2020-04-12
679
При построении системы безопасности сети важно знать, кто имеет доступ к сетевым ресурсам, какими ресурсами ему разрешено пользоваться и какими ресурсами он действительно пользовался. Такую возможность обеспечивает технология аутентификации, авторизации и аудита (ААА).
• Аутентификация (Authentication) - определяет - является ли пользователь тем, за кого себя выдает. Для этого при входе в сеть пользователь должен ввести имя и пароль.
• Авторизация (Authorization) – при успешном прохождении процедуры аутентификации определяется, к каким ресурсам сети данному пользователю разрешено иметь доступ.
• Аудит (Audit или Accounting) – фиксирует действия пользователя в сети. К каким ресурсам и в течении какого времени пользователь имел доступ. К каким ресурсам пытался доступ получить. Это позволяет определить попытки несанкционированного доступа.
Подключение к сетевому оборудованию может осуществляться в двух случаях:
• Для администрирования этого оборудования.
|
|
|
• Для установления соединения через это оборудование.
Поэтому, существует два режима доступа:
Символьный режим ААА – пользователь посылает запрос на установление соединения с маршрутизатором для его администрирования.
Пакетный режим ААА – пользователь посылает запрос на установление соединения с другим устройством через маршрутизатор.
Для хранения учетных записей пользователей технология ААА может использовать локальную или удаленную базу данных защиты.
Локальная база данных используется, если к сети имеет доступ небольшое число удаленных пользователей через один или два сервера сетевого доступа. Учетные записи хранятся, непосредственно, на сервере сетевого доступа. Такой способ называется локальной аутентификацией (Local AAA Authentication).
Особенности локальной аутентификации.
• Используется в сетях с небольшим числом удаленных пользователей.
• Учетные записи хранятся на сервере сетевого доступа.
• Авторизация и аудит, при использовании локальной базы данных, усложняют процесс администрирования.
• Использование локальной базы данных позволяет сэкономить на установке удаленной базы данных.
Если в сети используется большое количество серверов сетевого доступа (граничных маршрутизаторов), то для обеспечения централизованного управления доступом необходимо использовать удаленную базу данных защиты. При изменении учетных записей нет необходимости делать изменения на каждом сервере сетевого доступа. Достаточно изменить данные на центральном сервере защиты. Такой способ называется удаленной или серверной аутентификацией (Server-Based AAA Authentication).
|
|
|
Особенности удаленной аутентификации.
• Используется в сетях с большим числом удаленных пользователей и серверов сетевого доступа.
• Учетные записи хранятся централизованно на сервере защиты.
• Аутентификация, авторизация и аудит проходят через сервер защиты.
• Использование централизованной базы данных позволяет сэкономить, снимая необходимость настройки каждого сервера сетевого доступа.
• Сервер защиты должен быть максимально защищен.
