13 декабря, четверг 23:22
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Помогите определиться - повысит ли безопасность доменная авторизация для АБС?

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Помогите определиться - повысит ли безопасность доменная авторизация для АБС?

    Помогите определиться - повысит ли безопасность доменная авторизация для АБС?

    Работает у нас АБС в основе которой - MS SQL Server 2000. Пользователи входя в АБС авторизуется стандартными средствами SQL Server-а. И всё было бы ничего, но в один прекрасный момент спец по информационной безопасности потребовал перейти на доменную авторизацию.

    Встал вопрос - а насколько это безопасно когда пользователь вообще не вводит пароль для запуска АБС (достаточно войти в домен - и всё)? Скажу сразу - все компы у нас блокируются через несколько минут отсутствия активности пользователя.

    И ещё вопрос - не подскажете - какие АБС используют свою авторизацию взамен или в обход авторизации своего сервера баз данных?

  • #2
    в ИБ лучше использовать комплекс мер.
    чтоб и то и это было.
    к примеру - злоумышленник прорвет оборону в одном месте, а в другом месте - нет.
    соответственно - уровень ИБ в этой системе выше.

    например АБС РСБанк.
    трехзвенка страртует от имени пользователя домена и если пользователь не в "нужной" группе,
    то терминал не стратует. И есть своя авторизация (правда дырявая, но комплексом мер закрывается).
    ______________________________
    даешь автомафикацию в колхозы!

    Комментарий


    • #3
      baatar
      А можно про комплекс мер поподробнее (b-mail)?

      Комментарий


      • #4
        могу и так:
        1) работать только через трехзвенку.
        2) переименовать rsl32.exe и вообще им не пользоваться, а пользоваться rsl32bmv.exe от последних сборок.
        3) шары на dbfile закрыть, и убедиться чтоб person.dbt никто не видел.

        все.
        ______________________________
        даешь автомафикацию в колхозы!

        Комментарий


        • #5
          Спасибо. Все знакомо.

          Комментарий


          • #6
            АвтоматизаторN

            Идея плохая.
            С точки зрения информационной безопасности, сетевые админы и администратры АБС должны быть разными людьми с непересекающимися правами доступа.

            Комментарий


            • #7
              ну блин, где ж мы столько народу найдем?
              счас вышло Р-609 от 1 декабря 2004 года, так там еще и администратор ИБ должен быть.
              и за вредность ему платить рекомендуется.
              ______________________________
              даешь автомафикацию в колхозы!

              Комментарий


              • #8
                baatar

                Все правильно. По науке в любой системе и в АБС, в частности, должны быть:
                1. админ системы - имеет все права, кроме прав настройки и редактирования системных протоколов.
                2. админ безопасности системы, имеющий только вышеупомянутые права.

                Комментарий


                • #9
                  dredd
                  это мы знаем, просто не у всех большие банки.
                  приходиться совмещать, но за Админа ИБ никто не доплачивает
                  ______________________________
                  даешь автомафикацию в колхозы!

                  Комментарий


                  • #10
                    АвтоматизаторN повысит ли безопасность доменная авторизация для АБС интересно, а как? Было два пароля - стал один - в каком месте здесь повышение безопасности?
                    Семь раз отпей - один отъешь.

                    Комментарий


                    • #11
                      Pychick
                      Было два пароля - стал один - в каком месте здесь повышение безопасности?
                      Например, меньше вероятность, что пользователь замучившись вспоминать, где какой пароль, повесит их в виде бумажных стикеров на монитор.

                      А вообще, для маленьких банков, где администратор администрирует всё-всё в одном лице, а считанные единицы пользователей сидят в трех соседних комнатах и часто подменяют друг друга, решение авторизовать все через домен в принципе приемлемо.
                      Для больших структур - выше уже сказали.

                      Комментарий


                      • #12
                        Если в качестве доменной аутентификации использовать смарткарты (или токены) - то защищенность (в отличии от 2 паролей), безусловно, повысится. Иначе - ИМХО, снизится или как минимум не изменится. Сама по себе доменная авторизация не повышает безопасности по сравнению с обычной, но позволяет более гибко управлять политиками безопасности.

                        Комментарий


                        • #13
                          Так использует кто-либо доменную авторизацию или как?

                          Комментарий


                          • #14
                            И ещё - насколько я понял MS SQL Server пароль в открытом виде по сети передаёт. Именно поэтому и появилась идея о переходе на доменную авторизацию. Но если представить себе, что у нас пользователи трафик будут перехватывать - то с такими фантазиями далеко можно уйти.

