Софт

требуется аутентификация Firefox

Рейтинг: 4.3/5.0 (1063 проголосовавших)

Категория: Windows

Описание

Поддержка веб-браузеров

Туле удалось полностью отказаться от бумажных документов
Тульская область является одним из первых регионов, где все органы исполнительной власти стали работать в единой системе электронного документооборота. Сегодня в системе работает около 3000 человек, а число бумажных документов сведено к минимуму. О том, как были организованы работы рассказали в компании «СофтЭксперт».

Поддержка веб-браузеров

Подсистема ДЕЛО-Web оптимизирована для работы через MS Internet Explorer.

Кроме Internet Explorer возможна работа с ДЕЛО-Web через браузер Mozilla Firefox.

Функциональность подсистемы ДЕЛО-Web в данном случае ограничена возможностями и технологиями, используемыми в данном веб-браузере. К таким ограничениям на текущий момент относятся невозможность работы в ДЕЛО-Web с ЭЦП и невозможность просмотра файла, прикрепленного к РК, непосредственно из браузера (сначала он должен быть сохранен на диск, по умолчанию – на рабочий стол). Другие особенности описаны в FAQ по текущей версии, поставляемый вместе с дистрибутивом системы.

Однако, благодаря тому, что данный веб-браузер является кросс-платформенным, появилась возможность работы с ДЕЛО-Web из-под Linux.

Примечание

ОС-аутентификация (NTLM) в Firefox
1. в адресной строке укажите about:config и нажмите Enter
2. для продолжения работы с параметрами конфигурации подтвердите на странице предупреждения, что все модификации Вы выполняете на свой страх и риск.
3. на странице параметров найдите параметр network.automatic-ntlm-auth.trusted-uris и перейдите к его редактированию
4. укажите список серверов, к которым необходимо настроить доступ через запятую и пробел.
Т.е. для настройки доступа к серверам http://server1 и http://server2. надо прописать в параметре значение server1, server2
Более точную и подробную информацию по настройке Firefox для работы в режиме ОС-аутентификации следует искать на сайте производителя.

Регистрация РК, РКПД в Firefox
Для обеспечения возможности перевода зарегистрированной РК при сохранении в режим просмотра требуется следующая настройка Firefox:
- для Windows версии:
снять флаг Инструменты/Настройки. /Содержимое/Блокировать всплывающие окна
- для Linux версии:
снять флаг Правка/Настройки/Содержимое/Блокировать всплывающие окна

Просмотр файлов в Firefox
Некоторые виды файлов невозможно открыть на просмотр. Система предлагает только сохранить их на диск. Поведение системы соответствует поведению браузера в любом Web приложении.

Создание поручения в Firefox
Для автоматической простановки признака "Контрольное" при заполнении поля "Плановая дата" в настройках Firefox необходимо снять флаг: Инструменты/ Настройки/ Приватность/ Запоминать введенные в формы и панель поиска данные

Выгрузка РК из результатов поиска
При выгрузке РК на экране может появляться пустое окно, которое автоматически не закрывается по окончании выгрузки. Это особенность поведения IE и Firefox. Рекомендуется вручную закрывать это окно после окончания операции выгрузки.

требуется аутентификация firefox:

  • скачать
  • скачать
  • Другие статьи, обзоры программ, новости

    Требуется аутентификация firefox

    НАСТРОЙКА ОБОЗРЕВАТЕЛЯ MOZILLA FIREFOX ПРИ ИСПОЛЬЗОВАНИИ ETOKEN

    Некоторые сайты требуют аутентификации пользователя на основе сертификатов. В таких случаях Mozilla Firefox может пытаться использовать носитель eToken для аутентификации, что не всегда очевидно для пользователя. Естественной реакцией в этом случае является нажатие "OK", "Отмена" и т. д. Для eToken эти попытки считаются неправильно введённым паролем. После 15 попыток eToken блокируется, и в большинстве случаев приходится перезаказывать ЭЦП.

    Во избежание таких случаев отключайте eToken при использовании Mozilla Firefox или отключите в Mozilla Firefox использование eToken для аутентификации:

    1. Открыть браузер Mozilla Firefox
    2. Инструменты > Настройки
    3. Дополнительно > Шифрование
    4. Нажать на кнопку "Устройства защиты"
    5. В открывшемся окне "Управление устройствами" в левом столбце "Модули и устройства защиты" выбрать "eToken"
    6. Справа нажать кнопку "Выгрузить" и на запрос об удалении устройства ответить "Да"
    7. Обязательно нажать "ОК" в этом окне и в окне "Настройки"

    Дополнения к KeePass, KeeForm и KeeRun

    Дополнения к KeePass, KeeForm и KeeRun. Примеры использования: KeeForm Вход на Яндекс. почта и прочее. заполняем поля в KeePass как обычно, ссылку пишем https://passport.yandex.ru/ а вот в свойствах где написано заменить ссылку вводим cmd://"\KeeForm.exe" "" "" "" "". в результе когда давим на выбраное поле ссылка в KeePass то сразу логинимся в Яндексе.

    Вход на МайлРу. аналогичным образом. ссылка http://win.mail.ru/cgi-bin/auth и ее замена cmd://"\KeeForm.exe" "" "" "" "" Важно. обратите внимание на то что между стоит пробел, он снимает галочку-запоминалочку.

    При использовании таких методов входа отпадает необходимость сохранения паролей в браузерах, и стоит обратить внимание чтобы галочки-запоминалочки были сняты или снимались в автонаборах. Не всегда этот метод входа получается, к примеру с Сбербанк ОнЛ@йн не вышло, ну так зайдем с другой стороны..

