Аутентификация и режимы доступа.

Подключение к сетевому оборудованию может осуществляться в двух случаях: · Для администрирования этого оборудования. · Для установления соединения через это оборудование. Поэтому, существует два режима доступа: Символьный режим ААА – пользователь посылает запрос на установление соединения с маршрутизатором для его администрирования. Пакетный режим ААА – пользователь посылает запрос на установление соединения с другим устройством через маршрутизатор. Для хранения учетных записей пользователей технология ААА может использовать локальную или удаленную базу данных защиты.

Рис 3-3-2.

Локальная база данных ААА

Локальная база данных используется, если к сети имеет доступ небольшое число удаленных пользователей через один или два сервера сетевого доступа. Учетные записи хранятся, непосредственно, на сервере сетевого доступа. Такой способ называется локальной аутентификацией (Local AAA Authentication). Особенности локальной аутентификации. · Используется в сетях с небольшим числом удаленных пользователей. · Учетные записи хранятся на сервере сетевого доступа. · Авторизация и аудит, при использовании локальной базы данных, усложняют процесс администрирования. · Использование локальной базы данных позволяет сэкономить на установке удаленной базы данных.

Рис 3-3-3.(анимация)

Удаленная база данных ААА

Если в сети используется большое количество серверов сетевого доступа (граничных маршрутизаторов), то для обеспечения централизованного управления доступом необходимо использовать удаленную базу данных защиты. При изменении учетных записей нет необходимости делать изменения на каждом сервере сетевого доступа. Достаточно изменить данные на центральном сервере защиты. Такой способ называется удаленной или серверной аутентификацией (Server - Based AAA Authentication). Особенности удаленной аутентификации. · Используется в сетях с большим числом удаленных пользователей и серверов сетевого доступа. · Учетные записи хранятся централизованно на сервере защиты. · Аутентификация, авторизация и аудит проходят через сервер защиты. · Использование централизованной базы данных позволяет сэкономить, снимая необходимость настройки каждого сервера сетевого доступа. · Сервер защиты должен быть максимально защищен.

Рис 3-3-4 (анимация)

Методы аутентификации ААА

При выполнении аутентификации выполняется проверка имени пользователя и его пароля. Примером реализации аутентификации являются протоколы PAP (Password Authentication Protocol) и CHAP (Challenge Handshake Authentication Protocol). Протокол PAP использует двухходовой обмен информацией, который обеспечивает простой метод идентификации удаленной стороны. РАР выполняется только при начальном установлении соединения. После завершения фазы установления канала РРР удаленная сторона начинает посылать пару “имя пользователя - пароль” до тех пор, пока маршрутизатор не подтвердит аутентификацию или не разорвет соединение. РАР не является надежным протоколом аутентификации. Пароли посылаются по каналу в открытом виде, что может быть использовано в среде с одноразовыми паролями. Также здесь нет защиты от воспроизведения подслушанного пароля или повторяющихся атак подбора пароля, поскольку попытки установить соединение производит удаленная сторона.   Протокол СНАР использует трехходовой обмен информацией. Процедура аутентификации выполняется при начальном установлении канала, а затем периодически, чтобы проверять идентификацию удаленной стороны. После завершения фазы установления канала РРР, маршрутизатор высылает сообщение удаленной стороне. Удаленная сторона отвечает паролем, зашифрованным по М D 5. Маршрутизатор сравнивает ответ со своим значением хэш-кода. Если значения совпали, то аутентификация подтверждается. В противном случае соединение немедленно разрывается. СНАР защищает от атак воспроизведения подслушанного пароля с помощью изменения сообщения запроса непредсказуемым и уникальным образом. Поскольку запрос уникален и случаен, результат хэш-функции также будет уникальным и случайным. Использование повторных запросов уменьшает вероятность одиночных атак.

Методы аутентификации Протокол PAP (по очереди)   Протокол СНАР(по очереди)   Сначала статичная картинка. При нажатии РАР проходит аутентификация РАР, а при нажатии CHAP, на той же картинке проходит аутентификация CHAP.   Рис 3-3-5

3-3-6 Методы авторизации ААА

 

Средства авторизации позволяют контролировать и ограничивать доступ пользователей к сетевым ресурсам. Авторизация определяет, к каким сетевым ресурсам или командам маршрутизатора имеет доступ пользователь после успешного процесса аутентификации. Авторизация может быть реализована с помощью удаленной или локальной базы данных. При настройке авторизации необходимо определить атрибуты, описывающие права пользователя. Когда удаленный пользователь пытается получить доступ к сети, его аутентификационным параметрам ставятся в соответствие сформированные атрибуты авторизации, записанные в базе данных ААА. Авторизация выполняется автоматически после аутентификации.

