Технологии аутентификации, авторизации и администрирование действий пользователей в ActiveDirectory

 

Администрирование сетевой инфраструктуры. За надлежащие функционирование сетевой инфраструктуры отвечает сетевой администратор, который ежедневно должен выполнять:

- проверку работоспособности серверов, подключения к интернету, электронной почты, других приложений, а также оргтехники;

- побочное подключение к серверам;

- проверку свободного пространства на жестких дисках, оперативной памяти и иных мощностей;

- проверку осуществления резервного копирования данных.

Непрекращающаяся деятельность направлена на своевременное обнаружение ошибок в работе программного обеспечения и оборудования, что минимизирует риск возникновения критических проблем [11, с. 533].

Альтернативой сетевому администратору являются системы автоматического мониторинга, способные выполнять проверку:

-рабочих станций;

- серверов;

- доступности сайтов;

- клиентских, серверных приложений и служб;

- принтеров, сканеров и иного сетевого оборудования.

По результатам анализа осуществляется отправка уведомлений и отчетов по электронной почте или SMS, строятся графики и т.д.

Необходимо уделять внимание вопросам технической поддержки и модернизации сетевой инфраструктуры. Это позволяет адекватно реагировать на увеличение объема обрабатываемой корпоративной информации и обеспечивать бесперебойную работу и соответствие системы изменяющимся реалиям.

1. Пользователь знает уникальную информацию, которую он предъявляет компьютеру при аутентификации. Например, пароль, который необходимо ввести для входа в систему. Ввода пароля вполне достаточно для узнавания пользователя.

2. Пользователь имеет уникальный предмет или предмет с уникальным содержимым.

3. Аутентификационная информация является неотъемлемой частью пользователя. На такой информации основаны методы биометрической аутентификации, т. е. аутентификации пользователей по их уникальным биометрическим признакам. Достаточно часто методы аутентификации комбинируют, например, используя одновременно пароль пользователя и отпечаток его пальца. Такая аутентификация называется двухфакторной [16].

Процесс аутентификации пользователя компьютером можно разделить на два этапа:

- подготовительный – выполняется при регистрации пользователя в системе. У пользователя запрашивается образец аутентификационной информации, например, пароль или контрольный отпечаток пальца, который будет рассматриваться системой как эталон при аутентификации;

- штатный – образец аутентификационной информации запрашивается у пользователя снова и сравнивается с хранящимся в системе эталоном. Если образец схож с эталоном с заданной точностью – пользователь считается узнанным, в противном случае пользователь будет считаться чужим, результатом чего будет отказ в доступе на компьютер.

Для аутентификации пользователя компьютер должен хранить таблицу имен пользователей и соответствующих им эталонов. Эталоном может быть просто пароль, хранящийся в открытом виде. Такое хранение защищает только от непривилегированных пользователей системы – администратор системы сможет получить все пароли пользователей, хранящиеся в таблице, и впоследствии входить в систему от имени любого пользователя. Наиболее часто эталон представляет собой результат обработки аутентификационной информации, например, функция хэширования (расчет контрольной суммы данных с использованием криптографических методов – хэша). Хэширование достаточно часто применяется в протоколах межсетевого обмена данными, а также необходимо для использования электронной цифровой подписи [15].

Метод аутентификации по паролю является наиболее традиционным и распространенным. Однако, имеет множество недостатков.

Уникальность предмета, по которому выполняется аутентификация пользователя компьютером, определяется информацией, которую он содержит. Для аутентификации часто используются следующие носители информации:

- USB-токены – представляют собой устройства с различной степенью интеллекта, подключаемые к порту USB компьютера;

- смарт-карты – по функциональности похожи на USB-токены, но работа с ними осуществляется с помощью специальных устройств, называемых ридерами смарт-карт;

- электронные таблетки iButton (или TouchMemory);

- карты с магнитной полосой.

Биометрическая аутентификация – это аутентификация пользователя по его уникальным биометрическим характеристикам. Уникальными являются следующие характеристики:

- отпечатки пальцев;

- узор радужной оболочки и структура сетчатки глаза, расположение слепого пятна глаза;

- черты лица;

- схема кровеносных сосудов рук, лица;

- геометрия кисти руки;

- рукописная подпись;

- клавиатурный почерк (интервалы времени между нажатиями клавиш, составляющих кодовое слово, и длительность нажатий);

- голос.

