Verifikacija korisnika na mrezi pc
Upcoming SlideShare
Loading in...5
×
 

Verifikacija korisnika na mrezi pc

on

  • 346 views

 

Statistics

Views

Total Views
346
Views on SlideShare
346
Embed Views
0

Actions

Likes
0
Downloads
1
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Verifikacija korisnika na mrezi pc Verifikacija korisnika na mrezi pc Document Transcript

  • 15.05.1993.Damir DelijaImplementacija sustava verifikacije korisnika na umreženim osobnim računalimaSadržaj: U ovom radu se opisuju jedno rješenje sustava automatske verifikacije korisnika naumreženim osobnim računalima pod operacijskim sustavom MSDOS. Daju se prednosti inedostaci navedene metode, te njena moguća proširenja, usavršavanja i veza sa standardnimnadzornim sustavima.Ključne riječi: verifikacija, sigurnost, mreža, personalno računalo0. UvodJedan od osnovnih problema vezanih uz osobna računala, posebno pod operacijskim sustavomMSDOS je potpuni nedostatak sigurnosti računala. U granicama operacijskog sustavaMSDOS nemoguće je postići verifikaciju korisnika i veoma je teško zaštiti podatke odneovlaštenog pristupa. Problem se još vise potencira pri vezanju računala u mreže naročitoone koje dozvoljavaju usluge dijeljenja diskova. Da bi se izbjegli problemi vezani uzneovlašteni pristup podacima i neovlašteni ulazak u računalo moguće je primijeniti raznemetode programske i sklopovske zaštite, čija efikasnost i primjena ovisi o traženom stupnjusigurnosti za računalo i mrežu.Jedno od mogućih programskih rješenja je primjena sustava verifikacije korisnika sličnogsustavu operacijskog sustava UNIX, koji se ujedno prirodno nadovezuje na sustav mrežneverifikacije korisnika ostvaren kroz NIS (engl. Network Information Service) protokol zausklađivanje datoteka koje opisuju korisnike na umreženim računalima.1. Verifikacija korisnikaVerifikacija korisnika je ostvarljiva na lokalnom nivou i na globalnom tj. mrežnom nivou.Lokalna verifikacija korisnika znači postojanje lokalnog procesa koji korisnika na temeljunjegovog imena i verificirane lozinke uvodi u sustav ili ne. Korisnik pri tome automatski bivasmješten u svoje osnovno kazalo i biva pokrenuta njegova inicijala korisnička ljuska kao nastandardnom UNIX sustavu. Ako je potrebno može se izvršiti i verifikacija korisnika na mrežiputem odgovarajućih procesa. To ujedno znači da korisnik može nastaviti rad i u slučajuispada mreže na svom lokalnom računalu, posto njegov opis postoji u lokalnim datotekama.Ne mora se posebno spominjati da je za takav sustav potrebno i imati pouzdanuadministraciju sustava i jedinstven sustav korisničkih imena koji se održava bilo ručno biloputem odgovarajućih alata.
  • Slika 1: Primjer sustava datoteka sličan UNIX operacijskom sustavuPrema navedenom postoje dakle dva stupnja verifikacije:  lokalni na temelju kog korisnik ulazi u lokalo računalo  mrežni na temelju kog korisnik pristupa uslugama mreže i koji automatski svojom promjeno uzrokuje promjenu lokalnog.1.1.Realizaija rješenjaPrema preporukama i postojeći de facto standardima za operacijski sustav UNIX zaverifikaciju korisnika mora biti izvedena određena struktura datoteka, kazala i programa naračunalu. Moraju postojati osnovna kazala za svakog korisnika, mora postojati datoteka saopisom svih korisnika, komandne ljuske, login programi, te inicijalni programi (slika 1).Postupak pokretanja računala, pristupa na mrežu, te verifikacije korisnika teče premaalgoritmu prikazanom na slici 2. Pri tome se za operacijski sustav MSDOS moraju izvestiodređene specifične modifikacije datoteka CONFIG.SYS i AUTOEXEC.BAT tako da biračunalo radilo obavilo navedenu sekvencu. Potrebno je modificirati SHELL varijablu udatoteci CONFIG.SYS kako bi inicijalni proces postao program koji vrši verifikacijukorisnika .pokretanje_računala;provjera_računala;pokretanje_mreže;postupci_održavanja;Ponavljaj zauvijekpočetak
