Fizyczna ochrona dostępu

Ukraść czyjś login i hasło jest - przy odrobinie sprytu, wiedzy i szczęścia - stosunkowo łatwo. Przynajmniej takie wnioski można wysnuć na podstawie niezliczonych doniesień o sieciowych atakach, włamaniach, kradzieżach tożsamości. Znacznie trudniej jest przywłaszczyć sobie czyjś palec lub tęczówkę. Tam gdzie bezpieczeństwo IT ma priorytet, coraz większego znaczenia nabierają systemy biometryczne i inne rozwiązania fizycznej kontroli dostępu i ochrony zasobów.

Ukraść czyjś login i hasło jest - przy odrobinie sprytu, wiedzy i szczęścia - stosunkowo łatwo. Przynajmniej takie wnioski można wysnuć na podstawie niezliczonych doniesień o sieciowych atakach, włamaniach, kradzieżach tożsamości. Znacznie trudniej jest przywłaszczyć sobie czyjś palec lub tęczówkę. Tam gdzie bezpieczeństwo IT ma priorytet, coraz większego znaczenia nabierają systemy biometryczne i inne rozwiązania fizycznej kontroli dostępu i ochrony zasobów.

Pod pojęciem konwergencji nie kryją się już tylko wielousługowe sieci, integrujące przesyłanie danych, głosu czy wideo. Termin ten coraz częściej pojawia się w opracowaniach na temat bezpieczeństwa informatycznego. Według analityków w niedalekiej przyszłości należy spodziewać się, że w przedsiębiorstwach standardem będzie pełna integracja systemów obsługujących fizyczny dostęp do usług czy pomieszczeń z rozwiązaniami zapewniającymi uwierzytelnianie użytkowników do aplikacji i zasobów firmowej sieci. Nie sposób nie zgodzić się ze specjalistami, że tak pojmowana konwergencja przynosi wiele korzyści - zwłaszcza w obszarze administrowania środowiskiem IT i nadawania praw dostępu.

Sposobów na realizację tych zadań jest wiele. Rynek jednakże nie doczekał się jeszcze ogólnoświatowych standardów w tym zakresie i w praktyce systemy uwierzytelniania do zasobów IT rzadko są w pełni zintegrowane z rozwiązaniami fizycznej ochrony dostępu.

Transponder, ręka czy oko?

Tradycyjne systemy uwierzytelniania czy kontroli dostępu opierają się na ogół na dwóch elementach - "coś co wiesz" (np. login/hasło/PIN) oraz "coś co masz" (np. karta magnetyczna, procesorowa, token). Powszechnie wykorzystuje się także różne kombinacje tych elementów, zwłaszcza w rozbudowanych, ale wymagających dosyć sporych nakładów systemach, takich jak RSA Secur ID.

Trzecia, znana nie od dzisiaj, metoda uwierzytelniania oparta jest na metodzie "jaki jesteś" i polega na rozpoznawaniu charakterystycznych cech danego człowieka - odcisku palca, kształtu dłoni, widoku tęczówki oka, brzmienia głosu. Systemy biometryczne - wydawałoby się najbardziej uniwersalne i niezawodne - nie zrewolucjonizowały rynku bezpieczeństwa i obecnie są wciąż stosunkowo rzadkim uzupełnieniem klasycznych metod kontroli dostępu.

W większości przedsiębiorstw zabezpieczeniem stojącym na drodze do zasobów firmowej sieci jest po prostu login i hasło. W uproszczeniu można przyjąć, że od jakości tego hasła zależy bezpieczeństwo infrastruktury. Rozwiązaniem jest stosowanie odpowiednio skomplikowanych i długich haseł (np. Windows Server 2003 zezwala na użycie do 28 znaków), których użytkownicy nie muszą nawet pamiętać. Tutaj właśnie z pomocą przychodzą rozwiązania sprzętowe.

Krakowski CryptoTech oferuje pakiet CryptoCard Logon. Rozwiązanie to zapewnia funkcje logowania do systemów Windows z użyciem czytnika i karty procesorowej. Hasło i login zapisane na takiej karcie uwalniają użytkownika zarówno od wprowadzania tych danych podczas logowania, jak i w ogóle od pamiętania haseł dostępowych z wyjątkiem krótkiego kodu PIN, który zabezpiecza użycie karty. Wysunięcie jej z czytnika powoduje zablokowanie komputera. Ponowny dostęp do stacji możliwy jest jedynie po wsunięciu karty do czytnika lub skorzystaniu z "awaryjnej" funkcji ręcznego wprowadzenia loginu lub hasła. Takie rozwiązanie może np. służyć jako proste zabezpieczenie i ułatwienie logowania do stacji roboczych.

Fizyczna ochrona dostępu

Komputer przenośny IBM T42 z wbudowanym miniaturowym modułem do autoryzacji przez przystawianie palca.

