Политика безопасности на уровне доступа

 

Политика безопасности на уровне доступа управляет фи­зическим доступом к компонентам сети. На этом уровне ад­министратору системы целесообразно обеспечить наибольшую защиту от несанкционированного доступа. Физический до­ступ подразумевает следующее.

Конфигурирование пользователей и паролей на физиче­ских устройствах. Пароли должны быть заданы для персонала служб администратора системы при любом способе доступа к коммутатору — через управляющую консоль или через эмуля­торы консоли. Пароли должны быть зашифрованы средствами ОС коммутатора.

Ограничение доступа через программы эмуляции терми­нала (Telnet, SSH, HypeiTerminal). Администратор систе­мы должен задать тайм-аут для работы в этих продук­тах. Операционная система коммутатора, не получая ввод символов от администратора в течение установленного времени, закрывает сессию и «выкидывает» пользователя- администратора.

Ограничение доступа к средствам ОС коммутаторов с по­мощью уровней привилегий. Уровни привилегий могут быть назначены, чтобы разграничить функции администрато­ров системы. При этом АС должен дать кому-то из группы администраторов системный уровень для полного доступа к командам коммутатора с возможностью изменения кон­фигурации и параметров. Другие лица получают пользова­тельский уровень с возможностью выполнять ограниченное подмножество команд, которое не включает команды из­менения конфигурации или функций отладки. Например, разрешаются только команды Display для просмотра пара­метров.

Обеспечение безопасности порта подразумевает ограни­чение прав доступа к порту коммутатора (Port Based Net­work Access Control) и означает идентификацию пользо­вателя и контроль доступа устройства к порту коммута­тора на уровне доступа. Пользователь получает доступ к ресурсам сети, если проходит процесс идентифика­ции. В случае неподтверждения подлинности пользова­теля, он не получает доступа к ресурсам сети, что экви­валентно его физическому отключению. Правила тако­го контроля были предложены в стандарте IEEE 802.lx в 2001г. Стандарт определяет правила контроля доступа к пор­ту коммутатора и предполагает, что все производител и обору­дования будут следовать им в целях стандартизации методов ААА. Но производители сетевого оборудования в значитель­ной степени расширяют этот стандарт и вносят дополнения в реальных продуктах.

Так, производители обычно вводят контроль no МАС- адресу устройства, подключаемого к коммутатору, и возмож­ность подсоединения к данному порту не одного, а несколь­ких портов пользователей (для осуществления перекоммута- ции).

Стандарт 802.1х различает два вида портов:

— неконтролируемый порт (к порту может подключиться любой пользователь);

— контролируемый порт (к порту может подсоединяться только порт со специальным паролем).

 

 

Рис. 10.1. Архитектура системы аутентификации

 

Согласно этому же стандарту существуют два вида контро­ля портов:

— физический контроль (только один порт рабочей станции или сервера может подключиться к данному порту аппа­ратуры);

— логический контроль (к порту могут подключаться раз­ные физические порты).

Для поддержания механизма аутентификации был разрабо­тан протокол ЕАР [26] и его реализация с помощью техноло­гии RPC (рис. 10.1).

На рабочей станции WS находится программный продукт, называемый агентом (suppliant). На коммутаторе работает про­граммный продукт — аутентификационная система (authenti­cation system, аутентификатор). Информация для аутентифи­кации хранится на специальном сервере (authentication server), который может находиться под управлением служб админи­стратора информационной системы предприятия или у опера­тора связи в центре аутентификации.

Сервер и аутентификатор работают по протоколу ЕАР (Extensible Authentication Protocol, расширяемый протокол ау­тентификации), а агент и аутентификатор взаимодействуют по протоколу EAPoL (Extensible Authentication Protocol over LANs).

Пакет ЕАР содержит (по стандарту) специальную информа­цию для аутентификации. Приведем примеры пакетов ЕАР:

— ЕАР-пакет: пакет содержит информацию аутентифика­ции;

— EAPoL-start: пакет инициализации аутентификации, ге­нерируется запрашивающей стороной;

— EAPoL-logoff: пакет запроса об окончании сеанса, пере­дает состояние аутентификации;

— EAPoL-key: пакет, содержащий ключ для кодирования ЕАР-пакетов.

Агент запрашивает у аутентификатора разрешение доступа к порту. Аутентификатор проверяет права доступа на сервере аутен­тификации и разрешает доступ при наличии прав у запрашиваю­щего порта. Контролируемый порт может начать работу только после успешного завершения процедуры аутентификации.

