AUTENTIFICAREA SI AUTORIZAREA

Asigurarea securităţii accesului la o resursă implică două aspecte:

autentificare pentru identificarea fără echivoc a persoanei care accesează
resursa şi autorizare, adică verificarea permisiunilor de acces (folosind ACL-uri,
Access Control Lists). Aceste două operaţii au loc înainte de a fi permis accesul
la resursa în cauză. Intre autorizare şi autentificare există o mare diferenţă.:dacă
autentificarea se ocupă cu problema identificării exacte a procesului cu care se
realizează comunicarea,autorizarea se ocupă cu ceea ce îi este permis unui
process să facă în sistem,adică la ce resurse are acces procesul respectiv.
Autentificarea este un proces prin care o entitate ,numită de obicei
entitatea principală verifică dacă o alta entitate este cine sau ce pretinde a
fi.Această entitate poate fi un utilizator,un cod executabil sau un calculator.
Verificarea identităţii unui process de la distanţă este dificilă şi necesită
protocoale complexe bazate pe criptografie.
Nu toate protocoalele de autentificare sunt la fel de sigure. De asemenea
unele protocoale autentifică clienţii,iar altele serverele. Problema autentificării se
pune în contextul unei relaţii de tip client/server (de ex cazul unui server de
fişiere aflat la distanţă)de ex atunci când un client X doreşte stergerea unui fisier
care aparţine unui client A,atunci serverul de fişiere trebuie să se asigure că
clientul care a făcut aceasta cerere este chiar A;de asemenea clientul trebuie să
se asigure de identitatea serverului,de ex pentru a nu scrie datele pe un
calculator gestionat de un impostor sau să obţină informaţii false de pe un alt
calculator,nu pe cel pe care se găseşte fisierul dorit.
Protocoalele de autentificare:
1.Autentificarea de baza
2.Autentificarea rezumatului
3.Autentificarea folosind formele
4.Autentificarea folosind pasapoarte
5.Autentificarea Windows
6.Autentificarea NT Lan manager
7.Autentificarea Kerberos
8.Autentificarea x.509
9.Ipsec(internet protocol security)

Tehnicile de autentificare se împart în trei categorii fundamentale:

1. Autentificarea prin cunoştinţe (ceva ce utilizatorul ştie: coduri PIN, coduri
de tranzacţie, parole).
 2. Autentificare prin posesie (ceva ce utilizatorul are: chei, carduri de
identificare,cartelele inteligente sau alt fel de dispozitive fizice).
3. Autentificare prin proprietăţi (identificarea biometrică a utilizatorului cum
ar fi identificarea feţei, imagini ale retinei, şabloane vocale, recunoasterea
amprentelor).
În tehnica de calcul actuală autentificarea preponderentă este cea prin
cunoştinţe.
Măsuratorile biometrice si majoritatea soluţiilor hardware implică existenţa
de dispozitive de intrare speciale şi limitează utilizatorii autorizaţi la anumite
sisteme care au ataşate aceste dispozitive.Acest lucru poate fi acceptat ,sau
poate fi de dorit,pentru accesul la sisteme interne ale unei organizaţii ,dar elimină
multe din avantajele disponibilităţii pe Web a unui sistem.
Parolele pot fi implementate uşor,sunt uşor de utilizat şi nu necesită dispozitive
speciale de intrare .Oferă un anumit nivel de autentificare ,dar simpla lor utilizare
este posibil să nu fie suficientă pentru sistemele de înalta securitate.

Autentificarea bazată pe parole

În cele mai multe sisteme distribuite şi reţele de calculatoare, protecţia
resurselor
se realizează prin login direct folosind parole, cu transmiterea în clar a acestora.
Parola este cunoscuta de dumneavoastra si de sistemParolele pot fi capturate
electronic.Prin rularea unui program care detectează tastele apăsate al un
terminal sau prin utilizarea unui dispozitiv de interceptare a pachetelor,crackerii
pot captura perechi formate din nume de utilizator si parolă.Posibilitatea
capturării de parole o puteţi limita prin capturarea traficului de retea.
Această autentificare are mai multe inconveniente, din care amintim doar
ca transmisia parolei este expusă la captură pasivă.