Рис 3-3-6

 

3-3-7 Методы аудита ААА

Средства аудита следят за количеством пользователей в системе и собирают статистику об их действиях. Фиксируется какой пользователь к каким ресурсам имел доступ или пытался получить доступ, и в течении какого времени. Это дает возможность выявления подозрительных действий. При активизации средств ААА граничный маршрутизатор (сервер сетевого доступа) создает контрольные записи действий каждого пользователя. Записи действий могут храниться в удаленной или локальной базе данных. Эти записи можно импортировать в аудиторскую программу для анализа с целью контроля и управления. Сервер ААА хранит записи (log), содержащие имя пользователя, адрес пользователя, имя службы, к которой обращался этот пользователь, время начала и конца сеанса, выполненные команды, объем переданных данных. Для поддержки удаленной базы данных используются протоколы RADIUS и TACACS +.

Рис 3.36.

Серверы защиты ААА

Как уже говорилось ранее, контроль доступа средствами ААА выполняется с использованием локальной или удаленной базы данных защиты. Существует несколько стандартов для удаленной базы данных защиты. Мы рассмотрим два протокола, поддерживаемые оборудованием Cisco - TACACS + и RADIUS. Данные протоколы используются для обмена информацией о доступе между сервером защиты и сервером доступа. Серверы сетевого доступа выступают в роли клиентов TACACS + или RADIUS.

Рис 3-3-8.

3-3-9 TACACS+

Протокол TACACS+ обеспечивает централизованное управление доступом пользователей к серверу сетевого доступа или другому сетевому оборудованию, поддерживающему TACACS+. База данных TACACS+ размещается на компьютере под управлением операционных систем UNIX или Windows NT.   Возможности и особенности TACACS+ · Использует порт 49 протокола TCP для надежной передачи данных между сервером сетевого доступа и сервером защиты. · Для каждого сервиса строится собственную базу данных, но они работают вместе, как один сервер защиты. · Пакет TACACS+ имеет 12-байтовый заголовок, который пересылается в виде открытого текста, а данные, содержащиеся в пакете, шифруются для защиты трафика между сервером сетевого доступа и сервером защиты. · Использует средствааутентификации РАР и CHAP, а также поддерживает диалоговые окна ввода пароля. · Поддерживает средства ААА удаленного и локального сетевого доступа для серверов сетевого доступа и сетевого оборудования, поддерживающего TACACS+. · Поддерживает протоколы удаленного доступа SLIP, PPP и ARAP. · Если команды внесены в конфигурацию базы данных TACACS+ и поддерживаются сервером сетевого доступа, то они выполняются автоматически. · Поддерживается функция обратного вызова,котораявозвращает телефонные вызовы. Сервер сетевого доступа звонит пользователю, что дает дополнительные гарантии защиты. · Если есть список доступа, созданный на предыдущем сеансе связи, то TACACS+ может его использовать его в течение текущей фазы авторизации.

TACACS+   · Транспортный протокол TCP, порт 49. · Отдельная база данных для каждого сервиса. · Шифрование данных при передаче. · Аутентификация РАР и CHAP. · Защита локального и удаленного доступа · Протоколы удаленного доступа SLIP, PPP и ARAP. · Функция автокоманд. · Функция обратного вызова. · Списки доступа пользователей. Рис 3-3-9.

3-3-10 Аутентификация TACACS+

Для поддержки процесса аутентификации TACACS+ используется три типа пакетов. START (начало) CONTINUE (продолжение) REPLY (ответ)   Рассмотрим этапы взаимодействия сервера сетевого доступа и сервера защиты TACACS+ в процессе  аутентификации.   1. Сервер сетевого доступа посылает запрос «START» серверу защиты для начала процесса аутентификации. 2. Сервер защиты TACACS+ посылает сообщение «GET USER» c запросом имени пользователя. 3. Сервер сетевого доступа отправляет имя, полученное от пользователя в сообщении «CONTINUE». 4. Сервер защиты TACACS+ посылает сообщение «GET PASS» c запросом пароля пользователя. 5. Сервер сетевого доступа отправляет пароль, полученный от пользователя в сообщении «CONTINUE». 6. Сервер защиты TACACS+ проверяет пароль и определяет – успешно ли завершен процесс аутентификации. На основе этой проверки отправляется положительный (PASS) или отрицательный (FAIL) ответ.

Рис 3-3-10 анимация

3-3-11 Авторизация и аудит TACACS+

Для авторизации TACACS+ используются пакеты REQUEST (запрос) и RESPONSE (ответ). Весь процесс авторизации контролируется с помощью обмена парами "атрибут/значение" между сервером защиты TACACS+ и сервером сетевого доступа. Рассмотрим несколько примеров пар "атрибут/значение": service = ррр — исходно доступный сервис; protocol = ip — протокол, доступный для использования с указанным сервисом; addr = 172.16.10.1 — авторизованный сетевой адрес; timeout = 12 — таймер, ограничивающий длительность соединения в минутах.   Рассмотрим этапы взаимодействия сервера сетевого доступа и сервера защиты TACACS+ в процессе авторизации.   1. Сервер сетевого доступа посылает запрос «REQUEST» серверу защиты. В этом запросе содержится имя пользователя и набор аргументов, определяющих параметры авторизации. 2. Сервер защиты TACACS+ отправляет ответ «RESPONSE» с набором разрешенных действий в виде пар «атрибут/значение». При выполнении аудита TACACS+, анализируются запросы процесса авторизации. На основании этих запросов создаются записи с информацией об активности пользователя в отношении заданных сервисов.

