Статья только в электронной версии журнала
Технология Kerberos помогает упрочить безопасность
Кен Филлипс (для PC Week Labs)
Новое ПО единой регистрации Reflection Signature 1.0 фирмы WRQ (Сиэтл, шт. Вашингтон) сэкономит массу времени и нервов пользователям корпоративных сетей, работающим с различными платформами, такими, как Unix-машины, компьютеры корпораций Digital Equipment, Hewlett-Packard и IBM. В то же время операционные системы Windows NT и NetWare этим ПО пока не поддерживаются, и лучше всего оно работает с другими продуктами самой WRQ.
Проведенные в Тестовом центре PC Week Labs испытания бета-версии Reflection Signature 1.0 показали, что у специалистов служб информационного обеспечения не возникнет сложностей с развертыванием, а у конечных пользователей - с эксплуатацией пакета.
Reflection Signature распространяет аутентификацию и шифрование на основе технологии Kerberos на сеансы связи по протоколам Telnet и FTP. Однако пока это ПО работает только с эмуляторами терминала и FTP-клиентом производства WRQ (в ближайшее время предполагается реализовать еще и поддержку сервера X Window System и NFS-клиента - то и другое также собственного производства компании). В обозримом будущем интеграция с ПО других производителей предусматривается только косвенная - через OLE-сценарии или запуск внешних программ с командной строки.
Нельзя объять необъятного
Пакету Reflection Signature явно недостает поддержки биометрической аппаратуры и карточек-пропусков. Это означает, что тем, кто ориентируется на данные технологии обеспечения безопасности, продукт WRQ, по всей вероятности, особенно полезным быть не сможет. Впрочем, совместимый с Visual Basic язык описания сценариев позволяет интегрировать это ПО практически с любой технологией аутентификации, хотя такую интеграцию едва ли можно назвать тесной.
В биометрических системах используются специальные датчики для аутентификации и идентификации пользователей, например, по отпечаткам пальцев или по внешнему виду, а карточки дают возможность ограничивать аутентификацию определенным временем.
Начало поставок Reflection Signature запланировано на октябрь по цене $99 на единичного пользователя или $52 на каждого из 1000 пользователей. Эти условия будут действовать в начальный период продаж - до конца года; затем цены возрастут на 30%.
Чтобы в полной мере насладиться преимуществами технологии Kerberos и автоматического конфигурирования схемы единой регистрации, организациям - пользователям Reflection Signature придется обновить версии имеющихся у них приложений производства WRQ: большинство продуктов компании должно быть выпущено в модернизированном виде приблизительно в те же сроки. Последней - в ноябре - появится новая версия Reflection X.
Хотя использование с системой единой регистрации прежних версий также допустимо, степень “гладкости” их интеграции сильно зависит от уровня поддержки технологии OLE.
В числе конкурирующих продуктов можно назвать ПО FirstStep Single Sign-On Authentication Server корпорации Millennium Computer, поддерживающее наряду с Unix платформы NetWare и Windows NT. Однако этот продукт отличается более высокой ценой - $80 на рабочее место при покупке лицензии на 1000 мест - и не имеет поддержки Kerberos и OLE.
Установка бета-версии Reflection Signature 1.0 на ПК Deskpro EN производства корпорации Compaq Computer с 400 МГц процессором, работающий под управлением ОС Windows NT 4.0 Workstation, и на Deskpro EN с 333 МГц процессором под управлением ОС Windows 98 не заняла много времени. Хотя WRQ включит в комплект поставки новое средство развертывания на основе Web-браузера, мы не смогли им воспользоваться, поскольку в нашей бета-версии Reflection Signature эта функция еще не была готова.
Кроме того, мы инсталлировали на тестовые системы ряд дополненных специальной поддержкой Signature модернизированных версий продуктов WRQ: Reflection for Unix, Reflection for IBM и FTP-клиент - все, что нужно для несложного конфигурирования доступа к хост-машинам. Все эти приложения оснащены мастерами и средствами записи сценариев, благодаря которым процедуры установления соединений с хост-машинами и регистрационные данные пользователей автоматически запоминаются в специальной БД Signature. В настоящее время специалисты WRQ трудятся над средствами централизованного предварительного конфигурирования пользовательских соединений и распространения таких конфигураций через Web, однако к началу наших испытаний этой функции еще не было.
Мы создали файлы инициации сеансов связи с рабочей станцией Ultra 1 фирмы Sun Microsystems, работавшей под управлением ОС Solaris 2.6, с хост-машинами ProLiant 1600 корпорации Compaq (под управлением SCO OpenServer 5.0.4), IBM AS/400 и с удаленным сервером Kerberos. Для каждого случая были взяты отдельные идентификатор пользователя и пароль.
После ввода единого пароля Reflection Signature мы смогли работать со всеми этими хост-машинами, не выполняя вручную никаких дополнительных процедур регистрации. Пользователь может легко менять свои пароли с помощью специальной пиктограммы (при условии, что администратор дал ему соответствующие привилегии). Если администратор сам занимается организацией единой регистрации, пользователю даже не обязательно знать, с какими конкретно паролями он работает на тех или иных хост-машинах.
