Аутентификация, авторизация и учет

Цель работы: ознакомление студентов с типовой структурой корпора- тивной сети и с процедурами аутентификации, авторизации и учета.

Общие сведения

Типовая структура корпоративной сети приведена на рис. 8.3. На ней изображены:

• вспомогательный (Proxy) сервер, основными функциями которого яв- ляется коммутация трафика между интерфейсами Int-1, Int-2 и Int-3 в соответ- ствии со списками доступа администратора;

• хосты локального и удаленного пользователя;

• серверы:

− DHCP для конфигурирования хостов,

− AAA для аутентификации, авторизации и учета,

− е-mail для обработки почтовых сообщений,

− баз данных (БД) для хранения документации группового использо- вания.

В корпоративной сети последовательно осуществляются три администра- тивные процедуры: аутентификация, авторизация и учет.

Аутентификация – установление легитимности абонента посредством за- проса его имени и пароля. При попытке подключения пользователя к корпора- тивной сети proxy-сервер запрашивает его имя и пароль. Полученный ответ

 

сравнивается с записью в списке доступа вида: имя пользователя (Name или User ID) – пароль (Password), которая внесена администратором сети и хранит- ся на ААА-сервере. Аутентификация может осуществляться при помощи двух протоколов – Password Authentication Protocol (PAP) и Challenge Handshake Authentication Protocol (CHAP), являющимися составными частями протокола PPP.

 

Рис. 8.3. Типовая схема корпоративной сети

В протоколе PAP имя пользователя и пароль передаются в одном сооб- щении и в открытом виде. Они могут быть легко перехвачены злоумышленни- ком, поэтому протокол PAP используется только для аутентификации локаль- ных пользователей и не может быть использован для аутентификации удален- ных пользователей.

При использовании протокола CHAP proxy-сервер посылает удаленному хосту пользователя некоторое случайное число V, а хост возвращает другое число W, вычисленное по заранее известной функции с использованием имени (Name) и пароля (Password). Иначе говоря, W = f (V, Name, Password). Предпо- лагается, что злоумышленник в состоянии перехватить пересылаемые по сети значения V, Name и W, и ему известен алгоритм вычисления функции f. Суще- ство формирования W состоит в том, что исходное элементы (биты) случайного числа V различным образом «перемешиваются» с неизвестным злоумышленни- ку элементами пароля Password. Затем полученный зашифрованный текст под- вергается сжатию. Такое преобразование называется дайджест-функцией (digest function) или хэш-функцией, а результат – дайджестом. Точная процедура фор- мирования дайджеста определена алгоритмом MD5 и описана в [RFC 1321, PS]. Proxy-сервер запрашивает у ААА-сервера истинное значение W, пересылая ему значения Name и Challenge=V. Сервер AAA на основании полученных от proxy- сервера значений V и Name и имеющегося у него в базе данных пароля Password по тому же алгоритму вычисляет W и возвращает его proxy-серверу. Proxy-сервер сравнивает два значения W, полученные от хоста и от ААА- сервера: если они совпадают, то хосту посылается сообщение об успешной аутентификации.

 

После успешной аутентификации пользователя proxy-сервер на основа- нии списка управления доступом производит авторизацию, т.е. определяет, к каким серверам DB1 и DB2 группового использования может обращаться поль- зователь, а сервера DB1 и DB2 определяют, какие операции (только чтение или чтение/запись) он может осуществлять.

Процедура учета состоит в ведении записей истории соединений пользо- вателей для последующего возможного анализа успешных и неуспешных со- единений.

Описание работы

На рис. 8.4 приведена процедура авторизации пользователя со следую- щими исходными данными: имя пользователя (Name) Ivanov, пароль (Password

= K1m), случайное число (V) 123456. Процедура перемешивания состоит в по- следовательном перемешивании полубайтов пароля и случайного числа. Вы- числение дайджеста состоит в вычислении остатка перемешенного числа по модулю Password.

 

Удаленный узел

Proxy

Сервер AAA

Рис. 8.4. Процедура аутентификации пользователя

Рассмотрим вычисление полей протокола аутентификации подробно.

В первом сообщении proxy-сервер запрашивает (code=01) по протоколу аутентификации CHAP (Protocol = 0xc223) у удаленного пользователя ответ на случайное число V = 123456 = 0x1E240. Хост удаленного пользователя произ- водит следующие операции.

