В этом разделе представлен обзор методов проверки подлинности клиента, используемых Шлюз Microsoft Forefront Threat Management.

Проверка подлинности HTTP

Forefront TMG поддерживает следующие типы проверки подлинности HTTP:

  • обычная проверка подлинности

  • проверка подлинности Digest и WDigest

  • встроенная проверка подлинности Windows

Обычная проверка подлинности

Обычная проверка подлинности - широко применяемый метод, который состоит в сборе таких сведений, как имя пользователя и пароль. При обычной проверке подлинности сведения о пользователе отправляют и получают в виде текстовых символов, которые можно прочитать. Хотя пароли и имена пользователей подлежат шифрованию, при обычной проверке подлинности шифрование не используется. Ниже описывается, как происходит проверка подлинности клиента при обычной проверке подлинности.

  1. Пользователю предлагается ввести имя и пароль для входа в учетную запись Windows.

  2. Forefront TMG получает HTTP-запрос с учетными данными пользователя и подтверждает их с помощью определенного сервера проверки подлинности (RADIUS или Active Directory, LDAP-сервер используется только для входящих запросов).

  3. Для исходящих запросов веб-прокси Forefront TMG подтверждает учетные данные пользователя и затем определяет правила доступа. Для входящих запросов Forefront TMG использует учетные данные для проверки подлинности на опубликованном веб-сервере в соответствии с настроенным методом делегирования. Веб-сервер должен быть настроен на применение схемы проверки подлинности, которая соответствует методу делегирования, используемому Forefront TMG. Текстовый пароль кодируется с помощью Base64 до того, как будет переслан по сети, но это не шифрование, и если пароль будет перехвачен в сети анализатором сетевых пакетов, неавторизованные пользователи могут раскодировать и повторно использовать пароль.

Преимущество обычной проверки подлинности состоит в том, что она поддерживается практически всеми HTTP-клиентами. Недостатком является то, что при использовании обычной проверки подлинности веб-обозреватели передают пароли в незашифрованной форме. Наблюдая за действиями пользователя в сети, взломщик или пользователь-злоумышленник может перехватить и раскодировать пароли с помощью общедоступных средств. Поэтому не рекомендуется использовать обычную проверку подлинности, если пользователь не уверен, что связь защищена, например, при пользовании выделенной линией или соединением по SSL-протоколу.

Проверка подлинности Digest и WDigest

Проверка подлинности Digest предлагает такие же возможности, как и обычная проверка подлинности, но отличается более защищенным способом передачи учетных данных.

Проверка подлинности Digest использует протокол HTTP 1.1, как определено в RFC 2617. Этот протокол поддерживается не всеми обозревателями. Если обозреватель, не поддерживающий протокол HTTP 1.1, запрашивает файл при включенной проверке подлинности Digest, запрос отклоняется. Проверка подлинности Digest может использоваться только в доменах Windows.

Проверка подлинности Digest успешно применима, если на контроллере домена в службе Active Directory хранится обратимая зашифрованная (текстовая) копия запроса пароля пользователя. Чтобы разрешить хранение паролей в незашифрованном текстовом виде, пользователю нужно активировать настройку Хранить пароль с использованием обратимого шифрования на вкладке Учетная запись Также пользователь может включить данную функцию, установив соответствующую групповую политику. После этого пользователю нужно установить новый пароль, чтобы активировать данную функцию, поскольку прежний пароль не может быть определен.

WDigest, обновленная форма проверки подлинности Digest, используется, если Forefront TMG установлен в домене Windows Server 2008. Проверка подлинности WDigest не требует, чтобы в службе Active Directory хранилась обратимая зашифрованная копия пароля пользователя.

Проверка подлинности Digest и WDigest осуществляется следующим образом:

  1. Клиент делает запрос.

  2. Forefront TMG отказывает в доступе и предлагает клиенту ввести имя пользователя и пароль для входа в учетную запись Windows. Примечание. При использовании WDigest имя пользователя и имя домена чувствительны к регистру и должны указываться точно так же, как они отображены в службе Active Directory. Кроме этого для WDigest требуется ввести значение для пути доступа к URL. Например, запрос пользователя http://host.domain.tld не обрабатывается, поскольку отсутствует путь доступа к URL.

  3. Учетные данные пользователя проходят одностороннюю процедуру, наименование которой известно как хэширование На выходе получается зашифрованный хэш или профиль сообщения. В него добавляются значения для идентификации пользователя, компьютера пользователя и домена. Чтобы исключить применение пользователем аннулированного пароля, добавляется отметка времени. Это явное преимущество перед обычной проверкой подлинности, поскольку снижается вероятность перехвата и использования пароля неавторизованным пользователем.

