Установление подлинности пользователей

Информационная безопасность
Разграничение доступа
Авторизация и аутентификация
Трансляция сетевых адресов
Проверка содержания потоков данных
Безопасность операционной системы
Управление списками доступа маршрутизаторов
Обнаружение попыток неавторизованного доступа

Check Point FireWall-1 обеспечивает пользователям, в том числе и удаленным и dial-up клиентам, защищенный доступ к сетевым ресурсам организации с установлением подлинности пользователя при помощи различных схем ее проверки.

Прежде чем соединение пользователя будет разрешено, механизм установления подлинности FireWall-1 безопасно установит, что это за пользователь пытается установить соединение и как он себя авторизует. Заметим, что для этого не потребуется каких-либо изменений на серверах и в клиентских приложениях.

Средства установления подлинности пользователей полностью интегрированы в средства работы с политикой безопасности масштаба предприятия и, соответственно, могут централизованно управляться посредством графического интерфейса администратора безопасности. Используя программу просмотра статистики, можно отслеживать любые сессии установления подлинности клиента.

FireWall-1 предоставляет три метода установления подлинности пользователя:

1. User Authentication
2. Client Authentication
3. Transparent Session Authentication

User Authentication

Прозрачный метод установления подлинности пользователя системы FireWall-1 предоставляет возможность определять привилегии доступа для каждого пользователя в отдельности (даже если это многопользовательская ЭВМ) для протоколов FTP, TELNET, HTTP и RLOGIN, независимо от IP-адреса клиентского компьютера. Например, если пользователь вынужден работать с серверами организации удаленно, то администратор безопасности может разрешить ему доступ во внутреннюю сеть без того, чтобы его привилегии распространялись на всех других пользователей его рабочего компьютера.

FireWall-1 выполняет проверку подлинности пользователя при помощи специального Сервера Безопасности, функционирующего на шлюзовом компьютере. FireWall-1 перехватывает все попытки авторизации пользователя на сервере и перенаправляет их соответствующему Серверу Безопасности. После того, как подлинность пользователя установлена, Сервер Безопасности FireWall-1 открывает второе соединение на необходимый сервер приложения. Все последующие пакеты сессии также перехватываются и инспектируются FireWall-1 на шлюзе.

Client Authentication

Client Authentication позволяет администратору предоставлять привилегии доступа определенным IP адресам, пользователи, которых, прошли соответствующие процедуры установления подлинности. В противовес User Authentication, Client Authentication не ограничена только определенными службами, и может обеспечить аутентификацию любого приложения, как стандартного, так и специфичного.

Client Authentication системы FireWall-1 не является прозрачным для пользователя, но, в тоже время, не требуется какого-либо дополнительного программного обеспечения или модификации существующего. Для такого вида установления подлинности администратор может указать, как каждый из пользователей должен будет авторизоваться, какой сервер и какие службы будут доступны, сколько времени, в какие часы и дни и сколько сессий может быть открыто.

Transparent Session Authentication

Механизм Transparent Session Authentication можно использовать для любых служб. При этом установление подлинности будет происходить для каждой сессии.

После того, как пользователь инициировал соединение непосредственно с сервером, шлюз с установленным FireWall-1 распознает, что требуется установление подлинности клиента, и инициирует соединение с Агентом Авторизации Сессий.

Агент производит необходимую авторизацию, после чего FireWall-1 разрешает данное соединение, если подлинность клиента установлена.

Поддерживаемые схемы авторизации пользователя

FireWall-1 поддерживает разнообразные варианты авторизации пользователей:

1. SecurID — пользователь набирает номер, высвечивающийся на электронной карточке Security Dynamics SecurID.
2. S/Key — от пользователя требуется набрать соответствующую запрашиваемому номеру комбинацию S/Key ключа.
3. OS Password — пользователь должен набрать пароль операционной системы.
4. Internal — пользователь набирает специальный пароль, хранимый в FireWall-1 шлюза.
5. Axent — требуется ввод в соответствии с инструкциями сервера Axent.
6. RADIUS — требуется ввод в соответствии с инструкциями сервера RADIUS.

Для систем на базе RADIUS-серверов существует несколько реализаций, сертифицированных в рамках OPSEC и предлагаемых для использования официальными партнерами.

© ООО "Корпорация "ЮНИ", 1998