1. Подставляет имя пользователя, используя таблицу кодов ASCII (табли- ца 8.10).

Таблица кодов ASCII

	(0) 000	(1) 001	(2) 010	(3) 011	(4) 100	(5) 101	(6)110	(7) 111
(0) 0000	NUL	DLE	SP	0	@	P	'	p
(1) 0001	SOH	DC1	!	1	A	Q	a	q
(2) 0010	STX	DC2	“	2	B	R	b	r
(3) 0011	ETX	DC3	#	3	C	S	c	s
(4) 0100	EOT	DC4	$	4	D	T	d	t
(5) 0101	ENQ	NAK	%	5	E	U	e	u
(6) 0110	ACK	SYN	&	6	F	V	f	v
(7) 0111	BEL	ETB	'	7	G	W	g	w
(8) 1000	BS	CAN	(	8	H	X	h	x
(9) 1001	HT	EM	)	9	I	Y	i	y
(a) 1010	LF	SUB	*	:	J	Z	j	z
(b) 1011	VT	ESC	+	;	K	[	k	{
(c) 1100	FF	IS4	,	<	L	\	l	|
(d) 1101	CR	IS3	-	=	M	]	m	}
(e) 1110	SO	IS2	.	>	N	^	n	~
(f) 1111	S1	IS1	/	?	O	_	o	DEL

Для определения двоичного кода символа следует к коду колонки припи- сать код строки, а для определения шестнадцатеричного – к значению кода колон- ки приписать значение кода строки. В соответствии с табл. 8.10 имя пользователя Ivanov представляется как 0x4976616e6f76, а пароль K1m – как 0х4b316d.

2. Перемешивает байты пароля 0х 4b316d и случайного числа 0х 01e240, получая перемешанное число F=0x 4 0 b 1 3 e 1 2 6 4 d 0.

3. Вычисляет ответ как W = F mod Password = 40b13e1264d0 mod 0х4b316d = 71129994781904 mod 4927853 = 4493476 = 0x448cbc.

Во втором сообщении хост возвращает ответ в виде Name=0x4976616e6f76 и W = 0x448cbc.

В третьем сообщении proxy-сервер запрашивает истинное значение W у ААА-сервера, посылая ему те же значения Name и V.

В четвертом сообщении proxy-сервер получает от ААА-сервера истинное значение W, соответствующее Name=0x4976616e6f76 и V=0x1E240.

В пятом сообщении proxy-сервер подтверждает (code=03) легитимность пользователя.

Порядок выполнения

1. В виде рис. 8.4 представить процедуру аутентификации при следую- щих исходных данных:

Имя пользователя (Name) – фамилия студента, Пароль (Password) - Y1Y2,

Случайное число (V=Challenge) - Y3Y4.

2. Ответить на контрольный вопрос.

Варианты для выполнения работы

Варианты для выполнения работы приведены в таблице 8.11.

Варианты для выполнения работы

№ варианта	Y1	Y2	Y3	Y4
1	13	14	18	15
2	23	25	30	26
3	33	36	42	38
4	43	47	50	45
5	53	58	61	55
6	63	69	72	65
7	73	74	75	77
8	83	84	88	92
9	93	95	99	97
10	13	16	21	18
11	23	26	32	30
12	33	38	41	40

Маршрутизация в IP-сетях

Цель работы: Ознакомление с правилами маршрутизации в IP-сетях.

Общие сведения

Маршрутизация пакета в публичной сети производится на основании классического IP-адреса номера сети, согласно табл. 4.2, приведенной в разде- ле 4.2.3 учебника.

Номер сети принято обозначать с помощью маски, количество лидирую- щих «единиц» в маске показывает число старших разрядов, которые определя- ют номер сети.

Запись маски производится в формате IP-адреса. Таким образом, для сети класса А стандартная маска имеет вид 255.0.0.0 (в двоичном коде 11111111.00000000.00000000.00000000), для сети класса В – 255.255.0.0 (11111111.11111111.00000000.00000000), для сети класса С – 255.255.255.0 (11111111.11111111.11111111.00000000).

