В мире открытых систем, где проповедуется идея взаимодействия каждого с каждым независимо от аппаратной и программной платформы, проблема защиты информации особенно актуальна. Конечно, компании защищают свои корпоративные сети от вторжения извне с помощью брандмауэров. Однако опасность вполне может таиться и за крепкими стенами межсетевых экранов (firewall-систем), которые не контролируют доступ к конфиденциальной информации внутри корпоративной сети. Существует вероятность покушения на корпоративную тайну ради наживы или из желания навредить коллеге, и подобные ситуации способны нанести компании огромный ущерб. По данным статистики, сети предприятий зачастую атакуются именно изнутри, поэтому задача контроля внутреннего доступа к жизненно важной информации и приложениям имеет огромное значение, особенно для крупномасштабных сетей с большим количеством пользователей и серверов.
Для компаний сети представляют собой оптимальный способ взаимодействия служащих друг с другом и с внешними партнерами. Однако отсутствие должной защиты коммуникаций и ресурсов не позволяет полностью использовать потенциал корпоративных сетей. Необходимо мощное решение, обеспечивающее централизованное управление пользователями и контроль доступа к критичным для компании ресурсам, а также аутентификацию пользователей и гарантирующее конфиденциальность коммуникаций между серверами и клиентами.
Одно из таких решений предлагает сегодня компания Software and Systems Engineering Limited (Дублин), это система TrustedWeb. Основная специализация созданной еще 1984 г. SSE (http://www.sse.ie), разработка систем обеспечения безопасности коммуникаций. За 15 лет своего существования компания накопила богатый опыт, позволяющий ей сейчас продвигать на рынок разнообразные решения для обеспечения защиты бизнес-коммуникаций и электронной коммерции в Internet. Представленная на выставке CeBIT система TrustedWeb рассматривается руководством SSE как стратегически наиболее важная и перспективная разработка.
Введение
TrustedWeb представляет собой независимое от аппаратных и программных платформ клиент/серверное решение, расширяющее возможности процессов сертификации и брандмауэров. По сути дела, TrustedWeb - это надстройка над протоколом безопасной передачи SSL (Secure Sockets Layer), который используется на транспортном уровне IP-сети. Протокол SSL является базовым средством защиты для Internet-браузеров Netscape Navigator, Mosaic, Explorer и т.п. В TrustedWeb представлен весь спектр средств обеспечения безопасности коммуникаций, реализованный в SSL: взаимная аутентификация, конфиденциальность и целостность данных. Однако возможности системы выходят за пределы транспортного уровня сетевой передачи, они распространяются и на уровень приложений, обеспечивая контроль доступа и единый вход (Single Sign-On) ко всем защищенным Web-серверам и Web-приложениям.
Главное отличие TrustedWeb от традиционных систем безопасной передачи и защиты данных, в частности, брандмауэров, в том, что здесь используется разработанная SSE технология ролевого доступа (role-based access, RBA). Сегодня контроль доступа к Web-серверам базируется, как правило, на проверке идентификаторов пользователей. При таком подходе каждый защищенный сервер должен иметь список пользователей и их прав доступа. Понятно, что для корпоративных сетей с большим количеством пользователей и Web-серверов это порождает и множество проблем управления доступом к критичным ресурсам (например, затрудняет доступ мобильных пользователей, которые пытаются войти на свой сервер с ближайшей машины, вряд ли "прописанной" в перечне доступа).
TrustedWeb предлагает принципиально иной подход. Центральный сервер системы - сервер защиты домена (Domain Security Server, DSS) - содержит один список пользователей, где для каждого из них определяются не права доступа к серверам защищаемой области, а роль, или функции, которые пользователь выполняет в компании.
Роль пользователя определяется в соответствии с его обязанностями, и сферой возможностей. Таким образом, ролевые характеристики, заданные в списке на сервере DSS, должны удовлетворять потребности в информации конкретного пользователя. Именно на основе таких ролевых характеристик система будет предоставлять (или не предоставлять) доступ к защищенной информации на отдельных Web-серверах в сети.
Возьмем, например, сервисное подразделение большой компании, специализирующейся на информационных технологиях. Инженер из этого подразделения должен иметь доступ ко всем данным своих клиентов, так или иначе связанным с сервисным обслуживанием. С другой стороны, его начальнику помимо данных по сопровождению систем может понадобиться и другая информация, например, об уровне продаж или что-нибудь из области бухгалтерского учета. Разные потребности в информации и разные права служащих компании найдут отражение в их ролевых характеристиках. Технология контроля доступа на ролевой основе позволит гарантировать, что данные попадут только к тем, кому они действительно нужны и кто имеет право на их использование.
