CC BY
0
УДК 004.056.52
DOI: 10.24412/2071-6168-2024-3-111-112 МЕТОДЫ АУТЕНТИФИКАЦИИ И ЗАЩИТЫ ИНФОРМАЦИИ НА УДАЛЕННЫХ РАБОЧИХ МЕСТАХ
Д.Ю. Чекмарев, С.Ю. Борзенкова, Е.М. Баранова
В статье рассматриваются вопросы исследования технологий организации и протоколы удаленного доступа. Определены риски, которые возникают при организации удаленного доступа, исследованы методы идентификации и существующие проблемы по защите информации на удаленных рабочих местах. Работа направлена на выявление конкретных проблем в области защиты информации, которые возникают при удаленных подключениях к локально-вычислительным сетям организации и предложение решений данных проблем.
Ключевые слова: аутентификация, удаленный доступ, протокол информационная безопасность, информационные системы, защита информации.
В современном информационном обществе удаленная работа стала интегральной составляющей повседневной деятельности. Возможность доступа к корпоративным системам и данным из различных точек мира, предоставляемая удаленными рабочими местами, является ключевым элементом современных рабочих процессов. Однако с этим возникли новые вызовы в области информационной безопасности. Удаленные рабочие места, хотя и обеспечивают удобство и эффективность в работе, стали объектом пристального внимания злоумышленников и источником потенциальных угроз для безопасности данных и информационных систем. Важной составляющей обеспечения безопасности удаленных рабочих мест является аутентификация пользователей и защита информации. Актуальность данного исследования обусловлена расширением практики удаленной работы и увеличением числа инцидентов несанкционированного доступа к корпоративным локальным сетям и информационным системам. Целью данной работы является изучение методов аутентификации и средств защиты информации на удаленных рабочих местах, выявление проблемы и предложение решений для устранения выявленных недостатков.
Технологии организации удаленного доступа можно разделить на два типа: программные продукты и протоколы удаленного доступа. Программное обеспечение, в своей основе, работает по принципу клиент-сервер, где сервером выступает персональный компьютер (ПК), к которому организуется подключение. Среди протоколов удаленного доступа к локальной сети наибольшее распространение получил протокол «точка—точка» РРР (Point-to-Point Protocol), который является открытым стандартом Internet. Протокол PPP поддерживает такие функции, как аутентификация пользователя и сервера, компрессия и шифрование данных, обнаружение и коррекция ошибок, динамическое присвоение IP - адресов. На основе протокола РРР построены используемые при удаленном доступе протоколы РРТР, L2F и L2TP. Эти протоколы позволяют создавать защищенные каналы для обмена данными между удаленными компьютерами и локальными сетями, функционирующими по различным протоколам сетевого уровня — IP, IPX или NetBEUI. Для передачи по телефонным каналам связи пакеты этих протоколов инкапсулируются в РРР-кадры. При необходимости передачи через Internet защищенные РРР-кадры инкапсулируются в IP-пакеты сети Internet. Криптозащита трафика возможна как в каналах Internet, так и на протяжении всего пути между компьютером удаленного пользователя и сервером удаленного доступа локальной сети. Протокол РРР имеет встроенные средства, которые могут быть использованы для организации аутентификации при удаленном взаимодействии. В стандарте RFC 1334 определены два протокола аутентификации: по паролю — PAP (Password Authentication Protocol); по рукопожатию — CHAP (Challenge Handshake Authentication Protocol).
Суть работы протокола РАР довольно проста. В процессе аутентификации участвуют две стороны — проверяемая и проверяющая. Протокол РАР использует для аутентификации передачу проверяемой стороной идентификатора и пароля в виде открытого текста. Если проверяющая сторона обнаруживает совпадение идентификатора и пароля с записью, имеющейся у него в БД легальных пользователей, то процесс аутентификации считается успешно завершенным, после чего проверяемой стороне посылается соответствующее сообщение.
В протоколе CHAP используется секретный статический пароль. В отличие от протокола РАР, в протоколе CHAP пароль каждого пользователя для передачи по линии связи шифруется на основе случайного числа, полученного от сервера. Такая технология обеспечивает не только защиту пароля от хищения, но и защиту от повторного использования злоумышленником перехваченных пакетов с зашифрованным паролем. Протокол CHAP применяется в современных сетях гораздо чаще, чем РАР, так как он использует передачу пароля по сети в защищенной форме, и, следовательно, гораздо безопаснее.
Шифрование пароля в соответствии с протоколом CHAP выполняется с помощью криптографического алгоритма хэширования и поэтому является необратимым. В стандарте RFC 1334 для протокола CHAP в качестве хэш-функции определен алгоритм MD5, вырабатывающий из входной последовательности любой длины 16-байтовое значение. Хотя минимальной длиной секрета является 1 байт, для повышения криптостойкости рекомендуется использовать секрет длиной не менее 16 байт. Спецификация CHAP не исключает возможность использования других алгоритмов вычисления хэш-функций.
