Prezentare generală de software
· În sistemul Kerberos, clientul trebuie să demonstreze autenticitatea pentru accesul la fiecare serviciu ale cărui servicii le solicită.
· Toate schimburile de date din rețea sunt realizate într-un mod sigur folosind algoritmul de criptare.
Serviciul de rețea Kerberos este construit pe arhitectura client-server, care îi permite să lucreze în cele mai complexe rețele. Un client Kerberos este instalat pe toate computerele de rețea care pot accesa un serviciu de rețea. În astfel de cazuri, clientul Kerberos, în numele utilizatorului, transmite cererea către serverul Kerberos și menține un dialog cu acesta necesar pentru a efectua funcțiile sistemului Kerberos.
2. Obțineți permisiunea de a accesa serverul de resurse.
3. Obținerea permisiunii de a accesa resursa.
Pentru a rezolva prima și a doua sarcină, clientul accesează serverul Kerberos. Fiecare dintre aceste sarcini este gestionată de un server separat care face parte din serverul Kerberos. Efectuarea permisiunii primare de autentificare și emitere pentru continuarea procesului de accesare a resurselor este efectuată de un așa-numit Server de autentificare (AS). Acest server stochează în baza de date informații despre ID-urile utilizatorilor și parolele.
A doua sarcină legată de obținerea permisiunii de a accesa serverul de resurse este rezolvată de o altă parte a serverului Kerberos - serverul de acordare a biletelor (TGS). Serverul de chitanțe pentru clienții legali efectuează o verificare suplimentară și dă clientului permisiunea de a accesa serverul de resurse care este necesar pentru acesta, pentru care îi dă o chitanță electronică. Pentru a-și îndeplini funcțiile, serverul de chitanțe folosește copii ale cheilor secrete ale tuturor serverelor de resurse stocate în baza sa de date. În plus față de aceste chei, serverul TGS are o altă cheie secretă DES care este partajată cu serverul AS.
A treia sarcină - obținerea permisiunii de acces direct la resursă - este decisă la nivelul serverului de resurse.
Studiind un mecanism destul de complicat de Kerberos, nu te poate ajuta, dar întreb: ce impact toate aceste chei de criptare multiple și proceduri pentru performanța de partajare de rețea, ceea ce o parte din resursele de rețea pe care le consumă și cum afectează capacitatea?
Răspunsul este foarte optimist - dacă sistemul Kerberos este implementat și configurat corect, acesta reduce ușor performanța rețelei. Deoarece încasările sunt utilizate de mai multe ori, resursele de rețea cheltuite pe cererile de încasare sunt mici. Deși primirea chitanței pentru autentificarea intrărilor logice reduce într-o oarecare măsură cantitatea de transfer, acest schimb ar trebui să se facă, de asemenea, folosind orice alte sisteme și metode de autentificare. Costurile suplimentare sunt nesemnificative. Experiența implementării Kerberos a arătat că timpul de răspuns cu sistemul Kerberos instalat nu diferă semnificativ de timpul de răspuns fără el - chiar și în rețele foarte mari, cu zeci de mii de noduri. Această eficiență face sistemul Kerberos foarte promițător.
Printre vulnerabilitățile sistemului Kerberos se poate numi stocarea centrală a tuturor cheilor secrete ale sistemului. Un atac de succes pe serverul Kerberos, în care toate informațiile critice pentru sistemul de securitate sunt concentrate, duce la restrângerea protecției informațiilor din întreaga rețea. O soluție alternativă ar putea fi un sistem bazat pe utilizarea algoritmilor de criptare cu chei asociate, care se caracterizează prin stocarea distribuită a cheilor secrete.
O altă slăbiciune a sistemului Kerberos este că codul sursă al acelor aplicații accesate prin Kerberos trebuie modificat în mod corespunzător. Această modificare se numește "kerberizarea" aplicației. Unii vânzători vinde versiuni "kerberized" ale aplicațiilor lor. Dar dacă nu există o astfel de versiune și nu există nici un cod sursă, atunci Kerberos nu poate oferi acces la o astfel de aplicație. [6]
După cum sa menționat mai sus, printre protocoalele numeroase pot fi identificate cele mai comune.
NetBEUI este o interfață NetBIOS îmbunătățită. Inițial, NetBEUI și NetBIOS au fost strâns legate și au fost tratate ca un protocol, apoi producătorii le-au izolat și acum sunt considerate separat. NetBEUI este un protocol mic, rapid și eficient de transport care vine cu toate produsele Microsoft de rețea. Avantajele NetBEUI includ o dimensiune mică a stivei, o viteză mare de transfer de date și compatibilitate cu toate rețelele Microsoft. Principalul dezavantaj este că nu suportă rutarea, această restricție se aplică tuturor rețelelor Microsoft.
