Введение. Знакомство с терминологией.

Когда идет речь о защите информации, одним из важнейших аспектов является защита от несанкционированного доступа. Разумеется, крайне важным вопросом является обеспечение процедуры безопасной аутентификации. Совершенно очевидно, что любое разграничение полномочий, настройка прав доступа на ресурсы системы имеет смысл только в том случае, если мы уверены в том, что тот, кто пытается получить доступ, является легальным пользователем.

Прежде всего, целесообразно разобраться с терминологией.

• Идентификация — это процедура распознавания субъекта по его идентификатору.
• Аутентификация — процедура проверки подлинности, позволяющая достоверно убедиться в том, что, предъявивший свой идентификатор, на самом деле является именно тем, за кого он себя выдает. Для этого он должен подтвердить факт обладания некоторой информацией, которая может быть доступна только ему одному (пароль, ключ и т.п.).
• Авторизация — процедура предоставления определенных прав доступа к ресурсам системы после прохождения им процедуры аутентификации.

В данном случае под субъектом подразумевается любой участник безопасности, например, учетная запись пользователя, созданная в Службе Каталога Active Directory Domain Services.
Для того, чтобы обеспечить управление и контроль над данными процедурами, дополнительно используются процессы администрирования и аудита.
Для подтверждения своей подлинности необходимо предоставить некоторую секретную информацию. Существуют различные виды такой информации, которые можно обозначить одним термином «фактор аутентификации».
Фактор аутентификации — определенный вид информации, предоставляемый субъектом системе при его аутентификации. Аутентификация, в процессе которой используется только один тип аутентификационных факторов, называется однофакторной. Многофакторная аутентификация — процесс, в котором используется несколько факторов. Например, при регистрации пользователь должен использовать смарт-карту и пароль.

Особенности аутентификации по паролю. Риски парольной аутентификации и методы борьбы с ними.

Ну что же мы разобрались с основной терминологией и теперь поговорим о практике применения
Какой вид аутентификации используется чаще всего? Для пользователей наиболее широко используется аутентификация по секретной информации, которая неизвестна непосвящённым людям, здесь мы говорим о пароле. Чем длиннее пароль или идентификационная фраза, тем он более устойчив к взлому (сложнее поддается подбору, перебору или другим типам атак). К сожалению, длинные пароли обладают другими недостатками:

• их сложнее запомнить, а стало быть, пользователи их будут записывать, и есть высокая вероятность, что будут развешивать в виде стикера с на мониторах и в других легко доступных местах, что, несомненно, снижает безопасность. Кроме того, внедрение рекомендаций регулярной смены паролей приводит к тому, что запоминать что-то новое надо будет часто, что также приводит к усложнению работы пользователей, с которым не все готовы согласиться;
• их медленнее набирают — соответственно их проще подсмотреть;
  стремясь упростить для себя процесс запоминания, пользователи часто используют в качестве кодового слова осмысленные фразы (фамилии, имена, адреса, памятные даты, и. т. п.).
  Парольная аутентификация является наиболее простым методом аутентификации с точки зрения сложности реализации (не требуется внедрять инфраструктуру удостоверяющих центров) и по умолчанию присутствует в большинстве операционных систем.

Типовые атаки на пароль

Методы перебора паролей. Атака со словарем.

Злоумышленник, перебирая пароли, производит в специальном файле поиск, используя слова из большого заранее подготовленного им словаря. Злоумышленник зашифровывает каждое пробное значение с помощью того же алгоритма, что и программа регистрации.
Борьба с этим видом взлома не является слишком сложной, в этом случае следует использовать сложные длинные пароли, которые содержат различные типы символов, избегая осмысленных фраз.
Кроме этого, можно заблокировать учетную запись при неоднократном неправильном вводе пароля.
И, наконец, используя аудит, выявить источник атаки.

Социотехника, угадывание, подглядывание.

