ZyWALL OTP: Сим-Сим, откройся

ZyWALL OTP: Сим-Сим откройся

Борис Борисенко, эксперт

Необходимость двухфакторной аутентификации

В большинстве компьютерных систем используется механизм идентификации и аутентификации на основе схемы "идентификатор пользователя/пароль". Аутентификация, которая полагается исключительно на пароли, часто не может обеспечить адекватную защиту. Пользователи имеют тенденцию создавать пароли, которые являются легкими для запоминания и, следовательно, легкими для угадывания, зачастую используют общие пароли для доступа к разным службам. При этом в некоторых (например, e-mail или ICQ) из них пароли могут передаваться в открытом виде, а значит, раз перехватив такой пароль, можно получить доступ и к конфиденциальной, и к финансовой информации.

С другой стороны, при использовании разных паролей, сгенерированных из случайных символов, которые трудно угадывать пользователю, естественно, трудно их запомнить. В любом случае использование одного пароля может быть небезопасно в связи с растущим количеством хакерских атак, шпионских программ и т.п., такая аутентификация дает злоумышленнику уйму времени для подбора пароля.

В подобных случаях на помощь приходит двухфакторная аутентификация, когда пользователь для авторизации должен предоставить два средства идентификации, одно из которых обычно представляет собой жетон или карту доступа, а второе - код доступа, известный только пользователю. Яркий пример двухфакторной аутентификации - банковская карта: сама карта является первым (аппаратным) фактором аутентификации, a PIN-код - вторым.

Жетон ZyWALL OTP

Решение компании ZyXEL в области двухфакторной аутентификации ZyWALL OTP позволяет резко снизить риск НСД путем постоянного изменения комбинации одноразового пароля. В ZyWALL OTP используется 160-битный алгоритм генерации псевдослучайных чисел OATH, 128-битное шифрование AES. Благодаря более долговременной встроенной батарее время работы жетона составляет 3 года, что является немаловажным: один раз получив жетон, можно надолго забыть о необходимости смены батареек и избежать нештатных ситуаций.

Применение ASAS в ZyWALL OTP

Комплект ZyWALL OTP включает в себя сервер ASAS (Authenex Strong Authentication Server) для серверной части системы аутентификации, работающий по схеме "вопрос-ответ", и легко интегрируется с решениями в области безопасности компьютерных сетей семейства ZyWALL. Сервер ASAS является сетевым приложением, поддерживающим LAN, Web, VPN, удаленный доступ с возможностью строгой аутентификации. Серверная часть поддерживает MSDE и SQL2000. Помимо всего перечисленного имеется набор плагинов для работы с различными приложениями, такими как Ci-trix, LAN Authentication, IIS, OWA.

Пример использования жетонов ZyWALL OTP в случае удаленного доступа к сети с установленным ASAS, межсетевым экраном (МСЭ) и SSL VPN-концентратором ZyWALL SSL 10 показан на рис. 1.

Протокол RADIUS

Сервер ASAS совместим с такими решениями VPN и удаленными МСЭ, как Check Point, Cisco, Nortel и Microsoft, поддерживает ODBC в случае применения баз данных SQL и использует протоколы TCP/IP и RADIUS. Протокол RADIUS (RFC 2058, 2059) служит одним из примеров построения распределенной архитектуры аутентификации и авторизации. Двусторонняя связь клиента и сервера RADIUS идет в зашифрованном виде, что исключает компрометацию пользовательской информации. На рис. 2 показана схема рабочего потока с использованием протокола RADIUS, а на рис. 3 - авторизация пользователя с использованием ZyWALL OTP.

Поставка ZyWALL OTP

ZyWALL OTP поставляется в трех вариантах: стартовый комплект (2 жетона OTP и диск, содержащий ПО ZyXEL и ASAS) служит для ознакомительного тестирования, OTP 5U (5 жетонов OTP и диск) используется в случае необходимости большего количества жетонов, OTP 10U (10 жетонов OTP и диск) - для массового использования жетонов. Начать можно со стартового комплекта, а затем выбирать наиболее удобный вариант в зависимости от ситуации и численности состава подразделения.