Наличие только четырех классов адресов часто бывает неудобно. Если администратору необходимо создать сеть из определенного количества узлов, то эта проблема решается с помощью создания подсетей, путем переназначения части битов узла в качестве битов сети.

Для выполнения этой работы необходимо ознакомиться с материалом раздела 4.2.2.3 учебника.

Описание работы

Пусть из публичной сети (рис. 8.5) поступили следующие пакеты с IP- адресами назначения: 135.38.16.15, 135.38.56.211, 135.38.92.10.

Определим, на какие интерфейсы они будут направлены.

Для определения номера адресуемой подсети складываем по правилу (4.1) IP-адрес назначения первого пакета складываем с маской сети, получаем IP = 135.38.16.15 → 10000111. 00100110. 00010000. 00001111

Mask = 255.255.224.0 → 11111111. 11111111. 11100000. 00000000

–––––––––––––––––––––––––––––––––––––– Destination = 10000111. 00100110. 00000000. 000000002 → 135. 38.0.0.

 

Такой записи в таблице маршрутизации нет, пакет уничтожается. Для второго пакета

IP=135.38.56.211 → 10000111. 00100110. 00111000. 11010011

Mask= 255.255.224.0 → 11111111. 11111111. 11100000. 00000000

Destination = 10000111. 00100110. 00100000. 000000002 → 135.38.32.0.

Пакет будет направлен на интерфейс S1. Для третьего пакета

IP=135.38.92.10  → 10000111. 00100110. 01011100. 00001010

Mask=255.255.224.0 → 11111111. 11111111. 11100000. 00000000

Destination = 10000111. 00100110. 01000000. 000000002 → 135.38.64.0.

Такой записи в таблице маршрутизации нет, пакет уничтожается.

Рис. 8.5. Архитектура местоположения подсети 135.38.32.0

Порядок выполнения работы

Имеется сеть 131.40.0.0. Администратор разбил ее на 6 подсетей по 8100 узлов в каждой.

Изобразить деление адресов подсетей в виде табл. 4.3, приведенной в разделе 4.2.3.

Составить таблицу маршрутов маршрутизатора R для обслуживания всех подсетей в виде табл. 4.4, приведенной в разделе 4.2.3 учебника.

Определить на какие интерфейсы будут направлены пакеты с IP-адресами назначения 131.40.Y1.Y2, 131.40.Y2.Y3, 131.40.Y3. Y4.

Варианты для выполнения работы

Варианты для выполнения лабораторной работы приведены в табли- це 8.12.

 

Таблица 8.12

№ варианта	Y1	Y2	Y3	Y4
1	13	14	18	15
2	23	25	30	26
3	33	36	42	38
4	43	47	50	45
5	53	58	61	55
6	63	69	72	65
7	73	74	75	77
8	83	84	88	92
9	93	95	99	97
10	13	16	21	18
11	23	26	32	30
12	33	38	41	40

8.9. Статистическое оценивание функциональной надежности сети Цель работы: оценить функциональную надежность установления логи-

ческого соединения на сети.

Общие сведения

Установить логическое соединение – это значит построить логический канал, связывающий узел источника с узлом адресата для последующей пере- дачи по нему данных. Таких логических каналов, связывающих источник и ад- ресата, может быть несколько. Совокупность кратчайших путей между источ- ником и адресатом образует гамак (рис. 8.6).

2          3                                                          2            3

2 5 9 7 8 9   7   14   15 12 13 15

1                                          4

i    6    7     8    9   10    j      i                                                         j

14

11                                15

12  13

 

а                                                                        б

Рис. 8.6. Соединение между источником i и адресатом j: а – направление передачи; б – гамак кратчайших путей

Логический канал состоит из физических каналов, связывающих узловые точки (шлюзы и маршрутизаторы), входящие в данный логический маршрут. Построение логического канала выполняется посылкой управляющего сигнала- вызова на установление сеанса связи. При прохождении вызова от одного узла к другому состояние физического канала принимает одно из двух состояний:

«1» – канал занят, и данные по нему не пройдут, либо «0» – канал обладает тре- буемой скоростью для передачи данных.

Повторные попытки установления соединения приводят к вынужденным возвращениям на предыдущие узлы. Поэтому число физических каналов, прой- денных вызовом при его доставке адресату, оказывается случайным числом.