При реализации удалённой работы существуют значительные риски, которые включают в себя угрозу компрометации конфиденциальных данных, возможность перехвата информации, применение упрощенных методов аутентификации, недостаточный контроль за соблюдением политики безопасности, потенциальный физический доступ к удаленным компьютерам без должного контроля, возможность наличия вредоносных программ на устройствах, которые принадлежат доверенным пользователям, а также риск несанкционированного копирования и распространения ограниченной информации.
Методы аутентификации можно разделить на несколько типов, различные по своим функциям и возможностям (рис. 1).
Проблематика организации удалённого доступа к корпоративной сети представляет собой актуальный аспект, поскольку развитие мер безопасности и соответствующих решений в сфере кибербезопасности продолжается на протяжении всего периода существования киберпреступности, тогда как внедрение удалённой работы стало широко распространенным явлением относительно недавно.
Известия ТулГУ. Технические науки. 2024. Вып. 3
Одной из первоочередных сложностей является процесс аутентификации сотрудника в информационной системе, поскольку всегда существует вероятность того, что систему пытается проникнуть несанкционированный пользователь. Частично эту проблему можно решить внедрением двухфакторной аутентификации; однако такой подход не исключает возможности утраты технических средств сотрудником или его воздействия под давлением злоумышленников.
Методы аутентификации
Вид Метод Способ Уровень безопасности Сложность реализации
То, что пользователь знает Текстовой аутен-тификатор Многоразовые пароли Низкий Легко
PIN - коды Очень низкий Легко
Кодовые слова Низкий Легко
То, чем пользователь обладает Биометрические особенности Поведенческие характеристики Высокий Нормально
Отпечаток пальца Нормальный Сложно
Радужная оболочка глаза Высокий Сложно
Образ лица Нормальный Нормально
Технические средства Смарт - карты Высокий Нормально
USB - токены
Программные средства Одноразовые пароли / SMS -код Нормальный Легко
Комбинированные методы Двухфакторная аутентификация (2РЛ) Текстовой аутентификатор + Программные средства Высокий Легко
Текстовой аутентификатор + Биометрические особенности Очень высокий Сложно
Текстовой аутентификатор + Программные средства Высокий Нормально
Другим значительным риском является использование сотрудниками для работы технических устройств, которые также используются в личных целях. Это может привести к распространению вредоносного программного обеспечения и шифровальщиков в корпоративную информационную среду.
Третья значимая угроза связана с выбором места для удалённой работы, когда сотрудник предпочитает общественные места. Это может повлечь за собой риск компрометации конфиденциальной информации.
Внедрение мер безопасности информации на удалённых рабочих местах предполагает инициацию на административном уровне, где определяются процедуры работы, устанавливается ответственность за нарушения, разрабатывается модель рисков, и формулируются события, недопустимые для возникновения, на которых акцентируется вся деятельность. В условиях усиленных угроз кибербезопасности, наиболее рациональным подходом является принцип "нулевого доверия", применяемый ко всем устройствам, как внутренним, так и внешним. Реализация такого принципа требует дополнительных временных и финансовых затрат, однако обеспечивает единые правила и высокий уровень защиты. Первый риск может быть смягчен с использованием комбинированных методов аутентификации, основанных на биометрических данных субъекта. Второй риск уменьшается через внедрение демилитаризованной зоны (DMZ), которая обеспечивает дополнительный уровень защиты между внутренней сетью организации и интернетом, предотвращая проникновение злоумышленников и вредоносного программного обеспечения. Также рекомендуется использование сертифицированных криптографических средств для создания безопасных VPN-соединений между сервером и клиентом. Третий риск поддаётся решению путём разработки строгих политик безопасности, управления доступом и политики чистоты информационной безопасности, при этом необходимо обеспечить непрерывное обучение сотрудников правилам информационной безопасности и организации документооборота.
Список литературы
1. ГОСТ Р ИСО/МЭК 9594-8-98. Информационная технология. Взаимосвязь открытых систем. Основы аутентификации. Принят и введен в действие постановлением Госстандарта России от 19 мая 1998 г. № 215. Дата введения - 01.01.1999. [Электронный ресурс] URL: https://docs.cntd.ru/document/1200028710 (дата обращения: 10.02.2024).
2. ГОСТ Р 58833-2020. Защита информации. Идентификация и аутентификация. Национальный стандарт Российской Федерации. Утвержден и введен в действие приказом федерального агентства по техническому регулированию и метрологии от 10 апреля 2020 г. № 159-ст. Дата введения - 01.05.2020. [Электронный ресурс] URL: https://docs.cntd.ru/document/1200172576
3. Апенько С.Н., Малышев А.А. Исследование организации удаленных рабочих мест на предприятиях Ро-сии / Апенько С.Н., Малышев А.А. // Киберленинка, 2020. № 4 (18). С. 28-32.
