Лабораторная работа №1 по МДК.02.02 Технология применения комплексной защиты информации в телекоммуникационных системах и информационно-коммуникационных сетях связи наименование работы: Программная аутентификация и идентификация в сетевых операционных системах.

Смоленский колледж телекоммуникаций
(филиал) федерального государственного
бюджетного образовательного учреждения высшего образования
«Санкт-Петербургский государственный университет телекоммуникаций
им. проф. М.А. Бонч-Бруевича»














Лабораторная работа №1

по МДК.02.02 Технология применения комплексной защиты информации в телекоммуникационных системах и информационно-коммуникационных сетях связи
наименование работы: Программная аутентификация и идентификация в сетевых операционных системах.
по специальности:11.02.11
работа рассчитана на 2 часа
составлена преподавателем: Скряго О.С.











Смоленск, 2016

1.Цель работы: овладеть навыками создание, изменения, удаление учетных записей и групп; овладения навыками задания и изменения пароля.
2.Информационные ресурсы:
Гришина, Н.В. Комплексная система защиты информации на предприятии: учебное пособие/ Н.В. Гришина.- М.:ФОРУМ, 2011 – 240 с.: ил. – ISBN 978-5-91134-369-9
Мельников, В.П. Информационная безопасность: учебное пособие для СПО/ В.П. Мельников - М.: Академия, 2013-336 с.: ил.- ISBN 978-5-7695-9954-5
3.Вопросы домашней подготовки:
Сформулируйте определение идентификации.
Сформулируйте определение аутентификации.
3.3 Какая бывает аутентификации?
4.Основное оборудование:
4.1. ПЭВМ;
4.2. ПО:
4.2.1. Microsoft Windows 7;
4.2.2. Microsoft Office 2007 Plus;
4.2.3 Microsoft Windows Server 2003/
5.Задание:
5.1. Создайте доменную учетную запись под своей фамилией:
– имеет доступ ко всем ресурсам сети,
– может осуществлять вход на любой компьютер.
Указания к выполнению
1. Выполните команду start – all programs – administrative tools –active directory users and computers (пуск – программы –администрирование – пользователи и компьютеры active directory).
2. Раскройте папку faculty.ru в левой панели окна. во вложенных папках выберите users (пользователи).
3. В меню action (действие) выберите команду new – user (содать –пользователь).
4. Введите необходимые сведения о пользователе. в разделе user logon name (имя пользователя при входе в систему) введите Свою фамилию (Иванов).
Обратите внимание на то, что при создании доменной учетной записи, в
отличие от локальной, после имени пользователя отображается имя домена,
отделенное от последнего знаком @. таким образом, полное имя пользователя (user logon name) – dean@faculty.ru.
5. При определении пароля пользователя обязательно установите флажок user must change password at next logon (пользователь должен сменить пароль при следующем входе в систему).
6. Завершите создание учетной записи.
7. В правой панели найдите учетную запись. Дважды щелкните по ней,
чтобы внести дополнительные сведения (адрес, организация и т. д.).
8. Убедитесь в том, что бы Вы можете входить в систему в любое время
(вкладка account – logon hours (учетная запись – часы входа)).
9. Попробуйте войти в домен под учетной записью свой фамилии.
Почему
попытка не удалась?
Запишите в отчет причину отказа.
10. Зарегистрируйтесь в системе как администратор.
11. Посмотрите свойство своей учетной записи, снова выполнив
команду start – all programs – administrative tools – active directory users
and computers. в окне свойств учетной записи выберите вкладку member of
(членство в группах) и добавьте учетную запись декана в глобальную
группу администраторы домена с помощью следующих команд add –
advanced – find now (добавить – дополнительно – найти) из
полученного списка выберите domain admins (администраторы домена).
12. Повторите попытку войти в домен под учетной записью своей фамилии.
13. После входа в систему под учетной записью администратора
смените пароль своей учетной записи и снова задайте необходимость смены пароля при следующем входе в систему.
Задание 2. Заполните таблицы, содержащие сведения о членах домена.
таблицы должны помогать планировать и создавать учетные записи домена.
пример заполнения таблиц для группы пользователей Своя фамилия и
учетной записи студент смотрите ниже.













Порядок выполнения работы:
Повторить требования по соблюдению техники безопасности.
Включение ПК должно производиться в следующей последовательности:
Включить принтер (если он нужен);
Включить монитор;
включить системный блок.
Перед выключением компьютера завершите все работающие программы и подождите 1-2 сек. (это необходимо, если на вашем ПК предусмотрено кэширование дисков). Далее необходимо:
выключить системный блок;
выключить принтер (если он был включен);
выключить монитор.
. Ознакомиться с пунктами практической работы;
. Оформите свой отчет согласно седьмому пункту данной лабораторной работы;
6.3. Выполните задания 5.1-5.2 ; 6.4 Сделайте вывод о проделанной работе.
Содержание отчета:
Название, цель работы, задание данной лабораторной работы.
Номер варианта, условие задания своего варианта и описание хода выполнения.
Перечень контрольных вопросов.
Вывод о проделанной работе.
Контрольные вопросы:
8.1. Сформулируйте определения пароля?
8.2. Опишите классификацию аутентификации?
8.3. Какие основные атаки на протоколы аутентификации Вы знаете?
. Что необходимо сделать для предотвращения атак при построении протоколов аутентификации?
8.5. Сформулируйте определение авторизации.