 

Учет данного аспекта позволяет прибегнуть к имитационному моделированию для установления логического канала между источником i и адресатом j.

Таким образом, время установления логического соединения t у.с опреде- лим как случайную величину, которая может быть найдена выражением

n к             n о

t у.с  = å t к i   + å t о  i   + n п t п ,

(8.1)

i =1          i =1

где n к − число физических каналов в логическом канале, построенном от источ- ника к адресату;

n о − число физических каналов, на которые вызов вернулся обратно при поиске альтернативного логического канала;

n п − число попыток в зафиксированной реализации процесса установления ло- гического канала; в общем случае 0≤ n п< n доп, где n доп − допустимое число попы- ток установления соединения;

к

−

t  время прохождения i -го физического канала;

i

о

i

t − время обратного прохождения i -го физического канала;

t п − время переключения на другой логический канал.

Каждый эксперимент на имитационной модели дает реализацию трех случайных величин: n к, n о и n п, что позволяет оценить время установления со- единения t у.с в соответствии с выражением (8.1). Полученное значение t у.с опре- деляет результат установления соединения:

• если t у.с ≤ t доп, то логический канал установлен;

• если t у.с > t доп, то логический канал установлен, но за время, превыша- ющее допустимое, и для данных срочной доставки это имеет критическое зна- чение, т. к. они могли потерять свою актуальность;

• если n п> n доп, то соединение не установлено.

Описание работы

Исходными данными для моделирования являются:

• множество логических каналов, которые могут быть построены от ис- точника i к адресату j, – обозначим как L ij.

• характеристика физических каналов: время передачи сигнала-вызова по физическому каналу в прямом и обратном направлениях;

• значения вероятностей полной занятости физических каналов;

• допустимое время установления соединения;

• число попыток установления соединения;

• время, выделенное на повторную попытку – переключение на другой логический канал.

В модели накапливаются статистики, позволяющие оценить вероятность установления соединения за время, не превышающее допустимое, а также средние и среднеквадратические значения t у.с, характеризующие процесс уста- новления соединения в инфокоммуникационной сети.

На всем множестве логических каналов L ij производится классификация по числу занятых физических каналов с, то есть (с = с min, …, с max). В отдельном

 

эксперименте разыгрывается число с номеров занятых физических каналов во множестве L ij и на полученной реализации имитируется процесс прохождения вызова от источника i к адресату j. По факту установления информационного взаимодействия фиксируются значения n тр, n от и n п. Процедура повторяется N раз. По результатам экспериментов производятся оценка времени установления информационного взаимодействия.

Реализация количества занятых физических каналов с сводится к «выбору наугад» номеров каналов из d возможных, c ∈ d. Очередной номер занятого физи-

ческого канала z определяется по формуле

z = éê Ud + 1ùú , где U − случайное число,

U ∈[0,1], получаемое путем обращения к датчику случайных чисел. Скобки é ù означают округление в меньшую сторону. Физическому каналу с номером z при- сваивается «1» во множестве L ij. Процедура определения z повторяется c раз.

Порядок выполнения работы

Работа выполняется в программе Planet. Сначала создается структурная модель инфокоммуникационной сети, а потом проводится имитационный экс- перимент по оценке ее функциональной надежности.

1. Выбрать или создать структуру моделируемой сети, на которой будет производиться моделирование процесса установления соединения. Структура сети (топология) создается самостоятельно – задается нужное количество узлов коммутации, их взаимное соединение, каналы связи и их длина. Для создания структуры сети используются пункт меню Создать и команды Добавить, Уда- лить из меню Net Editor.

Положение узла может быть задано в любом месте поля экрана, при этом номер узла и его производительность отображаются в правой части графиче- ского редактора. Физические каналы связи (КС) создаются указанием номеров узлов, которые он соединяет. Для каждого КС необходимо выбрать: пропуск- ную способность, в бодах; скорость прохождения физического канала в прямом t _к i и обратном t о  i направлениях

Сохранить структурную модель ИКС – (пункт меню Сохранить).

Выйти из графического редактора (ALT-X или пункт меню Файл- выход).

