Контрольные вопросы по безопасности компьютерных сетей для ДГТУ. Часть 3

1- Перечислите процедуры по входу пользователей в информационную систему. Дайте определения этих процедур.

• Идентификация — процесс распознавания пользователя по его идентификатору.
• Аутентификация — процедура проверки подлинности, доказательство что пользователь именно тот, за кого себя выдает.
• Авторизация — предоставление определённых прав.

2. Из каких подпроцедур состоит процедура «Администрирование»?

• Решение проблемных ситуаций: диагностика, локализация, устранение неисправностей, регистрация ошибок
• Управление ресурсами: учет, контроль использования ресурсов, выставление счетов за их пользование, ограничение доступа к ним
• Управление конфигурацией: обеспечение надежного и эффективного функционирования всех компонентов ИС
• Контроль производительности: сбор и анализ информации о работе отдельных ресурсов, прогнозирование степени удовлетворенности пользователей, меры по увеличению производительности
• Защита данных: управление доступом пользователей к ресурсам, обеспечение целостности данных, управление шифрованием

3. Перечислите компоненты системы аутентификации, приведите примеры.

• субъект, который будет проходить процедуру (Студент при входе в учетную запись)
• характеристика субъекта — отличительная черта (логин и пароль)
• хозяин системы аутентификации, несущий ответственность и контролирующий её работу (системный администратор ЧРТ)
• сам механизм аутентификации, то есть принцип работы системы (Программное обеспечение, проверяющее пароль)
• механизм, предоставляющий определённые права доступа или лишающий субъекта оных (разрешение использования файлов)

4. Назовите факторы аутентификации, приведите примеры.

• Три фактора аутентификации
• Знание чего либо — пароль, парольная фраза, ПИН-код
• Обладание чем либо — физический USB-токен, смарт-карта, ключ iButton
• Биометрические характеристики — голос, рисунок сетчатки глаза, отпечаток пальца

5. Что означает «однофакторная» и «многофакторная» система аутентификации? Приведите примеры.

• Аутентификацию, которая использует только один из вышеназванных факторов, называют однофакторной. Аутентификацию, в процессе которой применяется несколько факторов, называют многофакторной.
• При входе в учетную запись на компьютере через пароль используется однофакторная аутентификация

6. Поясните принцип работы системы аутентификации на основе сетевых адресов.

• Система аутентификации на основе сетевых адресов работает следующим образом: при попытке доступа к ресурсу (например, сайту или приложению) сетевой адрес (IP) пользователя проверяется на предмет соответствия определенным правилам доступа. Обычно это означает, что на сервере, к которому производится попытка доступа, заранее определен список допустимых IP-адресов, которым разрешен доступ к ресурсу. Если входящий IP совпадает с одним из адресов в списке, то аутентификация пользователя считается корректной, и доступ ему разрешается.
• Такой подход к аутентификации используется и в других случаях, например, при организации виртуальных частных сетей (VPN) с ограниченным доступом. Однако стоит учитывать, что такая система аутентификации не обеспечивает высокой степени безопасности, поскольку IP-адрес может быть подделан или скрыт с помощью прокси-серверов и других технологий. Поэтому рекомендуется дополнительно использовать другие методы аутентификации, например, логины и пароли, двухфакторную аутентификацию или биометрические технологии

7. Ка пользовании и настройке. Эта система позволяет контролировать доступ к ресурсам на основе IP-адресов пользователей, делая ненужным регистрацию пользователей или дополнительные пароли и логины.

• Однако, у такой системы есть и недостатки. IP-адрес может быть изменен или скомпрометирован, что может привести к несанкционированному доступу к ресурсам, которые должны быть ограничены только для определенного круга пользователей. Кроме того, если несколько пользователей используют один IP-адрес (например, в рамках одной компании или сети), то доступ к ресурсам может быть предоставлен или заблокирован неправомерно.
• В итоге, система аутентификации на основе сетевых адресов может быть удобной для небольших и несложных сетей, но для более крупных и сложных сетей необходимо использовать дополнительную аутентификацию и безопасность. кие преимущества и недостатки использования системы аутентификации на основе сетевых адресов?

