Огляд програмних засобів
· У системі Kerberos клієнт повинен доводити свою автентичність для доступу до кожної службі, послуги якої він викликає.
· Будь-хто обміни даними в мережі виконуються в захищеному вигляді з використанням алгоритму шифрування.
Мережева служба Kerberos побудована по архітектурі клієнт-сервер, що дозволяє їй працювати в найскладніших мережах. Kerberos-клієнт встановлюється на всіх комп'ютерах мережі, які можуть звернеться до будь-якої мережевої служби. У таких випадках Kerberos-клієнт від імені користувача передає запит на Kerberos-сервер і підтримує з ним діалог, необхідний для виконання функцій системи Kerberos.
2. Отримання дозволу на звернення до ресурсного сервера.
3. Отримання дозволу на доступ до ресурсу.
Для вирішення першої і другої задачі клієнт звертається до Kerberos-сервера. Кожна з цих завдань вирішується окремим сервером, що входять до складу Kerberos-сервера. Виконання первинної аутентифікації і видача дозволу на продовження процесу діставання доступу до ресурсу здійснюється так званим аутентифікаційних сервером (Authentication Server, AS). Цей сервер зберігає в своїй базі даних інформацію про ідентифікатори і паролі користувачів.
Другу задачу, пов'язану з отриманням дозволу на звернення до ресурсного сервера, вирішує інша частина Kerberos-сервера - сервер квитанцій (Ticket-Granting Server, TGS). Сервер квитанцій для легальних клієнтів виконує додаткову перевірку і дає клієнтові дозвіл на доступ до потрібного йому ресурсному серверу, для чого наділяє його електронною формою-квитанцією. Для виконання своїх функцій сервер квитанцій використовує копії секретних ключів всіх ресурсних серверів, які зберігаються у нього в базі даних. Крім цих ключів сервер TGS має ще один секретний DES-ключ, який розділяє з сервером AS.
Третє завдання - отримання дозволу на доступ безпосередньо до ресурсу - вирішується на рівні ресурсного сервера.
Вивчаючи досить складний механізм системи Kerberos, не можна не задатися питанням: який вплив чинять всі ці численні процедури шифрування і обміну ключами на продуктивність мережі, яку частину ресурсів мережі вони споживають і як це позначається на її пропускної здатності?
Відповідь досить оптимістичний - якщо система Kerberos реалізована і налаштована правильно, вона незначно зменшує продуктивність мережі. Так як квитанції використовуються багаторазово, мережеві ресурси, що витрачаються на запити надання квитанцій, невеликі. Хоча передача квитанції при аутентифікації логічного входу кілька знижує пропускну здатність, такий обмін повинен здійснюватися і при використанні будь-яких інших систем і методів аутентифікації. Додаткові ж витрати незначні. Досвід впровадження системи Kerberos показав, що час відгуку при встановленій системі Kerberos істотно не відрізняється від часу відгуку без неї - навіть в дуже великих мережах з десятками тисяч вузлів. Така ефективність робить систему Kerberos вельми перспективною.
Серед вразливих місць системи Kerberos можна назвати централізоване зберігання всіх секретних ключів системи. Успішна атака на Kerberos-сервер, в якому зосереджена вся інформація, критична для системи безпеки, призводить до краху інформаційного захисту всієї мережі. Альтернативним рішенням могла б бути система, побудована на використанні алгоритмів шифрування з парними ключами, для яких характерне розподілене зберігання секретних ключів.
Ще однією слабкістю системи Kerberos є те, що вихідні коди тих додатків, доступ до яких здійснюється через Kerberos, повинні бути відповідним чином модифіковані. Така модифікація називається «керберізаціей» додатка. Деякі постачальники продають «керберізірованние» версії своїх додатків. Але якщо немає такої версії і немає вихідного тексту, то Kerberos не може забезпечити доступ до такого додатку. [6]
Як говорилося вище, серед безлічі протоколів можна виділити найбільш поширені.
NetBEUI - розширений інтерфейс NetBIOS. Спочатку NetBEUI і NetBIOS були тісно пов'язані і розглядалися як один протокол, потім виробники їх відособили і зараз вони розглядаються окремо. NetBEUI - невеликий, швидкий і ефективний протокол транспортного рівня, який поставляється з усіма мережевими продуктами фірми Microsoft. До переваг NetBEUI відносяться невеликий розмір стека, висока швидкість передачі даних і сумісність з усіма мережами Microsoft. Основний недолік - він не підтримує маршрутизацію, це обмеження стосується всіх мереж Microsoft.