1. Составить план экспериментов с моделью установления соединения в ИКС. Цель эксперимента – построить зависимости абсолютных и вероятност- ных характеристик установления соединения, такие как количество установ- ленных соединений, вероятность установления информационного взаимодей- ствия P у.в и времени установления соединения t у.в от

•количества непроводящих каналов с;

•количества закрытых узловых точек N;

•количества попыток n п.

Результаты эксперимента позволят сделать рекомендации по выбору маршрутов, характеристик производительности узлов и каналов связи, позво- ляющих организовать взаимодействие между источником и адресатом с требу- емыми значениями P у.с и t доп

 

2. Провести численные эксперименты на выделенном направлении в со- ответствии с планом эксперимента:

• выбрать узел-источник и узел-адресат (они окрасятся в красный цвет);

• задать характеристики процесса установления соединения: время пере- ключения на другой маршрут t п, допустимое время на установление соединения

t доп, допустимое число попыток установления соединения n доп (пункт меню Па- раметры → Основные параметры).

• задать параметры имитационной модели: скорости работы модели, приоритеты отправки пакетов, возможность визуализации (Да/Нет) процесса

установления соединения (пункт меню Параметры → Приоритет отправки, Анимация).

3. Запустить имитационную модель установления соединеия (пункт меню Старт). Вся последовательность событий и текущих состояний отображается в нижнем углу поля, гамак кратчайших путей в правой части экрана. После за- вершения работы модели, на экране появляется статистика по основным и до- полнительным оценкам.

5. Оформить отчет о проделанной работе, в который должны войти вы- бранная структура сети, «гамак» кратчайших путей, набор исходных данных и полученные результаты в виде зависимостей п. 2. с разъяснениями и выводом.

 

 

 

ЗАКЛЮЧЕНИЕ

Современные инфокоммуникационные технологии эволюционируют уже более 40 лет. Их задачи все эти годы постоянно усложнялись. Создавались и создаются новые технологии взаимодействия в распределенных информацион- ных системах.

Централизация хранения и обработки данных способствовала интенсив- ному развитию и внедрению терминальных систем. Решение благоприятное с точки зрения защиты информации. Применение терминальных систем оправ- дано везде, где большое количество пользователей решают типовой набор за- дач, не требующих от локальной информационной системы максимальной про- изводительности. В России наблюдается устойчивая тенденция внедрения тер- минальных систем практически у всех крупных компаний.

В последнее десятилетие большое внимание уделяется разработке про- граммно-конфигурируемым сетей (Software-Defined Networks, SDN), работаю- щих на основе протокола OpenFlow. Сети SDN позволяют отделить уровень данных от уровня управления сетью. Благодаря такому решению сетевые адми- нистраторы получают детализированный контроль над трафиком, а протокол конфигурации OpenFlow (OF-CONFIG) предоставляет возможность удаленного конфигурирования обмена данными, что позволяет вносить оперативные изме- нения в работу сетевой инфраструктуры. Протокол OpenFlow также поддержи- вает специфический метод инкапсуляции.

Это два примера того, что относительная легкость изменения функцио- нального наполнения разного телекоммуникационного оборудования (преиму- щественно за счет его перепрограммирования) приводит к значительному воз- растанию многообразия форм и способов воплощения сетевых технологий. Та- кое многообразие затрудняет понимание отличительных особенностей реализа- ции взаимодействия в информационных сетях. В то же время основные прин- ципы и модели построения инфокоммуникационных сетей за последние годы мало изменились. Приведенная в учебнике систематизация и разъяснение этих принципов на примере конкретных сетевых технологий способствуют осознан- ному усвоению учащимися курса «Инфокоммуникационные системы и сети».

 

Приложение 1. Технологии построения глобальных сетей П1.1. Архитектура и технологии построения сетей X.25

Рекомендация (стандарт, технология) Х.25 имеет следующее название:

«Интерфейс между оконечным оборудованием данных (ООД или DTE – Data Terminal Equipment) и аппаратурой окончания канала данных (АКД или DCE – Data Channel Equipment) для оконечных установок, работающих в пакетном режиме и подключенных к сетям передачи данных общего пользования по вы- деленному каналу».

Рекомендация Х.25 включает описание процедур (протоколов) трех ниж- них уровней ЭМВОС: физического, звена данных и сетевого (а также частично транспортного).

