie przeprowadzajñce
tö procedurö (zwykle jest to serwer sieciowy) wysyäa programowi klienckiemu numer iden-
tyfikacyjny i losowo wygenerowanñ wartoĈè. Zarówno nadawca, jak i odbiorca majñ wcze-
Ĉniej ustalone tajne hasäo. Klient äñczy to hasäo z wartoĈciñ losowñ (lub zlepkiem liter) i nu-
merem identyfikacyjnym i oblicza na tej podstawie nowñ wartoĈè, korzystajñc z tak zwanej
funkcji mieszajñcej. Tak obliczona wartoĈè jest wysyäana do urzñdzenia uwierzytelniajñcego,
który posiada ten sam äaþcuch znaków i oblicza wartoĈè. Teraz nastöpuje porównanie obu
wartoĈci, i jeĈli sñ one zgodne, program kliencki jest dopuszczany do serwera. Aby zwiökszyè
jeszcze bezpieczeþstwo, urzñdzenie uwierzytelniajñce moĔe dodatkowo wykonywaè okresowo
sprawdzanie typu wyzwanie-odpowiedĒ.
Dost
ýp do systemu — logowanie
_
63
Uwierzytelnianie wzajemne
Uwierzytelnianie wzajemne jest procesem dwustronnym. Klient dokonuje uwierzytelnienia
na serwerze, a serwer „przedstawia siö” klientowi lub stacji roboczej. W ten sposób serwer
sprawdza, czy uĔytkownik korzysta z autoryzowanego stanowiska pracy. JeĈli tak nie jest,
serwer nie zezwala na dostöp. Uwierzytelnianie wzajemne zapobiega atakom maskaradowym,
w których atakujñcy podszywa siö pod uprawnionego uĔytkownika, aby dostaè siö do da-
nych, a takĔe atakom ze spotkaniem w Ĉrodku, w których atakujñcy przedstawia siö serwe-
rowi jako uprawniony uĔytkownik, a uĔytkownikowi jako jego serwer. Majñc juĔ poäñczenie
z obydwoma, czerpie z informacji przesyäanych przez obie strony lub wysyäa im szkodliwe dane.
Has
ĥo jednorazowe
Hasäo jednorazowe (OTP — ang. one-time password — przyp. täum.) jest tak naprawdö odmia-
nñ ukäadu nazwa uĔytkownika-hasäo. W tej formie uwierzytelniania uĔytkownik tworzy so-
bie hasäo, a przy kolejnych próbach potwierdzania toĔsamoĈci uĔytkownika uĔywane sñ jego
wariacje. W ten sposób nigdy nie korzystamy z tego samego hasäa. Nawet jeĈli agresor pozna
nasze hasäo, nie bödzie mógä z niego ponownie skorzystaè.
Uwierzytelnianie przed ka
Ŝdé sesjé
UĔywanie metody, która wymaga od uĔytkownika potwierdzenia swojej toĔsamoĈci przed
kaĔdñ wymianñ informacji, jest nuĔñce, ale jest jednñ z lepszych form ochrony. Jednym ze
sposobów jej realizacji jest zwiökszanie wartoĈci licznika przy kaĔdej transmisji danych. Po-
niewaĔ hasäo ulega ciñgäym zmianom, uĔytkownik jest zabezpieczony przed podsäuchujñcymi
i podglñdajñcymi go osobami niepowoäanymi.
Tokeny
Token jest formñ wzmocnienia ochrony, poniewaĔ dostarcza do naszych zabezpieczeþ war-
stwö „co masz?”. Jest to z reguäy niewielkie urzñdzenie, które dostarcza odpowiedzi na wy-
zwanie rzucone w momencie próby logowania.
Token moĔe byè rozmiarów karty kredytowej i mieè wbudowanñ klawiaturö. Przy próbie
wejĈcia do systemu serwer generuje wyzwanie, liczbö losowñ. UĔytkownik wprowadza jñ do
karty tokenu, a on wyĈwietla odpowiedĒ, którñ naleĔy wprowadziè do systemu. Serwer ma
juĔ obliczonñ swojñ wartoĈè i porównuje jñ z wynikiem otrzymanym przez token. JeĈli liczby
sñ identyczne, to uĔytkownik zostaje uwierzytelniony.
Inne tokeny stosujñ rozwiñzania oparte o aktualny czas. Liczba, którñ wyĈwietlajñ, zmienia
siö w regularnych odstöpach czasu, z reguäy kilka razy w ciñgu godziny. WejĈcie do systemu
nastöpuje po podaniu nazwy uĔytkownika, hasäa i wartoĈci wygenerowanej przez token w danej
chwili. JeĈli odpowiada ono temu wyliczonemu przez system oraz jeĈli konto zostanie uwie-
rzytelnione, uĔytkownik otrzymuje dostöp do danych.
PowaĔnñ wadñ tokenów sñ ich niewielkie rozmiary i stosunkowo wysoka cena. W razie awa-
rii czy zgubienia trzeba bödzie go zastñpiè nowym urzñdzeniem. W zaleĔnoĈci od produ-
centa i jakoĈci wyrobu ceny tokenów utrzymujñ siö w przedziale od 90 do 350 zä za sztukö.
64
_
Rozdzia
ĥ 3. Ochrona systemu komputerowego i kontrola dostýpu
Pewnñ alternatywñ sñ tokeny programowe. Podczas próby podäñczenia siö do systemu uĔyt-
kownik wprowadza swój PIN, dla którego token tworzy hasäo jednorazowe. Kod PIN nigdy
nie jest przesyäany. Token programowy przestaje dziaäaè, jeĈli kilkakrotnie otrzyma niepra-
widäowy kod.
Urz
édzenia biometryczne
Ta klasa urzñdzeþ wykorzystuje indywidualne cechy uĔytkownika, odciski palców, kontur
däoni, wzór siatkówki lub töczówki, próbki gäosu, pisma czy sposób wciskania klawiszy.
UĔywa siö ich, jednak rzadko, jako jednego ze stopni zabezpieczeþ. Ta forma uwierzytelnia-
nia jest najodpowiedniejsza, jeĈli w systemie ochronnym, poza okreĈleniem „co wiesz” i „co
masz”, wprowadzamy warstwö „kim jesteĈ”. Urzñdzenia biometryczne majñ skäonnoĈè do
wykonywania faäszywych identyfikacji pozytywnych (stwierdzajñ, Ĕe jesteĈ kimĈ, kim nie je-
steĈ) lub negatywnych (mówiñ, Ĕe nie jesteĈ tym, kim w rzeczywistoĈci jesteĈ), wiöc wiök-
szoĈè systemów posiada wbudowany wspóäczynnik wiarygodnoĈci, obliczany na podstawie
tych dwóch wartoĈci. Sprzöt tej klasy moĔe sprawdzaè siö doskonale do sprawdzania nazwy
uĔytkownika czy hasäa, wiöc naleĔy siö spodziewaè wzrostu zakresu jego uĔycia. Urzñdzenia
biometryczne opiszö szerzej w rozdziale 9.
Dost
ýp zdalny (TACACS i RADIUS)
Pomimo ciñgäego wzrostu popularnoĈci poäñczeþ szerokopasmowych, takich jak sieci kablo-
we i DSL, dostöp do sieci typu dial-up nadal cieszy siö sporñ popularnoĈciñ. Aby uĔytkownik
zdalny mógä poäñczyè siö z sieciñ, w wielu firmach pojawiajñ siö banki modemów. Takie po-
äñczenia muszñ byè dobrze zabezpieczone i nadzorowane, a uĔytkownikom potrzebne sñ
proste metody uwierzytelniania, Ĕeby szybko mogli dostaè siö do potrzebnych im informacji.
Ale zamiast setek, a nawet tysiöcy potencjalnych klientów, kaĔdy, kto posiada telefon i kom-
puter, staje siö potencjalnym uĔytkownikiem.
Naprzeciw tej potrzebie wychodzñ specjalistyczne systemy uwierzytelniania. Oto dwa spo-
Ĉród nich:
x
Remote Authentication Dial-In User Service (RADIUS).
x
Terminal Access Controller Access Control System (TACACS).
Obsäuga duĔej liczby wejĈè do systemu moĔe skutecznie zablokowaè kaĔdy serwer. Podane
protokoäy potrafiñ przenieĈè procesy uwierzytelniania i autoryzacji z serwera sieciowego na
serwer centralny. Przeciötna sieè w firmie ma serwer dostöpowy poäñczony z pulñ mode-
mów, obsäugujñcych poäñczenia przychodzñce, dla których usäugi uwierzytelniania Ĉwiadczñ
serwery TACACS i RADIUS. UĔytkownik zdalny äñczy siö z serwerem dostöpowym, który
wysyäa Ĕñdanie uwierzytelnienia do jednego z serwerów TACACS lub RADIUS. One doko-
nujñ rozpoznania uĔytkownika i dajñ mu dostöp do wewnötrznych zasobów sieci. UĔytkownicy
zdalni sñ klientami serwerów dostöpowych, a serwery dostöpowe sñ klientami serwera RADIUS.
Poza uwierzytelnianiem uĔytkownika, oba serwery mogñ Ĉledziè jego poczynania, sprawdzaè
czas trwania sesji, protokoäy i porty, z jakich korzystaä uĔytkownik podczas niej, adresy, z jakimi
siö äñczyä, a nawet przyczynö przerwania sesji. Opisane serwery tworzñ dzienniki aktywnoĈci
w sieci, wiöc moĔna bez problemu sprawdziè, kto otwieraä poszczególne sesje. Wszystkie
potrzebne informacje dotyczñce sesji moĔna przedstawiè w formie arkusza i dokäadnie zba-
daè. To wszystko sprawia, Ĕe czösto procesy uwierzytelniania i autoryzacji sñ przekazywane
do serwerów TACACS i RADIUS.
Dost
ýp do systemu — logowanie
_
65
Dokumentacja TACACS jest dostöpna w RFC 1492. RADIUS jest opisany w RFC 2139 (RADIUS
Accounting
, kwiecieþ 1997) i RFC2865 (Remote Authentication Dial-In User Service (RADIUS),
czerwiec 2000).
DIAMETER
DIAMETER to protokóä, który dokonuje uwierzytelnienia uĔytkowników äñczñcych siö przez
liniö telefonicznñ oraz dokonuje ich autoryzacji i pozwala rozliczaè zasoby sieciowe. Protokóä
DIAMETER wywodzi siö ze wspomnianego wczeĈniej protokoäu RADIUS, który miaä ograni-
czenia co do sposobu poäñczenia. RADIUS pracowaä tylko z protokoäami modemowymi, ta-
kimi jak SLIP (ang. Serial Line Interface Protocol) i PPP (ang. Point to Point Protocol). Dawniej wy-
starczaäo to w zupeänoĈci; dziĈ uĔytkownicy korzystajñ z telefonów komórkowych, które mogñ
äñczyè siö z internetem
3
, oraz z palmtopów i innych urzñdzeþ kieszonkowych, które obsäugujñ
róĔne protokoäy. Stñd wyniknöäa potrzeba wprowadzenia bardziej elastycznego narzödzia.
Protokóä DIAMETER wprowadza nowe moĔliwoĈci do protokoäu RADIUS — teraz moĔna
prosiè o dodatkowe informacje dotyczñce logowania, wykraczajñce poza podstawowe uwie-
rzytelnianie. DIAMETER, poza przeprowadzeniem standardowej weryfikacji nazwy uĔyt-
kownika i hasäa, prosi o udzielenie dodatkowych informacji, które wspomagajñ proces uwie-
rzytelniania albo dajñ uĔytkownikowi dostöp do innych czöĈci systemu.
Ten protokóä obsäuguje wymienione poniĔej rozszerzenia usäug sieciowych:
Operacje roamingowe
(ROAMOPS — Roaming Operations)
To procedury, mechanizmy i protokoäy, które zapewniajñ przeäñczanie uĔytkownika po-
miödzy poszczególnymi grupami dostawców usäug internetowych (ISP — ang. Internet
Service Provider
). Operacje o zasiögu globalnym, które wykonywane sñ z jednego konta,
powinny opieraè siö o aplikacje obsäugujñce roaming.
Wymagania serwera dost
öpowego
(NASREQ — Network Access Server Requirements)
Jest to rozszerzenie serwera dostöpowego, pozwalajñce mu obsäugiwaè nie tylko zwykäe
poäñczenia typu dial-up, ale równieĔ dostöp do prywatnych sieci wirtualnych (VPN —
ang. Virtual Private Network), oraz poprawiajñce jakoĈè uwierzytelniania i przeäñczania miödzy
sieciami (roamingu).