  • unesi korisnikove ime i lozinku; Ako korisnikovo ime postoji i lozinka je u redu tada ako postoji osnovno korisnikovo kazalo tada obavi_statistiku_za_korisnika; ako je mreža aktivna tada ako uspije verifikacija na mreži tada pokreni osnovnu korisnikovu ljusku; odjavi_korisnika_sa_mreže inače pokreni osnovnu korisnikovu ljusku obavi_statistiku_za_korisnika; inače obavi_statistiku_za_korisnika;kraj. Slika 2: Postupak verifikacije korisnika2.Postupci mrežne verifikacijeMrežna verifikacija se može izvoditi na vise načina ovisno o tipu mreže, implementacijiverifikacije na danoj mreži, te o dostupnim programskim alatima.2.1.Verifikacija putem komandnih procedura za korisničku ljuskuNajjednostavniji način je korištenje komandnih procedura za korisničke ljuske uneinteraktivnom načinu. Takav pristup ima prednost u tome sto se mrežna verifikacija možeizvesti i za korisnika koji uz verifikaciju zahtijeva aktiviranje specifičnih mrežni usluga, npr.,pristup diskovima, štampačima i sl. Pri odjavi sa mreže istim načinom se pojedine uslugeodjavljuju slika 2.1, 2.2.Nedostatak ove metode je u postojanju komandnih procedura koje se mogu neovlašteno čitatii mijenjati posto na MSDOS-u ne postoji mogućnost efikasne zaštite datoteka.REM komandna procedura za command.comREM poziva se sa parametrima /C ime_procedure korisnik lozinkaREM primjer je za SUN PCNFS sustavREMREM verificiranje korisnika %1 je korisničko ime %2 je lozinkaNET NAME %1 %2
  • REMREM pristup mrežnim resursima, diskovima i štampačimaREMNET USE J: SUN:/usr/tehnika /msNET USE I: m33:/usr/HINA /msNET USE LPT1: tea:LN03NET USE LPT2: tea:LN03 Slika 2.1: Tipičan izgled komandne procedure za mrežnu verifikaciju korisnika i pristup određenim mrežnim resursima.Moguća je i modifikacija ove metode tako da se komandne procedure za verificiranje namreži smjeste na zaštićene mrežne diskove odakle se svaki puta prenose na lokalni stroj akopostoji razlika između kopija procedure na lokalnom stroju i one na mrežnim diskovima. Zatakav pristup potrebno je modificirati algoritam verifikacije, tj. računalo nekim postupkommora prije verifikacije korisnika ostvariti pristup mrežnim resursima gdje su pohranjenecentralne verzije komandnih procedura.REM komandna procedura za command.comREM poziva se sa parametrima /C ime_procedureREM primjer je za SUN PCNFS sustavREMREM otpuštanje mrežnih resursa, diskova i štampačaREMNET USE J: /dNET USE I: /dNET USE LPT1: /dNET USE LPT2: /dREMREM odjava korisnikaREM
  • NET LOGOUT Slika 2.2: Tipična procedura za odjavu korisnika sa mreže i otpuštanje mrežnih resursa.Prednost ovog postupka leži u tome sto se može realizirati na mrežnom sustavu kojiminimalno ima riješeno dijeljenje diskova, pa nisu potrebni nikakvi posebni alati ni zahvati.2.2. Verifikacija pristupom mrežnim uslugamaVerifikacija korisnika putem pristupa mrežnim uslugama može se ostvariti upotrebompostojećih usluga kakav je NIS ili pak ostvarivanjem vlastitih mrežnih usluga za potrebeverificiranja korisnika.Oba pristupa zahtijevanju postojanje