Стандарт Х.25 только определяет пользовательский интерфейс с сетью. Взаимодействие узлов коммутации внутри сети не стандартизуется. Для согла- сованного взаимодействия разных сетей Х.25 существует специальный стан- дарт – Х.75.

Основными элементами сети являются оконечные устройства (асинхрон- ные старт-стопные терминалы), сборщики-разборщики пакетов (СРП или PAD – Packet Assembler-Disassembler) и узлы коммутации (packet switch), име- нуемые обычно центрами коммутации пакетов (ЦКП или PSE – Packet Switch- ing Exchange), каналы связи.

PAD используется для доступа в сеть терминалов при асинхронном ре- жиме обмена информацией (посимвольном). Он обычно имеет несколько асин- хронных портов и один синхронный порт X.25. PAD накапливает поступающие через асинхронные порты данные, упаковывает их в пакеты и передает через порт X.25.

Компьютеры (мэйнфреймы) и локальные сети обычно подключаются к сети Х.25 непосредственно через адаптер Х.25 или маршрутизатор, поддержи- вающий на своих интерфейсах протоколы Х.25.

Стек (профиль) основных протоколов, от которого зависит архитектура сети Х.25, показан на рис. П1.1.

 

7 6 5 4

7 6 5 4

Оконечные/пограничные  узлы       

(PAD, компьютеры, ЦКП) Промежуточные узлы (ЦКП)

Пакеты кадры

 

 

 

Биты

 

Рис. П1.1. Архитектура сети Х.25

Физический уровень. В Рекомендациях Х.25 (Х.25/1) для реализации физического уровня предлагается использовать протоколы Х.21 и Х.21 bis. Сты- ки между ООД и АКД, описываемые этими стандартами, содержат: механиче- ские характеристики; электрические характеристики; функциональные харак- теристики, задающие тип, число и назначение соединительных цепей стыка ООД/АКД; процедурные характеристики, определяющие последовательность изменения состояния цепей интерфейса ООД/АКД, то есть логику взаимодей- ствия на физическом уровне.

Уровень звена данных. В Рекомендации Х.25/2 указывается на необхо- димость использования на уровне звена данных процедуры управления звеном LAPB (Link Access Protocol, Balanced), при котором обеспечивается обмен по двухточечному соединению. Процедура сбалансированная (симметричная).

В соответствии с протоколом LAPB обмен данными осуществляется кад- рами, формат которых приведен на рис. П1.2.

 

Флаг 01111110	Адрес	Управление	Данные (пакет)	Проверочная последовательность (CRC)	Флаг 01111110
1 байт	1 байт	1 – 2 байта	1... 210 байта	2 байта	1 байт

Рис. П1.2. Формат кадра Х.25/2 (LAPB)

Особенностью процедуры LAPB является обязательный запрос повторе- ния кадров, в которых обнаруживаются ошибки. Для этого используется проце- дура отрицательного подтверждения с помощью служебных S-кадров REJ. Не убедившись в правильном приеме очередного кадра, уровень звена данных не будет принимать следующие кадры. Это является одной из причин случайных и длительных задержек передачи информации в сетях Х.25.

Сетевой уровень. В соответствии с Рекомендацией Х.25/3 протокол се- тевого уровня (PLP – Packet-Layer Protocol) предоставляет пользователю воз- можность информационного взаимодействия с другими пользователями сети посредством временных (SVC – Switch Virtual Circuit) или постоянных (PVC – Permanent Virtual Circuit) виртуальных каналов. Наиболее распространены временные соединения (SVC).

Каждому виртуальному соединению присваиваются номера группы и ло- гического канала. Число групп равно 15, в каждой из них содержится 255 логи- ческих каналов. Каждому пользователю при его постановке на учет админи- страцией сети может выделяться множество логических каналов.

Протокол PLP является протоколом управления маршрутизацией, т.е. управляющим коммутацией пакетов в ЦКП с целью их передачи через сеть Х.25 от узла к узлу по заранее проложенному маршруту на основании марш- рутных таблиц, хранящихся в памяти каждого ЦКП, и адресных признаков (ад- ресных данных), записанных в специальном служебном поле пакетов. Специ- альных собственных протоколов маршрутизации, динамически выбирающих наилучшие маршруты и автоматически корректирующих маршрутные таблицы, в сетях Х.25 нет.