Routing adresu IP w
özäów bezprzewodowych i przenoĈnych
(MobileIP — IP Routing for Wireless/Mobile
Hosts
)
Rozwój jakĔe potrzebnej usäugi routingu pozwala przeäñczaè adresy IP dziöki IPv4 (ang.
Internet Protocol ver. 4
— przyp. täum.) lub IPv6 (ang. Internet Protocol ver. 6 — przyp. täum.)
miödzy podsieciami i róĔnymi noĈnikami.
Protokóä DIAMETER zostaä opisany w wersjach roboczych standardów IETF (ang. Internet
Engineering Task Force
):
RFC 3589: Kody sterujñce w protokole Diameter dla 3GPP, wersja 5, wrzesieþ 2003 (ang.
Diameter Command Codes for 3GPP Release 5
).
RFC 3588: Protokóä Diameter, wrzesieþ 2003 (ang. Diameter Based Protocol).
RFC 2486: Identyfikator dostöpu do sieci, styczeþ 1999 (ang. Network Access Identifier).
RFC 2607: ãñczenie serwerów proxy i polityka roamingu, czerwiec 1999 (ang. Proxy Chaining
and Policy in Roaming
).
3
Ang. smart phone — przyp. täum.
66
_
Rozdzia
ĥ 3. Ochrona systemu komputerowego i kontrola dostýpu
Kerberos
W 1980 roku w Massachusetts Institute of Technology (MIT) powstaä jeden z najwaĔniejszych i naj-
bardziej zäoĔonych schematów uwierzytelniania, który nazwano Kerberos. Dziöki niemu
moĔna bezpiecznie przesyäaè dane w tak niebezpiecznym oĈrodku, jakim jest internet. Nazwano
go na czeĈè mitologicznego, trójgäowego psa, strzegñcego bram Hadesu — Cerbera. Proces
wejĈcia do systemu przebiega w trzech etapach:
1.
UĔytkownik dostarcza nazwy i hasäa. ēñdanie uzyskania dostöpu do systemu zostaje
przesäane do serwera uwierzytelniania (AS — authentication server), który dokonuje
weryfikacji toĔsamoĈci uĔytkownika. Kiedy serwer odbiera to Ĕñdanie, automatycznie
tworzy klucz w dwóch kopiach, tzw. klucz sesji. Klucze sesji säuĔñ do wymiany infor-
macji miödzy uĔytkownikiem a zasobem, do którego próbuje on otrzymaè dostöp.
Jedna kopia klucza sesji jest szyfrowana kluczem, który przechowuje uĔytkownik. Drugñ
koduje siö przy pomocy klucza przechowywanego przez serwer. Klucz serwera nazy-
wamy biletem. Serwer AS wysyäa bilet razem z kluczem uĔytkownika z powrotem do
uĔytkownika, który otwiera jednñ z kopii hasäem, jakim jest jego wäasny klucz. W ten
sposób otrzymuje klucz sesji, po czym moĔe sprawdziè jego poprawnoĈè. UĔytkownik
ma dostöp jedynie do kopii zaszyfrowanej wäasnym kluczem. Druga zostaäa przecieĔ za-
bezpieczona kluczem serwera.
2.
Teraz uĔytkownik tworzy kolejnñ wiadomoĈè, tzw. wartoĈè uwierzytelniajñcñ, do której
dodaje aktualnñ godzinö i tworzy sumö kontrolnñ tego wyraĔenia. Suma kontrolna to
forma matematycznej weryfikacji dokonywana na serii znaków. Znaki sñ do siebie do-
dawane i äñczone w szereg. Kolejni uĔytkownicy powtarzajñ proces obliczania sumy
kontrolnej i porównujñ otrzymany wynik z pierwotnñ wartoĈciñ. JeĈli sumy sñ róĔne,
oznacza to, Ĕe niektóre znaki ulegäy zmianie podczas przechowywania lub transmisji,
wiöc na wszelki wypadek odrzuca siö caäoĈè danych. UĔytkownik koduje sumö kluczem
sesji wysyäa bilet i wartoĈè uwierzytelniajñcñ na serwer, który ma dostarczyè mu Ĕñda-
nych zasobów.
3.
Serwer odbiera obie zaszyfrowane kopie klucza sesji, korzysta z biletu (klucza serwero-
wego) do otwarcia kopii nim zaszyfrowanej, wypakowuje klucz sesji i sprawdza, czy po-
chodzi on od uĔytkownika, oceniajñc to na podstawie obecnoĈci klucza uĔytkownika.
Druga wiadomoĈè jest otwierana kluczem sesji. Teraz serwer dokonuje porównania
oznaczenia czasu i sumy kontrolnej z bieĔñcym czasem. W ten sposób oceniana jest spój-
noĈè odpowiedzi i jej autor. JeĈli wszystkie wartoĈci sñ poprawne, uĔytkownik otrzymuje
prawo dostöpu do serwera.
Proste, prawda? W rzeczywistoĈci system Kerberos jest trochö bardziej skomplikowany, ale
ogólnie powyĔsze wyjaĈnienia zamykajñ temat. Kerberos jest odpowiedziñ na rozwój tech-
nologii. WiökszoĈè sieci skupiaäo siö na zagadnieniu komunikacji, pomijajñc kwestie bezpie-
czeþstwa. WiökszoĈè danych byäa przesyäana jawnie. Pojawienie siö narzödzi takich jak pakiety
daäo operatorom moĔliwoĈè obserwacji kaĔdego bitu nieszyfrowanych danych, jaki przepäywaä
po äñczach, co byäo niedopuszczalne. Kerberos stara siö rozwiñzaè ten problem, dajñc nam do
röki potöĔne narzödzie szyfrujñce i pewne uwierzytelnianie. Pomimo swojej zäoĔonoĈci staä
siö wzorem, wedäug którego powstawaäy kolejne rozwiñzania z tej dziedziny.
Rzetelnych informacji na temat systemu Kerberos dostarczajñ strona internetowa instytutu MIT
(http://web.mit.edu/kerberos/www/) oraz Ēródäa RFC organizacji IETF (http://www.ietf.org/rfc/
´
rfc1510.txt
).
Dost
ýp do systemu — logowanie
_
67
Has
ĥa
Pomimo istnienia szerokiej gamy zabezpieczeþ nadal najwiökszñ popularnoĈciñ cieszy siö
uwierzytelnianie hasäem i nazwñ uĔytkownika, które pojawia siö w wiökszoĈci systemów
Unix, Linux i Windows. Na przykäad Unix wyĈwietla zgäoszenie:
login:
po czym oczekuje imienia, nazwiska lub ustalonej wczeĈniej kombinacji ich obu, na przykäad
inicjaäu imienia, po którym nastñpi maksymalnie siedem liter nazwiska czy innego, dowol-
nego identyfikatora, którym Ciö obdarzono.
Po podaniu nazwy uĔytkownika jesteĈ proszony o wpisanie hasäa:
Password:
Wpisujesz hasäo (które najczöĈciej w Ĕaden sposób nie jest przedstawiane na ekranie, chyba
Ĕe w postaci szeregu gwiazdek, których liczba moĔe, ale nie musi odpowiadaè liczbie zna-
ków hasäa). System sprawdza Twojñ toĔsamoĈè na podstawie wprowadzonych danych. Praca
z systemem stanie siö moĔliwa dopiero wtedy, kiedy hasäo bödzie odpowiadaäo przechowy-
wanemu przez system.
Wskazówki dotycz
éce ochrony hasĥa
OdpowiedzialnoĈè za zapewnienie wäaĈciwej ochrony hasäa spoczywa zarówno na admini-
stratorze sieci, jak i na uĔytkowniku. Pamiötaj, zabezpieczenie hasäa leĔy w interesie wszyst-
kich. Osoba niepowoäana, która pozna Twoje hasäo, moĔe zniszczyè Twoje pliki, ale równieĔ
zagroziè pozostaäym danym w systemie.
x Nie zezwalaj na dostöp do systemu niezabezpieczony hasäem. JeĈli jesteĈ admini-
stratorem systemu, upewnij siö, Ĕe kaĔdemu kontu odpowiada hasäo.
x Nie zachowuj domyĈlnych haseä systemowych. Zmieniaj wszystkie hasäa testowe,
instalacyjne oraz goĈci — na przykäad root, system, test, demo i guest — zanim ze-
zwolisz innym uĔytkownikom na pracö w nim.
x Nigdy nie ujawniaj nikomu swojego hasäa. JeĈli nie bödziesz miaä wyjĈcia, bo na
przykäad bödziesz w domu, a ktoĈ w pracy musi z niego skorzystaè, zmieþ je po-
tem tak szybko, jak bödzie to moĔliwe, albo poproĈ administratora o utworzenie
nowego, zanim nie zmienisz swojego.
x Nie zapisuj nigdzie haseä, a szczególnie nie w pobliĔu komputera, terminalu czy
swojego biurka. JeĈli je zanotujesz, nie pisz przy nim, Ĕe to hasäo. Najlepiej dodaj
do niego, na poczñtku lub koþcu, kilka zbödnych znaków, a obok zapisz kilka in-
nych potencjalnych haseä. Dobrym pomysäem jest zapisanie go od koþca.
x Nie wpisuj hasäa, gdy ktoĈ patrzy.
x Nie zapisuj hasäa w sieci ani nie wysyäaj go pocztñ elektronicznñ. Cliff Stool w swojej
ksiñĔce The Cuckoo's Egg opisuje, jak napastnik przeszukaä wiadomoĈci jego poczty
pod kontem säowa „hasäo”.
x Nie uĔywaj ciñgle tego samego hasäa. Nawet jeĈli nic mu nie zagraĔa, zmieniaj je
regularnie.
Sieè USENET podaje bardzo dobre przysäowie na tö okazjö: „Hasäo powinno byè jak szczoteczka
do zöbów. Korzystaj z niego codziennie, zmieniaj regularnie i nie dziel siö nim z przyjacióämi”.
68
_
Rozdzia
ĥ 3. Ochrona systemu komputerowego i kontrola dostýpu
Hasäa stanowiñ pierwszñ liniö zabezpieczeþ przed atakiem. Aby chroniè swój system i dane,
musisz wybraè sobie odpowiednio silne hasäa i chroniè je skutecznie.
Wszystkie powyĔsze uwagi tyczñ siö komputera, na którym pracuje tylko jedna osoba. JeĈli
z komputera korzysta wielu uĔytkowników, na przykäad pracownicy na róĔnych zmianach
albo kierownicy, którzy posiadajñ wäasne konta na Twoim sprzöcie, dziöki czemu mogñ wspo-
magaè wäaĈciwe jego utrzymanie, to kaĔde z tych haseä jest naraĔone na atak.
Wskazówki dotycz
éce wyboru hasĥa
JeĈli masz moĔliwoĈè samodzielnie ustaliè swoje hasäo, wybierz takie, które nieäatwo bödzie
odgadnñè. Oto kilka rad:
x Wybieraj hasäa, które nie sñ säowami (w Ĕadnym z jözyków) czy imionami (szcze-
gólnie Twoimi ani naleĔñcymi do postaci fikcyjnych, jak Hamlet czy Gandalf, ani
teĔ czäonków Twojej rodziny lub zwierzaków).
x Buduj hasäa zäoĔone ze zlepków liter i cyfr. Nigdy nie uĔywaj hasäa zäoĔonego z sa-
mych cyfr (szczególnie unikaj numeru telefonu czy numeru PESEL).
x Wybieraj däugie hasäa. JeĈli hasäo ma tylko kilka znaków, atakujñcy z äatwoĈciñ
sprawdzi wszystkie kombinacje. WiökszoĈè systemów wymaga haseä o däugoĈci
przynajmniej od 6 do 8 znaków. Niektóre z nich dopuszczajñ uĔycie haseä däugich
nawet na 40 znaków.
x Stosuj róĔne hasäa dla kaĔdej maszyny i wözäa dostöpowego, z którymi pracujesz.
x Wprowadzenie do hasäa znaków specjalnych, czyli & lub $ oraz innych, zwiöksza
poziom bezpieczeþstwa hasäa, poniewaĔ atakujñcy ma do wyboru wiökszñ liczbö
znaków. UwaĔaj jednak z uĔyciem cyfr, które przypominajñ litery, poniewaĔ agre-
sor doskonale zna te nawyki. Z tego samego powodu omijaj mowö 31337
4
. Do-
wiedz siö od administratora, których znaków wolno Ci uĔywaè.