                            Комментарий


                            • #15
                              Насколько я знаю, MSSQL не передает пароли plain text-ом. А передается хэш пароля, как у большинства СУБД. А трафик перехватить - большого ума не надо, как раз. Интересно, а от кого тогда Вы собираетесь защищаться, если не от "своих"? Именно персонал является источником 96% угроз информационной системе.

                              Комментарий


                              • #16
                                АвтоматизаторN
                                Так использует кто-либо доменную авторизацию или как?
                                так тебе ж сказали - рстул. к паролям АБС есть еще и авторизация доменная.
                                ______________________________
                                даешь автомафикацию в колхозы!

                                Комментарий


                                • #17
                                  А мне думается, что, если будешь использовать протокол IPSec, то передаст в зашифрованном виде пароль, иначе в открытом виде. И не надо из этого трагедию делать - доменная авторизация (она же, на сколько я понимаю, в докумнтации MS SQL Server аутентификация на уровне операционной системы) + средствами MS SQL Server = все в порядке. Если авторизайия будет только доменная, то это не говорит о том, что все смогут к серверу БД подключаться. Если ты пользователя Петю не завел в MS SQL Server, то сколько бы он в домен не входил правильно - к MS SQL Server ему вход закрыт.

                                  Мое мнение такое.

                                  Комментарий


                                  • #18
                                    Да, что касается РСтула, то там... все намного "интереснее". Под одним пользователем шарятся в базе. А "так тебе ж сказали - рстул. к паролям АБС есть еще и авторизация доменная." таким образом они ГОВОРЯТ серверу приложений, что я типа свой, и дай мне попробовать к базе подцепиться.

                                    Комментарий


                                    • #19
                                      Энциклопедия
                                      А мне думается, что, если будешь использовать протокол IPSec, то передаст в зашифрованном виде пароль, иначе в открытом виде.
                                      Не передает MSSQL пароль в открытом виде. Сказки это, ИМХО. Не верите - отловите снифером пакет и поищите пароль.
                                      Сами мы над доменной авторизацией думали уже, но у нас с этим тяжелее - Oracle используется. А так было бы намного интересней - вход по смарткарте в домен, авторизация в базе по домену, IPSec, блокировка станции по отсутствию смарткарты и использование этой же смарткарты в системе разграничения доступа в помещение - вот это бы действительно намного повысило бы защишенность системы.
                                      Увы, все это пока мечты...
                                      А как было бы красиво: пользователь по карточке открыл дверь помещения, включил комп, по карточке авторизовался в домене, при работе надо выйти - вынул карту - все заблокировалось, по карточке открыл дверь - вышел. И не надо ковыряться со сменой паролей, постоянной проблемой забытых паролей и т.п.

                                      Комментарий


                                      • #20
                                        Newtown И не надо ковыряться со сменой паролей, постоянной проблемой забытых паролей и т.п. - увы Карту можно потерять/украсть. И тогда ею свободно может воспользоваться другой человек. А украсть пароль из головы человека - это несколько сложнее (смотря какой человек, конечно ).
                                        *Д.Ж*

                                        Комментарий


                                        • #21
                                          А в чем проблема с доменной авторизацией в Oracle. Делается минут за 10. Зайдите на sql.ru и в форуме Oracle поищите. Тема обсасывалась неоднократно.

                                          Комментарий


                                          • #22
                                            А вообще я бы так сказал: Сделать можно все! Главное чтобы смысл в этом был, а не просто для того чтобы было!

                                            Комментарий


                                            • #23
                                              Я уже тут как-то спорил активно по поводу AD с разработчиком BankBusiness
                                              Предлагал им сделать авторизацию и заполнния каталога пользователей из AD

                                              C одной стороны - исключает ситуации, когда некий доменный пользователь узнав чужой аккаунт из АБС может со своей станции под ним зайти и выполнить действия от чужого имени.
                                              С другой - саму AD в этом случае надо более тонко настраивать. Создавать контейнеры для подразделений (или группы), заполнять все и вся.

                                              Как мне кажется, для тех, кто не поленился и структуризовал свою AD и уже все в нее внес - такая схема авторизации очень полезна.
                                              У кого AD почти пустая - без разницы... почти ничего не дает...

                                              Самый простой пример такого решения - Оутлок и Эксчейндж - прекрасно все работает. Или SharePoint Portal.
                                              Рад бы в Рай, да... реаниматоры не пускают!

