Авторизация

Кроме предоставления доступа пользователей к папкам, файлам, принтерам, система авторизации может контролировать возможность выполнения пользователями различных системных функций: локальный доступ к серверу, установка системного времени, выключения/перезагрузка сервера и т.п. Применительно к VPN система авторизации может регулировать доступ пользователя к тем или иным средствам шифрования пакетов, или даже в целом определенным VPN-устройствам. Процедура авторизации реализуется программными средствами, которые могут быть встроены в ОС или в приложения, а также поставляться в виде отдельных программных продуктов. Программные средства авторизации строятся на базе двух схем:

1. Централизованная схема авторизации, базирующаяся на сервере.

2. Децентрализованная схема, базирующаяся на рабочих станциях.

В первой схеме сервер управляет предоставлением пользователю ресурсов, главная цель при этом - реализовать «принцип единого входа». Пользователь один раз логически входит в сеть и получает на все время работы некоторый набор разрешений по доступу к ресурсам сети. При втором подходе, рабочая станция сама является защищенной – средства защиты работают на каждой машине и при этом сервер не требуется. В крупных сетях применяется комбинированный подход предоставления пользователю прав доступа к ресурсам сети. Сервер удаленного доступа ограничивает доступ пользователя к подсетям и серверам корпоративной сети, т.е. к укрупненным элементам сети, а каждый отдельный сервер сети сам по себе ограничивает доступ пользователя сети к своим внутренним ресурсам – разделяемым папкам, принтерам, приложениям. Сервер удаленного доступа предоставляет доступ на основании имеющегося у него списка прав доступа пользователя. Ресурсы каждого отдельного сервера сети становятся доступны на основании хранящегося у него списка прав доступа, например ACL файловой системы (Access Control List). Системы авторизации и аутентификации совместно выполняют одну задачу, поэтому к ним необходимо предъявлять одинаковый уровень требований. Ненадежность одного звена здесь не может быть скомпенсирована высоким качеством другого. Если при аутентификации используются пароли, то требуются жесткие меры по их защите. Однажды украденный пароль открывает двери ко всем приложениям и файлам, к которым пользователь с этим паролем имел легальный доступ.

Поскольку никакая система безопасности не гарантирует 100% защиту, то последним рубежом в борьбе с нарушителями оказывается система аудита. Аудит – фиксация в системном журнале событий, связанных с доступом к защищаемым системным ресурсам. Действительно, после того, как злоумышленнику удалось провести успешную атаку, пострадавшей стороне остается только обратиться к службе аудита. Если при настройке службы аудита были правильно заданы события, которые следует отслеживать, то подробный анализ записей в журнале возможно позволит найти злоумышленника, или, по крайней мере, предотвратить повторение подобных атак путем устранения уязвимых мест в системе защиты.