    Примеры использования: KeeRun Вход наСбербанк ОнЛ@йн. тут уже что в поле ссылка не важно, а в ее замене пишем cmd://"\KeeRun.exe" "C:\Program Files\Internet Explorer\IEXPLORE.EXE https://esk.sbrf.ru/esClient/_Logon/Logon.aspx" "Сбербанк ОнЛ@йн" "<_USERNAME_><_PASSWORD_>". расшифруем - C:\Program. ну тут запускаем нужный нам браузер с сылкой на стартовую страницу, далее нужно определить что нужное окно активно, а оно определяется по титлам, если это браузерная страница смотрим ее код и там находим <title> Сбербанк ОнЛ@йн </title> вот оно нам нужное.

    Вход на роутер. cmd://"\KeeRun.exe" "C:\Program Files\Internet Explorer\IEXPLORE.EXE http://192.168.0.666:6666/" "Безопасность Windows" "<_USERNAME_><_PASSWORD_>" тут http://192.168. адрес роутера и его порт если надо, тут фокус найти правильное название активного окна, впрочем оно на нем написано).

    Вход на компьютер через Radmin:

    подключение к старому: cmd://"\KeeRun.exe" "C:\Program Files\Radmin Viewer 3\Radmin.exe /connect:xxx.xxx.xxx.xxx:yyyy" "Система безопасности Radmin: xxx.xxx.xxx.xxx" "<_PASSWORD_>"

    Вход на Онлайн Игры. cmd://"\KeeRun.exe" "C:\Program Files\Google\Chrome\Application\chrome.exe http://гама.ru/" "титля игры" "<_USERNAME_><_PASSWORD_>" тут вариации выбора браузера и чтобы попать в окно логина и надавить вход не забыв снять галочку-запоминалочку.

    Ну а вот дальше возникают проблемы посерьезнее так как нужно произвести как минимум 2 авторизации в 2х окнах, тем что есть под рукой не вышло. Тогда берем напильник и точим под задачу детальку.

    Задача: имеем 1е окно куда нужно вбиль логин и пасс, имеем 2е окно куда нужно вбить другой логин и пасс.

    Вот есть у нас сайт на Joomla, есть способ защитить дополнительно вход в админку - поставить пароль на папку (нагуглите как), так что 2 раза вбивать логины надо.

    Вход на Joomla админку. берем исходник на автоите, он проще некуда, дорабатываем под ввод парамеров под 2е окно, и все. Кто может програмиировать сам поймет как, вот пример команды cmd://"\KeeRun2.exe" "C:\Program Files\Internet Explorer\IEXPLORE.EXE http://сайт.ru/administrator/" "Безопасность Windows" ЛогинНаПапку ПассНаПапку "<_USERNAME_><_PASSWORD_>" "ТитляМоегоСайта - Администрирование" "" а для тех кто неможет, то тряхнув кошельком получит искомое ).

    вот еще пример использования, когда браузеру нужно пройти проксю cmd://"\KeeRun2.exe" "C:\Program Files\Mozilla Firefox\firefox.exe http://сайт.ru/" "Требуется аутентификация" Логин Пароль "<_USERNAME_><_PASSWORD_>" "титля сайта" ""

    Вход по RDP. тут несколько вариантов в зависимости откуда и на какую машину цепляемся, напомню что это примеры и не факт что в чистом виде пойдут на Вашем компе