Составлено преподавателем _______________ Скряго О.С.

Приложение
С каждым зарегистрированным в компьютерной системе субъектом (пользователем или процессом, действующим от имени пользователя) связана некоторая информация, однозначно идентифицирующая его. Это может быть число или строка символов, именующие данный субъект. Эту информацию называют идентификатором субъекта. Если пользователь имеет идентификатор, зарегистрированный в сети, он считается легальным (законным) пользователем; остальные пользователи относятся к нелегальным пользователям. Прежде чем получить доступ к ресурсам компьютерной системы, пользователь должен пройти процесс первичного взаимодействия с компьютерной системой, который включает идентификацию и аутентификацию.
Идентификация (Identification)  процедура распознавания пользователя по его идентификатору (имени). Эта функция выполняется, когда пользователь делает попытку войти в сеть. Пользователь сообщает системе по ее запросу свой идентификатор, и система проверяет в своей базе данных его наличие.
Аутентификация (Authentication)  процедура проверки подлинности заявленного пользователя, процесса или устройства. Эта проверка позволяет достоверно убедиться, что пользователь (процесс или устройство) является именно тем, кем себя объявляет. При проведении аутентификации проверяющая сторона убеждается в подлинности проверяемой стороны, при этом проверяемая сторона тоже активно участвует в процессе обмена информацией. Обычно пользователь подтверждает свою идентификацию, вводя в систему уникальную, не известную другим пользователям информацию о себе (например, пароль или сертификат).
Идентификация и аутентификация являются взаимосвязанными процессами распознавания и проверки подлинности субъектов (пользователей). Именно от них зависит последующее решение системы: можно ли разрешить доступ к ресурсам системы конкретному пользователю или процессу. После идентификации и аутентификации субъекта выполняется его авторизация.
Авторизация (Authorization)  процедура предоставления субъекту определенных полномочий и ресурсов в данной системе. Иными словами, авторизация устанавливает сферу его действия и доступные ему ресурсы. Если система не может надежно отличить авторизованное лицо от неавторизованного, то конфиденциальность и целостность информации в этой системе могут быть нарушены. Организации необходимо четко определить свои требования к безопасности, чтобы принимать решения о соответствующих границах авторизации.
С процедурами аутентификации и авторизации тесно связана процедура администрирования действий пользователя.
Администрирование (Accounting)  регистрация действий пользователя в сети, включая его попытки доступа к ресурсам. Хотя эта учетная информация может быть использована для выписывания счета, с позиций безопасности она особенно важна для обнаружения, анализа инцидентов безопасности в сети и соответствующего реагирования на них. Записи в системном журнале, аудиторские проверки и ПО accounting все это может быть использовано для обеспечения подотчетности пользователей, если что-либо случится при входе в сеть с их идентификатором.
Необходимый уровень аутентификации определяется требованиями безопасности, которые установлены в организации. Общедоступные Web-серверы могут разрешить анонимный или гостевой доступ к информации. Финансовые транзакции могут потребовать строгой аутентификации. Примером слабой формы аутентификации может служить использование IP-адреса для определения пользователя. Подмена (spoofing) IP-адреса может легко разрушить механизм аутентификации. Надежная аутентификация является тем ключевым фактором, который гарантирует, что только авторизованные пользователи получат доступ к контролируемой информации.
При защите каналов передачи данных должна выполняться взаимная аутентификация субъектов, т. е. взаимное подтверждение подлинности субъектов, связывающихся между собой по линиям связи. Процедура подтверждения подлинности выполняется обычно в начале сеанса установления соединения абонентов. Термин «соединение» указывает на логическую связь (потенциально двустороннюю) между двумя субъектами сети. Цель данной процедуры обеспечить уверенность, что соединение установлено с законным субъектом и вся информация дойдет до места назначения.
Для подтверждения своей подлинности субъект может предъявлять системе разные сущности. В зависимости от предъявляемых субъектом сущностей процессы аутентификации могут быть разделены на основе:  знания чего-либо. Примерами могут служить пароль, персональный идентификационный код PIN (Personal Identification Number), а также секретные и открытые ключи, знание которых демонстрируется в протоколах типа запросответ;  обладания чем-либо. Обычно это магнитные карты, смарт-карты, сертификаты и устройства touch memory; каких-либо неотъемлемых характеристик. Эта категория включает методы, базирующиеся на проверке биометрических характеристик пользователя (голоса, радужной оболочки и сетчатки глаза, отпечатков пальцев, геометрии ладони и др.). В данной категории не используются криптографические методы и средства. Аутентификация на основе биометрических характеристик применяется для контроля доступа в помещения или к какой-либо технике.
Пароль  это то, что знает пользователь и другой участник взаимодействия. Для взаимной аутентификации участников взаимодействия может быть организован обмен паролями между ними.
