Безопасность и Internet - статьи

Развитие методов и средств аутентификации


Средства безопасности FireWall-1/VPN-1 поддерживают разнообразные схемы аутентификации пользователей, которые могут активизироваться при задании соответствующих правил доступа. Эти схемы на сегодня включают аутентификацию на основе паролей, хранящихся в FireWall-1, цифровых сертификатов X.509, систем аутентификации ОС, RADIUS, TACACS, SecurID и ряда других. С помощью модуля Account Management, входящего в состав FireWall-1/VPN-1, в правилах доступа можно использовать информацию о пользователях и группах, хранящуюся во внешних базах учетных данных, поддерживающих протокол LDAP (например, NDS или Active Directory), что освобождает администратора безопасности от необходимости дублировать пользовательские данные в системе FireWall-1/VPN-1.

Поддержка цифровых сертификатов и инфраструктуры публичных ключей PKI в продуктах CheckPoint обеспечивает масштабированное решение проблемы аутентификации массовых пользователей. Продукты FireWall-1/VPN-1 работают сегодня с системами PKI компаний Entrust, VeriSign, Netscape, Microsoft, Baltimore Technologies и Data Key, это делает возможным аутентификацию пользователей в гетерогенной среде, когда сертификаты изданы и подписаны различными сертифицирующими организациями. Используя систему VPN-1 Certificate Manager компании CheckPoint, в которую входит сервер сертификатов от Entrust Technologies и LDAP-совместимая служба каталогов от Nescape Communications, предприятие может самостоятельно поддерживать инфраструктуру публичных ключей, администрируя ее с помощью стандартной графической утилиты Account Management.

Компания CheckPoint уделяет большое внимание поддержке схем аутентификации, обеспечивая возможность интеграции своих продуктов практически со всеми распространенными в корпоративных сетях системами этого назначения.


Для работы с пользователями межсетевой экран (а при необходимости и другие средства безопасности, например, шлюз VPN) может выполнять аутентификацию пользователей либо полностью самостоятельно, либо с привлечением внешних систем аутентификации и авторизации, которые имеются в сетевых операционных системах или системах удаленного доступа. Самостоятельное выполнение аутентификации экраном ведет к дублированию базы учетных записей пользователей, что нежелательно по многим причинам. В то же время сегодня в корпоративных сетях широко используются средства аутентификации, основанные на централизованной службе каталогов, такой как NDS компании Novell или Directory Services компании Microsoft (которую должна сменить служба Active Directory для Windows 2000, обладающая существенно более высокой масштабируемостью и совместимостью с основными стандартами Internet ). Такие системы аутентификации обладают многими привлекательными свойствами:
  • обеспечивается единый логический вход пользователя в сеть (а не на отдельный сервер),
  • администратор работает с единственной записью учетных данных о каждом пользователе и системном ресурсе,
  • система отлично масштабируются за счет распределенного характера базы данных каталога,
  • доступ к данным каталога осуществляется с помощью стандартного для Internet протокола LDAP (службой Directory Services не поддерживается)
  • данные о пользователях и ресурсах сети хранятся в иерархическом виде, соответствующем структуре организации и сети.

    • Для повышения эффективности работы с пользователями межсетевой экран должен уметь использовать учетные данные, хранящиеся в службе каталогов сети, при конструирования правил доступа (например, обращаясь к ним по протоколу LDAP), а также выполнять транзитную аутентификацию, выполняя роль посредника между пользователем и используемой в сети системой аутентификации. Такой вариант работы средств безопасности позволяет администратору средств безопасности сосредоточиться на выполнении своих прямых обязанностей и не дублировать работу по администрированию пользователей.
    Особым случаем является аутентификация массовых клиентов предприятия, которые возникают при ведении бизнеса с помощью Internet. При усложнении схем бизнеса появляются различные категории массовых клиентов, которым нужно давать разные права доступа. Для аутентификации массовых клиентов традиционные схемы на основе индивидуальных паролей неэффективны, так как требуют ввода в систему и хранения каждого пароля, и, следовательно, плохо масштабируются. Для работы с массовыми пользователями очень желательно, чтобы межсетевой экран поддерживал технологию аутентификации на основе цифровых сертификатов стандарта X.509 и инфраструктуры публичных ключей (PKI), которая получает все большее распространение в Internet. Сертификаты позволяют разбить пользователей на несколько классов и предоставлять доступ в зависимости от принадлежности пользователя к определенному классу. Инфраструктура публичных ключей нужна для организации жизненного цикла сертификатов и позволяет, в частности, проверить подлинность предъявленного сертификата за счет проверки подлинности цифровой подписи сертифицирующей организации (Certificate Authority) или цепочки сертифицирующих организаций, если организация, выдавшая сертификат, не входит в перечень пользующихся на данном предприятии доверием сертификационных центров.
    Аутентификация на основе сертификатов может применяться не только к массовым клиентам, но и к сотрудникам предприятий-партнеров, а также и к собственным сотрудникам.
    Поддержка межсетевым экраном сертификатов и инфраструктуры публичных ключей приводит к исключительно масштабируемым системам аутентификации, так как в этом случае в системе требуется хранить только открытые ключи нескольких корневых сертифицирующих организаций и поддерживать протоколы взаимодействия с их серверами сертификатов. Для успешной работы в гетерогенной среде, порождаемой взаимодействием с различными пользователями и организациями, важно, чтобы средства безопасности могли поддерживать продукты PKI основных ведущих производителей, таких как Entrust, Netscape, Microsoft и т.п.

    Содержание раздела