При этом к задачам администратора системы относятся:

— задание параметров контроля доступа к портам (разре­шить или запретить доступ к порту, выбрать тип контро­ля порта, задать пул портов и адресов);

— проверка права доступа к портам;

— контроль числа попыток аутентификации, периода руко­пожатия (handshaking), периода принудительного «выбра­сывания» из системы, если аутентификация не пройдена.

Недостатком стандарта IEEE 802.lx является то, что в нем не предусмотрена работа удаленных пользователей (например, соединение по dial-up).

Как уже отмечалось, часть производителей сетевой аппара­туры вводит контроль доступа по МАС-адресам. В этом случае администратору системы необходимо помнить следующие мо­менты [21, 22, 37, 39]:

— безопасность порта нельзя применять к магистральным (транковым) связям, потому что они аккумулируют дан­ные от нескольких виртуальных сетей VLAN и MAC адресов;

— функция безопасности порта не может быть активирова­на на порту получателя или источника SPAN — анализа­тора коммутируемого порта;

— на безопасном порту нельзя сконфигурировать динами­ческую или статическую запись САМ (connect address­able memory) [37, 39];

— после включения функции безопасности порта, все ста­тические или динамические записи САМ, связанные с портом, удаляются, а любая постоянная запись САМ рассматривается как безопасный MAC адрес [37, 39];

— коммутаторы не всех производителей поддерживают безопасность порта.

По умолчанию установки коммутатора разрешают доступ со всех МАС-адресов на все порты коммутатора. При вклю­чении функции безопасности порта необходимо явно указать МАС-адреса, которым разрешается доступ к портам коммута­тора. Портам разрешается использовать статические или ди­намические назначения МАС-адреса.

При динамическом назначении МАС-адреса и включении функции безопасности порта узел, первым пославший пакет со своим МАС-адресом, задает тем самым безопасный адрес порта. Если на порт коммутатора поступит фрейм от другого узла, соответственно, с другим МАС-адресом, то порт автома­тически перейдет в выключенный режим.

При статическом назначении МАС-адреса сетевому админи­стратору необходимо вручную его назначить. Это наиболее безо­пасный способ создания списка адресов источников. Однако он требует много времени и усилий, особенно в больших сетях.

Внедрение средств управления. При первой установке опе­рационной системы на коммутатор все порты коммутатора на­значаются виртуальной сети VLAN1. Обычно эта виртуальная сеть сохраняется как виртуальная сеть управления. В резуль­тате, если порты не были перенастроены или были повторно установлены по умолчанию, то любой пользователь, войдя в виртуальную сеть VLAN1, автоматически попадает в вирту­альную сеть управления. Для решения этой проблемы целесо­образно переместить виртуальную управляющую сеть VLAN1 в другую виртуальную сеть.

Более подробно вопросы о предлагаемых средствах защиты безопасности рассматриваются в технической документации по ОС производителей коммуникационных средств, например в [37, 39 ].

9.5. Обеспечение безопасности при удаленном доступе к сети предприятия

В настоящее время для получения удаленного доступа к сети предприятия наиболее часто используется технология VPN — технология частных виртуальных сетей. Сеть VPN представляет собой логическую сеть, которая функционирует в уже существующей физической инфраструктуре [20, 26]. При этом каналы выделяются отдельным пользователям, которые могут иметь свою собственную систему IP-адресации, свои схемы маршрутизации и проводить свою политику безопасно­сти. Определение «частная» в терминологии VPN-сетей может рассматриваться также в контексте обеспечения безопасности. В качестве мер безопасности используют туннельные техноло­ги и алгоритмы шифрования.

Все современные VPN-технологии делят на две категории: надежные и безопасные. К надежным VPN-технологиям отно­сят технологии на базе MPLS-коммутации с использованием протоколов BGP или L2VPN [26], к безопасным — техноло­гии IPSec, L2TP или L2TP с применением протоколов IPSec и РРТР. Рассмотрим только безопасные технологии (более под­робно см. [20, 26]).

Виртуальная частная сеть VPN создается в открытой сете­вой инфраструктуре, например в глобальной сети Интернет, и обеспечивает:

— поддержку удаленного доступа;

— поддержку нескольких удаленных друг от друга узлов, соединенных между собой выделенными линиями;

— возможность провайдеру VPN разметить на своих сер­верах различные службы для пользователей VPN-сети (например, Web-страницы);

— поддержку не только соединений внутри VPN-сети, но и связь между разными VPN-сетями, а также выход в сеть Интернет.