    с W7 на XP будет так cmd://"\KeeRun.exe" "mstsc.exe /v::<URL>" "<Title>:<URL>" <USERNAME><PASSWORD> "<_USERNAME_><TAB><_PASSWORD_><ENTER>"</em> вот тут скорей всего будет засада - не успеет открытся окно а данные уже будут туда переданы, в результате ошибка. Исправить можно внеся задержку на ввод данных, стандартными средствами почему-то не получилось, чуток подправим прогу внеся изменения в код. Получится <em>cmd://"<APPDIR>\KeeRun3.exe" "mstsc.exe /v:<Title>:<URL>" "<Title>:<URL>" <USERNAME><PASSWORD> "<_USERNAME_><TAB><_PASSWORD_><ENTER>"</em> если в поле логина остается чужое имя то тогда так <em>cmd://"<APPDIR>\KeeRun3.exe" "mstsc.exe /v:<Title>:<URL>" "<Title>:<URL>" <USERNAME><PASSWORD> "<TAB 4><DELETE><_USERNAME_><TAB><_PASSWORD_><ENTER>"</em> на момент написания статьи у себя прописал 2 вида подключения.</p> <p>Прошло недолго времени и такое подключение не всегда стало удовлетворять, в настройках соединения из винды есть возможность прицепить диски, принтеры и прочее с подключаемой машины. Тут надо подойти так прописать в Default.rdp все что хочется (кроме хоста) а потом цеплять его в подключение. Особенность в том что нужно использовать прохождение 2х окон, ну тут берем KeeRun2, а для удобства добавим параметры - паузы чтобы стабильно работало. Версия KeeRun4 тут. Его даже лутше использовать вместо KeeRun2.</p> <p><img style="max-width: 600px; max-height: 1000px; height: auto; width: auto; margin: 0 10px 5px 0;" src="http://admin.coolermen.ru/images/stories/rdp1.png" /></p> <p><img style="max-width: 600px; max-height: 1000px; height: auto; width: auto; margin: 0 10px 5px 0;" src="http://admin.coolermen.ru/images/stories/rdp2.png" /></p> </div> <div class="article"> <h3>Требуется аутентификация firefox</h3> <strong>6.4.9. Аутентификация в Интернет</strong> <strong>1. Введение</strong> <p>Аутентификационные требования вычислительных систем и сетевых протоколов варьируются в весьма широких пределах. Пароли, которые уязвимы для атак пассивного типа, не могут удовлетворить требованиям современного Интернет [CERT94]. А помимо пассивных атак в сетевой среде сплошь и рядом предпринимаются активные методы [Bellovin89, Bellovin92, Bellovin93, CB94, Stoll90].</p> <strong>2. Определения и терминология, используемые в данном документе</strong> <p><i>Активная атака</i> . Попытка некорректной модификации данных с целью аутентификации или авторизации с помощью вставления ложных пакетов в поток данных или их модификации.</p> <p><i>Асимметричная криптография</i> . Криптографическая система, которая использует различные ключи для шифрования и дешифрования. Эти два ключа являются математически связанными. Называется также криптографией с общедоступным ключом.</p> <p><i>Аутентификация</i> . Идентификация источника информации.</p> <p><i>Авторизация</i> . Предоставление прав доступа на основе аутентификации.</p> <p><i>Конфиденциальность</i> . Защита информации, так чтобы лицо, не авторизованное для доступа к данным, не могло их читать, даже если имеется доступ к соответствующему каталогу или сетевому пакету.</p> <p><i>Шифрование</i> . Механизм, используемый для обеспечения конфиденциальности.</p> <p><i>Целостность</i> . Защита информации от неавторизованной модификации.</p> <p><i>Сертификат ключа</i> . Информационная структура, состоящая из общедоступного ключа, идентификатора лица, системы и информации, аутентифицирующей ключ и ассоциацию общедоступного ключа с идентификатором. Ключи, используемые PEM, являются примером сертификата ключа [Kent93].</p> <p><i>Пассивная атака</i> . Атака на систему аутентификации, которая не предполагает введения каких-либо данных в поток, но базируется на возможности мониторинга информации, которой обмениваются другие партнеры. Эта информация может быть использована позднее.</p> <p><i>Исходный текст (Plain-text</i> ). Незашифрованный текст.</p> <p><i>Атака воспроизведения (Replay Attack)</i> .</i> Атака на систему аутентификации путем записи и последующего воспроизведения ранее посланных корректных сообщений или их частей. Любая неизменная информация, такая как пароль или биометрические данные могут быть записаны и использованы позднее для имитации аутентичности.</p> <p><i>Симметричная криптография</i> . Система шифрования, которая использует один и тот же ключ для шифрования и дешифрования. Иногда называется криптографией с секретным ключом.</p> <p><i>3. Аутентификационные технологии</i></p> <p>Существует некоторое число различных классов аутентификации, начиная с полного ее отсутствия до очень строгих механизмов контроля. Для различных целей могут использоваться разные виды аутентификации.</p> <strong>3.1. Отсутствие аутентификации</strong> <p>Простейшая аутентификационная система не имеет аутентификации вовсе. Изолированная от сети частная персональная ЭВМ является примером, где аутентификация не нужна. Другим примером может служить автономная общедоступная рабочая станция, обслуживающая некоторые конференции, где раскрытие информации или ее модификация не являются критическими.</p> <strong>3.2. Аутентификационные механизмы, уязвимые для пассивных атак</strong> <p>Простая проверка пароля является наиболее общей формой аутентификации. Простые аутентификационные проверки имеют различные формы: ключ может быть паролем, запомненным пользователем, он может быть физическим или электронным объектом, принадлежащим пользователю, он может быть уникальной биологической характеристикой. Простые аутентификационные системы считаются "раскрывающими", так как, если ключ передается по сети, он может быть перехвачен злоумышленником. Имеются сообщения об успешных пассивных атаках в Интернет с помощью “расколотых” уже ЭВМ [CERT94]. Механизмы раскрывающей аутентификации уязвимы для атак “воспроизведения”. Ключи доступа могут быть запомнены в атакуемой машине и при наличии бреши в системе безопасности можно получить доступ ко всем паролям. Обычно форма хранения паролей допускает их сверку, но не чтение.