Cambridge ve státě Massachusetts je sídlem dvou univerzit, které patří k nejlepším na světě, MIT a Harvardu. Obě mají obrovské celouniverzitní sítě s veškerými myslitelnými nástroji, jak sériovými, tak navrženými podle specifických potřeb instituce. Obě školy mají různorodé a velké skupiny uživatelů, jejichž počty jdou do desetitisíců, přičemž se jedná o vysoce mobilní lidi. Obě školy také potřebují, aby jejich sítě byly dobře zabezpečeny – tyto univerzity jsou terčem neustálých útoků, jak zvenčí, tak zevnitř.
MIT i Harvard jsou na internetu od počátku 70. let a měly celoplošné školní sítě dávno předtím, než většina lidí ve Spojených státech vůbec měla telefonické připojení. Není proto překvapením, že obě školy si vytvořily své vlastní systémy pro správu identit (Identity Management). Co ovšem překvapivé je, je to, že výchozí koncepce a implementace obou systémů Identity Managementu se radikálně liší, avšak v mnoha směrech nabízejí podobnou funkčnost a trpí podobnými problémy.
Porovnání silných a slabých stránek systémů MIT a Harvardu je užitečné pro každého CSO, jehož organizace zvažuje zavedení nebo rozšíření vlastního systému správy identit.
Dobrý hlídací pes, neposlušný mazlíček
Výzkumníci na MIT vyvinuli v 80. letech jeden z prvních systémů pro správu identit na světě. Systém nazvaný Kerberos měl umožňovat uživatelům distribuovaných pracovišť Unixu, aby se identifikovali a autentizovali pro služby fungující na jiných počítačích.
Kerberos měl jen pár cílů. Síťoví designéři MIT si uvědomili, že by se studentům nedalo nijak zabránit, aby nepoužívali své vlastní packet sniffery, takže primárním cílem bylo dát každému v areálu MIT možnost používat jakoukoliv službu založenou na síti, aniž by musel posílat svá hesla prostřednictvím místní sítě. Tento cíl byl realizován pomocí složitého systému fungujícímu na počítačích uživatelů, který dostával zašifrované „lístky“ z centrálního serveru Kerbera.
Když se některý student nebo pracovník MIT připojí ke svému počítači, počítač požádá server Kerbera o speciální „povolenku“ nebo „lístek na lístky“ (ticket granting ticket). Pokud uživatelův počítač dokáže tento „lístek“ dešifrovat, uživatel musí ještě znát správné heslo, takže je implicitně autentizován. S tímto dešifrovaným lístkem uživatel může pokračovat dál a žádat další lístky pro specifické on-line služby. U projektu Athena na MIT je systém Kerberos používán pro elektronickou poštu, přístup k souborům, a dokonce k zasílání úkolů do tiskárny (každý student má měsíční limit na tisk).
MIT zavedla Kerberos v široké míře koncem 80. let. V 90. letech byl převzat většinou prodejců Unixu; Microsoft přidal podporu k Windows 2000.
Kerberos má pověst velmi bezpečného systému. Má ovšem také pověst systému, který je velmi obtížné konfigurovat a používat. Obě tyto pověsti jsou zasloužené. Největší problém s Kerberem je, že každý aplikační program musí být speciálně „kerberizován“, aby mohl s Kerberem fungovat – což není jednoduchý proces. Zejména webové prohlížeče se kerberizovaly obtížně, protože jich bylo tolik a vyvíjely se tak rychle. Takže koncem 90. let MIT přijala druhý systém podnikové autentizace, založený na SSL a digitálních certifikátech X.509 na straně klienta, a ten provozuje souběžně s Kerberem. Studenti a pracovníci školy si při svém příchodu do této instituce vytvoří uživatelské jméno a heslo pro Kerbera. Jakmile mají účet u Kerbera, mohou jít na speciální internetové stránky a získat „certifikát MIT“ tím, že zadají své „kerberovské“ uživatelské jméno, heslo a číslo identifikační průkazky MIT.
Kombinace Kerbera a client-side certifikátů vytváří systém, který je neohrabaný a matoucí, některé služby certifikuje Kerberos, některé certifikát MIT, a není jasné, která služba používá jakou certifikaci a proč. Například student, který si chce přečíst formulář studijního oddělení o platbách, musí použít certifikát MIT, aby se dostal na speciální univerzitní stránky určené studentům. Je to tak proto, neboť certifikáty SSL jsou považovány za bezpečné. Student, který si ovšem chce přečíst svou elektronickou poštu, půjde na jiné stránky a zadá své kerberovské uživatelské jméno a heslo. Důvodem tohoto rozdílného přístupu je, že MIT má za to, že studenti budou číst svoji poštu v internetových kavárnách a na počítačích svých kamarádů – kde by neměli nechávat kopie svých certifikátů MIT. Bohužel to znamená, že kerberovská hesla by bylo možno ukrást pomocí keyboard sniffers. Naštěstí ale nikdo s kerberovským heslem, které má nějakou cenu, nepoužívá počítače po internetových kavárnách. Nosí si vlastní laptopy.