Центральный список пользователей на сервере DSS - динамический, регулярно обновляемый. В зависимости от добавления или удаления описаний пользователей, а также изменений ролевых характеристик тех или иных служащих компании меняется центральный список. В то же время каждый Web-сервер в защищенной области имеет свой список контроля доступа (Access Control List, ACL), в котором конкретным ролям присваиваются определенные права доступа. Это уже относительно статические списки - фактически, изменения в них вносятся только тогда, когда меняется общая политика компании в отношении предоставления прав доступа к важной информации. Таким образом, упрощается администрирование системы защиты. Администратор должен следить только за одним списком на центральном сервере, а не за множеством списков с правами доступа к различным Web-серверам.
В общих чертах процесс работы пользователя в защищенной с помощью TrustedWeb сети выглядит следующим образом. Регистрируясь на сервере DSS, пользователь аутентифицируется в сети и получает от сервера так называемый "жетон" (token). Жетон содержит ролевые характеристики данного пользователя. Затем, когда пользователь захочет получить доступ к информации или приложениям на каком-либо Web-сервере в сети, TrustedWeb проверит, имеет ли роль, заданная в жетоне пользователя, возможность доступа к запрашиваемым ресурсам.
1. Архитектура TrustedWeb
Система TrustedWeb включает в себя три основных компонента.
TrustedWeb Client (TWC) - клиент системы, устанавливается для каждого Web-браузера, который может запрашивать доступ к защищенным ресурсам.
TrustedWeb Server (TWS) - серверная программа, устанавливается на каждом защищенном Web-сервере и выполняет аутентификацию запросов на доступ к ресурсам на этом сервере.
Domain Security Server (DSS) - сетевая служба защиты области, в которой находятся Web-серверы с критичными для компании ресурсами.
TrustedWeb реализует концепцию посредника (proxy) между Web-браузером и Web-сервером для обеспечения защиты коммуникаций и безопасного доступа к корпоративной сети. Клиентское программное обеспечение (TWC) является таким посредником для пользовательского браузера и, как правило, устанавливается на той же машине. Весь Web-трафик с браузера проходит через клиента TrustedWeb. Администратор, управляющий клиентскими системами c центрального узла, может в течение нескольких минут загрузить, инсталлировать и сконфигурировать TWC по сети, которая взаимодействует с серверами TWS и DSS и с пользовательским браузером. TWC запрашивает у центрального сервера DSS ролевые характеристики, необходимые для доступа клиента к Web-серверам. Затем TWC передает жетон с заданными характеристиками серверу TWS. Кроме того, TWC обеспечивает безопасные коммуникации между клиентом и сервером TrustedWeb, реализуя взаимную аутентификацию, конфиденциальность и целостность данных в соответствии с протоколом SSL.
TrustedWeb Server - это промежуточное звено между TWC и Web-сервером. TWS функционирует как proxy-сервер для Web-сервера - весь трафик на данный Web-сервер проходит сначала через сервер TrustedWeb. TWS может быть загружен и инсталлирован автоматически по сети. Также как и клиент TrustedWeb, TWS со своей стороны отвечает за безопасность коммуникаций между клиентским компьютером и сервером.
TWS содержит список контроля доступа (access control list, ACL), с помощью которого проверяет, имеет ли роль, заданная в жетоне данного пользователя, право доступа к запрашиваемым ресурсам. Сервер TrustedWeb принимает решения о возможности доступа по адресу информационного ресурса URL на данном Web-сервере. В списке ACL определены три класса информационных ресурсов: открытые (open), входные (entry) и скрытые (hidden) URL. Для URL открытого класса никакого контроля доступа не требуется. Доступ к URL входного класса возможен только в том случае, если серверу TrustedWeb представлены соответствующие права. В случае их отсутствия TWS обратится с запросом к TWC о подтверждении прав доступа клиента. Доступ к скрытым URL будет предоставлен тогда и только тогда, когда серверу TrustedWeb предъявят необходимые привилегии клиента. Если их нет, сервер не будет просить никакого подтверждения. Разница между входным и скрытым классами ресурсов заключается в том, что попытка доступа к скрытым ресурсам без соответствующих прав доступа обречена с самого начала. TWS не раскроет факт существования такого URL, и возможный злоумышленник даже не узнает о наличии этого адреса и его содержимом.
Для более строгого контроля доступа сервер TWS предусматривает возможность обращения к Common Gateway Interface (CGI).
В функции центрального сервера DSS входит аутентификация пользователей и размещение их прав доступа в списке User Profile List (UPL). DSS включает в себя сервер аутентификации (Authentication Server, AS), сервер атрибутов привилегий (Privilege Attribute Server, PAS), сервер распределения ключей (Key Distribution Server) и базу данных, в которую заносится информация обо всех пользователях данного домена. Каждый пользователь и каждый сервер TWS должны быть зарегистрированы на центральном сервере DSS.