Xerox Network System (XNS) a fost dezvoltat de Xerox pentru rețelele sale Ethernet. Utilizarea pe scară largă a început în anii 1980, însă a fost înlocuită treptat cu protocolul TCP / IP. XNS este un protocol mare și lent, în plus, utilizează un număr semnificativ de mesaje difuzate, ceea ce crește traficul în rețea.
Setul de protocoale OSI este un set complet de protocoale, în care fiecare protocol corespunde unui anumit nivel al modelului OSI. Suita conține protocoale rulate și de transport, o serie de protocoale IEEE Project 802, un protocol la nivel de sesiune, un strat reprezentativ și mai multe protocoale de nivel de aplicație. Acestea oferă funcționalitatea completă a rețelei, inclusiv accesul la fișiere, imprimarea etc. [1]
Mai ales este necesar să se oprească pe un set de protocoale IPX / SPX. Acest stiva este setul inițial de protocoale Novell, pe care la dezvoltat pentru sistemul său de operare din rețeaua NetWare încă din anii 1980. Protocoale ipx (IPX) și secvențiat Packet Exchange (SPX), care a dat numele stivei sunt compania Xerox directă XNS adaptarea protocolului prevalentă în grad mult mai mic decât IPX / SPX. La numărul de unități IPX / SPX protocoalele sunt în plumb, iar acest lucru se datorează faptului că sistemul de operare NetWare în sine are o poziție de lider, cu o cotă de instalații la nivel mondial în aproximativ 65%.
Familia de protocoale Novell și conformitatea acestora cu modelul ISO / OSI este prezentată în Fig. 7
Pe straturile fizice și de legătură, rețelele Novell utilizează toate protocoalele populare ale acestor niveluri (Ethernet, Token Ring, FDDI și altele).
Stratul de transport al modelului OSI din stiva Novell corespunde cu protocolul SPX, care efectuează transmiterea mesajelor bazate pe conexiune.
La nivelurile superioare aplicate, reprezentative și de sesiune, protocoalele NCP și SAP funcționează. Protocolul NCP (NetWare Core Protocol) este un protocol între serverul NetWare și shell-ul stației de lucru. Acest protocol de aplicație implementează arhitectura client-server pe straturile superioare ale modelului OSI. Folosind funcțiile acestui protocol, stația de lucru se conectează la server, afișează cataloage de server pe litere de unitate locală, privește sistemul de fișiere al serverului, copiază fișierele șterse, modifică atributele acestora și așa mai departe. și separă de asemenea imprimanta de rețea între stațiile de lucru.
Pe rețelele Novell, serverele NetWare 3.x trimit emisiuni SAP în fiecare minut. Pachetele SAP blochează în mod semnificativ rețeaua, astfel că una dintre sarcinile principale ale routerelor care intră în legături globale este filtrarea traficului pachetelor SAP și pachetelor RIP.
Caracteristici IPX / SPX stiva datorită particularităților sistemului de operare NetWare, și anume orientarea versiunilor sale anterioare de a lucra la rețelele locale de mici dimensiuni, format din calculatoare personale cu resurse modeste. Prin urmare, Novell avea nevoie de protocoale, implementarea cărora necesită o cantitate minimă de RAM și care să funcționeze rapid pe procesoare mici de procesare a puterii. Ca rezultat, IPX / SPX stivă, până de curând, protocoale a lucrat bine pe LAN-uri și nu atât - în rețelele de întreprinderi mari, ca supraîncărcat prea pachete de comunicații globale lente de difuzare, care sunt utilizate pe scară largă de mai multe protocoale ale stivei (de exemplu, pentru comunicarea între clienți și servere).
Acest fapt, precum și faptul că stiva de IPX / SPX este proprietatea Novell, precum și pentru punerea sa în aplicare nevoie pentru a obține permisul pentru o lungă perioadă de timp, ea limitează răspândirea numai rețele NetWare. Cu toate acestea, până când a fost lansată versiunea NetWare 4.0, Novell a făcut și continuă să facă schimbări semnificative în protocoalele sale, menite să le adapteze pentru a lucra în rețele corporative. Acum, stackul IPX / SPX este implementat nu numai în NetWare, ci și în alte sisteme de operare de rețea - SCO UNIX, Sun Solaris, Microsoft Windows NT. [8]
Articole similare
Trimiteți-le prietenilor: