Все журналы > Журнал Системный Администратор > March 2006

Журнал Системный Администратор

Март 2006

Цена: $4.5 US

Zserver Suite: защищаем корпоративные хранилища данных free Кириллизация в Linux free Интернет «от Москвы до самых до окраин» free Узнай секреты WMI: события и провайдеры Часть I: дополнительные возможности Знакомимся с Gentoo Часть I – установка системы Создаём собственную ОС на базе Linux Создаем порт для FreeBSD своими руками Часть I: основные возможности OpenPKG: кроссплатформенная система пакетов MikroTik – Router OS Шлюз аутентификации пользователей NuFW Документация – экономия времени или его бесполезная трата? free Управляем сетевым оборудованием с помощью протокола SNMP Переход от VBScript к ASP и ASP.NET Часть II Работаем с PDF из Perl Коллекция «Почему?» История компьютеров «Амига» Часть вторая: 1995-2006

Подписаться

Зарегистриванные пользователи, пожалуйста следуйте этой ссылке

Шлюз аутентификации пользователей NuFW

Сергей Яремчук

Фильтрация IP-пакетов является простым, эффективным и поэтому основным средством защиты сетей. Но в то же время такому подходу явно не хватает детализации, а удаленность от прикладного уровня требует согласования с другими инструментальными средствами безопасности.

Чтобы удовлетворять всем требованиям безопасности, сегодняшние системы должны работать на уровне пользователей. Но классическая схема основывается на предположении: один пользователь один компьютер один IP-адрес. То есть системный администратор для решения проблемы управления пользователями фактически должен работать на IP-уровне. В простейшем случае это решается статическим закреплением IP-адреса, что может быть эффективно только в небольших сетях.

В то же время сегодня довольно обычна ситуация, когда несколько пользователей используют одну и ту же многопользовательскую систему, и в таком случае установленные правила будут действовать для всех работающих в одной системе одинаково.

Один из вариантов решения проблемы описан в [8]. Проект NuFW (Now User Filtering Works) предлагает несколько иной подход к решению – «authenticating gateway». NuFW позволяет проводить аутентификацию пользователя для каждого соединения, пытающегося получить доступ к межсетевому экрану и некоторым другим сервисам сети. Фактически после аутентификации всегда можно однозначно сказать, что в данный момент времени 192.168.0.2 = Вася Пупкин. Такой подход позволяет не только ограничивать доступ, тонко реализуя политику безопасности, но и регистрировать деятельность, выполнять подсчет трафика, выставлять различное значение QoS (Quality of Service), осуществлять маршрутизацию, динамически изменять списки контроля доступа, опираясь на данные пользователя, а не на IP.

Также правила фильтрования могут в этом случае использовать и данные о приложениях, операционной системе, используемых клиентом (рис. 1).

Рисунок 1. NuFW позволяет делать фильтрацию по IP-адресам, пользователям, приложениям и операционной системе

Хотелось бы отметить, что проект относительно молодой. Сама идея возникла в 2001 году при попытке добавить поддержку LDAP к прокси, обеспечивающему безопасный доступ к telnet/ftp-сервисам. Исходный проект имел название Net Security Master (сейчас GateKeeper). Рабочая альфа-версия NuFW была представлена общественности в июле 2003 г., а первый релиз через два года – в марте 2005 г. Поэтому проекту могут быть присущи болезни молодости, и иногда возникают проблемы с безопасностью, например сообщение о возможности DOS-атаки [4].

Оставшая часть статьи доступна только подписчикам. Если вы желаете продолжить чтение этой статьи, то вам необходимо подписаться на эту статью или весь номер.

Подписаться на весь номер

Зарегистриванные пользователи, пожалуйста следуйте по этой ссылке