CSO, США

Два знаменитых университета в течение многих лет эксплуатируют системы идентификации и управления доступом собственной разработки; сравнить сильные стороны и ограничения классических систем полезно любому менеджеру информационной безопасности

В МТИ в 80-х годах разработали одну из первых в мире систем управления идентификацией. Система, получившая название Kerberos, была предназначена для того, чтобы предоставить пользователям сетевых рабочих станций под управлением ОС Unix возможность проходить процедуры идентификации и аутентификации для получения доступа к сервисам, которые работали на других компьютерахКембридже (шт. Массачусетс) по соседству располагаются два знаменитых университета — Гарвард и МТИ. В обоих университетах развернуты крупные корпоративные сети с весьма впечатляющим набором компьютерного оборудования — и стандартного, и очень специфического. Оба вуза имеют десятки тысяч мобильных пользователей. Обоим нужен высокий уровень защищенности компьютерной сети — университеты постоянно подвергаются атакам, причем как снаружи, так и изнутри.

Массачусетский технологический институт и Гарвардский университет присутствуют в Internet с начала 70-х годов. Масштабные кампусные сети были развернуты здесь еще в то время, когда мало у кого имелось даже коммутируемое соединение. Не удивительно, что здесь были разработаны собственные системы управления идентификационной информацией (identity management). Удивляет то, что базовые архитектуры и реализации двух этих систем кардинальным образом отличались друг от друга, хотя во многих случаях обладали схожей функциональностью и решали схожие задачи.

Угрюмый пес на страже

В МТИ в 80-х годах разработали одну из первых в мире систем управления идентификацией. Система, получившая название Kerberos, была предназначена для того, чтобы предоставить пользователям сетевых рабочих станций под управлением ОС Unix возможность проходить процедуры идентификации и аутентификации для получения доступа к сервисам, которые работали на других компьютерах.

При проектировании Kerberos разработчики ставили перед собой совершенно конкретные цели. В МТИ прекрасно понимали, что не смогут запретить студентам запускать собственные анализаторы пакетов, поэтому основная задача заключалась в том, чтобы предоставить любому пользователю университетской сети возможность доступа к любым сетевым сервисам без пересылки пароля по локальной сети. Задача эта решалась с помощью сложной системы, которая работала на компьютерах пользователей и получала зашифрованные «мандаты» с центрального сервера Kerberos.

Когда студент или постоянный сотрудник МТИ проходит процедуру регистрации, компьютер запрашивает у сервера Kerberos специальный «мандат на выдачу мандатов». Сервер Kerberos посылает мандат, зашифрованный с помощью пароля пользователя. Если компьютер в состоянии расшифровать мандат, пользователь может запрашивать другие мандаты на получение доступа к конкретным сервисам. В рамках Project Athena, масштабного проекта МТИ, система Kerberos использовалась для пересылки сообщений электронной почты, для доступа к файлам и даже для отправки заданий на печать (у каждого студента имелся ежемесячный лимит на получение распечаток).

К концу 80-х годов система Kerberos получила достаточно широкое распространение. В 90-е годы ее взяли на вооружение многие поставщики Unix-систем. Корпорация Microsoft включила поддержку Kerberos в операционную систему Windows 2000.

Система Kerberos приобрела репутацию очень надежной системы, но при этом она отличалась сложностью настройки конфигурации и использования. Обе характеристики были получены вполне заслуженно. Главное препятствие заключалось в том, что любое приложение для работы с Kerberos приходилось специальным образом адаптировать, и этот процесс оказался весьма трудоемким. Особенно сложно было адаптировать многочисленные и стремительно развивавшиеся Web-браузеры. В конце 90-х в МТИ реализовали вторую версию корпоративной системы аутентификации на базе технологии SSL и клиентских цифровых сертификатов X.509, которые использовались параллельно с Kerberos. Студентам и сотрудникам имена и пароли Kerberos выдавались при поступлении в институт. Заведя учетную запись Kerberos, они могли заходить на специальный сайт и получать сертификат MIT Certificate путем ввода имени пользователя Kerberos, пароля и идентификационного номера MIT ID.