4. Корнеенков А.В., Коккоз М.М., Смагулова А.К. Повышение безопасности систем удаленного администрирования: Защита информации / Корнеенков А.В., Коккоз М.М., Смагулова А.К. // Киберленинка, 2022. № 5 (98). С. 59-66.
5. Малышев А.А. Особенности организации удаленных рабочих мест России / Малышев А.А. — Текст: непосредственный // Киберленинка, 2017. [Электронный ресурс] URL: https://cyberleninka.ru/article/n/osobennosti-organizatsii-udalennyh-rabochih-mest (дата обращения: 03.11.2023).
6. Чекмарев Д.Ю., Борзенкова С.Ю. Проблемы идентификации пользователей в информационных системах // Известия Тульского государственного университета. Технические науки. 2023. Вып. 3. С. 509 - 515.
7. Как повысить безопасность в системах идентификации личности и контроля доступа // Хабр — Текст: непосредственный, 2019. [Электронный ресурс] URL: https://habr.com/ru/companies/ivideon/articles/442524 (дата обращения: 03.11.2023).
8. Как свести риски при работе на удаленке к нулю / Марина Крицкая // Журнал Контур, 2020. [Электронный ресурс] URL: https://kontur.ru/articles/1822 (дата обращения: 05.11.2023).
9. Протокол удаленного рабочего стола: основные принципы работы / ivablog.ra[Электронный ресурс] URL: https://ivablog.ru/protokol-udalennogo-rabocego-stola-osnovnve-principv-rabotv (дата обращения: 07.11.2023).
10. RDP. Игра в три буквы / Хабр [Электронный ресурс] URL: https://habr.com/ru/companies/ruvds/articles/358630 (дата обращения: 07.11.2023).
Чекмарев Дмитрий Юрьевич, магистрант, [email protected], Россия, Тула, Тульский государственный университет,
Борзенкова Светлана Юрьевна, канд. техн. наук, доцент, [email protected], Россия, Тула, Тульский государственный университет,
Баранова Елизавета Михайловнва, канд. техн. наук, доцент, elisafine@yandex. ru, Россия, Тула, Тульский государственный университет
METHODS OF AUTHENTICATION AND INFORMATION PROTECTION AT REMOTE WORKPLACES D.Y. Chekmarev, S.Y. Borzenkova, E.M. Baranova
Within the framework of the article the research of technologies of remote access organization was carried out, the main emphasis was on the study of access punctures, their functions and the essence of their work were considered. Risks that arise when organizing remote access were determined, identification methods and existing problems on information protection at remote workplaces were investigated. The work is aimed at identifying specific problems in the field of information protection that arise during remote connections to local computer networks of the organization and proposing solutions to these problems.
Key words: authentication, remote access, information security protocol, information systems, information protection.
Chekmarev Dmitry Yurievich, masters, [email protected], Russia, Tula, Tula State University,
Borzenkova Svetlana Yurievna, candidate of technical sciences, docent, tehnol@rambler. ru, Russia, Tula, Tula State University,
Baranova Elizaveta Mihailovna, candidate of technical sciences, docent, tehnol@rambler. ru, Russia, Tula, Tula State University
УДК 681.787
Б01: 10.24412/2071-6168-2024-3-113-114
ИЗУЧЕНИЕ ГЕОМЕТРИЧЕСКИХ ПАРАМЕТРОВ ПОВЕРХНОСТИ МИКРОКАНАЛОВ МИКРОЧИПОВ,
ИЗГОТОВЛЕННЫХ ИЗ ФТОРИДА КАЛЬЦИЯ ОПТИКО-ЭЛЕКТРОННОЙ СИСТЕМОЙ
Е.Е. Майоров, Г.А. Костин, В.В. Курлов, Н.Е. Баранов
В работе рассмотрены вопросы изучения геометрических параметров поверхности микроканалов микрочипов, изготовленных из фторида кальция оптико-электронной системой. В настоящее время ставятся задачи различной сложности и, в связи с этим исследователи используют преимущественно оптические и оптико-электронные методы и средства, так как их чувствительность, точность измерений превосходит контактные (механические) методы, поэтому использование оптико-электронной системы в контроле поверхности перспективно и актуально. В работе определена цель и поставлена задача, а также представлены объекты и метод исследований. Показана функциональная схема оптико-электронной системы и рассмотрена её работа. Получены результаты измерений расстояния до поверхности стенки микроканала разных производителей микрочипов.
Ключевые слова: микрочип, микрорельеф поверхности, оптико-электронная система, микроканалы, оптическое волокно, длина когерентности.
Развитие лазерной техники и технологий, микроэлектроники, оптико-информационных систем позволило вывести на новый уровень микроаналитические методы и технические средства, применяемые в различных отраслях промышленности, медицине и биологии [1]. Аналитические методы и технические средства являются высокоинформативным и высокоточным инструментом получения информации. Их уникальность обусловлена возможностями: высокая скорость анализа, эффективность, производительность [2].
113
