Лекция 11:

Технологии аутентификации и шифрования

Аннотация: Рассматриваются существующие технологии аутентификации и шифрования в web: BASIC-аутентификация, DIGEST-аутентификация, TLS/SSL-аутентификация. Изучается firewall прикладного уровня для web – ModSecurity: понятие регулярных выражений, основные возможности конфигурирования, способы задания правил (rules), действий (actions). Приводится примерная минимальная конфигурация.

Публичные web-серверы часто поддерживают широкий диапазон технологий для идентификации и аутентификации пользователей с различными привилегиями для доступа к информации. Некоторые из этих технологий основаны на криптографических функциях, которые обеспечивают зашифрованный канал между web-браузером клиента и web-сервером.

Без аутентификации пользователя не существует возможности ограничить доступ пользователей к конкретной информации. Вся информация, которая расположена на публичном web-сервере, будет при этом доступна любому, кто получил доступ на сервер. Дополнительно, без некоторого процесса аутентификации сервера, пользователи не имеют возможности определить, что web-сервер аутентичен и не выполняется поддельная версия.

Шифрование может быть использовано для защиты информации, передаваемой по соединению между браузером клиента и web-сервером. Без шифрования любой, имеющий доступ к сетевому трафику, может определить и, возможно, изменить содержимое чувствительной информации, даже если пользователь при получении доступа к информации будет тщательно аутентифицирован. Это может нарушить конфиденциальность и целостность критичной информации.

Требования к аутентификации и шифрованию

Следует периодически проверять всю информацию, доступную на публичном web-сервере, и определять необходимые требования безопасности. При выполнении этого организация должна идентифицировать информацию, которая имеет одни и те же требования безопасности и защиты. Для чувствительной информации организация должна определить пользователей или группы пользователей, которые могут иметь доступ к каждому множеству ресурсов.

Для информации, которая требует определенный уровень аутентификации пользователя, организация должна определить, какие технологии и методы будут обеспечивать соответствующий уровень аутентификации и шифрования. Каждый из них имеет свои преимущества и свою цену, что должно быть тщательно проанализировано в соответствии с требованиями и политикой. Может оказаться предпочтительным использовать комбинацию некоторых методов аутентификации.

Аутентификация, основанная на IP-адресе

Простейшим механизмом аутентификации, который поддерживается большинством web-серверов, является аутентификация по IP-адресу. Управление доступом основано на IP-адресе и/или имени хоста. Хотя это легко реализовать для небольших групп пользователей, аутентификация на основе адреса может быть громоздкой для web-сайтов, которые имеют большое число потенциальных пользователей (т.е. большинство публичных web-серверов). Такая аутентификация чувствительна к некоторым типам атак, включая подделку IP-адреса (IP-spoofing) и атаки на DNS. Данный тип аутентификации должен применяться только тогда, когда требуется минимальная безопасность, в противном случае она должна использоваться совместно с более сильными методами аутентификации.

Basic-аутентификация

Технология Basic -аутентификации использует определенную структуру директорий содержимого web-сервера. Все файлы в некоторой директории должны иметь одни и те же привилегии доступа. Пользователь, выполняющий запрос, предоставляет свою идентификацию и пароль для доступа к файлам в данной директории. Каждый производитель ПО web-сервера определяет свой собственный синтаксис для использования механизма Basic -аутентификации.

С точки зрения безопасности, основной недостаток данной технологии состоит в том, что пароль передается в явном виде без шифрования. Любой, кто имеет доступ к сетевому трафику, может извлечь пароль при сетевом просматривании. Более того, все web-содержимое передается в незашифрованном виде и, тем самым, также может быть перехвачено, что нарушает конфиденциальность. Этот недостаток может быть ликвидирован с использованием Basic -аутентификации совместно с SSL/TLS. Basic -аутентификация поддерживается стандартными web-браузерами. Она используется также для защиты информации от вредоносных bots.

Digest-аутентификация

Так как в Basic -аутентификации существуют определенные недостатки, в версии 1.1 протокола НТТР была введена Digest -аутентификация. Она использует для "опознания" пользователя механизм запроса / ответа (challenge / response), когда пользователю посылается nonce (случайное значение), который предназначен для использования вместе с ID и паролем. В данном случае информация, вводимая пользователем, соединяется вместе с переданным nonce и запрошенным URL, и вычисляется криптографический хэш, который затем посылается в качестве ответа.

Так как пароль пользователя не посылается в явном виде, он не может быть подсмотрен в сети. Nonce может быть сконструирован из информации о текущей дате и времени, поэтому replay-атаки также невозможны. Следовательно, Digest -аутентификация является более безопасной, чем Basic -аутентификация. К сожалению, все данные посылаются в явном виде (не шифруются), что является уязвимым для перехвата и изменения. Это ограничение можно обойти, используя Digest -аутентификацию вместе с SSL/TLS. Подобно Basic -аутентификации, Digest -аутентификация используется для защиты информации от вредоносных bots.

Нияз Сабиров
Нияз Сабиров
Стоимость "обучения"
Елена Сапегова
Елена Сапегова
диплом
Алексей Никитин
Алексей Никитин
Россия, Жуковский, МИМ ЛИНК
Геннадий Шестаков
Геннадий Шестаков
Беларусь, Орша