МЕТОДЫ СИММЕТРИЧНОГО ШИФРОВАНИЯ В СИСТЕМАХ РАЗГРАНИЧЕНИЯ ДОСТУПА НА ОСНОВЕ ACTIVE DIRECTORY

Аннотация. Рассмотрены два метода защиты корпоративной информации. Описаны наиболее часто применяемые алгоритмы шифрования. Предложена система безопасности, основанная на соединении системы разграничения доступа и криптографии.

Ключевые слова: корпоративная информация, средства защиты, шифрование, система разграничения доступа.

Введение

Проблема защиты информации от постороннего доступа и нежелательных воздействий на нее возникла давно, с той поры, когда человеку по каким-либо причинам не хотелось делиться ею ни с кем или не с каждым человеком.

В современной российской рыночной экономике обязательным условием успеха предпринимателя в бизнесе, получения прибыли и сохранения в целостности созданной им организационной структуры является обеспечение экономической безопасности его деятельности. Одна из главных составных частей экономической безопасности - информационная безопасность, достигаемая за счет использования комплекса систем, методов и средств защиты информации предпринимателя от возможных злоумышленных действий конкурентов и с целью сохранения ее целостности и конфиденциальности [1].

На сегодняшний день практически каждое предприятие имеет в своем распоряжении систему разграничения доступа. Наиболее часто встречаемая система- это ActiveDirectory.

В настоящее время наиболее быстрым, доступным и эффективным методом защиты корпоративных данных считается шифрование (зашифровывание данных от злоумышленника), и он получил достаточное распространение в корпоративной среде.

Описание системы разграничения доступа и выбранного алгоритма шифрования

В данной статье предлагается применить один из методов шифрования в системе разграничения доступа.

Active Directory — это служба каталогов, разработанная Microsoft для доменных сетей Windows. Входит в большинство операционных систем WindowsServer, как набор процессов и сервисов. Первоначально служба занималась только централизованным управлением доменами. Однако, начиная с WindowsServer 2008, AD стала наименованием для широкого спектра служб, связанных с идентификацией, основанных на каталогах[2].

Сервер, на котором работают доменные службы каталогов Active Directory, называется контроллером домена. Он аутентифицирует и авторизует всех пользователей и компьютеры в сетевом домене Windows, назначая и применяя политику безопасности для всех ПК, а также устанавливая или обновляя программное обеспечение. Например, когда пользователь входит в компьютер, включенный в домен Windows, ActiveDirectory проверяет предоставленный пароль и определяет, является ли объект системным администратором или обычным пользователем. Также он позволяет управлять и хранить информацию, предоставляет механизмы аутентификации и авторизации и устанавливает структуру для развертывания других связанных сервисов: службы сертификации, федеративные и облегченные службы каталогов и управления правами[3].

В Active Directory для разграничения прав доступа используется функция динамического контроля доступа. Так как же сервер организует аутентификацию своих доменов, используя функцию динамического контроля доступа? В состав ActiveDirectoryвходит сетевой протокол аутентификации Kerberos.Он предназначен для обеспечения надежной аутентификации для клиент-серверных приложений. Это система, основанная на билетах, в которой Kerberos дает билет, зашифрованный личным ключом пользователя, когда клиент хочет войти. Обмен билетами происходит в “открытом” виде, т.е сессию аутентификации можно подделать.

Advanced Encryption Standard – симметричный алгоритм блочного шифрования, принятый правительством США в качестве стандарта в результате конкурса, проведенного между технологическими институтами[4].

Информация, определенная как секретная, должна быть защищена посредством AES с длиной ключей 128, 192 и 256 бит. Для информации, определенной как особо секретная, эта длина составляет 192 или 256 бит. Суть AES в том, что любая «лобовая атака» на защищенные данные – то есть подбор всех возможных паролей – в перспективе очень сильно растягивается.

Рассмотрим принцип работы алгоритма шифрования AES-64:

1. Он принимает 64-битный текстовый блок данных как входной и 56-битный ключ и генерирует вывод 64-битного блока.
2. Открытый текст подвергается начальной перестановке, когда он входит в функцию шифрования IP.
3. 64-разрядный открытый текст проходит через начальную перестановку (IP), которая переупорядочивает бит для создания перестановочного бита.
4. Функция IP создает две половины перестановочного текста- левого открытого и правого открытого текста.
5. Происходит 16 раундовое шифрование.
6. На выходе, после 16 раундов, получается 64 битный текст, состоящий из входного текста и ключа.
7. После этого выходной текст проходит финальную перестановку и мы получаем зашифрованный 64 битный текст[5].

Предложенный метод решения

Реализация предполагаемого решения представлена на рис.1. Рассмотрим алгоритм:

1. Клиент запрашивает билет у TGT(ticket-grantigticket) и передает ей имя пользователя, имя домена, а также текущее время на рабочей станции пользователя.
2. Сервер аутентификации отправляет обратно билет, который зашифрован секретным ключом пользователя, и пользователь расшифровывает билет, генерируя ключ из пароля.
3. Клиент запрашивает услугу, отправив сообщение в TGS(ticket-grantingserver), содержащее идентификатор пользователя, идентификатор сервера и TGT.
4. TGS отправляет билет на предоставление услуг и ключ сеанса.
5. Клиент отправляет заявку на предоставление услуги на сервер приложений.
6. Сервер проверяет этот билет и может по желанию отправить зашифрованную метку времени для проверки клиента.

Рисунок 1. Возможный вариант сочетания

Вывод

Исходя из предложенного решения, можно сделать вывод, что на сегодняшний день большое количество корпораций подвержены атакам. Особое внимание уделяется защите информации из внешних источников, забывая при этом о том, что атака может произойти и внутри какого-либо предприятия. Предложенный метод позволит существенно снизить уровень угроз исходящих от работников корпораций.

Список литературы:

1. Булдакова Т.И., Джалолов А.Ш. Особенности разработки интеллектуальной системы защиты информации в ситуационном центре // Научно-техническая информация. Серия 2: Информационные процессы и системы. 2014. № 4. С. 1-8.
2. Булдакова Т.И., Коршунов А.В. Обеспечение информационной безопасности ERP-систем // Вопросы кибербезопасности. 2015. № 5 (13). С. 41-44.
3. Камалян А.К., Кулев С.А., Назаренко К.Н. и др. Компьютерные сети и средства защиты информации: Учебное пособие /Камалян А.К., Кулев С.А., Назаренко К.Н. и др. – Воронеж: ВГАУ, 2003.-119с.
4. Малышев Р.А. Локальные вычислительные сети: Учебное пособие/ РГАТА. – Рыбинск, 2005. – 83 с.
5. Герасименко В.Г., Нестеровский И.П., Пентюхов В.В. и др. Вычислительные сети и средства их защиты: Учебное пособие/ Герасименко В.Г., Нестеровский И.П., Пентюхов В.В. и др. – Воронеж: ВГТУ, 1998. – 124 с.