Autentificarea criptografică
Ideea din spatele autentificării criptografice este că un A îşi dovedeşte
identitatea
către B prin efectuarea unei operaţii criptografice asupra unei entităţi cunoscute
de ambii
participanţi sau oferită de B. Operaţia criptografică efectuată de A se bazează pe
o cheie
criptografică. Aceasta poate fi fie o cheie secretă sau o cheie privată dintr-un
sistem cu
chei asimetrice.Se permite părţii ce se autentifică să dovedească că ştie secretul
fără a transfera efectiv informaţia către verificator. Se evita problema distribuţiei
cheilor care apare în cazul mecanismelor ce folosesc DES şi RSA.

Autentificarea de bază
Acest tip de autentificare face parte din specificaţiile HHTP şi este compatibilă cu
toate browserele Web.Numele de utilizator şi parolele sunt transmise într-o formă
slab codificată cu cifrul base64.

Autentificarea rezumatului
Acesta formă de autentificare a fost introdusă o dată cu versiunea 5.0 aplicaţiei
Internet Information Server şi face parte din standardul HTTP public(vers
1.1).Pentru a o folosi trebuie ca serverul să fie un server de directoare dintr-un
domeniu Windows 2000

Autentificarea Windows
Acest tip de autentificare integrată îmbunătăţeşte autentificarea de bază prin
faptul că nu transmite numele de utilizator şi parolele prin internet către serverul
de Web,browserul demonstrându-i serverului de Web că ştie numele de utilizator
şi parola ,prin intermediul rolului de utilizator curent.Dezavantajul principal este
că funcţionează doar cu aplicaţia Microsoft Internet Explorer şi nu funcţionează
pe conexiune prin servere proxy.

Autorizarea
Odata ce identitatea principală este determinată de autentificare aceasta
de obicei va dori să acceseze resursele cum ar fi imprimantele şi
fişierele.Autorizarea este determinată efectuând un control de acces pentru a
vedea dacă identitatea principală are acces la resursele cerute.
Există mai multe mecanisme de autorizare:
1.ACL-s Acces control lists
2.Privilegii
3.Restricţii Ip
4.Server specific permissions
 1.ACL-s
Toate obiectele din Windows Nt pot fi protejate folosind ACLs.Un ACL
este o serie de intrări de control asupra accesului(ACEs).Fiecare intrare ACE
determină ce poate face entitatea principală cu resursa.De exemplu unii pot avea
acces pentru scrierea şi citirea unui obiect iar alţii şi de creere.

2.Privilegii
Un privilegiu este un drept pe care îl are un utilizator .Unele operaţii sunt
considerate privilegiate şi trebuie atribuite doar persoanelor de încredere.De
exemplu pt debugging-ul aplicatiilor,crearea fişierelor de bac-up si închiderea
calculatorului de la distanţa.

3.Restrictiile IP
Restricţiile IP sunt o trăsătură a serverului IIS.Puteţi limita o parte a site-
ului Web cum ar fi directorul virtual sau un întreg site web astfel încât să poată fi
accesat doar de anumite adrese IP,subreţele sau domenii DNS.

4.Server Specific Permision

Multe servere oferă propriile lor forme de control al accesului pentru a-şi
proteja proprile obiecte.De exemplu Microsoft SQL Server include permisiuni
care permit administratorului să determine cine are acces la tabele ,proceduri
stocate şi view-uri.Aplicatiile Com+ suporta roluri care definesc o clasa de useri
pentru o multime de componente.Fiecare rol defineste care user are permisiunea
de a invoca interfaţa unui componente.