                                              Комментарий


                                              • #24
                                                2АвтоматизаторN : Встал вопрос - а насколько это безопасно когда пользователь вообще не вводит пароль для запуска АБС (достаточно войти в домен - и всё)?

                                                Вот, для размышления - цитата с http://www.winsov.ru/safe018.php :

                                                "Если система, к которой необходимо получить пароли находится в локальной сети, можно попробовать сниффить трафик, с целью перехвата хешей паролей при авторизации в домен (NT hash или LanMan hash). Это можно осуществить как с помощью просто программ-снифферов (в данном случае придется "руками" извлекать хеш и пакетов и сохранять его для дальнейшего взлома программами подбора пароля к хешу), так и программой L0phtCrack (LC3) - что намного удобнее. В ней имеется функции прослушивания сети на предмет передачи LanMan и NT хешей."

                                                Имхо если в банке заведётся упырь-инсайдер, задавшийся целью войти в АБС под чужим именем и паролём, то он с гораздо большей вероятностью найдёт в инете готовые средства взлома авторизации в доменах NT, чем готовые средства взлома авторизации в СУБД. Еще раз имхо.
                                                WBR, Александр Турчин

                                                Комментарий


                                                • #25
                                                  dj_nsk
                                                  Карту можно потерять/украсть. И тогда ею свободно может воспользоваться другой человек. А украсть пароль из головы человека - это несколько сложнее (смотря какой человек, конечно ).
                                                  Вообще, доступ к содержимому смарт-карты открывается по пин-коду. Причем отнюдь не 4-символьному. Т.о. идет двухфакторная аутентификация (хоть и ругает ее Шнайер, но лучше ничего разумного пока не предложил). И в отличие от обычного хэша, используется алгоритм, исключающий возможность подсовывания "левого" хэша, ибо используется сесионный ключ, создаваемый каждый раз, что делает бесполезным снифферы. Пароль нигде не хранится в системе, так что и получить его нельзя. Секретный ключ не покидает карту, а все криптопреобразования производятся внутри карты.
                                                  Естетсвенно, эта система дороже (примерно на 30-50 уев на пользователя), зато мне она представляется более удобной и защищенной, чем пароли.

                                                  Комментарий


                                                  • #26
                                                    Newtown доступ к содержимому смарт-карты открывается по пин-коду - так, конечно, защищённость возрастает. Но вот неудобства пользователей и та же проблема с забыванием паролей - остаются (если даже не увеличиваются). Я ж про это говорил.
                                                    Как представлю себе, что мне для входа на этаж нужно будет не только пропуск приложить, но ещё и длинный пин-код вводить...
                                                    *Д.Ж*

                                                    Комментарий


                                                    • #27
                                                      Александр_Турчин

                                                      Снифить трафик в нормально организованом LAN'е не так просто, как может показаться.
                                                      В случае использования свитчей (обычное на сегодня дело) "упырь-инсайдер", помимо своего собственного трафика, увидит лишь броадкасты и мультикасты. Я уже не говорю о том, что перевод любой сетевой карты в promiscuous mode должен моментально фиксироваться средствами сетевой безопасности - равно как и использование "готовых средств взлома авторизации".

                                                      Комментарий


                                                      • #28
                                                        2dredd : Снифить трафик в нормально организованом LAN'е не так просто, как может показаться.

                                                        Истинная правда !

                                                        В случае использования свитчей (обычное на сегодня дело) "упырь-инсайдер", помимо своего собственного трафика, увидит лишь броадкасты и мультикасты.

                                                        Хм. Вообще - то такие штуки, как arp spoofing, mac flooding и mac duplicating придуманы уже давно для сниффинга коммутируемых сетей. Опять же есть широко известная программа Ettercap http://ettercap.sourceforge.net/ . Так что упырю - инсайдеру добрые люди уже придумали много тулзов для работы в коммутируемой сети...
                                                        WBR, Александр Турчин

                                                        Комментарий


                                                        • #29
                                                          Александр_Турчин

                                                          На таких продвинутых упырей нужны адекватно продвинутые админы, знающие и про ARP poisoning и про методы борьбы с ним.

                                                          Комментарий


                                                          • #30
                                                            2dredd : На таких продвинутых упырей нужны адекватно продвинутые админы

                                                            Кто ж с этим спорит ? Однако это утверждение не имеет никакой связи с темой треда...
                                                            WBR, Александр Турчин

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X