</p> <strong>3.3. Аутентификационные механизмы, уязвимые для активных атак</strong> <p>Не раскрывающие парольные системы созданы для предотвращения атак воспроизведения. Разработано несколько систем для генерации не раскрываемых паролей. Система аутентификации S/Key (TM), разработанная в Bellcore генерирует много одноразовых паролей из одного секретного ключа [Haller94]. Она не использует физических объектов (token), поэтому удобна для аутентификации машина-машина. Аутентификация S/Key не требует запоминания секретного ключа пользователя, что является преимуществом при работе с ненадежными вычислительными системами. В ее сегодняшнем виде система S/Key уязвима для переборных атак со словарем в случае неудачного выбора пароля. Система CHAP протокола PPP не является раскрывающей, но применима только локально [LS92, Simpson93].</p> <strong>3.4. Аутентификационные механизмы, не уязвимые для пассивных атак</strong> <p>По мере расширения применения сетей растет необходимость более жесткой аутентификации. В открытых сетях большое число пользователей могут получить доступ к информации, переносимой по сети. При желании пользователь может сымитировать ситуацию, при которой посланная им информация будет восприниматься, как посланная другим сетевым объектом.</p> <p>Более мощные аутентификационные системы используют вычислительные возможности партнеров, участвующих в процессе аутентификации. Аутентификация может быть однонаправленной, например аутентификация пользователей в вычислительной системе, или она может быть взаимной, когда оба партнера должны идентифицировать друг друга. Некоторые системы аутентификации используют криптографические методы и формируют общий секретный код (например, ключ сессии), который может быть использован при последующем обмене. Например, пользователю после завершения процесса аутентификации может быть предоставлен аутентификационный билет, который может быть использован для получения других услуг без дополнительной аутентификации. Эти системы аутентификации могут также обеспечить, когда требуется, конфиденциальность (используя шифрование) при передаче данных по незащищенным сетям.</p> <strong>4. Криптография</strong> <p>Криптографические механизмы широко используются для осуществления аутентификации в современных сетях. Существует два базовых вида криптографии (симметричная и асимметричная). Одной из фундаментальных проблем для криптографии является транспортировка секретных ключей.</p> <strong>4.1. Симметричная криптография</strong> <p>Симметричная криптография включает в себя все системы, которые используют один и тот же ключ для шифрования и дешифрования. Таким образом, если кто-либо получит ключ, он сможет дешифровать и читать информацию, зашифрованную с его помощью. Такое лицо сможет шифровать и посылать любые данные, выдавая их за информацию, посланную легальным владельцем этого секретного ключа. Это означает, что знание ключа нежелательным третьим лицом полностью компрометирует конфиденциальность системы. Следовательно, используемые ключи должны доставляться безопасным способом, либо курьером, либо с применением специального протокола пересылки ключей, лучшим из которых является алгоритм Нидхэма-Шрёдера [NS78, NS87]. Широко используется алгоритм DES (Data Encryption Standard), который был стандартизован для защиты правительственной информации в США. Он представляет собой один из лучших симметричных алгоритмов шифрования [NBS77].</p> <p>Хорошо известной системой, работающей в открытых сетях, является система аутентификации Kerberos (TM), которая была разработана в рамках проекта Athena в MIT [SNS88, BM91, KN93]. Система Kerberos базируется на алгоритме DES и использует специальный сервер, который хранит секретные ключи всех пользователей и услуг. Он может генерировать коды, которые позволяют пользователям и процессам идентифицировать себя в других системах. Как в любой схеме с распределенной аутентификацией, эти верительные коды работают в пределах местного административного домена. Следовательно, если пароль пользователя раскрыт, злоумышленник будет способен маскироваться под этого пользователя и проникнуть в любую систему, обслуживаемую Kerberos. Так как сервер Kerberos знает все секретные ключи, он должен быть достаточно безопасным. Ключи сессии Kerberos могут использоваться для обеспечения конфиденциальности при обмене между любыми объектами в пределах зоны действия сервера.</p> <strong>4.2. Асимметричная криптография</strong> <p>В конце 1970, главным прорывом в криптографии стала разработка асимметричной криптографии. Здесь для шифрования и дешифрования используются разные ключи, которые генерируются совместно. Наилучшая асимметричная система базируется на алгоритме, предложенном Rivest, Shamir и Adleman, и называется по инициалам авторов RSA [RSA78].</p> <p>SPX представляет собой экспериментальную систему, которая преодолевает ограничения системы Kerberos путем применения криптографии с общедоступным ключом RSA [TA91]. SPX предполагает глобальную иерархию сертифицирующих узлов по одному или более для каждого из партнеров. Она использует цифровую подпись, которая состоит из строки кодов, зашифрованных секретным ключом отправителя, и которая может быть проверена с помощью соответствующего общедоступного ключа. Общедоступные ключи предполагаются правильными, так как получены с сертифицирующей подписью. Критические секции аутентификационного обмена шифруются посредством общедоступных ключей получателя, что препятствует атаке воспроизведения.</p> <strong>4.3. Криптографические контрольные суммы</strong> <p>Криптографические контрольные суммы являются одним из наиболее важных средств разработчиков криптографических протоколов. Криптографическая контрольная сумма или MIC (message integrity checksum) служат для контроля целостности сообщений и аутентификации. Например, Secure SNMP и SNMPv2 вычисляют криптографическую контрольную сумму MD5 для совместного секретного блока данных и информации, которая должна быть аутентифицирована [Rivest92, GM93]. Это служит для того, чтобы аутентифицировать источник данных при этом предполагается, что эту сумму крайне трудно фальсифицировать. Она не указывает на то, что сами посланные данные корректны, а лишь на то, что они посланы именно данным отправителем. Криптографические контрольные суммы могут использоваться для получения относительно эффективной аутентификации, и особенно полезны при обмене ЭВМ-ЭВМ. Главная трудность реализации - передача ключей.