Innym, nieco bardziej rozbudowanym produktem jest pakiet Axis firmy Datakey (obecnie Safenet). Rozwiązanie to oparte na kartach chipowych lub tzw. tokenach USB obsługuje funkcję jednokrotnego logowania (Single Sign-On) do firmowej sieci. Axis współpracuje z Active Directory i nie wymaga dedykowanego serwera, lecz zainstalowania oprogramowania klienckiego na stacjach roboczych. Użytkownicy podczas pierwszego uruchomienia klienta Axis wprowadzają informacje niezbędne do zalogowania do wybranych przez nich zasobów, po czym niezbędne hasła zapisywane są w pamięci podłączonej do komputera karty procesorowej lub tokena USB. Dzięki centralnej konsoli administracyjnej dział IT ma pełną kontrolę w zakresie definiowania listy zasobów, do jakich użytkownik będzie automatycznie logowany. Na bazie systemu Datakey Axis w środowisku Windows można zbudować rozwiązanie zintegrowane z infrastrukturą PKI. Największą zaletą z wykorzystania kart procesorowych jest fakt, że administratorzy mogą znacznie skuteczniej realizować przyjętą politykę bezpieczeństwa. Tam gdzie zastosowano takie sprzętowe systemy uwierzytelniania i logowania do sieci, zdołano obejść niechęć pracowników przed częstą (lub jakąkolwiek) zmianą sieciowych haseł. Są one bowiem "hurtowo" podmieniane bez administratora systemu IT bez wiedzy użytkowników. Nowe hasła mogą być przesyłane do kart tuż po każdorazowym zalogowaniu danej stacji roboczej w sieci. Sprzedażą DataKey Axis zajmuje się m.in. katowicka Dagma.

Fizyczna ochrona dostępu

Zestaw Microsoft Optical Desktop with Fingerprint Reader. Po lewej stronie klawiatury widoczny czytnik linii papilarnych.

Idea konwergentnego systemu bezpieczeństwa zakłada, że takie urządzenie, jak karta chipowa, będzie nie tylko fizycznym, sprzętowym zabezpieczenia dostępu do zasobów korporacyjnej sieci i aplikacji, lecz także elementem całościowego systemu bezpieczeństwa w przedsiębiorstwie. Użytkownik, opuszczając dane pomieszczenie, powinien więc zabrać taką kartę ze sobą, ponieważ stanowi ona o bezpieczeństwie sieci. W takich przypadkach często jednak zwycięża zwykłe lenistwo. Co może skłonić pracownika do noszenia tego kawałka plastiku przy sobie? Karta powinna spełniać funkcję firmowej przepustki. Umożliwia to zastosowanie nowoczesnych kart hybrydowych, które oprócz głównego mikroprocesora posiadają osobną część radiową. Taki dodatkowy moduł, pracujący na częstotliwości np. 13,56 MHz, pełni funkcję zbliżeniowej karty, otwierającej drzwi do wybranych pomieszczeń, zgodnie z prawami dostępu przydzielonymi danemu pracownikowi. Zdaniem analityków właśnie takie hybrydowe karty lub też nowego rodzaju karty procesorowe z dwoma interfejsami (dotykowym i bezdotykowym) znajdą powszechne zastosowanie w firmach jako sprzętowe zabezpieczenie dostępu do sieci logicznej i pomieszczeń.

Jeszcze do niedawna przedsiębiorstwa bardzo duże nadzieje na uszczelnienie infrastruktury IT wiązały z technologiami biometrycznymi. Dzisiaj wydaje się, że ten entuzjazm nieco osłabł. Richard Hunter, analityk z Gartner Group, przekonuje, że technologie biometryczne, chociaż nieustannie doskonalone, na ogół okazują się skuteczne jedynie w pewnych ściśle kontrolowanych warunkach. Mowa tutaj zwłaszcza o systemach rozpoznawania geometrii twarzy, mogących co prawda skanować rysy twarzy nawet z pewnej odległości, ale tylko pod odpowiednim kątem i w określonych warunkach oświetleniowych. Problematyczne jest ponadto pierwotne prawidłowe wprowadzenie "wzorców" do bazy danych.

Pewnym bodźcem dla rynku biometrycznego mogą być pozytywne doświadczenia z projektów prowadzonych w amerykańskich agencjach rządowych, zwłaszcza rozwijanym po 11 września systemie ochrony granic.

Gartner przewiduje, że w zastosowaniach korporacyjnych prym będą jednak wiodły nie skanery twarzy czy też tęczówek, lecz właśnie "zwykłe" karty elektroniczne. Swoją niszę na razie zdobyły czytniki linii papilarnych, zarówno jako zewnętrzne urządzenia, jak i wbudowane w komputery. Wiele z nich jest dostępnych także w Polsce.