Najlepsze hasäa skäadajñ siö z wielkich i maäych liter, znaków specjalnych i cyfr. Hasäo wcale
nie musi byè bezsensowne. Hasäa bez znaczenia sñ czösto zapisywane, co niszczy efekt sta-
rannego dobrania znaków je tworzñcych. Znów podsuwamy kilka pomysäów:
x
ãñcz krótkie säowa ze znakami specjalnymi i cyframi, na przykäad
Mam3psa
.
x UĔywaj akronimów zdaþ, które zapamiötasz. Wybieraj zdania, których nie bödzie
moĔna rozpoznaè. Prostym przykäadem jest: „O nie, zapomniaäem tego zrobiè”,
czyli
Onztz
.
x Zwiöksz bezpieczeþstwo, dodajñc kilka znaków specjalnych lub cyfr:
:Onz;tz
czy
On5zt0z
.
x Wybierz bezsensowne säowo, które jednak da siö wymówiè, na przykäad
8Bektag
czy
szmoaz12
.
4
Hack mowa — wbrew nazwie nie jest to Ĕargon uĔywany przez hakerów, ale oparty na jözyku angielskim
slang rozpowszechniony na róĔnego rodzaju chatach sieciowych, IRC, forach — popularny takĔe wĈród na-
stoletnich wäamywaczy komputerowych, krakerów oprogramowania, piratów softwarowych i fanów FPS.
W Ĕargonie tym säowa zapisuje siö przy pomocy cyfr i innych kodów ASCII (np. 1337 zamiast leet wyma-
wiane jak el eat, tj. elite), fonetycznie, wykorzystujñc brzmienie zbliĔone do angielskich säów (np. „b”, czy-
tane jak nazwa litery zamiast angielskiego czasownika be — byè), opuszczajñc niewymawiane litery, robiñc
celowe bäödy typograficzne (np. „pr0n” zamiast „porn”) i zapisujñc angielskñ liczbö mnogñ z literñ „z” za-
miast „s” — przyp. täum.
Dost
ýp do systemu — logowanie
_
69
Ochrona hase
ĥ
Decyzje dotyczñce dostöpu to serce systemu zabezpieczeþ, a sñ one podejmowane na pod-
stawie podawanych haseä. Dlatego tak waĔne jest, by system chroniä swoje hasäa i pozostaäe
informacje dotyczñce logowania.
WiökszoĈè administratorów chroni hasäa na trzy podstawowe sposoby: wybierajñ maäo oczywi-
ste hasäa, sprawiajñ, Ĕe ciöĔko jest zäamaè obsäugö logowania, i bardzo mocno ochraniajñ plik,
w którym hasäa sñ przechowywane.
Tworzenie haseä niebanalnych wymaga odrobiny praktyki i okazjonalnego sprawdzania, czy
system jest odporny na zwykäy atak säownikowy. Takie testowanie pozwala wykryè uĔytkowni-
ków, których hasäa sñ zbyt proste do odgadniöcia.
Ochrona haseä przed kradzieĔñ wymaga ukrycia pliku, w którym sñ przechowywane, a cza-
sami wykonania jednokierunkowego szyfrowania, tzw. skrótu wiadomoĈci lub mieszania,
które przechowuje hasäa w utajnionej postaci.
Ochrona nazwy u
Ŝytkownika i hasĥa podczas wejļcia do systemu
WiökszoĈè dostawców oferuje caäy zastöp metod obsäugi logowania i zarzñdzania hasäami,
które moĔna dowolnie äñczyè, aby zapewniè maksymalnñ ochronö dla systemu. PoniewaĔ sñ
to przydatne usäugi, które w dodatku äatwo wprowadziè do systemu, czösto sñ juĔ w niego
wbudowane. Tabela 3.1 zawiera krótkie zestawienie takich cech.
Tabela 3.1. Przyk
äadowe elementy obsäugi uwierzytelniania nazwa uĔytkownika-hasäo
Cecha
Znaczenie
Komunikaty systemowe
Wi
ýkszoļë systemów wyļwietla banery przed i (lub) po udanym wejļciu do systemu.
Dawniej banery mia
ĥy postaë przyjaznych identyfikatorów, ale liczne sprawy sédowe ukazaĥy
nierozwa
Ŝnoļë tych dziaĥaħ. Niektóre systemy pozwalajé administratorowi zablokowaë tego
typu wiadomo
ļci, gdyŜ mogé one uĥatwië obserwatorowi rozpoznanie systemu, do którego
loguje si
ý uŜytkownik. Jeļli atakujécy poĥéczy siý przez protokóĥ telnet i zorientuje siý, Ŝe ma
do czynienia z systemem Solaris, b
ýdzie to dla niego bardzo cenné wskazówké.
Ograniczona liczba prób
Po danej liczbie nieudanych logowa
ħ (któré okreļla administrator systemu), system blokuje
Ci dost
ýp do danych z danego terminala. Niektóre systemy wykonujé tý operacjý, nie
informuj
éc Ciý o tym. Pisane obecnie agresywne skrypty obchodzé to zabezpieczenie,
próbuj
éc otworzyë kilka sesji naraz.
Ograniczony czas dost
ýpu
Mo
Ŝna ograniczyë uprawnienia niektórych uŜytkowników lub stanowisk pracy, tak aby
logowanie z nich by
ĥo moŜliwe tylko w godzinach pracy biura.
Zwi
ýkszenie czasu pomiýdzy
kolejnymi nieudanymi próbami
logowania
Kolejne nieudane logowania do systemu oddzielane s
é od siebie coraz dĥuŜszymi odstýpami
czasu. Po pierwszej próbie system potrzebuje jednej sekundy na ponowne uruchomienie, po
drugiej próbie zabiera mu to ju
Ŝ dwie sekundy, po trzeciej — cztery, po czwartej — osiem. To
zapobiega powtarzaj
écym siý atakom na zasadzie peĥnego przeglédu wszystkich kombinacji.
Komunikat ostatniego logowania
Kiedy wchodzisz do systemu, mo
Ŝe on wyļwietlië informacje o dacie i godzinie ostatniego
logowania. Wiele systemów informuje równie
Ŝ o liczbie nieudanych prób logowania od czasu
poprzedniej udanej próby. Dzi
ýki temu wiesz, czy ktoļ inny próbowaĥ dostaë siý do Twojego
konta, na przyk
ĥad moŜesz w ten sposób wychwycië próbý, która miaĥa miejsce w ļrodku
nocy, albo seri
ý powtarzajécych siý podejrzanych prób logowania. Jeļli nie rozpoznajesz
w nich swojej dzia
ĥalnoļci, natychmiast powiadom o nich administratora.
70
_
Rozdzia
ĥ 3. Ochrona systemu komputerowego i kontrola dostýpu
Tabela 3.1. Przyk
äadowe elementy obsäugi uwierzytelniania nazwa uĔytkownika-hasäo — ciñg dalszy
Cecha
Znaczenie
Has
ĥa zmieniane
przez u
Ŝytkownika
W wielu systemach u
Ŝytkownik moŜe zmieniaë hasĥo dowolné liczbý razy, po pierwotnym
utworzeniu go przez administratora. Mo
Ŝe wrýcz istnieë obowiézek zmieniania go po
up
ĥywie okreļlonego czasu.
Has
ĥa generowane przez system
Niektóre systemy wymagaj
é korzystania z haseĥ generowanych automatycznie przez system,
nie polegaj
éc na pomysĥowoļci uŜytkownika. Czasami udostýpniajé listý haseĥ do wyboru,
wi
ýc moŜesz zdecydowaë siý na takie, które býdzie Ci ĥatwo zapamiýtaë. Niestety hasĥa
tworzone przez system s
é czýsto tak trudne do zapamiýtania, Ŝe uŜytkownicy nagminnie je
zapisuj
é. Inne niebezpieczeħstwo grozi ze strony ujawnienia algorytmu szyfrujécego.
W takim razie ca
ĥy Twój system býdzie naraŜony na niebezpieczeħstwo.
Starzenie si
ý i wygasanie hasĥa
Po up
ĥywie okreļlonego czasu — na przykĥad na koniec kaŜdego miesiéca — hasĥo moŜe
straci
ë swojé waŜnoļë. PrzewaŜnie nowe hasĥa muszé byë inne niŜ wszystkie poprzednie.
System powinien wys
ĥaë odpowiedni komunikat, zanim zaŜéda zmiany hasĥa, poniewaŜ
szybki wybór has
ĥa sprawia, Ŝe z reguĥy jest ono sĥabe. Niektóre systemy dopuszczajé
ingerencj
ý administratora, jeļli zostané naruszone zasady bezpieczeħstwa, na przykĥad
poprzez natychmiastowe usuni
ýcie waŜnoļci hasĥa. Przez jakiļ czas system moŜe
przechowa
ë informacje o starych hasĥach, aby uniknéë ich powtarzania.
Minimalna d
ĥugoļë
Krótkie has
ĥa sé ĥatwiejsze do odgadniýcia, zatem niektóre systemy wymagajé haseĥ
o minimalnej d
ĥugoļci, z reguĥy szeļciu bédŚ oļmiu znaków, ale im hasĥo jest dĥuŜsze,
tym lepiej.
Blokowanie kont
Wprowadzenie ograniczenia daje administratorowi mo
Ŝliwoļë zablokowania dostýpu
do systemu niektórym u
Ŝytkownikom albo zamkniýcia kont, które nie byĥy uŜywane
przez okre
ļlony czas.
Bezpieczne przechowywanie has
ĥa
KaĔdy system musi gdzieĈ przechowywaè dane niezbödne do uwierzytelniania uĔytkowni-
ków. Z reguäy poprawne hasäa znajdujñ siö w specjalnym pliku z hasäami. Dostöp do tego
pliku jest moĔliwy tylko w ĈciĈle okreĈlonych warunkach — podczas rejestracji nowego
uĔytkownika, podczas zmiany istniejñcego hasäa oraz w trakcie procesu uwierzytelniania.
Nawet administrator nie ma dostöpu do przechowywanych haseä, co jest formñ ochrony przed
dostaniem siö do pliku osób niepowoäanych czy pojawieniem siö w nim uszkodzonych bñdĒ
zagroĔonych ujawnieniem haseä. MoĔe on co najwyĔej zmieniè hasäo na jakñĈ wartoĈè przej-
Ĉciowñ, jak „let-mein” czy „haslo”, i Ĕñdaè od uĔytkownika, aby przy kolejnym logowaniu
zmieniä je na wäasne.
Ochrona haseä jest jednym z najwaĔniejszych elementów systemu zabezpieczeþ. Aby chroniè
plik, w którym hasäa sñ zapisane, system z reguäy korzysta zarówno z szyfrowania danych,
jak równieĔ kontroluje dostöp do danych.
Szyfrowanie
WiökszoĈè systemów koduje dane przechowywane w systemowym pliku z hasäami. Pro-
ces szyfrowania (opisany dokäadniej w rozdziale 7.) przeksztaäca pierwotnñ informacjö do
postaci przypadkowo zlepionych znaków. Szyfrowanie gwarantuje, Ĕe nawet w sytuacji,
w której intruz przeäamie zabezpieczenia systemu, nie bödzie w stanie poznaè haseä; bödñ
dla niego niezrozumiaäym poäñczeniem znaków.
WiökszoĈè systemów korzysta z jednokierunkowego kodowania. Oznacza to tyle, Ĕe ha-
säo nigdy nie powinno zostaè odkodowane. Hasäo dostarczone Ci przez administratora
zostaje zaszyfrowane jeszcze przed umieszczeniem go w pliku haseä. Jego pierwotna postaè
Dost
ýp do systemu — logowanie
_
71
nie jest nigdzie zapisana, nawet w pamiöci. Podczas kaĔdego logowania i wpisywania
hasäa system dokonuje jego zaszyfrowania i w tej formie porównuje je z równieĔ zaszy-
frowanñ wersjñ z pliku z hasäami. Pamiötaj teĔ, Ĕe hasäo nigdy nie pojawia siö na ekranie
monitora.
Kontrola dost
öpu
OczywiĈcie uparty przeciwnik zdoäa w koþcu zäamaè szyfr naszych haseä. Wiele systemów
przechowuje hasäa w tak zwanych plikach shadow password. Sñ to pliki o najwyĔszym
stopniu zabezpieczeþ, do których dostöp majñ jedynie administratorzy, poniewaĔ w ACL
kaĔdego pliku podane sñ identyfikatory naleĔñce wyäñcznie do nich. (RozwaĔania doty-
czñce ACL znajdujñ siö w czöĈci „Kontrola dostöpu w praktyce”).