В отличие от описанных выше методов аутентификации, биометрическая аутентификация не определяет пользователя с абсолютной точностью. Системы биометрической аутентификации опознают пользователя с определенной вероятностью [13].

Для обеспечения безопасности сети необходимо обеспечить контроль за доступом к различным элементам сети со стороны пользователей. Такими элементами могут быть сетевые устройства, серверы, компьютеры, приложения или даже сегменты самой сети. Сценарии разные, а принцип один – аутентификация, авторизация и администрирование действий пользователей.

При строительстве и эксплуатации сети важно иметь строгий контроль над теми, кто имеет доступ к ее устройствам, будь то персональный компьютер или сетевое оборудование.

В современных сетях используют три основных решения: Remote Authentication Dial-InUser Service (RADIUS), Cisco’s Terminal Access Controller Access-Control System Plus (TACACS+) протоколы, а так же последнее стандартное решение для малых сетей и сетей бизнес уровня, исполняемое средствами Windows Server, таким как контроль учетных записей через доменные структуры Windows Active Directory  (Windows AD) Существует еще и четвёртый AAA-протокол, известный как DIAMETER, но он обычно используется только мобильными операторами.

Если ваша сеть небольшая и число ее пользователей невелико, то следить за доступом и безопасностью не составляет труда, и часто за это отвечает один сетевой администратор, встроенными средствами аутентификации и авторизации на сервере, таким, как например Windows Active Directory.

В сетях, пользующихся авторизацией Windows Active Directory  (2012 года и выше) чаще всего используется NTLMv2 аутентификация, клиент при обращении к серверу сообщает ему имя пользователя и имя домена, в ответ сервер передает ему случайное число – запрос сервера.

В ответ клиент генерирует также случайное число, куда, кроме прочего, добавляется метка времени, которое называется запрос клиента. Наличие метки времени позволяет избежать ситуации, когда атакующий первоначально накапливает перехваченные данные, а потом с их помощью осуществляет атаку.

Запрос сервера объединяется с запросом клиента и от этой последовательности вычисляется HMAC-MD5 хэш. После чего от данного хэша берется еще один HMAC-MD5 хэш, ключом в котором выступает NT-хэш пароля пользователя. Получившийся результат называется NTLMv2-ответом и вместе с запросом клиента пересылается серверу [12, с. 201].

Сервер, получив NTLMv2-ответ и запрос клиента, объединяет последний с запросом сервера и также вычисляет HMAC-MD5 хэш, затем передает его вместе с ответом контроллеру домена. Тот извлекает из хранилища сохраненный хэш пароля пользователя и производит вычисления над HMAC-MD5 хешем запросов сервера и клиента, сравнивая получившийся результат с переданным ему NTLMv2-ответом. В случае совпадения серверу возвращается ответ об успешной аутентификации. При этом, NTLMv2, также не осуществляет взаимную проверку подлинности.

В данном случае для моделирования сети использующей принципы авторизации, аутентификации и администрирования действий будет использован именно Windows Active Directory  (Рисунок 1), так как он более удобен в том, что уже установлен на реальном оборудовании в организации, и позволит более приближенно смоделировать реальную сеть, а также не требует дополнительной установки оборудования.

Все действия будут производиться непосредственно на сервере, на первом этаже здания, в последующих вариантах так же будет рассматривать первый этаж.

Рисунок 1. Решение по авторизации и аутентификации ActiveDirectory

 

Но если организация имеет масштабную корпоративную сеть или это сеть оператора связи с большим числом абонентов, то отслеживать вручную, кто к чему имеет доступ, становится невозможно. В этом случае на помощь приходит механизм аутентификации и авторизации, который позволяет осуществлять аутентификацию, авторизацию и учет пользователей, то есть контролировать доступ и записывать производимые действия.

Простым языком этот принцип можно описать так: для совершения какого-либо действия в сети мы должны проследить, кто инициирует это действие (authentication), имеет ли он право на выполнение этого действия (authorization) и что в журнал записаны все действия, которые он совершил (аccounting) [6, с. 42].