8. Поясните принцип работы простой парольной аутентификации. На чем базируется стойкость пароля? Приведите достоинства и недостатки использования.

• Все простейшие системы аутентификации используют именно парольный принцип. При этом пользователю достаточно просто знать пароль и правильно ввести его, чтобы получить беспрепятственный доступ к ресурсу, который ему нужен. Поэтому парольная аутентификация является наиболее часто используемой.
• Единственным достоинством этого метода является его простота. Этот фактор и то, что метод пароля используется очень давно, появившись раньше, чем все прочие методы, позволяет применять его в большом количестве разнообразных компьютерных программ.
• Достоинства этого метода на этом завершились, зато его недостатки перечислить гораздо сложнее.
• Пользователи, благодаря собственной неискушенности, часто применяют пароли, которые можно легко и просто угадать. Чаще всего используется пароль в виде производной от идентификатора клиента. Иногда это и сам идентификатор, что очень предсказуемо. Пользователи берут в качестве пароля кличку своей собаки, имя собственного созданного сайта, название хоккейной команды, за которую болеют, фразу, которая является часто употребимой. Вскрыть подобный пароль умелому злоумышленнику не составляет труда. Есть список общеупотребимых фраз, слов и словосочетаний. Такие списки публикуются в общедоступной литературе, которую читают не только законопослушные граждане. Слишком короткие пароли легко подобрать.
• Пароль может быть попросту перехвачен или подсмотрен в процессе его ввода.
• Пароль можно просто выбить из владельца. Ведь иногда для получения доступа к важным сведениям могут применить и насилие.
• Самый простой способ узнать у пользователя его пароль – это притвориться администратором системы и связаться с пользователем. Тот сам легко и непринужденно откроет лже-администратору все свои секреты. Фишинг – последнее достижение лиходеев на этом поприще. Пользователь обманным путём завлекается на веб-страницу, которая является полной имитацией известной ему страницы разработанного сайта его банка, например. На этой странице он сам вводит все данные своей кредитной карты, чем и открывает мошенникам полный доступ к финансовым средствами, которые на ней находятся. Кстати, для предотвращения неприятностей такого рода и существует взаимная аутентификация, когда не только сервер убеждается в подлинности пользователя, который хочет получить доступ, но и пользователь имеет возможность удостовериться в том, что сервер, на который он попал, является именно тем, куда он и хотел отправиться.

9. Поясните принцип работы парольной аутентификации на основе хеш- функции. Приведите достоинства и недостатки использования.

• схема, в которой преобразовывается некоторое случайное число известным клиенту и серверу алгоритмом с ключом, рассчитанным по паролю. В качестве преобразовывающей функции обычно используют хеширование.
• База клиентов – самое уязвимое место таких схем. Ее можно украсть, а затем взломать тем или иным способом.
• Алгоритм SKEY предлагает другую схему, тоже использующую хеширование. Здесь клиент (А) генерирует некоторое достаточно большое случайное число R. Затем генерирует последовательность xi, где i изменяется от 1 до, например, 101. Причем xi= H(xi-1), а x1=R. Клиент (А) запоминает последовательность из 100 чисел в надежном месте, а 101-ое число направляет серверу (В). Сервер хранит 101-ое число в базе клиентов. Настройка протокола завершена.
• Схема взаимодействия в дальнейшем выглядит следующим образом. Клиент направляет серверу последнее число из хранимой последовательности, сразу удаляя его из этой последовательности. Сервер хеширует полученное число, сравнивает его с числом, хранимым в базе клиентов, убеждаясь в подлинности клиента. Если все благополучно, то новое число (не преобразованное) заменяет то, которое хранилось до сих пор.

10. Какие требования предъявляются к системам с парольной аутентификацией (к пользователям, администраторам, самим механизмам аутентификации)?