Ataki na has
ĥa
Istniejñ dwa podstawowe sposoby äamania haseä. Pierwszy sprowadza siö do sprawdzenia
wszystkich moĔliwych kombinacji znaków za pomocñ kolejnych pojedynczych prób logowania
(jest to tak zwany atak na zasadzie peänego przeglñdu). OczywiĈcie, jak wszystko inne w Ĉwie-
cie komputerów, i ten proces zostaä zautomatyzowany. Krakerzy uĔywajñ komputerów, które
próbujñ za nich odgadnñè hasäa. Teoretycznie im däuĔsze jest hasäo, tym wiöcej czasu musi
upäynñè, zanim zostanie ono zäamane. Na przykäad, aby znaleĒè hasäo zbudowane z oĈmiu
losowo wybranych znaków, trzeba najpierw sprawdziè 2,8 tryliona kombinacji. To zadanie
na kilka tygodni, nawet dla szybkich komputerów.
Drugñ metodñ jest tak zwany atak säownikowy. Jest on skuteczny, poniewaĔ wiökszoĈè
uĔytkowników nie korzysta z losowo wybranych haseä, ani nawet z takich, które sñ znoĈnie
bezpieczne. Przeciötny uĔytkownik wybiera Ĉmiesznie proste hasäa — swoje inicjaäy, imiona
dzieci, numery rejestracyjne samochodu itp. Badania wykazujñ, Ĕe znaczny odsetek haseä
wybieranych przez uĔytkowników komputera moĔna odgadnñè bez trudu. Krakerzy, majñc
do pomocy internetowe säowniki i spisy (ortograficzne, imion, zwierzñt, samochodów, posta-
ci ksiñĔkowych i filmowych, miejsc i wiele innych), sñ w stanie w doĈè äatwy sposób odgad-
nñè wiökszoĈè haseä wybieranych przez ludzi. Ale jeĈli rozsñdnie wybierzesz swoje hasäo (zo-
bacz ramkö „Wskazówki dotyczñce wybierania haseä”), atakujñcy nie powinien go odgadnñè,
nawet jeĈli korzysta ze säownika.
Autoryzacja
Po zakoþczeniu procesu uwierzytelniania system uĔywa Twojego identyfikatora (i informacji
dotyczñcych zabezpieczeþ z nim zwiñzanych), aby okreĈliè, czy masz prawo pracowaè na
danym komputerze bñdĒ w sieci. Proces okreĈlania Twoich uprawnieþ nazywa siö autoryzacjñ.
Na przykäad, jeĈli próbujesz dokonywaè zmian w waĔnym pliku, system najpierw sprawdzi
listö identyfikatorów osób uprawnionych do odczytu i zapisu danych w takim pliku i zwery-
fikuje, czy Twój identyfikator siö na niej znajduje. Dostöp do pliku otrzymasz jedynie wtedy,
gdy Twój identyfikator tam widnieje.
Systemy zazwyczaj przechowujñ plik, w którym zapisujñ uprawnienia poszczególnych uĔyt-
kowników i ich charakterystykö. W zaleĔnoĈci od systemu, taki plik nazywa siö profilem za-
bezpieczeþ, profilem uwierzytelniania lub listñ uĔytkowników. Twój profil zawiera informa-
cje o uprawnieniach, jakie posiadasz (na przykäad TAJNE), mówi, czy wolno Ci zmieniaè
72
_
Rozdzia
ĥ 3. Ochrona systemu komputerowego i kontrola dostýpu
wäasne hasäo, logowaè siö w dni wolne od pracy, czy moĔesz uruchamiaè programy robiñce
kopie zapasowe i inne uprzywilejowane aplikacje itp. Istniejñ sytuacje, w których profil jest
tym samym plikiem, co lista haseä; informacje mogñ byè teĔ przechowywane z dala od haseä.
Zawsze jednak system chroni je, bo kaĔde zagroĔenie moĔe negatywnie odbiè siö na bezpie-
czeþstwie caäego systemu.
Jednñ z najwaĔniejszych informacji zawartych w profilu uwierzytelniania i liĈcie uĔytkowni-
ków jest typ uĔytkownika. WiökszoĈè systemów obsäuguje szereg kategorii uĔytkowników
czy tak zwanych ról. Zwykle wystöpujñ wĈród nich: zwykäy uĔytkownik, administrator sys-
temu i jego operator. Systemy o podwyĔszonym stopniu zabezpieczeþ definiujñ dodatkowo
oficera bezpieczeþstwa. KaĔda kategoria uĔytkowników charakteryzuje siö swoimi przywi-
lejami i obowiñzkami — dotyczy to na przykäad programów, które dany uĔytkownik moĔe
uruchamiaè. I tak, administrator systemu moĔe robiè w zasadzie wszystko, äñcznie z omija-
niem, zmienianiem wymogów zabezpieczeþ czy tworzeniem nowych, faäszywych kont na
uĔytek atakujñcych system. (Mocñ administratora jest jego szczególne uprawnienie w kwestii
zabezpieczeþ; odsyäam do opisu narzödzi administracyjnych i najmniejszego przywileju w roz-
dziale 5.).
Etykiety poufno
ļci
Wszystkie elementy systemu, który dziaäa w oparciu o narzuconñ kontrolö dostöpu, pod-
mioty i obiekty, posiadajñ przypisanñ im etykietö poufnoĈci. Skäada siö ona z dwóch czöĈci:
klasyfikacji i zestawu kategorii, nazywanych czasami przedziaäami. Etykieta pokazana na ry-
sunku 3.1 skäada siö wäaĈnie z takich czöĈci.
Rysunek 3.1. Etykieta poufno
Ĉci, która skäada siö z dwóch czöĈci
Dost
ýp do systemu — logowanie
_
73
Klasyfikacja
ma pojedynczy, hierarchiczny poziom. W tak zwanym modelu zabezpieczeþ
wojskowych (bazujñcym na wielopoziomowej polityce zabezpieczeþ Departamentu Obrony
Stanów Zjednoczonych) istniejñ cztery istotne poziomy:
ćCIćLE TAJNE
TAJNE
POUFNE
JAWNE
KaĔda z klasyfikacji jest obdarzona wiökszymi prawami niĔ ta znajdujñca siö pod spodem.
Rzeczywista definicja klasyfikacji zaleĔy od administratorów systemu lub oficera bezpieczeþ-
stwa. JeĈli Twoja organizacja przetwarza tajne informacje rzñdowe, model nadawania etykiet
musi byè zgodny z modelem wojskowym. Ale ogólnie etykiety majñ reprezentowaè kaĔdñ
klasyfikacjö i zestaw kategorii, jaki ma sens w danym przypadku. Na przykäad ze stronñ ko-
mercyjnñ moĔe wiñzaè siö tak zdefiniowana hierarchia firmy:
KORPORACJA
ODDZIAã
DZIAã
MoĔesz teĔ zdefiniowaè hierarchiö w oparciu o poziomy zaufania:
POUFNY
TYLKO DLA KIEROWNICTWA
ZASTRZEēONE DLA FIRMY
PUBLICZNE
lub:
ZASTRZEēONE
POUFNE
PUBLICZNE
Kategorie
(przedziaäy) nie podlegajñ hierarchii i majñ reprezentowaè poszczególne dziedziny
danych w Twoim systemie. Razem skäadajñ siö na zestaw kategorii (zestaw przedziaäów). Zestaw
moĔe skäadaè siö z dowolnej liczby elementów.
W Ĉrodowiskach zwiñzanych z wojskiem mogäyby wystñpiè takie kategorie:
ANTYTERRORYZM
CZOãG
OKRõT PODWODNY
WENUS
STEALTH
W Ĉrodowisku biznesowym kategorie czöĈciej odpowiadajñ poszczególnym wydziaäom fir-
my, nazwom produktów, kampaniom reklamowym, czy innemu dowolnie wybranemu ze-
stawowi, zwiñzanemu z jej dziaäalnoĈciñ:
KSIõGOWOćç
PUBLIC RELATIONS
MARKETING
SPRZEDAē
BADANIA I ROZWÓJ
74
_
Rozdzia
ĥ 3. Ochrona systemu komputerowego i kontrola dostýpu
Caäy pomysä polega na tym, Ĕe nawet uĔytkownik o najwyĔszym poziomie klasyfikacji nie
jest automatycznie upowaĔniony do przeglñdania wszystkich informacji z tego poziomu.
Aby móc poznaè dane z kategorii ANTYTERRORYZM, musisz ich „potrzebowaè”.
Informacja podzielona na kategorie
Informacje w systemach wojskowych sñ czösto podzielone tak, jak stopniuje siö je ze wzglö-
du na poufnoĈè. MyĈl o tym podziale, jak o odpowiedniku kryterium „potrzebowania” in-
formacji
. Nawet jeĈli dana osoba ma wysoki poziom zaufania, to jeĔeli nie ma Ĕadnych
przekonywujñcych argumentów za tym, aby znaäa to czy tamto zagadnienie, dane pozostajñ
poza jej zasiögiem. Zasadö tö, w doĈè radykalny sposób, zastosowaä pewien sierĔant pie-
choty morskiej armii Stanów Zjednoczonych, który dowodziä zaäogñ helikoptera wyposaĔo-
nego w tajne urzñdzenie elektroniczne — jednñ z „zabawek” wywiadu.
Pewnego dnia do helikoptera zajrzaä ciekawski kapitan. SierĔant natychmiast wypchnñä go z ma-
szyny, w wyniku czego kapitan spadä ze schodków prowadzñcych do helikoptera. W nor-
malnych okolicznoĈciach nie byäby to rozsñdny ruch, sprzyjajñcy karierze sierĔanta. Jednak
swoim zachowaniem sierĔant daä doskonaäy przykäad dobrych nawyków bezpieczeþstwa.
Przewaga rangi kapitaþskiej zostaäa w tej sytuacji „przebita” przez potrzebö udzielenia, bñdĒ
nie, pewnej informacji. SierĔant doskonale zdawaä sobie sprawö, Ĕe kapitan nie musi wie-
dzieè nic na temat urzñdzenia znajdujñcego siö na pokäadzie helikoptera, wiöc powziñä na-
tychmiast odpowiednie Ĉrodki ostroĔnoĈci.
Pomimo natury caäego incydentu, sierĔantowi udaäo siö zachowaè godne tradycje jednostki,
w której säuĔyä. Kapitan, spadajñc po schodach, säyszaä wyraĒnie wykrzyczane: „Przepra-
szam, panie kapitanie!”.
Modele dost
ýpu
Istniejñ dwa gäówne modele dostöpu, z którymi zapewne siö spotkasz. Model Bell-LaPadula
skupia siö przede wszystkim na zagadnieniach tajnoĈci danych, zatem najbardziej rozpo-
wszechniä siö on w krögach obrony. Model Biba zajmuje siö przede wszystkim spójnoĈciñ prze-
syäanych informacji, wiöc cieszy siö powodzeniem w krögach zajmujñcych siö transakcjami fi-
nansowymi i biznesem.
Model Bell-LaPadula.
W roku 1973 panowie David Bell i Leonard LaPadula jako pierwsi opisali
teoretycznie problem wielopoziomowych zabezpieczeþ, które mogäyby pojawiè siö w De-
partamencie Obrony. Wykorzystali do tego formalizm matematyczny, o czym wspomniano
w rozdziale 2. W opisie posäuĔyli siö notacjñ matematycznñ i teoriñ zbiorów, które pozwoliäy
im zdefiniowaè ideö stanu bezpiecznego, tryby dostöpu i zasady jego udzielania. Nazwali go
Teoriñ Podstaw Bezpieczeþstwa. W modelu tym o udzieleniu podmiotowi (którym najczö-
Ĉciej jest uĔytkownik) dostöpu do obiektu (z reguäy pliku) decyduje wynik porównania klasy-
fikacji zabezpieczeþ obiektu z poziomem zaufania, jaki posiada podmiot. Istniejñ trzy pod-
stawowe reguäy:
x
Zasada * (zasada gwiazdki).
x
Prosta zasada bezpieczeþstwa.
x
Zasada spokoju.