Персональный идентификационный номер PIN (Personal Identification Number) является испытанным способом аутентификации держателя пластиковой карты и смарт-карты. Секретное значение PIN-кода должно быть известно только держателю карты.
Динамический (одноразовый) пароль  это пароль, который после однократного применения никогда больше не используется. На практике обычно используется регулярно меняющееся значение, которое базируется на постоянном пароле или ключевой фразе.
Система запросответ. Одна из сторон инициирует аутентификацию с помощью посылки другой стороне уникального и непредсказуемого значения «запрос», а другая сторона посылает ответ, вычисленный с помощью «запроса» и секрета. Так как обе стороны владеют одним секретом, то первая сторона может проверить правильность ответа второй стороны.
Сертификаты и цифровые подписи. Если для аутентификации используются сертификаты, то требуется применение цифровых подписей на этих сертификатах. Сертификаты выдаются ответственным лицом в организации пользователя, сервером сертификатов или внешней доверенной организацией. В рамках Интернета появились коммерческие инфраструктуры управления открытыми ключами PKI (Public Key Infrastructure) для распространения сертификатов открытых ключей. Пользователи могут получить сертификаты различных уровней.
Процессы аутентификации можно также классифицировать по уровню обеспечиваемой безопасности. В соответствии с этим процессы аутентификации разделяются на следующие типы: аутентификация, использующая пароли и PIN-коды; строгая аутентификация на основе использования криптографических методов и средств; биометрическая аутентификация пользователей.
С точки зрения безопасности каждый из перечисленных типов способствует решению своих специфических задач, поэтому процессы и протоколы аутентификации активно используются на практике. Основные атаки на протоколы аутентификации:  маскарад (impersonation). Пользователь выдает себя за другого с целью получения полномочий и возможности действий от лица другого пользователя;  подмена стороны аутентификационного обмена (interleaving attack). Злоумышленник в ходе данной атаки участвует в процессе аутентификационного обмена между двумя сторонами с целью модификации проходящего через него трафика;  повторная передача (replay attack) заключается в повторной передаче аутентификационных данных каким-либо пользователем;  принудительная задержка (forced delay). Злоумышленник перехватывает некоторую информацию и передает ее спустя некоторое время;  атака с выборкой текста (chosen-text attack). Злоумышленник перехватывает аутентификационный трафик и пытается получить информацию о долговременных криптографических ключах.
Для предотвращения таких атак при построении протоколов аутентификации применяются: использование механизмов типа «запросответ», «отметка времени», случайных чисел, идентификаторов, цифровых подписей; привязка результата аутентификации к последующим действиям пользователей в рамках системы. Примером подобного подхода может служить осуществление в процессе аутентификации обмена секретными сеансовыми ключами, которые используются при дальнейшем взаимодействии пользователей; периодическое выполнение процедур аутентификации в рамках уже установленного сеанса связи и т. п.
Механизм «запросответ» состоит в следующем. Если пользователь А хочет быть уверенным, что сообщения, получаемые им от пользователя В, не являются ложными, он включает в посылаемое для В сообщение непредсказуемый элемент запрос X (например, некоторое случайное число). При ответе пользователь В должен выполнить над этим элементом некоторую операцию (например, вычислить некоторую функцию f(X). Это невозможно осуществить заранее, так как пользователю В неизвестно, какое случайное число X придет в запросе. Получив ответ с результатом действий В, пользователь А может быть уверен, что В  подлинный. Недостаток этого метода возможность установления закономерности между запросом и ответом.
Механизм «отметка времени» подразумевает регистрацию времени для каждого сообщения. В этом случае каждый пользователь сети определяет, насколько «устарело» пришедшее сообщение, и решает не принимать его, поскольку оно может быть ложным. В обоих случаях для защиты механизма контроля следует применять шифрование, чтобы быть уверенным, что ответ послан не злоумышленником. При использовании отметок времени возникает проблема допустимого временного интервала задержки для подтверждения подлинности сеанса: сообщение с «временным штемпелем» в принципе не может быть передано мгновенно. Кроме того, компьютерные часы получателя и отправителя не могут быть абсолютно синхронизированы.
При сравнении и выборе протоколов аутентификации необходимо учитывать следующие характеристики: наличие взаимной аутентификации. Это свойство отражает необходимость обоюдной аутентификации между сторонами аутентификационного обмена;  вычислительную эффективность. Это количество операций, необходимых для выполнения протокола;  коммуникационную эффективность. Данное свойство отражает количество сообщений и их длину, необходимую для осуществления аутентификации;  наличие третьей стороны. Примером третьей стороны может служить доверенный сервер распределения симметричных ключей или сервер, реализующий дерево сертификатов для распределения открытых ключей;  гарантии безопасности. Примером может служить применение шифрования и цифровой подписи.










HYPER13PAGE HYPER15


HYPER13PAGE HYPER142HYPER15




HYPER15Основной шрифт абзаца

Приложенные файлы

  • doc 140
    скряго
    Размер файла: 233 kB Загрузок: 6

Добавить комментарий