Рис 3-3-11

3-3-12 RADIUS

Протокол RADIUS (Remote Access Dial-In User Service — сервис идентификации удаленных абонентов) использует структуру клиент/сервер для обеспечения защиты сети от несанкционированного доступа в рамках технологии ААА. Протокол RADIUS может использоваться совместно с протоколом TACACS+ и  локальными базами данных защиты. Возможности и особенности протокола RADIUS. · Использует порт 1812 протокола UDP для связи между сервером сетевого доступа и сервером защиты (в некоторых случаях - порт 1645). · Объединяет аутентификацию и авторизацию. Сервер RADIUS получает запрос от пользователя, выполняет аутентификацию и авторизацию. Аудит выполняется сервером аудита RADIUS отдельно. · Шифрует пароли пользователей,  содержащиеся в пакетах RADIUS, с помощью хэш-кода MD5. · Использует средствааутентификации РАР и CHAP, а также поддерживает диалоговые окна ввода пароля. · Обеспечивает средства ААА удаленного доступа для серверов сетевого доступа и сетевого оборудования, поддерживающего RADIUS. · Поддерживает протоколы удаленного доступа SLIP, PPP и ARAP, а так же Telnet. · Если команды внесены в конфигурацию базы данных RADIUS и поддерживаются сервером сетевого доступа, то они выполняются автоматически. · Поддерживается функция обратного вызова,котораявозвращает телефонные вызовы. Сервер сетевого доступа звонит пользователю, что дает дополнительные гарантии защиты. · Возможность добавления новых пар (расширяемость) "атрибут/значение" производителем с помощью атрибута поставщика. · В процессе аутентификации между клиентом и сервером защиты RADIUS используется общее секретное значение, что обеспечивает сетевую защиту.

RADIUS   · Транспортный протокол UDP, порт 1812 или 1645. · Объединяет аутентификацию и авторизацию. · Шифрует пароли пользователей. · Аутентификация РАР и CHAP. · Защита удаленного доступа · Протоколы доступа SLIP, PPP, ARAP и Telnet. · Функция автокоманд. · Функция обратного вызова. · Расширяемость. · Обеспечение сетевой защиты. Рис 3-3-12

3-3-13 Аутентификация и авторизация RADIUS

 

Для поддержки процесса аутентификации и аудита сервер удаленного доступа и сервер защиты RADIUS обмениваются четырьмя типами пакетов: Access-Request - запрос доступа; Access-Accept – подтверждение доступа; Access-Reject – отказ доступа; Access-Challenge - доступ-вызов. Рассмотрим этапы взаимодействия сервера сетевого доступа и сервера защиты RADIUS.   1. Пользователь посылает запрос на соединение PPP к серверу сетевого доступа. 2. Сервер сетевого доступа запрашивает у пользователя имя и пароль. 3. Сервер сетевого доступа посылает серверу защиты RADIUS пакет Access-Request с именем пользователя, зашифрованным паролем и атрибутами. 4. Сервер защиты RADIUS выполняет аутентификацию пользователя, устанавливает параметры авторизации и выдает один из ответов:   Access-Accept – положительная аутентификация. Access - Reject – отрицательная аутентификация. Либо запрашивается другой пароль, либо запрещается доступ. Access - Challenge – требуется посылка дополнительных данных о пользователе. 5. Сервер сетевого доступа разрешает использовать службы на основе результатов аутентификации. 6. Сервер защиты RADIUS периодически посылает Access - Challenge для повторного ввода пароля пользователем или проверки состояния сервера сетевого доступа.

Рис 3-3-13

3-3-14 Аудит RADIUS

Протокол RADIUS обеспечивает доставку информации аудита от сервера сетевого доступа к серверу защиты RADIUS через UDP -порт 1813. Для этого используется пакет Accounting-Request (аудит-запрос) с соответствующим набором пар "атрибут/значение". Сервер защиты RADIUS принимает запрос и отвечает пакетом типа Accounting-Response (аудит-ответ). Рассмотрим этапы взаимодействия сервера сетевого доступа и сервера защиты RADIUS. 1. После завершения процесса аутентификации сервер удаленного доступа посылает серверу защиты старт-пакет Accounting-Request. 2. Сервер защиты подтверждает получение старт-пакета, отправляя пакет Accounting-Response. 3. После окончания использования ресурса, сервер удаленного доступа посылает серверу защиты стоп-пакет Accounting-Request. 4. Сервер защиты подтверждает получение стоп-пакета, отправляя пакет Accounting-Response.

Рис 3-3-14

 

Настройка ААА