Dost
ýp do systemu — logowanie
_
75
Zasada *
, czyli zasada gwiazdki stwierdza, Ĕe podmiot ma prawo zapisu w obiekcie (zwykle
pliku) tylko wtedy, gdy poziom zabezpieczeþ obiektu jest wiökszy bñdĒ równy poziomowi
zaufania, jakim obdarzony jest podmiot. Dziöki temu podmiot o wysokim poziomie zaufania
nie zapisze ĈciĈle tajnych informacji w pliku o nieduĔym poziomie zabezpieczeþ, dostöpnym
dla uĔytkowników o niĔszym poziomie zaufania. Zasada ta zapobiega sytuacji, w której
uĔytkownik o wysokim poziomie zaufania mógäby skopiowaè poufne dane do dokumentu o ni-
skim poziomie bezpieczeþstwa — w ten sposób „poufne” dane tracñ swojñ wartoĈè albo zmienia
im siö zaszeregowanie z „ĈciĈle tajne” na „jawne”. Ten sposób klasyfikacji nazywa siö czasami
zasadñ zapisywania wzwyĔ lub nie zapisywania w dóä.
Prosta zasada bezpieczeþstwa
, nazwana tak na czeĈè swojej prostoty, mówi, Ĕe uĔytkownik
(podmiot) moĔe odczytywaè pliki (obiekty) jedynie wtedy, gdy poziom jego zaufania jest
wyĔszy lub równy poziomowi zabezpieczenia pliku. Oznacza to tyle, Ĕe uĔytkownik o po-
ziomie „tajny” nie moĔe odczytaè pliku sklasyfikowanego jako „ĈciĈle tajny”, ale z powodzeniem
odczyta dane z plików „tajnych” i „poufnych”. Czösto zasadö tö okreĈla siö jako zasadö od-
czytu w dóä
lub zakaz odczytu wzwyĔ.
Zgodnie z zasadñ spokoju poziom zabezpieczeþ obiektu nie moĔe zostaè zmieniony podczas
przetwarzania go przez system komputerowy. Dziöki niej Ĕaden program ani atak nie moĔe
zmieniè poziomu zabezpieczeþ otwartego, a tym samym podatnego na zagroĔenia pliku.
Model Biba.
Model wojskowy nie sprawdza siö we wszystkich warunkach. Innym waĔnym
modelem jest model Biba, zwany przez niektórych odwróconym modelem Bell-LaPauda.
W sektorze bankowo-komercyjnym najwaĔniejszym aspektem zabezpieczeþ jest spójnoĈè da-
nych (to znaczy niepopeänianie pomyäek przy oznaczaniu miejsc dziesiötnych); ich bezpie-
czeþstwo jest mniej istotne. (ZaäóĔmy, Ĕe ktoĈ kupuje 10 milionów akcji jakiejĈ firmy. W ta-
kim razie, prödzej czy póĒniej, znajdzie siö w przeglñdzie finansowym, wiöc raczej nie uda
mu siö zachowaè tajemnicy. Ale jeĈli podczas transakcji ktoĈ zamieniäby wartoĈè cyfry po
przecinku i w ten sposób zmieniä cenö kaĔdej akcji o 10 groszy, to cena sprzedaĔy zmieniäaby
siö tak, Ĕe nawet Bill Gates odczuäby róĔnicö).
W modelu Bell-LaPadula uĔytkownik z wysokimi prawami dostöpu nie moĔe zapisywaè nic
w dokumentach o niskim poziomie zabezpieczeþ (ani tworzyè takich dokumentów), co za-
pobiega przepäywowi tajnych informacji do osób nieposiadajñcych uprawnieþ do ich odczytu.
Model Biba odwraca tö sytuacjö, zatem uĔytkownik o niewielkich prawach dostöpu nie ma
prawa zapisywaè informacji w dokumentach o wyĔszym poziomie poufnoĈci. Zakäada siö, Ĕe
dokäadnoĈè podawanych informacji i ich wiarygodnoĈè roĈnie wraz ze wzrostem poufnoĈci do-
kumentu. Zapis wzwyĔ naraĔaäby dane o wyĔszym poziomie nienaruszalnoĈci na zmieszanie
z danymi o niĔszym poziomie nienaruszalnoĈci. Tak samo odczyt plików o niĔszym pozio-
mie zaufania przez uĔytkownika o wysokich prawach dostöpu mógäby zanieczyĈciè doku-
menty o wyĔszym poziomie nienaruszalnoĈci.
Kontrola dost
ýpu w praktyce
Na szczöĈcie przeciötny uĔytkownik, w tym takĔe Ty, nie ma nic wspólnego z zawiäymi mo-
delami matematycznymi, opisujñcymi kontrolö dostöpu. Zasady te wprowadzono juĔ w Ĕycie
w kilku mechanizmach kontroli.
76
_
Rozdzia
ĥ 3. Ochrona systemu komputerowego i kontrola dostýpu
Po co kontrolowa
ë dostýp?
JeĈli jesteĈ jedynym uĔytkownikiem komputera, nie musisz martwiè siö ustawianiem praw
dostöpu. JesteĈ wäaĈcicielem wszystkich plików. JeĈli chcesz jakiĈ udostöpniè, wystarczy na-
graè go na dysk, udostöpniè w sieci folder, w którym siö on znajduje, zapisaè ten plik na
wspólnej przestrzeni serwera czy wypaliè go na päycie CD lub DVD.
Niestety sprawa nie jest tak prosta w przypadku komputerów dzielonych miödzy róĔnymi
uĔytkownikami. Rozpoczöcie pracy w systemie, który obsäuguje dostöp wielu uĔytkowni-
ków, zobowiñzuje Ciö do dbania o ochronö danych i kontrolowania dostöpu do nich. PrzecieĔ
nie kaĔdy uĔytkownik systemu powinien mieè dostöp do Twoich plików. A juĔ na pewno nie
chciaäbyĈ, aby kaĔdy mógä je zmieniaè.
Nawet jeĈli ufasz wszystkim, którzy majñ dostöp do Twoich plików, i wiesz, Ĕe nie bödñ ich
zmieniaè, to powinieneĈ chroniè dane przed wypadkami losowymi. ZaäóĔmy, Ĕe Ty i Tomek
pracujecie w róĔnych czöĈciach jednego katalogu. Oboje pracujecie nad tym samym projek-
tem i oboje wybieracie identyczne nazwy dla swoich plików. Kilkoma nieszczösnymi ude-
rzeniami w klawisze Tomek moĔe zmieniè katalog i usunñè Twój plik, myĈlñc, Ĕe to jego
praca. JeĈli Twoje pliki nie sñ chronione, to Tomek nie napotka Ĕadnych przeszkód na swojej
drodze. Kontrola dostöpu do pliku (którñ moĔna równieĔ odnieĈè do innych obiektów w syste-
mie, na przykäad katalogów i urzñdzeþ) moĔe zapobiec takim sytuacjom.
MoĔna mówiè o przynajmniej trzech podstawowych typach kontroli dostöpu, które zapew-
niajñ róĔne poziomy zabezpieczeþ Twoich plików:
x
Swobodna kontrola dostöpu (DAC).
x
Narzucona kontrola dostöpu (MAC).
x
Kontrola dostöpu oparta o role (RBAC).
JeĈli zdecydujesz siö na wybór swobodnej kontroli dostöpu (DAC), to bödziesz mógä decy-
dowaè o tym, w jaki sposób chcesz chroniè swoje dane i komu je udostöpniè. Bardziej zäoĔo-
nñ formñ ochrony jest narzucona kontrola dostöpu (DAC), w której to system odpowiada za
ochronö Twoich danych. W zabezpieczeniach typu MAC kaĔdemu obiektowi w systemie
przypisana jest odpowiednia etykieta. Korzystajñc z zaleĔnoĈci systemu bezpieczeþstwa zde-
finiowanych dla Twojej firmy, system operacyjny decyduje, czy uĔytkownik powinien dostaè
dostöp do pliku, porównujñc etykietö uĔytkownika i etykietö pliku. W zabezpieczeniach
opartych na rolach (RBAC), otrzymujesz pewne przywileje w oparciu o Twojñ pozycjö w hie-
rarchii säuĔbowej firmy. JeĈli jesteĈ ksiögowym, to uzyskujesz dostöp do danych, do których
majñ dostöp pozostali pracownicy tego dziaäu. PoniĔej znajdziesz szczegóäowy opis wszyst-
kich trzech typów kontroli dostöpu.
Swobodna kontrola dost
ýpu
Ten typ kontroli zapewnia uĔytkownikowi dostöp do pliku (i innych obiektów w systemie,
jak na przykäad urzñdzenia czy katalogi) w oparciu o jego toĔsamoĈè a takĔe grupö, do której
przynaleĔy. O jakiej swobodzie moĔna mówiè w przypadku tej formy kontrolowania dostöpu?
W przeciwieþstwie do narzuconej kontroli, gdzie to system decyduje o udzielaniu dostöpu,
model DAC opiera siö na Twoim uznaniu czyichĈ praw. To wäaĈciciel pliku decyduje, czy
udostöpniè komukolwiek dane. Model MAC nie daje takich moĔliwoĈci.
Dost
ýp do systemu — logowanie
_
77
Model DAC informuje system operacyjny, kto ma prawo pracowaè z Twoimi plikami, oraz
pozwala Ci sprecyzowaè rodzaj dostöpu dla danego uĔytkownika. MoĔesz udostöpniè do od-
czytu dany plik wszystkim pracownikom swojej firmy, ale uprawnienia do wprowadzania
zmian pozostawiè jedynie dla siebie i kierownika. WiökszoĈè systemów obsäuguje trzy pod-
stawowe typy dostöpu:
Odczyt
UmoĔliwia odczyt danych zawartych w pliku.
Zapis
Pozwala zapisywaè dane w pliku (zmieniaè dane bñdĒ zastöpowaè plik innym).
Wykonywanie
Ten typ dostöpu ma odniesienie jedynie do plików bödñcych programami. Prawo wyko-
nywania daje Ci moĔliwoĈè uruchomienia programu.
WäasnoĈè.
Istnieje wiele typów swobodnej kontroli dostöpu. Jeden z nich uwzglödnia prawa
wäasnoĈci do plików, katalogów i urzñdzeþ.
JeĈli stworzyäeĈ dany plik, jesteĈ jego wäaĈcicielem. Identyfikator Twojej toĔsamoĈci jest umiesz-
czany w nagäówku pliku. System moĔe opieraè wszystkie decyzje dotyczñce dostöpu do pliku
na prawach wäasnoĈci. WäaĈciciel bödzie mógä go odczytaè i zmieniaè jego zawartoĈè. ēaden
inny uĔytkownik nie bödzie posiadaä uprawnieþ do dziaäaþ na tym pliku. To bardzo prosty
schemat, ale zupeänie niepraktyczny. Przede wszystkim nie pozwala Ci udostöpniaè wäa-
snych plików.
W zasadzie kaĔdy system przechowuje informacje o wäaĈcicielach plików i wiele swoich decyzji
opiera wäaĈnie o tö cechö (na przykäad, niezaleĔnie od innych mechanizmów, system moĔe
zezwoliè Ci na usuniöcie pliku jedynie wtedy, jeĈli jesteĈ jego wäaĈcicielem).
Elementy sterujñce wäasny/grupowy/publiczny.
Wiele systemów reguluje dostöp do plików,
dzielñc Ĉwiat uĔytkowników na trzy kategorie i okreĈlajñc uprawnienia kaĔdej z nich. W nie-
których systemach nazywa siö to kontrolñ wäasny/grupowy/publiczny (ang. self/group/public
— przyp. täum.).W systemach Unix nazywa siö jñ kontrolñ uĔytkownik/grupowy/inny (ang.
user/group/other
(UGO) — przyp. täum.).
W
äasny
Grupa okreĈlajñca twórcö i wäaĈciciela pliku, czyli Ciebie.
Grupowy
Opisuje pewnñ grupö uĔytkowników. Na przykäad, wszyscy uĔytkownicy pracujñcy w okre-
Ĉlonym dziale mogñ naleĔeè do grupy R&D (ang. Research and Development — dziaä badaþ
i rozwoju — przyp. täum.).
Publiczny
Wszyscy inni — uĔytkownicy inni niĔ naleĔñcy do Twojej grupy.
Prawa dostöpu.
KaĔdy plik ma wydzielone bity, nazywane prawami dostöpu
5
. Ich znaczenie
czösto pokrywa siö ze schematem przedstawionym na rysunku 3.2.