Сочетание Kerberos с клиентскими сертификатами породило крайне неудобную и противоречивую систему. Некоторые сервисы сертифицировались Kerberos, другие получали удостоверение MIT Certificate, и было неясно, какая сертификация и почему используется тем или иным сервисом. К примеру, студенту, желавшему ознакомиться с приказом о назначении стипендии, для доступа к студенческому сайту МТИ нужно было получить удостоверение MIT Certificate (сертификаты SSL считались секретными). Студент, который хотел прочитать свою почту через Web, обращался к другому сайту, вводя имя пользователя и пароль Kerberos. При создании разных вариантов разработчики исходили из того, что студенты будут читать почту в Internet-кафе и на компьютерах друзей, то есть там, где копии удостоверений MIT Certificate оставлять нельзя. К сожалению, из этого следовало, что пароли Kerberos студентов могли быть украдены в Internet-кафе с помощью программ, регистрирующих нажатия клавиш (так называемые «клавиатурные шпионы»). Утешало лишь то, что владелец сколько-нибудь ценных ресурсов, обладавший паролем Kerberos, вряд ли использовал компьютеры в Internet-кафе. Такие люди носили с собой собственные ноутбуки.

Другая трудность, связанная с корпоративной аутентификацией МТИ, обусловлена тем, что последняя не работает за пределами института. Библиотеки института подписаны на сотни электронных информационных услуг. Соответствующие организации отказываются принимать как мандаты Kerberos, так и удостоверения MIT Certificate. Вместо этого аутентификация студентов и сотрудников МТИ осуществляется по IP-адресам. Это не вызывает никаких осложнений у пользователей, которые находятся непосредственно в зданиях института. Преподаватели и студенты, пребывающие вне его стен, могут либо запустить клиент MIT Virtual Private Network (аутентификация пользователей осуществляется по их паролю Kerberos), либо обратиться к одному из специальных прокси-серверов, установленных в библиотеках института (в этом случае аутентификация производится по удостоверениям MIT Certificate). Обе эти системы создают туннель между пользовательским компьютером и институтской сетью, поэтому, с точки зрения независимых поставщиков информации, клиент находится в зданиях института и использует IP-адрес МТИ.

Один человек — один идентификатор

Всего в нескольких километрах от МТИ, в Гарвардском университете, применяется совершенно иной подход. Здесь создали унифицированную систему идентификации и аутентификации, получившую название Harvard PIN. Подобно Kerberos, система Harvard PIN также была построена на основе традиционного ввода имени пользователя и его пароля. Но на этом сходство заканчивается.

Если имя пользователя, применяемое в системе Kerberos, представляет собой адрес электронной почты студента или постоянного сотрудника МТИ, то имя пользователя в системе Harvard PIN — это персональный идентификационный номер Harvard ID, состоящий из восьми цифр. Поскольку этот номер мало где используется, при проведении атаки подобрать его гораздо труднее. Кроме того, пароли Гарвардского университета обеспечивают значительно более высокий уровень безопасности. Пароли PIN должны иметь длину не меньше восьми знаков, включать хотя бы одну цифру или специальный символ, содержать как прописные, так и строчные буквы и по крайней мере пять разных символов. На то, чтобы придумать PIN-код, который был бы достаточно сложным, удовлетворял требованиям, предъявляемым системой Гарварда, но при этом отложился бы у меня в памяти, ушло не менее четверти часа.

Когда студенту или постоянному сотруднику Гарварда нужно выполнить какую-то официальную (то есть связанную с тем или иным уровнем доступа) операцию, электронный сервис направляет браузер пользователя на сервер Harvard PIN Server — в централизованную систему, которая запрашивает идентификаторы ID и PIN, а затем возвращает управление обратно сервису, который выполняет процедуру аутентификации.

Немаловажным представляется и то, что пользователям приходится вводить свои идентификаторы PIN только на одной странице. Она всегда имеет один и тот же адрес и выглядит одинаково. Web-страница зашифрована с помощью SSL. Все это снижает вероятность кражи гарвардских паролей путем фишинга.

Поскольку идентификаторы Harvard PIN используются для аутентификации транзакций, представляющих разную ценность, система позволяет приложениям применять разнообразные политики «повторной идентификации».

Сегодня, когда Microsoft, Oracle, Sun Microsystems и многие другие производители корпоративного программного обеспечения начинают предлагать свои собственные системы управления идентификацией, их разработчикам весьма полезно изучить опыт решения подобных задач, накопленный в академической среде. Обе системы до сих пор изо дня в день работают без всяких перебоев. Процедура аутентификации позволяет выполнять подключение к широкому спектру корпоративных бизнес-приложений. Пароли в незашифрованном виде не пересылаются по сети, а следовательно, их безопасность не ставится под угрозу. Кроме того, возможен переход к системам с более высоким уровнем безопасности. Поэтому поставщикам решений в области средств идентификации и управления доступом для корпоративного сектора можно пожелать лишь, чтобы у них все складывалось столь же удачно.