Сервер аутентификации проверяет личность пользователя либо по паролю, либо с помощью протокола шифрования с открытым ключом (несимметричного шифрования). Пользователь может определить свою роль (profile), в соответствии с которой он намерен запрашивать защищенные информационные ресурсы в сети. Фактически, пользователь аутентифицируется в сети только один раз и получает права доступа для обращения ко всем Web-серверам в данном домене. Эта аутентификация действительна в течение ограниченного времени, которое, как правило, задается таким образом, чтобы пользователь делал запрос на общие права доступа один раз в течение рабочего дня. Клиентская система TWC будет автоматически обращаться к центральному серверу всякий раз, когда необходимо установить безопасное соединение пользователя с новым сервером TWS.
Сервер атрибутов привилегий PAS проверяет, может ли пользователь действовать в соответствии с предложенной им ролью. В случае положительного ответа PAS предоставляет пользователю права доступа в виде жетона, или сертификата атрибутов привилегий (Privilege Attribute Certificate, PAC). РАС - это сертификат с цифровой подписью, содержащей ролевые характеристики и другие атрибуты защиты для данного пользователя. Действие каждого такого сертификата имеет силу также в течение определенного срока, по истечении которого клиент TWC должен запросить новый сертификат.
Взаимодействие клиента TrustedWeb с серверами TWS и DSS защищено с помощью различных криптографических технологий. Защита коммуникаций между TWC и центральным сервером базируется на широко распространенном в IP-сетях протоколе аутентификации Kerberos. Аутентификация пользователя для получения прав доступа ко всем защищенным Web-серверам выполняется по паролю или с помощью технологии шифрования с открытым ключом RSA.
Взаимодействие между клиентом TrustedWeb и сервером TWS происходит по стандартному протоколу НТТР. Безопасность передачи обеспечивается благодаря использованию протокола SSL, который поддерживает аутентификацию, конфиденциальность и целостность передаваемых данных. Конфиденциальность данных поддерживается путем симметричного шифрования (шифрования с секретными ключами) по алгоритму тройного DES, целостность данных - с помощью хэш-функции MD5.
Следует отметить, что система TrustedWeb, как чисто европейская разработка, игнорирует принятые в США необоснованные и протекционистские ограничениям на экспорт криптографических технологий и длину ключей шифрования. В TrustedWeb используется алгоритм шифрования с секретным 128-битным ключом и несимметричное шифрование с длиной ключа до 2048 бит.
2. TrustedWeb с точки зрения администратора
Обеспечение безопасности особенно важной для бизнеса информации - одна из основных задач системного администратора. С этой точки зрения реализованный в TrustedWeb контроль доступа к Web-ресурсам на ролевой основе существенно упрощает его работу. Теперь администраторам не придется вносить изменения, отражающие текущие перестановки в кадровом составе, на каждом отдельном Web-сервере. Если появляется новый сотрудник, старый покидает компанию или изменяет свои функции, то все это фиксируется в одном центральном списке на DSS. Причем служащий, который придет на освободившееся место, сможет немедленно получить те же ролевые характеристики, которые были заданы в списке для данной вакансии.
Когда в распределенной системе с большим количеством пользователей применяются отдельные идентификаторы и правила доступа для разных серверов, администрирование доступа к защищенным ресурсам становится необычайно сложной задачей. К тому же, несчастный пользователи, которым приходится запоминать множество чисел, будут записывать их на бумажке и непременно оставлять ее поблизости от своего рабочего места, тем самым ставя под угрозу систему защиты. В TrustedWeb эта проблема снимается, поскольку пользователю достаточно знать только один пароль или алгоритм, чтобы получить доступ ко всем защищенным ресурсам компании.
В TrustedWeb реализованы полуанонимные аудиторские функции для наблюдения за поведением пользователя на защищенных Web-серверах. Когда пользователь регистрируется на центральном сервере TrustedWeb, DSS вычисляет для него уникальный аудиторский идентификатор в виде случайного числа. Таким образом, администратор сервера TWS получает возможность следить за действиями каждого пользователя, не зная, кто он есть на самом деле. Реальный идентификатор пользователя может быть раскрыт, если в случае каких-либо замеченных нарушений администратор обратится с запросом к менеджеру DSS.
Управление системой TrustedWeb может выполняться из стандартного Web-браузера. TrustedWeb "бесшовно" интегрируется в уже развернутую сеть корпорации, поскольку для инсталляции компонентов системы не требуется вносить какие-либо изменения в существующие браузеры, Web-серверы или Web-приложения. Кроме того, использование стандартных протоколов Kerberos и НТТР для коммуникаций между компонентами системы обеспечивает нормальную работу системы даже через брандмауэр. Это важно, поскольку все чаще корпоративные сети бывают открыты для внешних пользователей, когда доступ к информации предоставляется партнерам и клиентам компании. Для этой категории пользователей брандмауэр играет роль входной двери, разрешая или запрещая доступ к сети. Защита информации остается за пределами его компетенции. Система TrustedWeb способна обеспечить эффективный контроль доступа к конфиденциальным данным для внешних пользователей в сетях extranet.