Firma, która chce mieć bezpieczne "stacje robocze", może rozważyć zakup komputerów przenośnych IBM ThinkPad T42 wyposażonych w małą "płytkę" do przystawienia palca. Rozwiązanie IBM wyróżnia fakt, że czytnik zintegrowany z wewnętrznym systemem Embedded Security Subsystem (ESS) obejmuje układy szyfrujące i wydzieloną pamięć zainstalowane bezpośrednio na płycie głównej komputera. Z ESS współpracuje poprzez oprogramowanie Client Security Software, które obsługuje m.in. zarządzanie hasłami wprowadzanymi przez użytkownika. Funkcje szyfrujące są realizowane w zasadzie poza samym systemem operacyjnym, co podnosi niezawodność rozwiązania. Hasła dla konkretnych aplikacji, z jakich korzysta użytkownik podczas pracy w systemie, przekazywane są z "repozytorium" tylko wtedy, kiedy system rozpoznaje przyłożony do czytnika i uprzednio "zarejestrowany" palec.

Modele laptopów i urządzeń Tablet PC z funkcjonalnością biometryczną wprowadził też koncern Fujitsu-Siemens, który ma w ofercie również wiele klawiatur z czytnikami smartcard.

Fizyczna ochrona dostępu

Poziom bezpieczeństwa związany z identyfikacją poprzez tęczówkę jest bardzo wysoki, gdyż posiada ona ok. 266 punktów charakterystycznych.

Kilka urządzeń potrafiących rozpoznawać linie papilarne pod własną marką postanowił sprzedawać także Microsoft - wśród nich m.in. "Microsoft Optical Desktop with Fingerprint Reader" - klawiaturę ze zintegrowanym skanerem. Sam Microsoft przyznaje, że nie jest to rozwiązanie bezpieczeństwa klasy korporacyjnej, może jednak znacznie ułatwić logowanie i zarządzanie hasłami, w warunkach domowych czy w mniejszych firmach. Korzystając z bezpiecznej klawiatury Microsoftu, musimy najpierw zainstalować aplikację kliencką i zarejestrować w systemie cztery wybrane przez nas palce, którymi będziemy się autoryzować. Aby zalogować się do Windows, wystarczy przyłożyć palec do czytnika. Odwiedzając daną stronę WWW wymagającą logowania, trzeba jednokrotnie wprowadzić login i hasło, po czym wskazać w zainstalowanej aplikacji, że chcemy używać skanera do rejestracji na tej witrynie. Windows zapamięta ustawienia i podczas każdej następnej wizyty będziemy mogli autoryzować się odciskiem palca.

Czy te oczy mogą kłamać

Rozpoznawanie odcisku palca to stosunkowo dobrze opanowana metoda rozpoznawania tożsamości. Krakowska firma Auto ID zajmuje się dystrybucją nieco bardziej skomplikowanych systemów firmy Iridian, które rozpoznają kształt tęczówki oka. Jak głosi nauka, ukształtowana tęczówka - pomijając ewentualne uszkodzenia mechaniczne - nie zmienia się od drugiego roku życia człowieka aż do śmierci. Poziom bezpieczeństwa związany z identyfikacją poprzez tęczówkę jest bardzo wysoki, gdyż posiada ona ok. 266 punktów charakterystycznych. Na podstawie tych punktów i specjalnie opracowanego rozwiązania Iridian generuje 512-bajtowy kod, który jest nieco odmienny przy każdorazowym skanowaniu tęczówki, sprawiający wrażenie przypadkowości. Firma zapewnia, że prawdopodobieństwo, iż dwie tęczówki wygenerują identyczne kody wynosi - 1 do 1078. Do skanowania oczu używa się dedykowanych kamer, które wykorzystując promienie bliskie podczerwonych potrafią "zdjąć" wzór tęczówki oka z odległości 25-60 cm.

Grzegorz Bartoszcze, networking business unit manager w Tech Data

Jeszcze niedawno większość inwestycji ograniczało się do zabezpieczania poszczególnych komputerów poprzez instalację oprogramowania AV oraz firewall. Obecnie realizuje się zabezpieczenia bardziej kompleksowe, dodając ochronę antyspam oraz antyspyware. W większych systemach coraz częściej opracowywana jest kompleksowa polityka bezpieczeństwa, obejmująca ww. środki, jak również dedykowane; sprzętowe (i często redundantne) rozwiązania IDS/IPS, VPN oraz zaawansowane zapory ogniowe, już na brzegu sieci. Dodatkowo, zgodnie z koncepcją kolejnych pierścieni ochrony, wewnątrz sieci instaluje się podobne zabezpieczenia innego producenta oraz sondy śledzące ruch w newralgicznych punktach sieci. W takich rozwiązaniach kluczowe staje się spójne monitorowanie i zarządzanie wszystkimi elementami sieci, obecnie możliwe także w strukturach rozproszonych. Systemy takie zapewniają wymuszanie implementacji zadanych środków bezpieczeństwa na każdym komputerze podłączanym do sieci firmowej oraz reagują na anomalie bez udziału człowieka.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200