Тем не менее истечение срока действия пароля может создать определенные сложности - если администратор не позаботился обзавестись специальной программой, назначающей новые пароли по мере необходимости. Такое приложение может быть реализовано в среде Reflection Signature в виде специального сценария, настраиваемого для каждой хост-машины отдельно.
К сожалению, чтобы запустить Reflection Signature, пользователю необходимо сначала зарегистрироваться на сетевом сервере Windows. В версии продукта, о которой здесь идет речь, схема единой регистрации не распространяется на работу с другими серверами Windows или NetWare, хотя реализация этой возможности запланирована на будущее. Кроме того, Reflection Signature требует создания еще одной отдельной БД, содержащей сведения обо всех пользователях, - подключение к БД пользовательской информации ОС Windows NT не предусмотрено. ПО Reflection Signature совместимо не только с IP, но и с любыми другими сетевыми протоколами, поскольку не опускается в своей работе до транспортного уровня; но при этом поддерживаются только клиентские приложения, работающие в средах Windows 95, Windows 98 и NT 4.0.
Reflection Signature открывает пользователю доступ к нескольким хост-машинам по единому паролю
А я говорю, вскрою
Степень устойчивости Reflection Signature к подбору паролей не произвела на нас большого впечатления. Проверка того, насколько единый пароль хорош в данном отношении, в продукте WRQ сводится лишь к требованиям соблюдения минимальной длины и наличия среди символов определенной доли цифровых. Механизма автоматической генерации паролей или ограничения срока их использования не предусмотрено. В связи с этим мы считаем весьма желательным, чтобы в комплект было включено какое-либо средство подбора паролей вроде тех, что применяются хакерами, - тогда пользователь мог бы лично убедиться в степени надежности выбранной им комбинации.
Пароли, хранящиеся в базе данных WRQ (а также передаваемые по сети), шифруются с применением алгоритма Data Encryption Standard. Однако для хранения этой БД необходим Windows-ПК - поддержка Unix на данную область пока еще не распространена, хотя в будущем году компания планирует интегрировать БД паролей Reflection Signature с различными Unix-БД через протокол LDAP.
В состав продукта входит средство запуска внешних приложений, с помощью которого он может быть интегрирован с любой программой, допускающей регистрацию из командной строки. В числе таких программ можно назвать Lotus cc:Mail и Microsoft Access. В противном случае администратору приходится писать специальные интеграционные сценарии, содержащие OLE-команды.
Благодаря скрытому централизованному хранению аутентификационных реквизитов и шифрованию трафика протоколов Telnet и FTP технология Kerberos обеспечивает более надежную безопасность.
Но хотя в комплект поставки Windows NT 5.0 планируется включить сервер Kerberos, это принесет облегчение озабоченным проблемами безопасности пользователям только в том случае, если они модифицируют свое ПО доступа к хост-машинам для использования Kerberos-библиотек Microsoft.
Поддержка Kerberos в продуктах WRQ сосредоточена в клиентских приложениях, что значительно облегчает задачу конфигурирования систем. Функции Kerberos могут быть интегрированы со схемой единой регистрации (хотя разработаны они для автономного функционирования), но потенциально это ведет к определенному ослаблению защиты.
Вся регистрационная информация сохраняется в защищенной БД, что, однако, не помешает беспечному пользователю оставить свое рабочее место, не завершив сеанса, так что любой прохожий сможет обратиться к не предназначенным ему ресурсам. WRQ поддерживает как MIT Kerberos v5, так и слегка модифицированную версию этой технологии, примененную в Distributed Computing Environment Security Services (служба обеспечения безопасности распределенной вычислительной среды).
С автором и редактором Кеном Филлипсом можно связаться по адресу: kenp@wtp.net.
Резюме для руководителей
Администраторам корпоративных сетей, желающим обеспечить своих многочисленных пользователей средствами единой регистрации, имеет смысл обратить внимание на Reflection Signature 1.0 фирмы WRQ. Однако для его интеграции с ПО других производителей придется затратить дополнительные усилия. Первоначальная версия не поддерживает хост-машины под управлением NetWare и Windows NT. Поддержка технологии Kerberos обеспечивает уровень безопасности, недостижимый для многих конкурирующих продуктов.Методика оценки: www.pcweek.com/reviews/meth.html.
Бета-версия Reflection Signature 1.0.Фирма WRQ, Сиэтл, шт. Вашингтон; (800) 872-2829; www.wrq.com.
(+) Единая регистрация для хост-машин производства Digital, HP и IBM, а также для любых Unix-машин; защита сеансов связи по протоколам Telnet и FTP с применением технологии Kerberos; простота в эксплуатации и сопровождении.
(-) Не поддерживаются серверы Windows NT и NetWare; возможна несовместимость с некоторыми приложениями других производителей; для проверки надежности паролей требуются дополнительные средства; отсутствует интеграция с встроенной БД информации о пользователях ОС Windows NT.