Встроенная проверка подлинности (NTLM)

Встроенная проверка подлинности Windows использует методы проверки подлинности NTLM, Kerberos и Negotiate. Это более безопасные формы проверки подлинности, поскольку имя пользователя и пароль хэшируются до отправления их по сети. Если включена проверка подлинности NTLM, Kerberos или Negotiate, обозреватель пользователя подтверждает пароль при помощи обмена криптографическими данными с сервером Forefront TMG и хэширования.

Ниже описывается, как происходит проверка подлинности клиента при встроенной проверке подлинности Windows.

  1. В зависимости от настроек обозревателя проверка подлинности может не запрашивать изначально имя пользователя и пароль. Если изначально не удается идентифицировать пользователя, обозреватель запрашивает имя пользователя и пароль для входа в учетную запись Windows, которые он обрабатывает с помощью встроенной проверки подлинности Windows. Веб-обозреватель продолжает запрашивать имя пользователя и пароль до тех пор, пока пользователь не введет достоверные сведения или не закроет диалоговое окно с запросом. Имя пользователя необходимо вводить в формате: домен\имя_пользователя

  2. Если изначально не удается идентифицировать пользователя, обозреватель запрашивает имя пользователя и пароль для входа в учетную запись Windows, которые он обрабатывает с помощью встроенной проверки подлинности Windows.

  3. Forefront TMG продолжает запрашивать имя пользователя и пароль до тех пор, пока пользователь не введет достоверные сведения или не закроет диалоговое окно с запросом.

Примечание.

  • Forefront TMG обращается к серверу Active Directory каждый раз, когда требуется проверка подлинности NTLM. Поэтому пользователю рекомендуется создать защищенную сеть для Active Directory и Forefront TMG, чтобы исключить возможность доступа к обмену данными со стороны пользователей (внешних и внутренних).

  • Поскольку проверка подлинности для внешних пользователей применяет метод NTLM, пользователям рекомендуется использовать SSL-шифрование трафика между Forefront TMG и клиентом. Проверка подлинности NTLM осуществляется для каждого соединения, а шифрование предупреждает повторное использование соединений унаследованными устройствами прокси в Интернете.

Проверка подлинности на основе форм

Проверка подлинности на основе форм в Forefront TMG может использоваться для входящих запросов на опубликованные веб-серверы. Существует три типа проверки подлинности на основе форм:

  • Форма пароля - пользователь вводит имя пользователя и пароль в форму. Этот тип учетных данных необходим для проверки подлинности с помощью методов Active Directory, LDAP и RADIUS

  • Форма кода доступа - пользователь вводит имя пользователя и код доступа в форму. Этот тип учетных данных необходим для проверки одноразовых паролей методами SecurID и RADIUS.

  • Форма Код доступа/Пароль - пользователь вводит имя пользователя и код доступа и имя пользователя и пароль. Имя пользователя и код доступа используются при проверке подлинности для доступа к Forefront TMG с помощью методов проверки подлинности одноразовых паролей SecurID или RADIUS, а имя пользователя и пароль - при методе делегирования.

Проверка подлинности сертификата клиента

Проверка подлинности сертификата клиента не поддерживается для исходящих веб-запросов. Пользователь может использовать сертификат клиента для проверки подлинности Forefront TMG для доступа к вышестоящему прокси-серверу. Дополнительные сведения см. в разделе Формирование цепочки веб-прокси.

Для входящих запросов на опубликованные ресурсы требование сертификата клиента может повысить безопасность опубликованного сервера пользователя. Пользователи могут получить сертификаты клиента в коммерческом (CA) или внутреннем центре сертификации организации пользователя. Сертификаты могут быть в виде смарт-карт или использоваться мобильными устройствами так, чтобы они могли подключаться к Microsoft ActiveSync.

Сертификат должен согласовываться с учетной записью пользователя. Когда пользователи делают запросы на опубликованные ресурсы, сертификат клиента, отправленный в Forefront TMG, передается на контроллер домена, который определяет соответствие между сертификатами и учетными записями. Forefront TMG должен являться членом домена. Сведения передаются обратно на Forefront TMG для применения соответствующих правил политики межсетевого экрана. Примечание. Forefront TMG не может передавать сертификаты клиента на внутренний веб-сервер.