• К пользователям предъявляется требование на надежный пароль и сохранение его в тайне.
• К администраторам предъявляется требование правильного распределения прав пользователей и своевременное добавление или удаление учетных записей.
• От механизмов требуется надежность шифрования, своевременное информирование администратора в случае попытки взлома системы.

11. Поясните принцип работы парольной аутентификации на основе ОТР. Приведите достоинства и недостатки использования. Опишите работу метода в режиме «запрос-ответ».

• Одноразовые пароли (OTP, One-Time Passwords) — динамическая аутентификационная информация, генерируемая для единичного использования с помощью аутентификационных устройств (программных или аппаратных).
• Одноразовый пароль (OTP) неуязвим для атаки методом анализа сетевого трафика, что является значительным преимуществом перед запоминаемыми паролями. Несмотря на то, что злоумышленник может перехватить пароль методом анализа сетевого трафика, поскольку пароль действителен лишь один раз и в течение ограниченного промежутка времени, у злоумышленника в лучшем случае есть весьма ограниченная возможность представиться пользователем с помощью перехваченной информации.
• Метод «запрос-ответ»
• Пример аутентификации пользователя при использовании ОТР-токеном метода «запрос—ответ»:
• 1. Пользователь вводит свое имя пользователя на рабочей станции
• 2. Имя пользователя передается по сети в открытом виде.
• 3. Сервер аутентификации генерирует случайный запрос («31415926»)
• 4. Запрос передается по сети в открытом виде.
• 5. Пользователь вводит запрос в свой ОТР-токен.
• 6. ОТР-токен шифрует запрос с помощью секретного ключа пользователя («cft6yhnj»), в результате получается ответ («27182818»), который отображается на экране ОТР-токена.
• 7. Пользователь вводит этот ответ на рабочей станции.
• 8. Ответ передается по сети в открытом виде.
• 9. Аутентификационный сервер находит запись пользователя в аутентификационной базе данных и с помощью хранимого им секретного ключа пользователя зашифровывает тот же запрос.
• 10. Сервер сравнивает представленный ответ от пользователя («27182818») с вычисленным им самим ответом («27182818»).
• 11. При совпадении значений аутентификация считается успешной.

12. Дайте определение терминам: «биометрическая характеристика», «физиологические характеристики», «поведенческие характеристики». Приведите примеры двух последних.

• Биометрической характеристикой человека называется его измеряемая физическая характеристика или персональная поведенческая черта. Идентификация человека реализуется в процессе проверки БХЧ на идентичность зарегистрированному пользователю.
• Поведенческие черты личности – это характеристики поведения индивидума, отличающиеся относительной устойчивостью и постоянством проявления. Черта рассматривается как склонность человека вести себя определенным образом в разнообразных ситуациях. (Например склонность постоянно отводить взгляд при попытке солгать)
• 13. Опишите схему работы систем с биометрической аутентификацией. Приведите достоинства и недостатки использования.
• Биометрическая аутентификация выполняется путем сравнения физического аспекта, который вы представляете для аутентификации, с копией, которая была сохранена. Например, вы можете поместить палец на считыватель отпечатков пальцев для сравнения с сохраненным образцом. Если ваш отпечаток пальца совпадает с сохраненным образцом, то аутентификация считается успешной.
• Аутентификация, основанная на проверке биометрических характеристик чаще всего строится на таких биометрических характеристиках человека, как
• Отпечатки пальцев;
• Рисунок радужной оболочки глаза;
• Рукописный и клавиатурный почерк;
• Радужная оболочка глаз и сетчатка глаза;
• Голос;
• ИК тела человека.
• Достоинства биометрических методов аутентификации:
• Высокая степень достоверности аутентификации по биометрическим признакам (из-за их уникальности)
• Неотделимость биометрических признаков от дееспособной личности
• Трудность фальсификации биометрических признаков
• Недостатки:
• Стоимость;
• Невозможность удаленного доступа в некоторых случаях;
• Возможность отказа в доступе в случае повреждения ( порез на пальце не позволит разблокировать им телефон)

14. Какими коэффициентами описывается эффективность работы системы с биометрической аутентификацией? Приведите примеры.