programskih alata i paketa koji ne dolaze sa standardnimkonfiguracijama mrežnih proširenja MSDOS-a, tj. moraju se imati razvojni paketi. Takavpristup ima prednosti nad pristupom putem komandnih procedura za korisničku ljusku u tomesto je moguće implementirati vlastiti dodatni sigurnosni sustav sa složenijim načinomprovjeravanja korisnika i sto je moguć pristup standardnim bazama podataka za verifikacijukorisnika koje se opet automatski usklađuju sa promjenama na cijelom umreženom sustavu.Realizacija sustava za verifikaciju korisnika na bazi NIS protokola za računala podoperacijskim sustavom MSDOS zahtijeva postanje bar jednog NIS pružaoca usluge u mreži iodgovarajuće programske podrške na osobnom računalu. Pri tome se modifikacija procesaverifikacije obavlja tako da se umjesto direktnog pristupa podacima na lokalnom stroju(lokalnim informacijama o korisnicima) koriste pozivi funkcija iz biblioteka za podršku NISprotokola. Te funkcije /SCO/ pristupaju prvo mrežnom pružaocu NIS usluge i tamoverificiraju korisnika. Ako pristup mrežnom pružaocu usluge nije moguć tek tada se korisnikverificira uz pomoć lokalnih podataka.Razvoj vlastitih protokola za verifikaciju korisnika je veoma složen proces i nijepreporučljivo poduzimati posto navedeni načini verificiranja korisnika omogućujujednostavno uklapanje u postojeće sustave.Vlastiti protokol sigurnosti ima smisla u slučaju da se razvija uz neki drugi vlastiti specifičniprotokol ili uslugu. Kao primjer za to se može navesti razvoj mrežne usluge za veomaspecifične potrebe kao sto je npr. izvještajna agencija za koju se razvija sustav za udaljenipregled vijesti. U tom slučaju potrebno je definirati mrežnu uslugu koja to omogućuje pa sedefiniranje dopunskog načina verifikacije korisnika za tu uslugu ugrađuje u definicijuprotokola te usluge /SCO/, slika 2.3. Treba napomenuti da u tom slučaju novi protokolverifikacije obuvača i sva ostala računala u sustavu a ne samo osobna računala.
  • Slika 2.3: Veza specifične mrežne usluge i vlastitog protokola verifikacije korisnika3. ZaključakPostupci koji su opisani u ovom radu potrebni su za implementaciju verifikacije korisnika nasustavima umreženih osobnih računala, naročito na onim osobnim računalima na kojima semože pojaviti vise korisnika. To znači da za tzv. nesigurna osobna računala (engl. nonsecurepersonal computers) mora postojati proširenje sustava sigurnosti kako bi se zaštitili i korisnicii računala i lokalno i u cijelom sustavu. Navedeni postupci su lako uvodljivi i omogućujuprihvatljiv stupanj sigurnosti za lokalne strojeve i za mrežu.Osobna računala koja su stvarno osobna tj. za koja postoji samo jedan imenovani korisnik nepodliježu takvim problemima posto se taj korisnik mora brinuti o računalu, a i aplikacije zamrežnu podršku su i izrađene za takvu upotrebu osobnih računala, no i na njih su navedenipostupci također primjenjivi.Odabir postupka verifikacije korisnika je složen proces vrednovanja i procjene zahtijevasustava i usluga na njemu. Ako se odabere pogrešan ili preslab sustav verifikacije korisnikaštete mogu biti nesagledive, pa je zato bolje primijeniti zahtjevniji sustav verifikacije koji ćemožda i smanjiti performansu sustava, ali će zadržati nivo sigurnosti sustava.4. Literatura/RFC1094/ "NFS: Network File System Protocol Specification", Sun Microsystems, Inc,March 1989./SCO1/ "SCO Network File System (NFS) System Administartors Guide", Santa CruzOperations Inc., 12 March 1991.