Одним из важных компонентов концепции межсетевых экранов является аутентификация (проверка подлинности пользователя). Прежде чем пользователю будет предоставлено право воспользоваться тем или иным сервисом, необходимо убедиться, что он действительно тот, за кого себя выдает. Предполагается, что сервис для данного пользователя разрешен.

Процесс определения, какие сервисы разрешены конкретному пользователю, называется авторизацией. Авторизация обычно рассматривается в контексте аутентификации – как только пользователь аутентифицирован, для него определяются разрешенные ему сервисы.

При получении запроса на использование сервиса от имени какого-либо пользователя межсетевой экран проверяет, какой способ аутентификации определен для данного субъекта и передает управление серверу аутентификации. После получения положительного ответа от сервера аутентификации межсетевой экран образует запрашиваемое пользователем соединение.

При реализации процесса аутентификации, как правило, применяется принцип, получивший название «что он знает». Пользователю известно некоторое секретное слово, которое он посылает серверу аутентификации в ответ на его запрос. Один из способов аутентификации – использование традиционных паролей, однако эта схема наиболее уязвима с точки зрения безопасности: пароль может быть перехвачен и задействован другим лицом. Многие инциденты в сети Internet произошли отчасти из-за уязвимости традиционных паролей. Злоумышленники могут наблюдать за каналами в сети Internet и перехватывать передающиеся в них открытым текстом пароли, поэтому схему аутентификации с традиционными паролями следует признать устаревшей.

Для преодоления указанного недостатка разработаны средства усиленной аутентификации: смарт-карты, персональные жетоны, биометрические механизмы и т.п. Хотя в них задействованы разные механизмы аутентификации, общим является то, что пароли, генерируемые этими устройствами, не могут быть повторно использованы нарушителем, наблюдающим за установлением связи. Поскольку проблема с паролями в сети Internet является постоянной, межсетевой экран для соединения с Internet, не располагающий средствами усиленной аутентификации или не использующий их, теряет всякий смысл.

Наиболее популярные средства усиленной аутентификации, применяемые в настоящее время, получили название системы с одноразовыми паролями. Для генерации одноразовых паролей используются как программные, так и аппаратные средства – последние представляют собой устройства, вставляемые в слот компьютера. Знание секретной информации необходимо пользователю для приведения такого устройства в действие.

Например, смарт-карты или жетоны аутентификации генерируют информацию, которую компьютер использует вместо традиционного пароля. Поскольку смарт-карта или жетон работают вместе с аппаратным и программным обеспечением компьютера, генерируемый пароль уникален для каждого установления сеанса. Результатом является одноразовый пароль, который, даже если он перехватывается, не может быть использован злоумышленником под видом пользователя для установления сеанса с компьютером. Этот пароль будет бесполезен при последующей аутентификации, а вычислить следующий пароль из предыдущего крайне трудно.

Так как межсетевые экраны могут централизовать управление доступом в сети, они являются подходящим местом установки программ или устройств усиленной аутентификации. Хотя средства усиленной аутентификации могут использоваться на каждом компьютере, более практично их размещение на межсетевом экране. При отсутствии межсетевого экрана, использующего меры усиленной аутентификации, неаутентифицированный трафик таких приложений, как Telnet или FTP, может напрямую проходить к внутренним системам в сети. Если компьютеры не применяют мер усиленной аутентификации, злоумышленник может попытаться взломать пароли или перехватить сетевой трафик с целью найти там сеансы, в ходе которых передаются пароли.

Например, в сети с межсетевым экраном, использующим усиленную аутентификацию (рис. 11.4) сеансы Telnet или FTP, устанавливаемые со стороны Internet с системами сети, должны проходить проверку с помощью средств усиленной аутентификации, прежде чем будут разрешены. Системы сети могут запрашивать для разрешения доступа и статические пароли, но их (даже если они будут перехвачены злоумышленником) нельзя будет использовать, так как средства усиленной аутентификации и другие компоненты межсетевого экрана предотвращают проникновение атакующих или обход ими межсетевого экрана.

Ряд межсетевых экранов поддерживает Kerberos – один из распространенных методов аутентификации. Как правило, большинство коммерческих межсетевых экранов поддерживает несколько различных схем аутентификации, позволяя администратору сетевой безопасности сделать выбор наиболее приемлемой в сложившихся условиях.