5
OkreĈlajñ one, co moĔesz zrobiè z danym plikiem — przyp. täum.
78
_
Rozdzia
ĥ 3. Ochrona systemu komputerowego i kontrola dostýpu
Rysunek 3.2. Elementy steruj
ñce wäasny/grupowy/publiczny
JeĈli wypiszesz listö plików (poleceniem
ls -l
), to w systemach z rodziny Unix bñdĒ Linux
otrzymasz spis praw dostöpu w nastöpujñcej postaci:
-rw-rw-r-- 1 franek r&d 81904 Nov 7 13:25 AKTUALIZACJE
JeĈli w miejscu symbolu okreĈlonego prawa dostöpu wystñpi myĈlnik (
-
), to oznacza, Ĕe
uĔytkownik nie ma prawa odczytywaè, zapisywaè bñdĒ wykonywaè danego pliku. Na przy-
käad, z powyĔszego kodu wynika, Ĕe wäaĈciciel pliku (
franek
) moĔe odczytywaè i zapisywaè
dane w pliku AKTUALIZACJE (
rw-
), czäonkowie grupy, do której on naleĔy (
r&d
) majñ
identyczne uprawnienia (
rw-
), a pozostali uĔytkownicy mogñ jedynie odczytywaè dane z pliku
(
r--
). (MyĈlnik poprzedzajñcy caäy ciñg znaków ma specjalne, niezwiñzane z uprawnieniami
dostöpu do pliku znaczenie w systemie Unix).
Oto kilka kolejnych przykäadów.
Plik SZACHY to gra komputerowa. Jego prawa dostöpu majñ nastöpujñcñ postaè:
-rwxrwxrwx 1 libr games 61799 May 10 10:11 SZACHY
KaĔdy ma prawo odczytaè ten plik, zapisaè w nim informacje, a takĔe uruchomiè go.
Plik SRC95 jest fragmentem kodu, nad którym pracujñ ludzie zrzeszeni w grupie
r&d
. Oto jego
prawa dostöpu:
-rw-rw---- 1 zosia r&d 55660 Dec 19 11:42 SRC95
WäaĈciciel tego pliku oraz czäonkowie grupy mogñ odczytywaè i zmieniaè go. Nikt inny nie
ma do niego dostöpu.
Elementy sterujñce wäasny/grupowy/publiczny stanowiñ bardzo dobrñ metodö ochrony da-
nych zawartych w pliku. Ale co zrobiè, jeĈli zaistnieje potrzeba ochrony plików w inny spo-
sób przed róĔnymi uĔytkownikami lub jeĈli bödziesz chciaä ograniczyè dostöp do pliku jed-
nemu uĔytkownikowi?
JeĈli Zosia jest wäaĈcicielem pliku ZNACZNIK i chce, aby Tomek (czäonek jej grupy) miaä
moĔliwoĈè czytania i zmieniania tego pliku, ustali nastöpujñce prawa dostöpu:
-rw-rw---- 1 zosia r&d 22975 Jan 10 10:14 ZNACZNIK
JeĈli Zosia bödzie chciaäa, Ĕeby Tomek mógä odczytywaè dane z pliku ZNACZNIK, a jedno-
czeĈnie bödzie chciaäa udostöpniè go do odczytu i zapisu dla Marii, moĔe z niej uczyniè wäa-
Ĉciciela pliku (o zezwoleniach
r
i
w
), a Tomka pozostawiè w grupie, która posiada jedynie
uprawnienia do odczytu (
r
). Ale co zrobiè, jeĈli do grupy Tomka naleĔñ inni uĔytkownicy,
którzy nie powinni poznaè zawartoĈci pliku ZNACZNIK? W jaki sposób Zosia ma wyklu-
czyè groĒnego Stefana?
Swobodna kontrola dostöpu wydaje siö odrobinö uciñĔliwa, ale jest bardzo elastyczna. Pewne
skomplikowane manewry pozwoliäyby osiñgnñè opisane powyĔej cele samymi tylko ele-
mentami sterujñcymi wäasny/grupowy/publiczny, ale im bardziej zäoĔone stanñ siö Twoje
Dost
ýp do systemu — logowanie
_
79
potrzeby, tym bardziej nieporöczne stanñ siö rozwiñzania oferowane przez tö formö dostöpu
do plików. Kolejny opisany przez nas system oferuje trochö mniejszñ elastycznoĈè.
Narzucona kontrola dost
ýpu
Ta forma dostöpu do plików jest odpowiednia dla systemów, w których przechowywane sñ
szczególnie poufne informacje (na przykäad tajne informacje rzñdowe czy waĔne dane korpo-
racyjne). Systemy obsäugujñce narzuconñ kontrolö dostöpu muszñ zaopatrzyè wszystkie swoje
podmioty (np. uĔytkowników, programy) oraz obiekty (pliki, katalogi, urzñdzenia, okna,
porty) w etykietö okreĈlajñcñ poziom zaufania, jakim dany obiekt czy podmiot siö cieszy.
Etykieta uĔytkownika okreĈla jego poziom zaufania i czösto bywa nazywana zgodñ lub po-
zwoleniem dostöpu. Etykieta pliku mówi, jaki poziom zaufania musi mieè uĔytkownik, aby
siö dostaè do tego pliku. Kontrola typu MAC korzysta z etykiet, aby okreĈliè, kto ma mieè
dostöp do danych informacji w Twoim systemie.
Wziöte razem, etykiety i kontrola MAC, zapewniajñ wielopoziomowñ politykö ochronnñ —
politykö, która obsäuguje wiele klasyfikacji informacji na róĔnych poziomach zabezpieczeþ
wewnñtrz jednego systemu komputerowego.
W przeszäoĈci systemy wojskowe potrafiäy obsäuĔyè tylko jeden poziom zabezpieczeþ. Sys-
temy te, znane jako systemy o wysokich zabezpieczeniach, wymagaäy, aby kaĔdy ich uĔyt-
kownik legitymowaä siö najwyĔszym poziomem zaufania, wymaganym przez dowolne dane
w systemie. Przykäadowo system, który obsäugiwaä dane o etykiecie TAJNE, nie pozwalaä na
pracö nikomu, kto nie posiadaä poziomu zaufania TAJNE (niezaleĔnie od tego, jak dobrze
byäy chronione dane oznaczone tñ etykietñ).
ChociaĔ wiele Ēródeä rzñdowych nadal dziaäa w trybie wysokich zabezpieczeþ, stosowane sñ
juĔ systemy wielopoziomowe. WielopoziomowoĈè jest moĔliwa dziöki dzieleniu danych i wpro-
wadzaniu ich do odpowiednich przedziaäów. Takie systemy radzñ sobie doskonale z jedno-
czesnñ obsäugñ uĔytkowników o wysokim i niskim poziomie zaufania (czy nawet bez okreĈlonej
etykiety), dajñc symultaniczny dostöp do róĔnych typów plików SCI (ang. sensitive compart-
mented intelligence
).
W tej czöĈci postaramy siö przedstawiè najwaĔniejsze sprawy zwiñzane z nadawaniem ety-
kiet, poziomami zabezpieczeþ, i kontrolñ MAC, ale sñ to skomplikowane zagadnienia, które
posiadajñ gäöbokie korzenie historyczne. Dodatek C stara siö krótko opisaè wymagania, jakie
Orange Book
stawia tym dziedzinom zabezpieczeþ.
Import i eksport danych.
W systemach o narzuconej kontroli dostöpu istotnymi zagadnie-
niami sñ: dopuszczenie importu informacji z innych systemów komputerowych oraz eks-
portowanie ich do zewnötrznych systemów. Kontrola MAC posiada mnóstwo zasad regulu-
jñcych zagadnienia wysyäania i pobierania danych. OkreĈlajñ one, na jakie urzñdzenia moĔna
kopiowaè informacje, a na jakie moĔna wypuszczaè wydruki. Na przykäad moĔesz nie uzy-
skaè pozwolenia wydruku danych na drukarce, która znajduje siö w publicznej czöĈci bu-
dynku. Istniejñ równieĔ zasady nadawania etykiet poszczególnym urzñdzeniom i drukarkom
(ze stronami transparentowymi, oraz nagäówkami stron i rozbiegówkami). Konkretne przy-
käady zostaäy omówione w dodatku C.
80
_
Rozdzia
ĥ 3. Ochrona systemu komputerowego i kontrola dostýpu
Decydowanie o dost
ýpie
W systemach o kontroli dostöpu MAC wszystkie decyzje dotyczñce wydania pozwolenia do-
stöpu do pliku sñ podejmowane przez sam system. W przeciwieþstwie do modelu DAC, któ-
ry dawaä uĔytkownikowi prawo do udzielania innym dostöpu do pliku na wäasne ryzyko,
model MAC ceduje wszelkie decyzje na system. Decyzja o przyznaniu dostöpu do obiektu (na
przykäad pliku) wiñĔe siö ze zbadaniem wszystkich trzech poniĔszych czynników:
x
Etykieta podmiotu — na przykäad Twój poziom zaufania:
SCISLE TAJNE [WENUS CZOLG ALFA]
x
Etykieta obiektu — na przykäad plik o nazwie LOGISTYKA o poziomie zabezpieczeþ:
TAJNE [WENUS ALFA]
x
ēñdanie dostöpu — na przykäad Twoja próba odczytu z pliku LOGISTYKA.
Gdy próbujesz odczytaè dane z pliku LOGISTYKA, system porównuje poziom zaufania, który
zostaä Ci nadany, z etykietñ pliku, sprawdzajñc w ten sposób, czy masz prawo go odczytaè.
ChociaĔ wielopoziomowe systemy zabezpieczeþ dajñ nam wiele korzyĈci, sñ równieĔ Ēródäem
frustracji. Zdarza siö na przykäad, Ĕe system pozwoli Ci zapisaè dane do pliku, a nastöpnie
odmówi Ci prawa do odczytu!
Kontrola dost
ýpu oparta o role
Ten typ regulowania dostöpu do danych opiera siö na zaszeregowaniu uĔytkownika wedäug
roli, jakñ sprawuje. WeĒmy dla przykäadu kierowników dziaäu finansowego. Oni mogñ po-
trzebowaè dostöpu do wszelkiego rodzaju danych ksiögowych: podatków, listy päac, naleĔnoĈci,
wpäywów, salda. Natomiast urzödnik z sekcji naleĔnoĈci bödzie potrzebowaä dostöpu jedynie do
pewnej czöĈci danych ksiögowych, a inĔynier z dziaäu rozwoju nie bödzie ich potrzebowaä prawie
wcale. Rola, którñ system przypisuje uĔytkownikowi, opiera siö na idei najmniejszego
przywileju
. Rola jest definiowana w oparciu o minimalnñ liczbö zezwoleþ, która pozwala
wykonaè stawiane przed uĔytkownikiem zadania. JeĔeli zmianie ulegnñ przywileje przypi-
sane do danej roli, moĔna usunñè lub dodaè pozwolenia. Takie rozwiñzanie daje wiökszñ ela-
stycznoĈè, bo zamiast zmieniaè zezwolenia dla kaĔdego uĔytkownika, zmienia siö definicja
samej roli.
PoniewaĔ uĔytkownik moĔe peäniè wiöcej niĔ jednñ rolö naraz, istnieje moĔliwoĈè powstania
konfliktu. Jedna z ról moĔe zezwalaè na dostöp do Ēródäa, podczas gdy druga bödzie go broniäa.
Konflikty tego typu muszñ byè rozstrzygane indywidualnie dla kaĔdego uĔytkownika. Ogól-
nie rzecz biorñc, przyjmuje siö te rozwiñzania, które udzielajñ najmniejszych praw.
Listy kontroli dost
ýpu
Nadszedä czas, by wyjaĈniè, jak implementuje siö modele przedstawione w poprzednim dziale.
Listy kontroli dostöpu (ACL — ang. access control lists) stanowiñ spis uĔytkowników i grup
z przypisanymi im zezwoleniami. Dziöki nim moĔna äatwiej przeprowadzaè swobodnñ kon-
trolö dostöpu. Implementacja listy ACL zaleĔy w duĔej mierze od systemu operacyjnego. Na
przykäad w bezpiecznym systemie opartym o technologiö Unix plik WYPLATA byäby chro-
niony plikiem ACL w postaci:
<jan.ksieg, r>
<asia.wypl, rw>
Dost
ýp do systemu — logowanie
_
81
gdzie:
x
jan
i
asia
to identyfikatory uĔytkowników, którzy majñ dostöp do pliku WYPLATA,
x
ksieg
i
wypl
to identyfikatory grup, do których naleĔñ,
x
r
i
w
okreĈlajñ rodzaj dostöpu;
r
oznacza, Ĕe uĔytkownik ma prawo odczytywaè dany
plik, a
w
mówi, Ĕe moĔe równieĔ wprowadzaè w nim zmiany.