Злоумышленник представляется администратором и вынуждает пользователя или открыть свой пароль, или сменить его на указанный взломщиком. Здесь метод борьбы также понятен, пользователи должны быть проинформированы о недопущении разглашения своих учетных данных кому бы то ни было. В организации должны быть разработаны процедуры, запрещающие разглашение паролей другим лицам при любых обстоятельствах.
Более изощренный вариант такой атаки нацелен не на пользователей, а на администраторов. Злоумышленник представляется законным пользователем и просит администратора заменить пароль. Также он может представиться одним руководителей и попросить заменить пароль, расширить полномочия, и т. п.
Решение этой проблемы тоже лежит в организационной плоскости. Должна действовать корпоративная политика, согласно которой, администратор меняет пароль пользователя только при условии, что он может установить его личность и передать новый вариант пользователю безопасным способом. Есть и другие варианты атак, например, попробовать навести справки в отделе кадров, посмотреть на столе, покопаться в мусоре. И, собрав информацию о личности жертвы, попробовать угадать пароль. Иногда девичьей фамилии жены вполне достаточно для доступа к почте, размещенной на бесплатном почтовом сервере. А дальше, проанализировав переписку пользователя, взломщик может получить достаточно информации и для получения доступа к внутрикорпоративным данным.
Этот способ атаки, как не удивительно, часто оказывается эффективным и против административных учетных записей. Пароли P@ssw0rd, QWERTY123, и. т. п. по-прежнему еще можно встретить у пользователей, чьей задачей как раз и является недопущение подобного в информационных системах.
Для защиты от такой атаки следует использовать идентификационные фразы, не содержащие очевидных ассоциаций, например RQ12#lm25, лучше, чем Margo200576. Ну и опять нам на помощь приходит блокировка учетной записи при неоднократном неверном вводе пароля.
Что касается подглядывания при вводе пароля, то здесь нам отчасти могут помочь административные процедуры, запрещающие вводить свои учетные данные в присутствии других лиц и регулярная смена пароля пользователем, требования обязательной блокировки рабочей станции и т. п.

«Троянский конь»

Злоумышленник скрытно устанавливает программное обеспечение, имитирующее обычную регистрационную программу, и собирающее имена пользователей и пароли при попытках пользователей войти в систему. На компьютере подобные программы могут появиться и в результате заражения вирусами, или могут быть установлены самим пользователем, когда он пытается использовать какой-либо продукт нелегально, скачивая генератор серийных номеров.
Для защиты от этого вида атак следует использовать антивирусное программное обеспечение, программное обеспечение по оценке целостности файлов, ограничение на запуск несанкционированных приложений.

Принуждение

В этом случае, для того чтобы заставить пользователя открыть свой пароль, злоумышленник использует угрозы или физическое воздействие. В некоторых системах предусматривается возможность для пользователя подать сигнал о том, что вход осуществляется под принуждением. Обычно это реализуется посредством использования специального пароля при входе в систему – пароль «вход под принуждением».
Мы рассмотрели основные виды уязвимостей парольной аутентификации, и теперь посмотрим некоторые средства защиты, которые доступны посредством политик.

Методы защиты при использовании аутентификации по паролю

Для защиты паролей от взлома следует настроить соответствующую политику. Для этого необходимо с помощью меню Start->Administrative Tools-> Group Policy Management запустить консоль управления групповыми политиками GPMC, выбрать требуемый объект групповой политики раздел Computer Configuration->Policies->Security Settings->Account Policies->Password Policy См. Рис. 1 (Управление параметрами паролей).

Можно задать минимальную длину пароля, что позволит нам избежать коротких паролей (Minimum password length). Для того чтобы, пользователь задавал сложные пароли следует включить требование сложности (Password must meet complexity requirements).
Для обеспечения регулярной смены пароля нужно задать его максимальный срок жизни (Maximum password age).
Для того чтобы, пользователи не повторяли старые пароли, требуется настроить хранение истории паролей (Enforce password history).
Ну и наконец, для того, чтобы пользователь не менял свой пароль на старый путем многократной смены паролей, задать минимальный срок, в течение которого пароль нельзя поменять (Minimum password age).
Для того, защиты от атаки по словарю, настроим блокировку учетной записи при неоднократном неправильном вводе пароля. Для этого необходимо в консоли управления групповыми политиками GPMC выбрать требуемый объект групповой политики раздел Computer Configuration->Policies->Security Settings->Account Policies->Account Lockout Policy. См. Рис. 2 (Управление блокировкой учетной записи пользователя).


Рис. 2 Управление блокировкой учетной записи пользователя.