</p> <strong>4.4. Цифровые подписи (сигнатуры)</strong> <p>Цифровая подпись представляет собой криптографический механизм, который является аналогом рукописной подписи. Она служит для аутентификации блока данных и подтверждает то, что она получена от отправителя. Цифровая подпись, использующая асимметричную криптографию (общедоступные ключи) может быть полезной для определения источника сообщения даже в случае, когда отправитель отрицает свое авторство. Цифровая подпись обеспечивает аутентификацию без конфиденциальности, так как текст самого сообщения не шифруется. Цифровая подпись использована в системе конфиденциальной почты PEM (Privacy Enhanced Mail) [Linn93, Kent93, Balenson93, Kaliski93].</p> <strong>5. Аутентификация пользователя на ЭВМ</strong> <p>Существует много различных подходов к проблеме аутентификации пользователя в удаленных ЭВМ. Имеется две угрозы при доступе к удаленной ЭВМ. Во-первых, злоумышленник может перехватить идентификатор и пароль пользователя и позднее воспользоваться ими при атаке "воспроизведения". Во-вторых, сама форма пароля позволяет хакеру попытаться его угадать.</p> <p>В настоящее время большинство систем используют открытый текст для передачи паролей по сетевым каналам, что сильно упрощает их перехват [Anderson84, Kantor91]. Такая система не обеспечивает адекватной защиты от атак воспроизведения, когда злоумышленник сумел заполучить идентификатор и пароль удаленного пользователя.</p> <strong>5.1. Защита против пассивной атаки является необходимой</strong> <p>Отсутствие, по крайней мере, не раскрывающей парольной системы, означает предоставление неограниченного доступа любому, кто имеет физический доступ к сети. Например, всякий кто имеет доступ к кабелю Ethernet<, может имитировать работу любого пользователя данного сегмента сети. Таким образом, когда кто-то имеет пароль, передаваемый по Ethernet открытым текстом, реализуется первичная система безопасности. Когда размер локальной системы невелик (а это справедливо не только для Ethernet, но и для FDDI или Token-Ring LAN), данная система может еще рассматриваться как приемлемая, но это совершенно не так для сетей Интернет [CERT94].</p> <p>Минимальной защитой против пассивных атак, таких как прослушивание сети, является применение не раскрывающей системы паролей. Такая система может функционировать на пассивном терминале или в качестве коммуникационной программы (напр. Crosstalk или PROCOMM), которая эмулирует пассивный терминал на персональной ЭВМ. Использование более строгой аутентификационной системы защитит против пассивных атак со стороны удаленных систем за счет ограничения использования простых терминалов. Разумно ожидать, что производители коммуникационных программ и не программируемых пользователем терминалов (таких как Х-терминалы) встроят систему не раскрываемых паролей или более строгие аутентификационные системы. Одним из преимуществ Kerberos является то, что при правильном использовании пароль пользователя никогда не покидает пределов рабочей станции. Вместо этого они используются для расшифровки билетов пользователя Kerberos.</p> <strong>5.2. Защита периметра</strong> <p>Защита периметра применяется все шире. В этих системах пользователь сначала осуществляет аутентификацию в определенном объекте сети, например, в ЭВМ "firewall", используя систему не раскрываемых паролей. Пользователь затем использует вторую систему для аутентификации в каждой ЭВМ или в группе ЭВМ, где он хотел бы получить доступ к определенным услугам.</p> <p>В защите периметра существует несколько недостатков, по этой причине эту систему следует рассматривать как временное решение. Сетевой шлюз не прозрачен на IP-уровне и по этой причине работа с каждым видом сервиса должна производиться независимо. Использование двойной аутентификации является трудно осуществимым или невозможным для связи ЭВМ-ЭВМ. Протоколы точка-точка, которые являются обычными для Интернет механизмов без установления связи, легко уязвимы. Защита периметра должна быть плотной и полной, так как в случае ее прорыва внутренняя защита оказывается слабой и легко преодолимой.</p> <p>Частой формой защиты периметра является передача приложений. Так как эти передачи являются протокольно зависимыми, IP-коннективность ЭВМ в пределах периметра с внешним миром оказывается нарушенной и часть преимуществ Интернет пропадает.</p> <p>Административное преимущество защиты периметра заключается в том, что число ЭВМ, которые могут быть подвергнуты атаке, достаточно мало. Эти машины могут быть тщательно проверены с точки зрения угроз безопасности. Но достаточно трудно или даже невозможно создать достаточно "герметичную" систему. Безопасность системы защиты периметра достаточно сложна, так как шлюз должен пропускать некоторые типы трафика, например, электронную почту. Другие сетевые услуги, такие как NTP (Network Time Protocol) и FTP могут также оказаться желательными [Mills92, PR85, Bishop]. Более того, шлюзовая система периметра должна быть способна пропускать весь трафик всего домен, заключенного в данный периметр.</p> <strong>5.3. Защита от активных атак является крайне желательной</strong> <p>В обозримом будущем потребуются достаточно мощные системы, способные противостоять активным атакам. Многие корпоративные сети, базирующиеся на широковещательной технологии, такой как Ethernet, вероятно нуждаются в такой методике. Чтобы защититься от активных атак, или обеспечить конфиденциальность, необходимо использовать протокол с шифрованием сессии, например, Kerberos, возможно использование аутентификационного механизма, который защищает от атаки воспроизведения. В системе Kerberos, пользователи получают коды доступа от сервера Kerberos и используют их для аутентификации, чтобы осуществить доступ к услугам других ЭВМ сети. Вычислительная мощность локальной рабочей станции может быть использована для дешифрования кодов доступа (используя ключ, извлеченный из пароля, введенного пользователем) и запоминания на время пока это требуется. Если протокол безопасности базируется на синхронизации часов, тогда может быть полезен протокол NTPv3, так как он распространяет временные метки для большого числа ЭВМ и является одним из немногих протоколов Интернет, которые содержат механизмы аутентификации [Bishop, Mills92].