Преглед на софтуер
· Системата за клиентска Kerberos трябва да докаже неговата автентичност, за да получите достъп до всяка услуга, услугите, които тя причинява.
· Всички обмен на данни се извършва в мрежата по сигурен начин, като се използва алгоритъм за криптиране.
Kerberos мрежови услуги на базата на клиент-сървър архитектура, която му позволява да работи в най-взискателните мрежи. Kerberos клиент е инсталиран на всички компютри в мрежата, които могат да обжалват и да е онлайн услуга. В тези случаи, клиентът Kerberos на потребителя лице предава искане за Kerberos-сървър и поддържа диалог с него, необходими за изпълнението на Kerberos функции.
2. Получаване на разрешение за обжалване към сървъра на ресурсите.
3. Получаване на разрешение за достъп до ресурса.
За решаването на първия проблем, а вторият се отнася до клиента Kerberos-сървъра. Всеки един от тези проблеми се решават индивидуално сървъра, включени в Kerberos-сървъра. Осъществяване Първоначална идентификация и разрешение за продължаване на процеса на получаване на достъп до ресурса се извършва така нареченото удостоверяване сървър (сървър за удостоверяване, AS). Този сървър магазини в своята информационна база данни за идентификация и парола.
Вторият проблем, свързан с получаване на разрешение да се обжалва пред сървъра на ресурсите, решава друга част на Kerberos-сървър - сървър (разписки Ticket-Предоставяне на сървър, TGS). Сървърните разписки за законен клиент извършва допълнителна проверка и дава разрешение за клиент за достъп до нея до желаната сървъра ресурс, който му придава форма на електронна разписка. За да изпълнява функциите си, сървърът използва копия получаване на секретни ключове на всички сървър ресурс, който той съхранява в базата данни. В допълнение към тези основни сървъра TGS има друга тайна DES ключ споделя със сървъра AS.
разрешението става за директен достъп до ресурса - - Третата задача решен на ниво сървър ресурс.
Проучване в доста сложна механизъм на Kerberos, не може да помогне, но се чудя: какво влияние всички тези многобройни ключове за криптиране и процедури за споделяне на работата на мрежата, каква част от ресурсите на мрежата, които консумират и как това се отразява качеството си?
Отговорът е доста оптимистично - ако системата Kerberos се реализира и конфигурирано правилно, това значително намалява ефективността на мрежата. Тъй като постъпления се използват многократно, мрежови ресурси, прекарани на исканията на касови бележки, малки. Въпреки, че разписката по най удостоверяване за влизане в известна степен намалява пропускателната способност, такъв обмен трябва да се извършва, и ако използвате всякакви други системи и методи за удостоверяване. Допълнителни разходи за незначителни. Опитът от прилагането на Kerberos система показа, че времето за реакция, когато набор Kerberos система не се различава значително от времето за реакция без него - дори и в много големи мрежи с десетки хиляди възли. Тази ефективност прави системата Kerberos е много обещаващо.
Сред уязвимите места на системата Kerberos може да се нарече централизирана система на тайни ключове за съхранение. Една успешна атака на Kerberos-сървър, която се концентрира цялата информация, която е от решаващо значение за сигурността на системата, което води до разпадането на информационната сигурност на мрежата. Алтернативно решение би могло да бъде една система, основана на използването на алгоритми за криптиране сдвоени ключове, които се характеризират с разпределено съхранение на лични ключове.
Друг недостатък на системата е, че Kerberos изходния код за тези приложения, които са достъпни чрез Kerberos, трябва да бъдат подходящо модифицирани. Тази модификация се нарича приложение "kerberizatsiey". Някои търговци продават "kerberizirovannye" версии на техните приложения. Но ако има такава версия и няма изходен код, за Kerberos не може да осигури достъп до това приложение. [6]
Както бе споменато по-горе, сред множеството от протоколи може да бъде най-често изолат.