Для настройки окончательной блокировки учетной записи (до разблокирования ее администратором) следует задать нулевое значение параметру продолжительности блокировки (Account lockout duration).
В счетчике количества неуспешных попыток входа в сеть (Account lockout threshold) нужно указать требуемое значение. В большинстве случаев приемлемым вариантом является 3-5 попыток входа.
Наконец, следует задать интервал сброса счетчика неуспешных попыток (Reset account lockout counter after).
Для защиты от «троянских коней» следует использовать антивирусные средства и блокировку несанкционированного программного обеспечения.
Для ограничения возможностей пользователей по внесению вирусов в информационную систему, оправдано: настройка запрета на работу с внешними устройствами (CD, DVD, Flash), строгий режим работы UAC, использование отдельно стоящих Интернет киосков, на базе компьютеров не входящих в состав рабочей сети. И, наконец, внедрение строгих регламентов работы, определяющих правила работы пользователей в корпоративной сети (запрет передачи своих учетных данных кому бы то ни было, запрет оставлять свои учетные данные в доступных местах, требования обязательной блокировки рабочей станции при оставлении рабочего места, и. т. п.).
В результате, мы сможем добиться уменьшение рисков, связанных с нарушением безопасности компании.
Предположим, все это сделано. Тем не менее, говорить о том, что нам удалось обеспечить безопасную аутентификацию в своей системе, пока преждевременно.

Человеческий фактор – самая большая угроза!

Существуют еще угрозы, справиться с которыми нам не удалось. Одна из наиболее существенных – человеческий фактор. Пользователи наших информационных систем не всегда достаточно сознательны и, несмотря на разъяснения администраторов безопасности, записывают свои учетные данные (имя пользователя и пароль) и не заботятся о секретности этой конфиденциальной информации. Мне не раз доводилось обнаруживать стикеры на мониторе см. Рис. 3, или под клавиатурой см. рис. 4 с именем пользователя и паролем.

Рис. 3. Замечательный подарок злоумышленнику, не так ли?

Рис. 4. Еще один подарок взломщику.

Как мы можем видеть, в системе внедрены длинные и сложные пароли и ассоциативный ряд явно не просматривается. Тем не менее, пользователи нашли «эффективный» способ запоминания и хранения учетных данных…
Таким образом, вы видите, что в этом случае как раз и сработала особенность, о которой я говорил выше: Длинные и сложные пароли записываются, и могут храниться не надлежащим образом.

Инсайдинг

Еще одна существенная угроза безопасности заключается в потенциальной возможности физического доступа злоумышленника к рабочей станции легального пользователя и передача конфиденциальной информации третьим лицам. Т. е. речь идет о ситуации, когда внутри компании существует сотрудник, похищающий информацию у своих коллег.
Вполне очевидно, что «физическую» безопасность рабочей станции пользователя обеспечить очень трудно. В разрыв клавиатуры можно без труда подключить аппаратный клавиатурный шпион (keylogger), перехват сигнала от беспроводных клавиатур тоже возможен. Такие устройства существуют. Разумеется, кто попало не пройдет в офис компании, однако всем известно, что самым опасным является внутренний шпион. У него уже есть физический доступ к вашей системе, и разместить клавиатурный шпион, не составит труда, тем более эти устройства доступны широкому кругу лиц.
Таким образом, можно сделать вывод о ненадежности парольной аутентификации в принципе. Что нам может помочь?
Имеет смысл, рассмотреть двухфакторную аутентификацию. Доменный пароль больше не набирается на клавиатуре, значит, не перехватывается клавиатурным шпионом. Перехват пароля чреват возможностью входа, перехват пин кода не так опасен, т. к. требуется смарт карта.
На это можно возразить, что пользователь может оставить свою карту в считывателе, а пин написать на стикере, как и раньше. Однако существуют системы контроля, которые могут заблокировать оставленную карту как, это реализовано в банкоматах. Дополнительно существует возможность разместить на карте пропуск для входа/выхода из офиса, мы можем использовать карточку с RFID меткой, объединив систему аутентификации с системой разграничения физического доступа. В этом случае для того, чтобы открыть дверь пользователю потребуется его смарт карта и он будет вынужден ее всегда носить с собой.

Список литературы.

[1] www.rfc-archive.org/getrfc.php?rfc=4556
[2] www.rfc-archive.org/getrfc.php?rfc=4120
[3] NCSC-TG-017 — «A Guide to Understanding Identification and Authentication in Trusted Systems,» опубликованный U.S. National Computer Security Center.
[4] RFC4120 — The Kerberos Network Authentication Service (V5)
[5] RFC4556 — Public Key Cryptography for Initial Authentication in Kerberos (PKINIT)
[6] Brian Komar Windows Server 2008 PKI and Certificate Security

Статья опубликована в журнале «Системный администратор». Приводится с сокращениями.