• FAR — коэффициент ложного пропуска, т е. процент возникновения ситуации, когда система разрешает доступ пользователю, незарегистрированному в системе:
• FRR — коэффициент ложного отказа, т е. отказ в доступе настоящему пользователю системы.

15. Каковы особенности использования ассиметричных методов криптографии в системах аутентификации?

• В протоколах строгой аутентификации могут быть использованы асимметричные алгоритмы с открытыми ключами. В этом случае доказывающий может продемонстрировать знание секретного ключа одним из следующих способов:
• О расшифровать запрос, зашифрованный на открытом ключе;
• О поставить свою цифровую подпись на запросе.
• Пара ключей, необходимая для аутентификации, не должна использоваться для других целей (например, для шифрования) по соображениям безопасности. Следует также предостеречь потенциальных пользователей о том, что выбранная система с открытым ключом должна быть устойчивой к атакам с выборкой шифрованного текста даже в том случае, если нарушитель пытается получить критичную информацию, выдавая себя за проверяющего и действуя от его имени.

16. В каких случаях используются симметричные/ассиметричные методы криптографии в системах аутентификации?

• Симметричное шифрование используется, например, в банковских переводах и при оплате онлайн.
• Асимметричное шифрование применяется в различных протоколах таких, как SSH, OpenPGP, S/MIME, и SSL/TLS, а также в различных системах, требующих установки безопасного соединения в незащищенной сети или проверки цифровой подписи.

17. Приведите схему работы системы аутентификации на основе ассиметричных методов криптографии (с одним ГСЧ и с двумя).

• Система аутентификации на основе ассиметричных методов криптографии состоит из трех фаз: регистрации, хранения и проверки подлинности. Схема работы такой системы сильно зависит от количества генерируемых случайных чисел (ГСЧ).
• Схема с одним ГСЧ следующая:
• 1) Пользователь генерирует свою пару ключей: открытый и закрытый. Открытый ключ передается серверу (SA), а закрытый ключ хранится у пользователя.
• 2) SA генерирует случайное число (ГСЧ), шифрует его с помощью открытого ключа пользователя и отправляет ему.
• 3) Пользователь расшифровывает ГСЧ с помощью своего закрытого ключа и отправляет обратно SA.
• 4) SA проверят, что полученное число совпадает с сгенерированным ранее. Если проверка пройдена, SA продолжает работу с пользователем.
• Схема с двумя ГСЧ:
• 1) Пользователь генерирует свою пару ключей: открытый и закрытый. Открытый ключ передается серверу (SA), а закрытый ключ хранится у пользователя.
• 2) SA генерирует два случайных числа (ГСЧ1 и ГСЧ2), шифрует их с помощью открытого ключа пользователя и отправляет ему.
• 3) Пользователь расшифровывает ГСЧ1 с помощью своего закрытого ключа, генерирует из него новое случайное число (ГСЧ3), шифрует его с помощью открытого ключа SA и отправляет на сервер.
• 4) SA расшифровывает ГСЧ3 с помощью своего закрытого ключа, генерирует случайное число (ГСЧ4) и отправляет его обратно пользователю, зашифровав с помощью открытого ключа пользователя.
• 5) Пользователь расшифровывает ГСЧ4 с помощью своего закрытого ключа, использует ГСЧ1 и ГСЧ2 для проверки подлинности сервера, и если проверка пройдена, продолжает работу с SA.
• Обе схемы на основе ассиметричных методов криптографии обеспечивают безопасное общение пользователей и серверов, гарантированно защищают данные от «прослушивания» третьих лиц или перехвата их в пути и защищают от недостоверности передаваемых данных, так как проверка аутентичности сервера всегда выполняется до начала передачи информации и ее обработки.