[ Pobierz całość w formacie PDF ]
.Wykorzystaniekarty inteligentnej do uwierzytelniania u¿ytkowników jest idealne w sytuacjach,gdzie wa¿ne s¹ dodatkowe zabezpieczenia, na przyk³ad przy dostêpie do aplikacjip³atniczych.Karty inteligentne s¹ bardziej bezpieczne od hase³ z kilku powodów:Do uwierzytelnienia u¿ytkownika potrzebny jest obiekt fizyczny – karta.Karta musi byæ u¿yta razem z osobistym numerem identyfikacyjnym (PIN), copomaga upewniæ siê, i¿ w³aœciwa osoba u¿ywa karty.Ryzyko ataku za pomoc¹ skradzionego uwierzytelnienia jest skuteczniewyeliminowane, poniewa¿ nie mo¿na fizycznie wydostaæ klucza z karty.Bez karty napastnik nie ma dostêpu do zasobów chronionych przez Smart Card.W sieci nie s¹ przesy³ane w ¿adnej postaci has³a lub inne informacje nadaj¹cesiê do ponownego wykorzystania.UwagaFunkcjonalnoœæ kart inteligentnych (Smart Card) uwa¿ana jest przez Microsoft zatak wa¿n¹, i¿ zosta³ opublikowany model ³¹czenia i wykorzystania czytników kartinteligentnych z Windows 2000.Model ten opiera siê na specyfikacji PC/SC(Personal Computer/Smart Card) i na wbudowanej w Windows 2000 implementacjiSCard COM, stanowi¹cej zbiór obiektów interfejsu COM, z których mo¿na budowaæinterfejsy wysokiego poziomu lub aplikacje u¿ywaj¹ce kart inteligentnych.Microsoft s³usznie oczekuje, i¿ logowanie za pomoc¹ kart inteligentnych wprzysz³oœci stanie siê wa¿n¹ funkcj¹ wykorzystywan¹ przez coraz wiêcej firm.Wpraktyce mo¿emy zacz¹æ braæ sobie do serca karty inteligentne dla zwiêkszaniabezpieczeñstwa najbardziej wra¿liwych kont u¿ytkowników (szczególniewszechpotê¿nych kont administracyjnych, poniewa¿ równie¿ dla administratorówzmniejszy to potrzeby pamiêtania szeregu hase³), oraz dla u¿ytkownikówloguj¹cych siê spoza organizacji.Proszê pamiêtaæ, i¿ logowanie za pomoc¹ kart inteligentnych dopiero raczkuje.Ztego powodu — jak równie¿ z powodu delikatnej natury logowania kart¹inteligentn¹ — nale¿y uwa¿aæ, by wybieraæ jedynie czytniki kart wymienione wliœcie zgodnoœci sprzêtowej Windows 2000 (HCL – Hardware Compatibility List).Ico najwa¿niejsze: nale¿y sprawdziæ, czy wybrany typ karty inteligentnej wymagado dzia³ania dodatkowego CSP w systemie, obs³uguj¹cego czytnik — poniewa¿ mo¿eto oznaczaæ mnóstwo pracy, w zale¿noœci od iloœci zaanga¿owanych systemów i ichkonfiguracji.WskazówkaW chwili obecnej Windows 2000 obs³uguje jedynie karty inteligentne Gemplus,GemSAFE i Schlumberger Cryptoflex.Wobec tego, dla ka¿dego innego typu kartytrzeba bêdzie dodawaæ CSP!Bezpieczeñstwo na poziomie sieci: IPSecJak nazwa wskazuje, zabezpieczenia IP (IPSec – IP Security) otwieraj¹mo¿liwoœci definiowania zasad zabezpieczeñ, zwi¹zanych z warstw¹ sieciow¹komunikacji.IPSec jest pakietem standardowych protoko³Ã³w internetowych,pozwalaj¹cych na bezpieczn¹, szyfrowan¹ ³¹cznoœæ pomiêdzy dwoma komputeramiprzez nie zabezpieczon¹ sieæ.Szyfrowanie dokonywane jest w