3. TrustedWeb с точки зрения пользователя
Для пользователя присутствие системы TrustedWeb в сети корпорации практически незаметно - он без каких-либо изменений в окружении продолжает работать со своим интерфейсом: Navigator, Mosaic или каким-либо другим браузером. Единственное, что отличает его работу в защищенной с помощью TrustedWeb сети - это необходимость аутентификации один раз за определенный период времени на сервере DSS, после чего, как уже неоднократно отмечалось, пользователь сможет обращаться и в зависимости от своих ролевых характеристик получать доступ к ресурсам на множестве защищенных Web-серверов. За безопасность связи между клиентским компьютером и сервером (взаимную аутентификацию, шифрование и проверку целостности передаваемых данных) будут отвечать proxy-компоненты TWC и TWS.
TrustedWeb позволяет компании выбрать тот уровень защиты, который больше соответствует ее задачам, бюджету и требованиям к безопасности информации. Система TrustedWeb предлагает два варианта аутентификации пользователя: с помощью простого пароля или на базе мощного алгоритма шифрования с открытым ключом. В первом случае пользователь аутентифицируется по присвоенному ему идентификатору и собственному уникальному паролю. Эта модель быстро реализуется, не требует больших расходов на создание инфраструктуры защиты и не зависит от каких-либо процессов управления и распределения ключей шифрования. Аутентификация с секретным паролем подходит тем организациям, которым нужно быстро и с наименьшими затратами получить все преимущества защиты сети с помощью TrustedWeb.
Второй вариант - более сложная модель шифрования с открытыми ключами Х.509. В данном случае пользователь получает сертификат в виде пары ключей - открытого и секретного, которые находятся в так называемой области персональной защиты (Personal Security Environment, PSE). PSE хранится в файле, например, на флоппи-диске, который является личной собственностью пользователя, или на смарт-карте. Информация в PSE шифруется секретным пользовательским PIN. В процессе аутентификации пользователь предъявляет свой идентификатор и зашифрованную PIN-фразу.
Смарт-карты могут использоваться не только в качестве носителя секретной информации, но и для реализации на плате самих процессов шифрования. Система TrustedWeb поддерживает смарт-карты, разработанные компанией Siemens, а также смарт-карты других производителей, использующие стандартный интерфейс PC/SC.
Аутентификацию в TrustedWeb можно выполнить заранее, в так называемом проактивном режиме. В этом случае пользователь регистрируется на сервере DSS до начала работы с защищенными Web-серверами. Возможно, с такой аутентификации начнется его рабочий день. Но допускается и другой вариант. Пользователь не вспоминает о TrustedWeb, работая с неконфиденциальной информацией в сети компании. Однако при первой же попытке обратиться к Web-серверу, на котором установлен TrustedWeb TWS, система попросит его выполнить аутентификацию. Такой вариант в TrustedWeb называется реактивной аутентификацией. И как уже отмечалось, аутентификация пользователя действительна ограниченное время, которое определяется администратором TrustedWeb и обычно равняется длине рабочего дня. Выполнив аутентификацию один раз в течение дня пользователь может "путешествовать" по серверам корпоративной сети, а также работать с Web-приложениями, не предъявляя никаких паролей и сертификатов.
TrustedWeb обеспечивает единый принцип обращения ко всем Web-серверам и Web-приложениям. Кроме того, при работе с приложениями система реализует защиту коммуникаций через браузер и Web-сервер в том случае, если приложение поддерживает стандартный интерфейс GSS-API (Generic Security Services).
Заключение
С помощью TrustedWeb компания может быстро построить безопасную инфраструктуру внутренних коммуникаций. Система оперативно инсталлируется, не требует никаких изменений в существующем информационном наполнении Web, поддерживает множество клиентских и серверных платформ и не зависит от выбранного пользователем Web-браузера. Серверы DSS и TWS совместимы с ОС Solaris, SINIX и NT, клиент TrustedWeb может выполняться на машинах с ОС Windows 95, NT, Solaris и SINIX.
Обеспечивая сети предприятия надежную защиту, система TrustedWeb существенно упрощает процесс поддержания безопасности сетевых ресурсов, позволяя при этом экономить немалые средства. Как показали исследования, с использованием TrustedWeb затраты на администрирование сложных корпоративных сетевых инфраструктур могут быть снижены на 80%.