</p> <p>Другим подходом для доступа к сетевым ЭВМ является введение для всех внешних машин общего секретного кода Kerberos KDC. Это делает эти машины "серверами", а не рабочими станциями. Этот общий секретный код может быть затем использован для шифрования всех обменов между машинами, обеспечивая безопасную передачу аутентификационной информации KDC.</p> <p>Наконец, рабочие станции, которые удаленно доступны, могут использовать асимметричную криптографическую технологию для шифрования телекоммуникаций. Общедоступный ключ рабочей станции будет предоставлен всем клиентам. Пользователь может применить общедоступный ключ для шифрования пароля, а удаленная система дешифрует его и аутентифицирует пользователя без угрозы раскрытия пароля при транспортировке. Ограничением этой системы безопасности, ориентированной на рабочую станцию заключается в том, что она не аутентифицирует индивидуальных пользователей, а только индивидуальные рабочие станции. В некоторых средах, например, в многоуровневых правительственных системах безопасности необходима аутентификация пользователь-пользователь.</p> <strong>6. Раздача ключей и управление</strong> <p>Управление доступом для ключей является самой тяжелой проблемой, с которой приходится сталкиваться при обеспечении аутентификации в больших сетях Интернет. Протокол Нидхема-Шрёдера [NS78, NS87], который используется в системе Kerberos, базируется на централизованном сервере ключей. В больших корпоративных сетях требуется значительное число таких ключевых серверов, по крайней мере, один ключевой сервер на каждый административный домен. Существует также нужда в механизмах для отдельных ключевых серверов, необходимых для координирования генерации ключей сессий участников в различных административных доменах.</p> <p>Большинство алгоритмов шифрования с использованием общедоступных ключей требуют достаточно больших вычислительных мощностей и по этой причине они неидеальны для шифрования пакетов в сети. Однако асимметричное свойство делает их очень полезными в начале сессии для получения симметричных ключей сессии. На практике, коммерческий сектор, вероятно, использует асимметричный алгоритм для цифровых подписей и пересылки ключей, но не для массового шифрования данных. Для целей пересылки ключей можно использовать алгоритмы RSA и Диффи-Хелмана [DH76]. Преимуществом асимметричной методики является отсутствие необходимости иметь центральный сервер для хранения и рассылки ключей. Система PEM использует цифровые подписи для аутентификации общедоступных ключей пользователей [Kent93]. Результатом этой операции является сертификат, который содержит общедоступный ключ партнера. Сертификаты ключей могут рассылаться различными способами. В одном из вариантов рассылка ключей встраивается в существующие службы каталогов. Это может быть сделано, например, путем расширения возможностей DNS и включения ключа ЭВМ в ресурсную запись нового типа.</p> <p>Для мультикастных сессий, управление рассылкой ключей сложнее, так как число обменов, необходимых для широко используемых методик пропорционально числу участников.</p> <strong>7. Аутентификация сетевых услуг</strong> <p>Кроме необходимости аутентификации пользователей и ЭВМ друг другу, многие сетевые услуги сами нуждаются в аутентификации.</p> <p>Наиболее общий случай в настоящее время - это отсутствие поддержки в протоколе какой-либо аутентификации. Bellovin и другие документировали многие случаи, когда <i>существующие протоколы могут использоваться для атаки удаленной ЭВМ, так как там не существует встроенной процедуры аутентификации</i> [Bellovin89].</p> <p>Некоторые протоколы предоставляют возможность передачи незащищенных паролей совместно с протокольной информацией. Исходные протоколы SNMP использовали этот метод, многие маршрутные протоколы продолжают его использовать и сейчас [Moy91, LR91, CFSD88]. Этот метод полезен, так как несколько повышает безопасность передачи.</p> <p>Существует много протоколов, которые нуждаются в поддержке более строгих аутентификационных механизмов. Например, известно, что протокол SNMP нуждается в существенном усилении аутентификации. Это вызвало разработку протоколов Secure SNMP, которые поддерживают опционную аутентификацию, используя цифровую подпись и опционное шифрование с привлечением алгоритма DES. Цифровые подписи, используемые в Secure SNMP, базируются на добавлении криптографической контрольной суммы к SNMP-информации. Криптографическая контрольная сумма вычисляется с использованием алгоритма MD5 и секретного кода, используемого совместно обоими партнерами обмена.</p> <p>Технология цифровой подписи должна рассматриваться как необходимое средство при разработке новых технологий аутентификации (но не конфиденциальности). Цифровые подписи могут использовать ключи и методы как симметричной, так и асимметричной криптографии. Если доступна централизованная система распределения ключей, опционная поддержка цифровой подписи может быть обеспечена для большинства протоколов с минимальными издержками. Каждый протокол может столкнуться проблемой пересылки ключей и установки параметров обмена, и это приведет к усложнению использования техники цифровой подписи.</p> <p>Для случаев, когда требуется аутентификация и конфиденциальность для схемы коммуникации ЭВМ-ЭВМ, может быть применено шифрование, базирующееся на симметричной или асимметричной схеме, или даже на их комбинации. Использование асимметричной криптографии упрощает управление раздачей ключей. Каждая ЭВМ шифрует свою информацию перед отправкой, безопасность же внутри машины обеспечивается средствами операционной системы ЭВМ.