warstwie sieciowejIP, co oznacza i¿ jest przezroczyste dla wiêkszoœci aplikacji, u¿ywaj¹cychokreœlonych protoko³Ã³w sieciowych, jak równie¿ dla sprzêtu sieciowego.Ponadto IPSec zapewnia bezpieczeñstwo miêdzypunktowe — pakiety IP s¹ szyfrowaneprzez komputer wysy³aj¹cy, nieczytelne po drodze, oraz mog¹ byæ odszyfrowanetylko przez komputer odbiorcy.Dla dodatkowego podniesienia bezpieczeñstwa, abyunikn¹æ przesy³ania kluczy przez sieæ, proces u¿ywa istniej¹cych ju¿ kluczy(pochodz¹cych z Kerberosa, kluczy publicznych lub istniej¹cego kluczawspólnego), aby wygenerowaæ pojedynczy symetryczny klucz szyfruj¹cy,wykorzystywany na obu koñcach ³¹cza.Mechanizm IPSec jest ca³kowicie niezale¿ny od innych œrodków bezpieczeñstwa,zaimplementowanych w przedsiêbiorstwie, poniewa¿ funkcjonuje w warstwie sieci anie w warstwach aplikacji.Wobec tego, IPSec mo¿e pos³u¿yæ do podniesieniaogólnego poziomu bezpieczeñstwa w ca³ej organizacji lub wybranych jejczêœciach, jako dodatek do innych opcji zabezpieczeñ omówionych w tymrozdziale.IPSec w u¿ytkuZabezpieczenia IP (IPSec) pozwalaj¹ na skonfigurowanie w Windows 2000automatycznego szyfrowania i deszyfracji pakietów sieciowych IP, wchodz¹cych iwychodz¹cych z systemu — i w ten sposób zabezpieczyæ ³¹cznoœæ przedpods³uchiwaniem oraz podobnymi zagro¿eniami.IPSec mo¿e byæ zainstalowany tak,by obejmowaæ wszystkie lub czêœæ komputerów w sieci IP, jak równie¿ wybraneporty TCP/IP i adresy.Zasiêg i konfiguracja IPSec s¹ kontrolowane za pomoc¹Zasad grup — wobec czego mo¿na je przydzieliæ do komputera lokalnego jakrównie¿ grupy komputerów.Ostrze¿enieIPSec nie mo¿na przydzielaæ do u¿ytkowników, lecz tylko do komputerów.Iponiewa¿ ustawienia zasad IPSec s¹ nak³adane na dalszej pozycji przetwarzaniaZasad grup komputera, dane wysy³ane przez sieæ w procesie uwierzytelnianiakomputera (w tym wszelkie Zasady grup komputera) nie s¹ i nie mog¹ byæszyfrowane!Warto te¿ zauwa¿yæ, i¿ mo¿liwoœci oferowane przez IPSec nie staj¹ siê mniejfascynuj¹ce przez fakt ca³kowitej niewidocznoœci dla u¿ytkownika i mog¹ byæzarz¹dzane centralnie — w praktyce oznacza to, i¿ wprowadzenie IPSec w siecipoci¹ga za sob¹ znikome dodatkowe koszty administracyjne!Implementacja IPSec zawiera trzy wstêpnie zbudowane zasady IPSec:Client (Respond Only) — w tym przypadku komputer Windows 2000 bêdzie negocjowaæzabezpieczenia IPSec z ka¿dym komputerem obs³uguj¹cym ten standard, lecz nierozpocznie negocjacji zabezpieczeñ na w³asn¹ rêkê [ Pobierz caÅ‚ość w formacie PDF ]

Archiwum

• Strona Główna
• R14 03 (11)
• r14 2 (4)
• r14 2 (5)
• Chabon, Michael The amazing adventures of Kaval
• Book 2 The Coral Kingdom
• Jaspers K. Nietzsche a Chrzescijanstwo (4)
• Brown, Dale Schattenpilot
• Cowie Vera Piekna i zla
• Basic Writings of Nietzsche Friedrich Nietzsche
• Bahdaj Adam Trzecia granica
• zanotowane.pl
• doc.pisz.pl
• pdf.pisz.pl
• kwblog.htw.pl