Xerox Network System (XNS) був розроблений фірмою Xerox для своїх мереж Ethernet. Його широке застосування почалося з 80 = х років, але поступово він був витіснений протоколом TCP / IP. XNS - великий і повільний протокол, до того ж він застосовує значна кількість широкомовних повідомлень, що збільшує трафік мережі.
Набір протоколів OSI - повний стек протоколів, де кожен протокол відповідає конкретному рівню моделі OSI. Набір містить маршрутизовані і транспортні протоколи, серії протоколів IEEE Project 802, протокол сеансового рівня, представницького рівня і декількох протоколів прикладного рівня. Вони забезпечують повнофункціональний мережі, включаючи доступ до файлів, друк і т.д. [1]
Особливо слід зупинитися на стекупротоколів IPX / SPX. Цей стек є оригінальним стеком протоколів фірми Novell, який вона розробила для своєї мережевої операційної системи NetWare ще на початку 80-х років. Протоколи Internetwork Packet Exchange (IPX) і Sequenced Packet Exchange (SPX), які дали ім'я стека, є прямою адаптацією протоколів XNS фірми Xerox, поширених в набагато менше ступеня, ніж IPX / SPX. За кількістю установок протоколи IPX / SPX лідирують, і це обумовлено тим, що сама ОС NetWare займає лідируюче положення з часткою установок в світовому масштабі приблизно в 65%.
Сімейство протоколів фірми Novell і їх відповідність моделі ISO / OSI представлено на рис. 7
На фізичному і канальному рівнях в мережах Novell використовуються всі популярні протоколи цих рівнів (Ethernet, Token Ring, FDDI і інші).
Транспортному рівню моделі OSI в стеці Novell відповідає протокол SPX, який здійснює передачу повідомлень з встановленням з'єднань.
На верхніх прикладному, представницькому і сеансовому рівнях працюють протоколи NCP і SAP. Протокол NCP (NetWare Core Protocol) є протоколом взаємодії сервера NetWare і оболонки робочої станції. Цей протокол прикладного рівня реалізує архітектуру клієнт-сервер на верхніх рівнях моделі OSI. За допомогою функцій цього протоколу робоча станція проводить підключення до сервера, відображає каталоги сервера на локальні букви дисководів, переглядає файлову систему сервера, копіює вилучені файли, змінює їх атрибути і т.п. а також здійснює розподіл мережевого принтера між робочими станціями.
У мережах Novell сервери NetWare 3.x кожну хвилину розсилають широкомовні пакети SAP. Пакети SAP в значній мірі засмічують мережу, тому однією з основних завдань маршрутизаторів, що виходять на глобальні зв'язку, є фільтрація трафіку SAP-пакетів і RIP-пакетів.
Особливості стека IPX / SPX обумовлені особливостями ОС NetWare, а саме орієнтацією її ранніх версій на роботу в локальних мережах невеликих розмірів, що складаються з персональних комп'ютерів зі скромними ресурсами. Тому Novell потрібні були протоколи, на реалізацію яких була мінімальна кількість оперативної пам'яті і які б швидко працювали на процесорах невеликої обчислювальної потужності. В результаті, протоколи стека IPX / SPX донедавна добре працювали в локальних мережах і не дуже - в великих корпоративних мережах, так як занадто перевантажували повільні глобальні зв'язки широкомовними пакетами, які інтенсивно використовуються декількома протоколами цього стека (наприклад, для встановлення зв'язку між клієнтами і серверами).
Ця обставина, а також той факт, що стек IPX / SPX є власністю фірми Novell і на його реалізацію потрібно отримувати у неї ліцензію, довгий час обмежували поширеність його тільки мережами NetWare. Однак до моменту випуску версії NetWare 4.0, Novell внесла і продовжує вносити в свої протоколи серйозні зміни, спрямовані на пристосування їх для роботи в корпоративних мережах. Зараз стек IPX / SPX реалізований не тільки в NetWare, але і в декількох інших популярних мережевих ОС - SCO UNIX, Sun Solaris, Microsoft Windows NT. [8]