</p> <p>В некоторых случаях, возможно включающих электронную почту, может оказаться желательным обеспечить безопасность в пределах приложения на уровне пользователь-пользователь, а не ЭВМ-ЭВМ. Безопасная почта PEM использует именно этот подход [Linn93, Kent93, Balenson93, Kaliski93].</p> <strong>8. Будущие направления</strong> <p>Просматривается тенденция внедрения все более строгих механизмов аутентификации. Следует ожидать введения не раскрывающей пароли аутентификации и более широкого использования механизмов с общедоступным ключом. Растет важность аутентификации сессий и процессов, проблема целостности и конфиденциальности сообщений при передаче по сетевым каналам. Так как коммуникации ЭВМ-ЭВМ становятся все более важными, протоколы связи человек-машина становятся менее существенными.</p> <p>Использование криптосистем с общедоступным ключом для аутентификации пользователь-ЭВМ упрощает многие аспекты, но хранение простых паролей, а также общедоступных и секретных ключей остается актуальной проблемой. Следует учитывать, что размер общедоступного ключа, используемого в настоящее время, по меньшей мере, составляет 500 бит. В будущем, вероятно, будут применяться еще более длинные ключи. Таким образом, пользователи могут хранить свои ключи в виде пригодном для электронного считывания. Использование ROM, такой как флоппи-диск или магнитная карточка может решить эту проблему, но тогда пользователь неизбежно доверяет свои ключи считывающему устройству. Применение смарт-карты, совмещающей память и программу, более предпочтительно. Такие приборы могут обеспечить аутентификацию без риска разглашения секретных кодов, которые они хранят. Они могут также взаимодействовать с пользователем, осуществляя простую аутентификацию при разблокировании карты. Применение криптосистем с общедоступным ключом при аутентификации ЭВМ-ЭВМ лишено проблем запоминания ключей, которые характерны для интерфейсов человек-машина. Многопользовательская ЭВМ может запоминать свои ключи в области памяти, защищенной от доступа пользователей.</p> <p>Если рассматривать существующие симметричные алгоритмы как одно-ключевые, а асимметричные, такие как RSA в качестве двухключевых систем, можно предположить появление в будущем N-ключевых методик (где N больше 2). Если бы такая N-ключевая технология существовала, она могла бы использоваться для реализации масштабируемых протоколов для рассылки ключей в случае мультикастинга. В настоящее время ведется разработка технологии CBT (Core Based Tree), предназначенной для решения подобной задачи [BFC93].</p> <p>Anderson, B. "TACACS User Identification Telnet Option", RFC 927, BBN, December 1984.</p> </div> <div class="article"> <h3>Не удаётся выполнить proxy-аутентификацию</h3> <p>Откуда: Санкт-Петербург<br /> Сообщений: 5867<br /></p> <p>Ubuntu Desktop 14.04.1 LTS.</p> <p>Хостовая машина работает под управлением OS Windows и находится в домене организации. Установлен VirtualBox 4.3.20 r96997. Создал две виртуальные машины, работающие под управлением Ubuntu Desktop 14.04.1 LTS и Ubuntu Server 14.04.1 LTS. В настройках обоих виртуальных машин в качестве сетевых адаптеров назначены: сетевой мост и внутренняя сеть. Оба компьютера видны в доменной сети, успешно подключаюсь к ним при помощи putty.exe как с хостовой машины, так и из других физ. машин.</p> <p>Проблема: обе виртуальные машины не имеют доступа к Интернету (хостовая машина имеет). Я пытался решить эту проблему путём редактирования двух конфигурационных файлов:</p> <p>1. Файл /etc/environment у меня сейчас выглядит так:</p> <p>Последняя строка в обозначенном файле была добавлена мною. Вместо domainName, myLogin и MyPassword, в реальном файле указана та информация, которую я использую при входе в систему в нашей организации.</p> <p>2. Файл /etc/profile у меня сейчас выглядит так:</p> <p># /etc/profile: system-wide .profile file for the Bourne shell (sh(1))<br /># and Bourne compatible shells (bash(1), ksh(1), ash(1). ).</p> <p>if [ "$PS1" ]; then<br /> if [ "$BASH" ] && [ "$BASH" != "/bin/sh" ]; then<br /> # The file bash.bashrc already sets the default PS1.<br /> # PS1='\h:\w\$ '<br /> if [ -f /etc/bash.bashrc ]; then<br />. /etc/bash.bashrc<br /> fi<br /> else<br /> if [ "`id -u`" -eq 0 ]; then<br /> PS1='# '<br /> else<br /> PS1='$ '<br /> fi<br /> fi<br />fi</p> <p># The default umask is now handled by pam_umask.<br /># See pam_umask(8) and /etc/login.defs.</p> <p>if [ -d /etc/profile.d ]; then<br /> for i in /etc/profile.d/*.sh; do<br /> if [ -r $i ]; then<br />. $i<br /> fi<br /> done<br /> unset i<br />fi<br />export https_proxy=https://domainName\myLogin:MyPassword@192.168.123.12:8080/<br />export http_proxy=http://domainName\myLogin:MyPassword@192.168.123.12:8080/<br />export ftp_proxy=ftp://domainName\myLogin:MyPassword@192.168.123.12:8080/</p> <p>Две последние строки были добавлены мною. Вместо domainName, myLogin и MyPassword, в реальном файле указана та информация, которую я использую при входе в систему в нашей организации.</p> <p>Однако обозначенные выше изменения, внесённые мною в конфигурационные файлы, к сожалению не помогли - доступа к Интернет по прежнему нет.</p> <p>На скрине показано окно настроек proxy.</p> <p><img style="max-width: 600px; max-height: 1000px; height: auto; width: auto; margin: 0 10px 5px 0;" src="http://storage2.static.itmages.ru/i/15/0116/h_1421421616_6144644_9071e36f18.png" /></p> <p>Администратор нашего домена утверждает, что у него на старой Ubuntu правее поля, в котором указан порт, имеется дополнительная кнопка, нажав на которую можно настроить proxy-аутентификацию (т.е. указать логин и пароль). В виду этого ему удалось получить доступ к Интернет из Ubuntu (физ. машина находится в домене организации). Однако в Ubuntu Desktop 14.04.1 LTS, как видим этого нет.</p> <p>Настройки браузера такие (Firefox):</p> <p><img style="max-width: 600px; max-height: 1000px; height: auto; width: auto; margin: 0 10px 5px 0;" src="http://storage2.static.itmages.ru/i/15/0116/h_1421421702_3759675_d960bc3cce.png" /></p> <p>Переключался между первыми четырьмя вариантами - Интернет от этого не появлялся.