Следующим решением будет сервер RADIUS является IETF-стандартом для AAA. Используется с начала 1990-х годов и первоначально применялся для коммутируемых модемных соединений. Изначально использовался для расширения Layer 2 протокола точка-точка (PPP) между конечным пользователем и сервером доступа к сети (NAS), передавая трафик аутентификации с NAS на AAA-сервер. Сведения от аутентификации и авторизации доставляются одним типом пакетов, а учет обрабатывается отдельным процессом. RADIUS имеет широкое распространение и поддерживается большинством производителей устройств и разработчиков программных продуктов.

Современная реализация RADIUS использует порты 1812 (аутентификация) и 1813 (учет) протокола UDP (также возможно использование портов 1645 и 1646). UDP обладает высокой скоростью, но имеет ряд недостатков, которые необходимо учитывать при его применении. Когда разрабатывали RADIUS, вопросы безопасности не были столь актуальны, как сейчас, поэтому он поддерживает довольно малое число типов аутентификации (Cleartext и CHAP), шифрует только поле с паролем и в целом имеет среднюю степень безопасности [18].

В данном решении сервер RADIUS (Рисунок 2) устанавливается в сеть между сервером и первым узлом сети, что бы каждая попытка доступа к серверу и хранящейся на ней информации подвергалась аутентификации и было понятно кто пытается получить доступ, и есть ли у него на это права.

В данном случае спроектированная локальная сеть выглядела следующим образом.

Рисунок 2. Решение по авторизации и аутентификации RADIUS

 

Так же рассмотрим и TACACS+.TACACS+ был разработан компанией Cisco и является развитием прошлых версий TACACS и XTACACS. Несмотря на схожесть названий, TACACS+ был сильно видоизменен и не имеет обратной совместимости с TACACS, который сейчас практически нигде не применяется. Основная сфера использования TACACS+ – это администрирование сетевых устройств, однако он может применяться для некоторых типов AAA при доступе в сеть. TACACS + использует Transmission Control Protocol (TCP) порт 49, а не UDP, так как он обладает большей надежностью и позволяет заранее получать информацию о потенциальных ошибках благодаря пакету TCP-RST. ТСP более медленный протокол, но обладает дополнительными преимуществами: возможность разделения аутентификации, авторизации и учета в качестве отдельных и независимых функций, множественная авторизация после одной аутентификации, шифрование всего содержимого пакета [14].

Рисунок 3. Решение по авторизации и аутентификации TACACS+

 

В отличии от RADIUS, TACACS+ устанавливается в сеть параллельно основному серверу (Рисунок 3).

Таким образом, была рассмотрена технология для настройки аутентификации пользователя ActiveDirectory.

 

ВЫВОДЫ ПО I ГЛАВЕ

 

Сетевая инфраструктура предприятия представляет собой комплекс следующих устройств: локальная сеть (сюда входит и программное обеспечение аппаратных средств, которые объединены в одну общую платформу). Было рассмотрено, что аутентификация пользователя заключается в проверке пользователя при входе в систему. Различные методы аутентификации необходимы, фактически, во всех системах ограничения и разграничения доступа к данным – как распределенных, так и предназначенных для защиты отдельного компьютера.

Авторизация – процедура предоставления субъекту определенных полномочий и ресурсов в данной системе. Если система не может надежно отличить авторизованное лицо от неавторизованного, то конфиденциальность и целостность информации в этой системе могут быть нарушены.

Процессы аутентификации можно также классифицировать по уровню обеспечиваемой безопасности. В соответствии с этим процессы аутентификации разделяются на следующие типы:

- аутентификация, использующая пароли и PIN-коды;

- строгая аутентификация на основе использования криптографических методов и средств;

- биометрическая аутентификация пользователей.

Администрирование – регистрация действий пользователя в сети, включая его попытки доступа к ресурсам. Хотя эта учетная информация может быть использована для выписывания счета, с позиций безопасности она особенно важна для обнаружения, анализа инцидентов безопасности в сети и соответствующего реагирования на них. Записи в системном журнале, аудиторские проверки и ПО accounting – все это может быть использовано для обеспечения подотчетности пользователей, если что-либо случится при входе в сеть с их идентификатором.