JeĈli
jan
zostaä zaklasyfikowany do grupy
ksieg
, to moĔe jedynie odczytywaè plik. JeĈli na-
leĔaäby do jakiejkolwiek innej grupy, w ogóle nie miaäby do niego dostöpu. Podobnie ma siö
sprawa z uĔytkownikiem
asia
, która naleĔñc do grupy
wypl
, moĔe odczytywaè i zmieniaè
zawartoĈè pliku.
Listy kontroli dostöpu najczöĈciej obsäugujñ znaki specjalne, które pozwalajñ okreĈliè bardziej
ogólne zasady dostöpu do pliku. MoĔna na przykäad zapisaè:
<*.*, r>
aby zaĔñdaè moĔliwoĈci odczytu (
r
) pliku przez dowolnego (
*
) uĔytkownika kaĔdej (
*
) z grup.
MoĔna równieĔ zastosowaè zapis:
<@.*,rw>
co jest równoznaczne ze stwierdzeniem, Ĕe tylko wäaĈciciel (
@
) danego pliku moĔe go odczy-
taè (
r
) i zmieniè (
w
).
Niektóre systemy zezwalajñ na wykluczenie okreĈlonego uĔytkownika z grona osób, które
majñ dostöp do danego pliku, na przykäad definiujñc znak zerowy czy pojöcia
none
lub
null
,
które bödzie moĔna podaè w miejsce znaków
r
i
w
.
<stefan.*,none >
Najwi
ýksze i najmniejsze zezwolenie
W przykäadzie dotyczñcym dostöpu do pliku WYPLATA, jaki majñ uĔytkownicy
jan
i
asia
,
kryje siö konflikt dostöpu. Prawa dostöpu, jakimi cieszy siö uĔytkownik
jan
, zaleĔñ od grup,
do jakich on naleĔy. Dopóki pozostaje czäonkiem jedynie grupy
ksieg
, moĔe tylko odczyty-
waè wspomniany plik. Gdy zostanie dodatkowo doäñczony do jakiejkolwiek innej grupy,
automatycznie utraci do niego dostöp.
Konflikt powstaje ze wzglödu na istnienie zasady najmniejszego zezwolenia. Zezwolenia
skumulowane sñ róĔnie obsäugiwane przez róĔne systemy, takie jak na przykäad NetWare,
wykorzystujñcy Novell Directory Service, a takĔe WindowsNT i Windows 200x, uĔywajñcy
Active Directory Service.
Na szczöĈcie znajomoĈè systemu Unix UGO
6
przygotuje Ciö do pracy z dowolnym innym
systemem. Bez trudu bödziesz rozróĔniaè reguäy, wiöc jedyne, co bödziesz musiaä opanowaè,
to ich nowe nazwy i obsäuga w danym systemie. Jest to bardzo istotne, choè teoretyczne za-
gadnienie. W rzeczywistoĈci administratorzy radzñ sobie z tymi problemami, klonujñc uĔyt-
kownika, który ma odpowiednie uprawnienia, i zmieniajñc jego nazwö. Nie omijaj zbyt
chötnie tej kwestii: z listami dostöpu spotkasz siö jeszcze przy okazji projektowania systemu
ochrony komputera, na przykäad zapory ogniowej albo pakietu takiej zapory dla routerów
czy systemów wykrywania intruzów.
6
User/Group/Other
— kontrola typu uĔytkownik/grupowy/inny — przyp. täum.
82
_
Rozdzia
ĥ 3. Ochrona systemu komputerowego i kontrola dostýpu
Us
ĥugi katalogowe
Wspominaäem juĔ poprzednio o systemach Ĉledzenia nieupowaĔnionych uĔytkowników.
Niektóre z nich, jak urzñdzenia biometryczne, nadal czekajñ na swoje piöè minut. Z kolei inne,
jak uwierzytelnianie nazwa-hasäo, sñ juĔ caäkiem przestarzaäe. Jednym z usprawnieþ w tech-
nologii uzyskiwania dostöpu do systemu jest integracja uwierzytelniania, autoryzacji i rozli-
czania (AAA — ang. Authentication, Authorization, Accounting). Te ulepszone systemy katalo-
gowania przechowujñ informacjö o kaĔdym uĔytkowniku, wäñczajñc w to przypisane mu
atrybuty, na przykäad informacjö o kontaktach, dane osobiste, wäñcznie z informacjñ, do ja-
kich danych ma on dostöp. Tworzy to swoistñ bazö danych usäug katalogów. Usäuga katalogowa
jest w zasadzie ogromnñ bazñ danych, która przechowuje informacje o oddziaäywaniach miödzy
obiektami. Obiektami mogñ byè uĔytkownicy, grupy, sprzöt czy oprogramowanie.
Bardzo popularnñ usäugñ jest Active Directory, z której korzystajñ serwery i kontrolery domen
pracujñce na systemie Windows. Implementacja Active Directory pomaga zarzñdzaè obiek-
tami i zasobami Ĉrodowiska sieciowego, dziaäajñc jednoczeĈnie jako centralny punkt zabez-
pieczeþ. Active Directory dostarcza Ĉrodków kontrolowania wszystkich zdarzeþ, jakie majñ
miejsce w serwerach logowania (kontrolerach domen). Politykö audytu moĔna skierowaè na
monitorowanie konkretnych przejawów aktywnoĈci, tworzenie raportów i powiadamianie
wybranych pracowników o zajĈciu tych zdarzeþ. Zadania dotyczñce grup moĔna zdefinio-
waè tak, aby pomagaäy zarzñdzaè grupami uĔytkowników i komputerów. MoĔna zastosowaè
je do witryn, domen czy jednostek organizacyjnych, które sñ zdefiniowane wewnñtrz struktury
Active Directory.
NajĈwieĔsze usäugi uwierzytelniania zaleĔñ od ukäadu parametrów zdefiniowanych w nor-
mie ISO X.500, która okreĈla standardy utrzymania äatwego dostöpu do uĔytkownika i jego
atrybutów. Norma X.500 jest tak obszernym systemem, Ĕe z reguäy dostöp do katalogu X.500
uzyskuje siö dziöki prostszemu narzödziu, Lightweight Directory Access Protocol (LDAP).
Dalsza czöĈè rozdziaäu jest po
Ĉwiöcona normie X.500 i sposobom wykorzystania LDAP, jego
aplikacji, problemów i moĔliwoĈci, jakie daje.
Przyk
ĥad poczty e-mail
Chyba najäatwiejszym przykäadem, który pokaĔe uwierzytelnianie oparte o usäugi katalogów
jest sytuacja, z jakñ na co dzieþ mieli do czynienia administratorzy poczty elektronicznej, za-
nim nastaäa era LDAP i X.500. WyobraĒ sobie poäñczenie dwóch ogromnych przedsiöbiorstw.
Teraz wyobraĒ sobie, Ĕe obie te firmy korzystaäy z innych systemów poczty elektronicznej,
które sñ kompatybilne jedynie w teorii. UĔytkownik musi pojawiè siö w kaĔdym z systemów
(czyli mieè w nim konto pocztowe), aby móc siö zalogowaè. Oznacza to, Ĕe dwie grupy ad-
ministratorów muszñ nagle przenieĈè peänñ listö uĔytkowników z tej drugiej firmy do swojego
systemu. OczywiĈcie oznacza to równieĔ, Ĕe w efekcie ich dziaäaþ kaĔdy uĔytkownik bödzie
posiadaä dwóch klientów poczty, za pomocñ których bödzie musiaä regularnie sprawdzaè
pocztö. Obie czöĈci nowej firmy przeĔyjñ ciöĔki okres, podczas którego b
ödñ próbowaäy
sprawnie siö ze sobñ komunikowaè. O problemach, jakie spotkajñ klientów tej firmy, lepiej
nie wspominaè.
DoĈè rozsñdnym wyjĈciem z sytuacji wydaje siö przeniesienie kont pocztowych jednej z firm
do systemu tej drugiej. Niestety moĔe to byè zupeänie niewäaĈciwe podejĈcie, poniewaĔ ser-
wery pocztowe operujñ klastrami podczas wewnötrznej komunikacji, opierajñc siö o lokalizacjö
Dost
ýp do systemu — logowanie
_
83
uĔytkownika i zaäadowanie systemu. Przeniesienie jednego systemu do drugiego moĔe skut-
kowaè drastycznymi zmianami infrastruktury, które mogñ w rezultacie prowadziè to zakäó-
ceþ Ĉwiadczonych usäug. MoĔe okazaè siö, Ĕe äatwiej jest powiökszyè systemy pocztowe obu
firm i uporzñdkowaè wszystkie sprawy w przyszäoĈci, korzystajñc z serwerów bramkowych,
aby oba systemy mogäy siö porozumieè.
Korzystanie z katalogu LDAP sprawia, Ĕe wszyscy uĔytkownicy znajdujñ siö w jednej bazie,
która jest automatycznie replikowana przez system na serwery logowania w caäej sieci. Zaso-
by pocztowe mogñ byè przekazane uĔytkownikom, nawet jeĈli przeniosñ siö z jednego miasta
do drugiego. Zmiany danych osobowych, takich jak nazwiska, zmiany pozdrowienia uĔywa-
nego w listach czy tytuäu uĔytkownika sñ dokonywane w jednym miejscu, skñd przenoszñ
siö we wszystkie niezbödne lokalizacje.
X.500
ISO X.500 jest miödzynarodowym standardem, który charakteryzuje siö dwiema znakomitymi
cechami:
x
jest obiektowy,
x
korzysta ze struktury hierarchicznej.
ISO X.500 traktuje kaĔdy zapisany w nim komputer i kaĔdego uĔytkownika jak obiekt. Serwer
„Kochanowskiego 12”, operator kopii zapasowych „tkotek” i administrator systemu „IMJa-
sinska” sñ obiektami. KaĔdy obiekt posiada wäasne atrybuty. „Kochanowskiego 12” moĔe
mieè adres IP równy 198.168.212.12. UĔytkownik tkotek ma przypisany atrybut opisujñcy
grupö operatorów kopii bezpieczeþstwa. Administrator IMJasinska bödzie miaäa przypisane
atrybuty imiö o wartoĈci Iza i nazwisko Jasiþska. W sytuacji idealnej schemat bazy danych
dla kaĔdej klasy obiektów byäby spójny. Przypadek, kiedy zajdzie potrzeba zmiany tego
schematu, aby dopasowaè do siebie elementy danych z obu firm, nie powinien stanowiè zbyt
trudnego wyzwania.
Drugñ zadziwiajñcñ cechñ normy X.500 jest jej hierarchiczna struktura. Wszystkie osoby i kom-
putery w systemie dostajñ nazwy publiczne (CN — ang. common names). Nazwa publiczna to
nazwa, jakñ Ty czy ja moglibyĈmy przypisaè dowolnie wybranej rzeczy. Obiekty z nadanymi
nazwami publicznymi zostajñ zgromadzone w kontenerach okreĈlonych mianem jednostek
organizacyjnych
(OU — ang. organizational units). OU sñ zebrane w obiektach nazwanych
organizacjami
(O — ang. organizations). Z kolei organizacje umieszczono w obiektach o na-
zwie kraje (C — ang. countries). Kraje umieszczone sñ w Root, który stanowi poczñtek caäego
drzewa systemu plików. Caäa struktura hierarchiczna jest pokazana na rysunku 3.3.
Informacyjne drzewo katalogów (DIT — ang. directory information tree) nie ma byè bazñ da-
nych ogólnego uĔytku. Zostaäo zoptymalizowane do czöstego odczytu i rzadkiego zapisu.
Swojñ budowñ przypomina bazö danych, ale jego idea zostaäa rozwiniöta po to, aby prze-
chowaè informacje o obiektach zwiñzanych z dziedzinñ telekomunikacji.