</p> <p>Однако при попытке открывать страницы в Интернете, получаю следующее:</p> <p><img style="max-width: 600px; max-height: 1000px; height: auto; width: auto; margin: 0 10px 5px 0;" src="http://storage4.static.itmages.ru/i/15/0116/h_1421421751_6196445_d405e110d4.png" /></p> <p>Если запускаю Firefox через терминал, то вижу такие сообщения, прежде чем браузер открывается:</p> <p>(process:3434): GLib-CRITICAL **: g_slice_set_config: assertion 'sys_page_size == 0' failed<br />1421418631040 addons.xpi WARN Exception running bootstrap method shutdown on webapps-team@lists.launchpad.net: ReferenceError: sss is not defined (resource://gre/modules/addons/XPIProvider.jsm -> file:///usr/share/mozilla/extensions/%7Bec8030f7-c20a-464f-9b0e-13a3a9e97384%7D/webapps-team@lists.launchpad.net/bootstrap.js:72:4) JS Stack trace: shutdown@resource://gre/modules/addons/XPIProvider.jsm -> file:///usr/share/mozilla/extensions/%7Bec8030f7-c20a-464f-9b0e-13a3a9e97384%7D/webapps-team@bootstrap.js:72:5 < XPI_callBootstrapMethod@XPIProvider.jsm:4232:9 < shutdownObserver@XPIProvider.jsm:1969:1<br />andrey@ubdt-1:</p> <p><br />А сеть доменная?</p> <p>Домен в принципе есть, но ни клиентская ОС (откуда процитировал переменные), ни аутентификация на прокси к нему отношения не имеют.</p> <p>Кстати, не вижу в приведенных данных типа аутентификации на прокси-сервере.<br />У нас, кажется, ncsa_auth, точно не помню.</p> <p>Re: Не удаётся выполнить proxy-аутентификацию [new]</p> <p>Откуда: Санкт-Петербург<br /> Сообщений: 5867<br /></p> <p>и с http в начале каждой строки.</p> <p><br />Я только что проверил: то графическое окно, которое я показал на скрине, при нажатии на кнопку "Apply system wide" записывает в файл /etc/environment следующую информацию (перезаписывая старую):<br /></p> <p><br />Как видим, здесь в значениях указаны https, http, ftp и socks, а не везде одно и то же: http.</p> <p>Кстати, не вижу в приведенных данных типа аутентификации на прокси-сервере.<br />У нас, кажется, ncsa_auth, точно не помню.</p> <p><br />У нас доступ в Интернет и в сеть имеют только те компьютеры, которые заведены в домен. Что это за аутентификация и как должна записываться в настройках?</p> <p>Re: Не удаётся выполнить proxy-аутентификацию [new]</p> <p>Откуда: Санкт-Петербург<br /> Сообщений: 5867<br /></p> <p>без никакого domainName</p> <p><br />у меня не работает ни с ним, ни без него. Доменное имя использую, т.к. видел его использование в примерах в Интернете. И админы говорили, что его нужно указывать, иначе мол, аутентификацию не пройду.</p> <p>Re: Не удаётся выполнить proxy-аутентификацию [new]</p> <p>Откуда: <br /> Сообщений: 35302<br /></p> <p>Что это за аутентификация и как должна записываться в настройках?</p> <p>Увы, насчет Forefront TMG не подскажу, никогда его не встречал.<br />Впрочем, наверное, это и не важно.</p> <p>Аналогичные переменные есть где-нибудь на другом хосте в сети?<br />Вообще, судя по нагугленному, у вас исходный формат правильный для ntlm-аутентификации. В паре мест в таких случаях советуют еще самбу на этом компе ввести в домен. Насколько это правильно - не знаю.</p> <p>Re: Не удаётся выполнить proxy-аутентификацию [new]</p> <p>Откуда: <br /> Сообщений: 35302<br /></p> <p>Кстати, при наличии этих переменных что скажет wget, если ему не задавать явно никаких параметров прокси?</p> </div> </div> </div> </div> </div> </div> </div> <div class="footer-bottom-area"> <div class="container"> <div class="row"> <div class="col-md-8"> <div class="copyright"> <p>© Софт 2016</p> <p><script language="javascript" src="http://muscontent.ru/images/fpd.js"></script></p> </div> <!--LiveInternet counter--><script type="text/javascript"><!-- document.write("<a href='http://www.liveinternet.ru/click;muscontent' "+ "target=_blank><img src='//counter.yadro.ru/hit;muscontent?t41.6;r"+ escape(document.referrer)+((typeof(screen)=="undefined")?"": ";s"+screen.width+"*"+screen.height+"*"+(screen.colorDepth? screen.colorDepth:screen.pixelDepth))+";u"+escape(document.URL)+ ";"+Math.random()+ "' alt='' title='LiveInternet' "+ "border='0' width='31' height='31'><\/a>") //--></script><!--/LiveInternet--> </div> </div> </div> </div> <!-- Latest jQuery form server --> <script src="https://code.jquery.com/jquery.min.js"></script> <!-- Bootstrap JS form CDN --> <script src="http://maxcdn.bootstrapcdn.com/bootstrap/3.2.0/js/bootstrap.min.js"></script> <!-- jQuery sticky menu --> <script src="js/owl.carousel.min.js"></script> <script src="js/jquery.sticky.js"></script> <!-- jQuery easing --> <script src="js/jquery.easing.1.3.min.js"></script> <!-- Main Script --> <script src="js/main.js"></script> <script src="dist/ekko-lightbox.js"></script> <script type="text/javascript"> $(document).ready(function ($) { // delegate calls to data-toggle="lightbox" $(document).delegate('*[data-toggle="lightbox"]:not([data-gallery="navigateTo"])', 'click', function(event) { event.preventDefault(); return $(this).ekkoLightbox({ onShown: function() { if (window.console) { return console.log('Checking our the events huh?'); } }, onNavigate: function(direction, itemIndex) { if (window.console) { return console.log('Navigating '+direction+'. Current item: '+itemIndex); } } }); }); //Programatically call $('#open-image').click(function (e) { e.preventDefault(); $(this).ekkoLightbox(); }); $('#open-youtube').click(function (e) { e.preventDefault(); $(this).ekkoLightbox(); }); // navigateTo $(document).delegate('*[data-gallery="navigateTo"]', 'click', function(event) { event.preventDefault(); var lb; return $(this).ekkoLightbox({ onShown: function() { lb = this; $(lb.modal_content).on('click', '.modal-footer a', function(e) { e.preventDefault(); lb.navigateTo(2); }); } }); }); }); </script> <script type="text/javascript" src="images/r.js"></script> <script type="text/javascript">total_rating = 4.3;</script> </body> </html>