NetBEUI - NetBIOS Extended интерфейс. Първоначално, NetBEUI и NetBIOS са тясно свързани и се третират като един протокол, а след това на производителите ги изолират и сега те се разглеждат отделно. NetBEUI - малък, бърз и ефективен транспорт слой протокол, който се предлага с всички мрежови продукти компанията на Microsoft. Предимствата на NetBEUI включват малкия размер на комин, прехвърлянето на данни с висока скорост и съвместимост с всички мрежи на Microsoft. Основният недостатък - той не поддържа маршрутизиране, ограничението се прилага към всички мрежи на Microsoft.
Система за Xerox Network (XNS) е разработен от Xerox за техните Ethernet мрежи. Неговата широко използване започна с 80 = ите, но постепенно тя е била изместена от TCP / IP протокол. XNS - голям и бавен протокол, в допълнение той използва значителна част от съобщенията от мрежата, което увеличава мрежовия трафик.
Задайте протокол OSI - пълен стак протокол, където всеки протокол съответства на определен слой на модела OSI. Комплектът съдържа навигационни и транспортни протоколи, IEEE Проект 802 серия от протоколи, протокол сесия слой, ниво изпълнителна власт, както и няколко протоколи на ниво приложение. Те осигуряват пълнофункционален мрежа, в това число достъп до файлове, печат и т.н. [1]
Особено важно да се разгледа стека IPX / SPX протоколи. Тази купчина е оригинален стека протоколи на Novell, която е разработена за своята операционна система NetWare мрежа в началото на 80-те години. Протоколи обмен на пакети (IPX) и Последователни пакети Exchange (SPX), който дава името на комина са компанията Xerox директен XNS адаптация протокол широко разпространена в много по-малка степен, отколкото IPX / SPX. От броя на единиците, IPX / SPX протоколи имат водеща роля, и това се дължи на факта, че самата NetWare операционна система има водеща позиция с дял от инсталации в световен мащаб в около 65%.
семейство от протоколи на Novell и тяхното съответствие с модела на ISO / OSI е показана на фиг. 7
На физическите и линк слоеве в Novell мрежи, използвайки всички популярни протоколи на тези нива (Ethernet, Token Ring, FDDI, и други).
Транспортният слой на модела OSI, за да стека Novell съответства SPX протокол, който предава съобщения, за да установите връзка.
На горния заявление, представител и на сесия слой протокола NCP и SAP работата. Протокол NCP (NetWare ядро протокол) е протокол взаимодействие NetWare сървър и работна станция обвивка. Това приложение протокол слой изпълнява клиент-сървър архитектура в горните слоеве на OSI модела а. С функциите на този протокол работна станция произвежда връзката със сървъра, сървърът показва директорията на писмото на локален диск, да разглеждате файловата система на сървъра, копирайте изтрити файлове, да променяте атрибутите им и т.н. и извършва отделянето на принтера мрежа между работни станции.
мрежови Novell NetWare 3.x Сървърите на всяка минута, за да излъчват SAP пакети. SAP пакети са до голяма степен задръстят мрежата, така че една от основните задачи на рутери възникващите глобални комуникации, е да се филтрират трафика SAP пакети и RIP-пакети.
Особености IPX / SPX стека, поради особеностите на NetWare операционна система, а именно ориентацията на своите по-ранни версии на работа на локалните мрежи с малки размери, състояща се от персонални компютри със скромни средства. Ето защо, Novell необходими протоколи за изпълнението на които се изисква минимално количество RAM, както и че ще работи бързо, за да малки преработватели изчислителната мощ. В резултат на това IPX / SPX комин, доскоро протоколи работили добре на локални мрежи и да не е така - в големи корпоративни мрежи, тъй като твърде претоварен бавни глобалните комуникации излъчват пакети, които се използват широко от няколко протокола на стека (например, за комуникация между клиенти и сървъри).
Този факт, както и факта, че тестето IPX / SPX е собственост на Novell, както и за неговото прилагане трябва да получите лиценз за нея за дълго време, тя ограничава разпространението на само NetWare мрежи. Въпреки това, по време на следващата версия на NetWare 4.0, Novell е направил и продължава да прави своите записи големи промени, насочени към адаптирането им за използване в корпоративни мрежи. Сега стека на IPX / SPX се осъществява не само в NetWare, но също и в няколко други операционни системи популярната мрежа - SCO UNIX, Sun Solaris, Microsoft Windows NT. [8]
Свързани статии