Zaletñ hierarchicznego schematu X.500 jest to, Ĕe wprowadziä on standard przechowywania
plików, uwzglödniajñcy atrybuty i zezwolenia przypisane danemu uĔytkownikowi. Taka
struktura znacznie uäatwia dzielenie danych i ich kopiowanie. NiezaleĔnie, czy kopiujemy
dane jednego uĔytkownika, czy caäego dziaäu firmy, powielanie adresów sprowadza siö po
prostu do skierowania kopii danego obiektu do nowego drzewa katalogów; wszystkie
obiekty skäadowe zostanñ przeniesione automatycznie. Przeniesienie kopii jest równoznaczne
z jej gotowoĈciñ do uĔycia.
84
_
Rozdzia
ĥ 3. Ochrona systemu komputerowego i kontrola dostýpu
Rysunek 3.3. Hierarchiczna struktura X.500
KaĔde centrum X.500 posiada wäasny schemat katalogów. Jego administrator musi aktuali-
zowaè tylko dane z wäasnego centrum. UĔytkownicy majñ dostöp jedynie do lokalnych sys-
temów X.500. JeĈli poszukiwana osoba pracuje w lokalnym centrum, dane na jej temat bödñ
dostöpne w lokalnym systemie X.500. JeĔeli natomiast pracuje w punkcie zdalnym, to lokalny
X.500 automatycznie kontaktuje siö ze zdalnym X.500, aby pobraè jej dane. To przeäñczanie
siö miödzy lokalnymi i zdalnymi systemami odbywa siö bez wiedzy uĔytkownika. JeĈli okaĔe
siö, Ĕe dostöp X.500 do zdalnych centrów jest zbyt wolny, moĔna tak zmieniè konfiguracjö,
aby wymiana danych miödzy dwoma centrami polegaäa na kopiowaniu ich i ciñgäej aktuali-
zacji. Proces ten nazywamy replikacjñ.
Gäównñ cechñ tego systemu jest to, Ĕe skupia siö on na potrzebach indywidualnego
uĔytkownika, który chce dostaè siö do systemu, zamiast koncentrowaè siö na statycz-
nych elementach, takich jak listy haseä. UĔytkownicy sñ mapowani w katalogu zgodnie
z ich zaszeregowaniem w strukturze organizacji.
System katalogów X.500 moĔe przechowywaè ogromne iloĈci informacji: numerów telefonów
i faksów, adresów, adresów komputerów, pozycji säuĔbowej, zakresu obowiñzków itd. MoĔ-
na go oczywiĈcie rozszerzyè tak, aby przechowywaä informacje potrzebne w danej organizacji.
Te duĔe iloĈci danych i wrodzona zäoĔonoĈè systemu X.500 sprawiäy, Ĕe bardzo rozpowszechniä
siö protokóä LDAP.
Protokó
ĥ LDAP
Protokóä LDAP (ang. Lightweight Directory Access Protocol) jest standardem, który opisuje proto-
kóä sieciowy dostöpu do informacji zawartej w katalogach. W momencie, w którym staäo siö
oczywiste, Ĕe trzeba bödzie wprowadziè standardy przechowywania informacji w katalo-
gach, IBM, Microsoft, Lotus i Netscape postanowiäy wprowadziè obsäugö protokoäu LDAP.
Protokóä ten zostaä zaprojektowany w taki sposób, Ĕeby dostosowaè zäoĔony system katalo-
gów, jakim jest X.500, do potrzeb wspóäczesnych sieci, w tym równieĔ internetu. Serwery kata-
logów, korzystajñce z protokoäu LDAP, sñ uruchamiane na komputerach gäównych w sieci
internet, co oznacza, Ĕe programy klienckie, które majñ wprowadzonñ obsäugö LDAP, mogñ
poäñczyè siö z takim serwerem i przejrzeè listö jego katalogów.
Dost
ýp do systemu — logowanie
_
85
Historia X.500
Standard X.500 zostaä opisany w normach ISO/IEC 9594 oraz ITU-T X.500 Recommenda-
tions. Jak dotñd pojawiäy siö cztery wersje tego standardu
Pierwsza edycja, 1988 rok
Pierwsza edycja pojawiäa siö jako wieloczöĈciowy standard oparty na normach ISO/IEC
9594:1990 i CCITT X.500 (1988) Series of Recommendations.
Druga edycja, 1993 rok
Druga edycja zostaäa oparta o normy ISO/IEC 9594:1995 i ITU-T X.500 (1993). Wprowa-
dzono do niej kilka przydatnych funkcji, takich jak replikowanie informacji miödzy ka-
talogami, kontrola dostöpu oraz rozszerzenie modelu informacji i moĔliwoĈci zarzñdzania.
Trzecia edycja, 1997 rok
Trzecia edycja bazuje na ISO/IEC 9594:1998 i ITU-T X.500 (1997). Dodano do niej kilka
maäych oraz wiökszych rozszerzeþ. Dodano w niej cechö zwanñ contexts, która pozwala
na wyróĔnienie informacji w kontekĈcie, w jakim uzyskano do niej dostöp. Wprowadzo-
no równieĔ model OSI zarzñdzania katalogiem. Pojawiäy siö teĔ nowe, waĔne elementy
zabezpieczeþ oraz rozszerzenia juĔ istniejñcych.
Czwarta edycja, 2001 rok
Czwarta edycja jest oparta o ISO/IEC 9594:2001 i ITU-T X.500 (2001). Dodano w niej moĔli-
woĈci zarzñdzania usäugami, dopasowanie oparte o mapowanie, rodziny wejĈè i obsäugö
stosu TCP/IP.
Pi
ñta edycja, 2005 rok
Piñta edycja bazuje na normach ISO/IEC 9594:2005 i ITU-T X.500 (2005).
Serwery LDAP zaczynajñ pracö od indeksacji wszystkich danych, które pojawiajñ siö w ich
wpisach. Podczas przetwarzania Ĕñdania wszystkie dane muszñ przejĈè przez odpowiednie
filtry
. Sñ to krótkie, wprowadzone przez uĔytkownika wyraĔenia, które opisujñ, jakie cechy
naleĔy uwzglödniè, a jakie odrzuciè. Filtry pozbywajñ siö niepotrzebnych wpisów, przedsta-
wiajñc uĔytkownikowi tylko te, którymi byä zainteresowany. Filtrem moĔe byè osoba, grupa,
a nawet doĈè egzotyczne wyraĔenie w stylu: „kaĔdy uĔytkownik na póänocnym zachodzie
wybrzeĔa Pacyfiku, który twierdzi, Ĕe posiada przenoĈne urzñdzenie 802.11”. UĔytkownik
moĔe równieĔ okreĈliè, jaka liczba danych, takich jak nazwisko, imiö, tytuä, adres e-mail, numer
telefonu, ma odpowiadaè jego zapytaniu.
Przestrzeþ nazw protokoäu LDAP.
W protokole LDAP kaĔdñ listö w katalogu nazywamy
wpisem. KaĔdy wpis moĔe mieè jeden lub wiöcej atrybutów. KaĔdy atrybut ma okreĈlony
typ i przynajmniej jednñ wartoĈè. Oto przykäad wpisu:
cn = mojmalywpistestowy
objectclass = osoba
Skrót
cn
oznacza nazwö publicznñ (
commonName
), której wartoĈciñ jest
mojmalywpistestowy
.
Dziöki wykorzystaniu atrybutu
objectClass
wpisowi zostaä przypisany typ.
System i jego uĔytkownicy wprowadzajñ wpis za wpisem, nadajñc im nazwy. Wpisy sñ nazy-
wane w oparciu o jeden z ich atrybutów. W pokazanym przykäadzie
cn=mojmalywpistestowy
jest wzglödnñ wyróĔnionñ nazwñ (RDN — ang. relative distinguished name).
Czytaj dalej...
86
_
Rozdzia
ĥ 3. Ochrona systemu komputerowego i kontrola dostýpu
Hierarchia.
Przestrzeþ nazw protokoäu LDAP jest, tak samo jak w X.500, hierarchiczna. W prak-
tyce sprowadza siö to do tego, Ĕe peäna nazwa obiektu musi zawieraè ĈcieĔkö dostöpu do tego
obiektu. Tñ peänñ nazwö okreĈla siö mianem nazwy wyróĔnionej (DN — ang. distinguished
name
). (Owo „wyróĔnienie” oznacza tyle, co „caäkowicie i jednoznacznie zidentyfikowany”).
MoĔliwoĈci magazynowania protokoäu LDAP.
W katalogach X.500 moĔna przechowywaè
w zasadzie kaĔdy rodzaj danych. Bez problemu radzi on sobie z tekstem, fotografiami do
dokumentów, informacjami biometrycznymi, niezbödnymi do identyfikacji i uwierzytelnienia,
adresami WWW, adresami FTP oraz innymi wskaĒnikami. Jednak wzrost iloĈci przechowy-
wanych danych wiñĔe siö nieodmiennie ze wzrostem potrzebnej pamiöci.
RóĔne rodzaje danych sñ przechowywane w atrybutach róĔnych typów. KaĔdy typ atrybutu
ma okreĈlonñ skäadniö. Atrybuty zdefiniowane przez uĔytkownika, skäadnie i klasy obiektów
dajñ administratorom zabezpieczeþ moĔliwoĈè dopasowania katalogów ĈciĈle do ich potrzeb.
Protokóä LDAP jest szczególnie przydatny we wszystkich tych miejscach, gdzie internet staä
siö czöĈciñ sieci albo jej schematu uwierzytelniania. W jego skäad wchodzñ protokoäy, które
pozwalajñ na samoreplikacjö danych miödzy róĔnorakimi centrami. Takie aktualizacje krñĔñ
w sieci, jak kaĔdy inny rodzaj przepäywu informacji.
Zarz
édzanie toŜsamoļcié
Mogäoby siö wydawaè, Ĕe wraz z nastaniem X.500 i protokoäu LDAP dostöp do systemu oparty
na katalogach osiñgnñä szczyt swoich moĔliwoĈci. To nieprawda. Czego doĈwiadczy uĔyt-
kownik, który w ciñgu swojego dnia pracy musi kontaktowaè siö z czterema czy z piöcioma
sieciami? Brzemiö zarzñdzania jest ciöĔkie, nawet jeĈli mamy na myĈli jedynie bieĔñce zarzñ-
dzanie nazwami uĔytkownika oraz wszystkimi niezbödnymi zmianami i rotacjami. Spada
ono na barki administratorów sieci, którzy muszñ utrzymywaè porzñdek i synchronizowaè
ze sobñ kilka baz danych zawierajñcych dane logowania uĔytkowników. Sytuacjö znacznie
uproĈciäoby rozwiñzanie pozwalajñce uĔytkownikowi uzyskiwaè uwierzytelnienie i autory-
zacjö w ramach jednego procesu w obröbie jednej bazy. Na podstawie wyników tego procesu
sieè mogäaby tworzyè certyfikaty lub tokeny, które säuĔyäyby uĔytkownikowi podczas pracy.
Byäby to mniej wiöcej odpowiednik systemu Microsoft Passport, który na podstawie jednego
logowania daje uĔytkownikowi dostöp do wielu usäug.
Ten postöpujñcy trend do wprowadzenia poäñczonych procesów uwierzytelniania i autoryza-
cji nosi nazwö zarzñdzania toĔsamoĈciñ lub sfederowanego zarzñdzania toĔsamoĈciñ. Mówi
siö o jego sfederowaniu, poniewaĔ umoĔliwia unifikacjö — jedno logowanie zastöpuje dostöp
do kilku róĔnych aplikacji, na przykäad logowania do sieci, rozliczenia rozmów miödzymia-
stowych, dostöpu do poczty elektronicznej, dostöpu do bezpiecznych rejonów sieci bez po-
dawania numeru PIN.
Podstawñ idei zarzñdzania toĔsamoĈciñ jest nasze dñĔenie do zminimalizowania trudów zwiñ-
zanych z kontrolñ róĔnych haseä. Jest to potrzeba ekonomiczna, która wiñĔe siö z moĔliwoĈciñ
zlikwidowania nadmiarowych baz danych, które przechowujñ informacje o tej samej grupie
ludzi. Jest to równieĔ potrzeba prawna, poniewaĔ w ten sposób bödziemy lepiej chroniè
prywatnoĈè uĔytkowników, którzy w katalogach firmy przechowujñ swoje osobiste dane, ta-
kie jak informacje medyczne, te o ich upoĈledzeniach lub o stanie zdrowia. Taka zmiana mo-
gäaby na przykäad zaowocowaè moĔliwoĈciñ wysyäania wiadomoĈci e-mail informacyjnych
do osób niewidzñcych lub niedowidzñcych, pracujñcych w firmie, w formacie odpowiednim
dla ich oprogramowania lektorskiego.