Další problém s podnikovou autentizací MIT je, že nefunguje mimo institut. Knihovny MIT mají předplaceny stovky on-line informačních služeb. Tyto organizace odmítají brát jak kerberovské lístky, tak certifikáty MIT. Místo toho chtějí, aby se členové MIT autentizovali pomocí svých IP adres. To sice není problém pro ty uživatele z MIT, kteří bydlí v areálu univerzity. Profesoři a studenti, kteří jsou mimo, buď mohou provozovat MIT Virtual Private Network client (který autentizuje uživatele pomocí jejich kerberovských hesel), nebo musejí jít přes některý ze speciálních proxy serverů, které zřídily knihovny MIT (jež autentizují uživatele pomocí jejich certifikátu MIT). Oba tyto systémy vytvářejí tunel mezi počítačem uživatele a MIT, takže poskytovatelé informací z třetí strany se domnívají, že uživatel je ve skutečnosti v areálu univerzity a používá IP adresu MIT.
Harvard, pouhých několik mil proti proudu Charles River, zvolil naprosto odlišný přístup. Vytvořil jednotný identifikační a autentizační systém zvaný Harvard PIN. Podobně jako systém Kerberos používaný na MIT je harvardský PIN také založen na jednoduchém uživatelském jméně a hesle. Tady však veškerá podobnost končí.
Zatímco uživatelské jméno, které používá systém Kerberos, je e-mailová adresa studenta nebo zaměstnance MIT, uživatelské jméno pro harvardský PIN systém je osmiznakové identifikační číslo dané osoby z univerzitní průkazky Harvardu. Protože toto číslo není široce přístupné, je pro případného útočníka daleko obtížnější je získat. Harvardská hesla jsou také bezpečnější: zatímco MIT umožňuje jako heslo použít téměř cokoliv, co vás napadne, Harvard má v tomto směru „tvrdou“ politiku: PIN musí mít nejméně 8 znaků, z toho alespoň jedno číslo nebo symbol, musí obsahovat velká i malá písmena a mít alespoň pět různých znaků. Trvalo mi asi 15 minut, než jsem vymyslel harvardský PIN, který bych si dokázal zapamatovat a který by přitom byl dostatečně silný, aby splňoval požadavky dané univerzitou.
Pokud student nebo pracovník Harvardu potřebuje udělat on-line něco oficiálního, on-line služby přesměruje uživatelův webový prohlížeč na harvardský PIN server, centralizovaný systém, který si vyžádá identifikační číslo a PIN uživatele a poté vrátí uživatele zpět k on-line službě, jež si autentizaci vyžádala.
Milé na tomto systému je, že uživatel zadává svůj PIN jen na této jediné stránce. Vždycky vypadá stejně a má i stejnou URL. Tato webová stránka je zašifrovaná SSL. Každé z těchto opatření snižuje šance, že harvardský PIN bude ukraden s využitím phishingu.
Vzhledem k tomu, že harvardský PIN se používá k autentizaci transakcí s vysokou i nízkou hodnotou, systém umožňuje, aby různé aplikace měly různou „re-identifikační“ politiku. Například internetové stránky harvardské knihovny používají PIN ke schválení přístupu k elektronickým časopisům, ale chtějí, aby se uživatel identifikoval jen jednou. Poté na počítači uživatele uloží cookie, které platí zhruba den. Oproti tomu finanční aplikace Harvardu, které mohou vydávat šeky na statisíce dolarů, mohou požadovat, aby byl PIN zadáván pro každý šek jednotlivě, a pak mohou být ještě i další omezení, jako například to, že přijímají PIN jen z některých konkrétních pracovišť na některých místech v areálu.
V současné době, kdy Microsoft, Oracle, Sun a řada dalších prodejců podnikového softwaru nabízí své vlastní systémy pro správu identit, je poučné vidět, jak sami pro sebe vyřešili tento problém někteří z nejlepších akademických síťových mágů. Oba systémy pracují nepřetržitě bez zaškobrtnutí a umožňují uživatelům, aby se autentizovali pro velký počet podnikových systémů, nikdy neohrožují bezpečnost tím, že by se heslo posílalo po síti nezašifrované, a budou moci relativně přímo přistoupit k upgradu na bezpečnostní systémy zajišťující vysokou bezpečnost, jako bezpečnostní tokeny PKI. Kéž by na tom tak dobře byly i americké firmy.
--------------
Systémy pro správu identit poskytují centralizovaný adresář členů dané organizace. Umožňují členům, aby se autentizovali, a mohou dokonce sledovat úroveň přístupových oprávnění a autorizace každé osoby. Nejlepší systémy pro správu identit lze snadno integrovat do široké škály stávajících systémů. Například mohou spolupracovat se serverem Microsoft Active Directory a nabízejí možnost „federace“, tj. umožňují organizacím, aby certifikovaly identitu určitého člena pro jiné organizace. Takovéto systémy by například mohla používat firma jako Ford k tomu, aby umožnila zaměstnancům svých dodavatelů přímo spolupracovat s webovými stránkami Fordu s využitím jejich stávajících uživatelských jmen a hesel, aniž by je tak musela nutit k tomu, aby si zřizovali nová uživatelská jména a hesla, která by mohli používat zase jen na internetových stránkách Fordu.
Foto: Harvard, MIT
PŘEDPLATNÉ
ČLÁNKY DO MAILU