2020-04-12
324
При выполнении аутентификации выполняется проверка имени пользователя и его пароля. Примером реализации аутентификации являются протоколы PAP (Password Authentication Protocol) и CHAP (Challenge Handshake Authentication Protocol).
Протокол PAP использует двухходовой обмен информацией, который обеспечивает простой метод идентификации удаленной стороны. РАР выполняется только при начальном установлении соединения.
После завершения фазы установления канала РРР удаленная сторона начинает посылать пару “имя пользователя - пароль” до тех пор, пока маршрутизатор не подтвердит аутентификацию или не разорвет соединение.
РАР не является надежным протоколом аутентификации. Пароли посылаются по каналу в открытом виде, что может быть использовано в среде с одноразовыми паролями. Также здесь нет защиты от воспроизведения подслушанного пароля или повторяющихся атак подбора пароля, поскольку попытки установить соединение производит удаленная сторона.
Протокол СНАР использует трехходовой обмен информацией. Процедура аутентификации выполняется при начальном установлении канала, а затем периодически, чтобы проверять идентификацию удаленной стороны.
|
|
|
После завершения фазы установления канала РРР, маршрутизатор высылает сообщение удаленной стороне. Удаленная сторона отвечает паролем, зашифрованным по МD5. Маршрутизатор сравнивает ответ со своим значением хэш-кода. Если значения совпали, то аутентификация подтверждается. В противном случае соединение немедленно разрывается.
СНАР защищает от атак воспроизведения подслушанного пароля с помощью изменения сообщения запроса непредсказуемым и уникальным образом. Поскольку запрос уникален и случаен, результат хэш-функции также будет уникальным и случайным. Использование повторных запросов уменьшает вероятность одиночных атак.
Методы авторизации ААА
Средства авторизации позволяют контролировать и ограничивать доступ пользователей к сетевым ресурсам.
Авторизация определяет, к каким сетевым ресурсам или командам маршрутизатора имеет доступ пользователь после успешного процесса аутентификации.
Авторизация может быть реализована с помощью удаленной или локальной базы данных.
При настройке авторизации необходимо определить атрибуты, описывающие права пользователя. Когда удаленный пользователь пытается получить доступ к сети, его аутентификационным параметрам ставятся в соответствие сформированные атрибуты авторизации, записанные в базе данных ААА.
Авторизация выполняется автоматически после аутентификации.
Методы аудита ААА
Средства аудита следят за количеством пользователей в системе и собирают статистику об их действиях. Фиксируется какой пользователь к каким ресурсам имел доступ или пытался получить доступ, и в течении какого времени. Это дает возможность выявления подозрительных действий.
|
|
|
При активизации средств ААА граничный маршрутизатор (сервер сетевого доступа) создает контрольные записи действий каждого пользователя. Записи действий могут храниться в удаленной или локальной базе данных. Эти записи можно импортировать в аудиторскую программу для анализа с целью контроля и управления.
Сервер ААА хранит записи (log), содержащие имя пользователя, адрес пользователя, имя службы, к которой обращался этот пользователь, время начала и конца сеанса, выполненные команды, объем переданных данных.
Для поддержки удаленной базы данных используются протоколы RADIUS и TACACS+.
Серверы защиты ААА
Как уже говорилось ранее, контроль доступа средствами ААА выполняется с использованием локальной или удаленной базы данных защиты. Существует несколько стандартов для удаленной базы данных защиты. Мы рассмотрим два протокола, поддерживаемые оборудованием Cisco - TACACS+ и RADIUS.
Данные протоколы используются для обмена информацией о доступе между сервером защиты и сервером доступа.
Серверы сетевого доступа выступают в роли клиентов TACACS+ или RADIUS.
TACACS+
Протокол TACACS+ обеспечивает централизованное управление доступом пользователей к серверу сетевого доступа или другому сетевому оборудованию, поддерживающему TACACS+. База данных TACACS+ размещается на компьютере под управлением операционных систем UNIX или Windows NT.
Возможности и особенности TACACS+
• Использует порт 49 протокола TCP для надежной передачи данных между сервером сетевого доступа и сервером защиты.
• Для каждого сервиса строится собственную базу данных, но они работают вместе, как один сервер защиты.
• Пакет TACACS+ имеет 12-байтовый заголовок, который пересылается в виде открытого текста, а данные, содержащиеся в пакете, шифруются для защиты трафика между сервером сетевого доступа и сервером защиты.
• Использует средства аутентификации РАР и CHAP, а также поддерживает диалоговые окна ввода пароля.
• Поддерживает средства ААА удаленного и локального сетевого доступа для серверов сетевого доступа и сетевого оборудования, поддерживающего TACACS+.
• Поддерживает протоколы удаленного доступа SLIP, PPP и ARAP.
• Если команды внесены в конфигурацию базы данных TACACS+ и поддерживаются сервером сетевого доступа, то они выполняются автоматически.
• Поддерживается функция обратного вызова, которая возвращает телефонные вызовы. Сервер сетевого доступа звонит пользователю, что дает дополнительные гарантии защиты.
• Если есть список доступа, созданный на предыдущем сеансе связи, то TACACS+ может его использовать его в течение текущей фазы авторизации.
Аутентификация TACACS+
Для поддержки процесса аутентификации TACACS+ используется три типа пакетов.
START (начало)
CONTINUE (продолжение)
REPLY (ответ)
Рассмотрим этапы взаимодействия сервера сетевого доступа и сервера защиты TACACS+ в процессе аутентификации.
1. Сервер сетевого доступа посылает запрос «START» серверу защиты для начала процесса аутентификации.
2. Сервер защиты TACACS+ посылает сообщение «GET USER» c запросом имени пользователя.
3. Сервер сетевого доступа отправляет имя, полученное от пользователя в сообщении «CONTINUE».
4. Сервер защиты TACACS+ посылает сообщение «GET PASS» c запросом пароля пользователя.
5. Сервер сетевого доступа отправляет пароль, полученный от пользователя в сообщении «CONTINUE».
6. Сервер защиты TACACS+ проверяет пароль и определяет – успешно ли завершен процесс аутентификации. На основе этой проверки отправляется положительный (PASS) или отрицательный (FAIL) ответ.
|
|
|
Авторизация и аудит TACACS+
Для авторизации TACACS+ используются пакеты REQUEST (запрос) и RESPONSE (ответ). Весь процесс авторизации контролируется с помощью обмена парами "атрибут/значение" между сервером защиты TACACS+ и сервером сетевого доступа.
Рассмотрим несколько примеров пар "атрибут/значение":
service = ррр — исходно доступный сервис;
protocol = ip — протокол, доступный для использования с указанным сервисом;
addr = 172.16.10.1 — авторизованный сетевой адрес;
timeout = 12 — таймер, ограничивающий длительность соединения в минутах.
Рассмотрим этапы взаимодействия сервера сетевого доступа и сервера защиты TACACS+ в процессе авторизации.
1. Сервер сетевого доступа посылает запрос «REQUEST» серверу защиты. В этом запросе содержится имя пользователя и набор аргументов, определяющих параметры авторизации.
2. Сервер защиты TACACS+ отправляет ответ «RESPONSE» с набором разрешенных действий в виде пар «атрибут/значение».
При выполнении аудита TACACS+, анализируются запросы процесса авторизации.
На основании этих запросов создаются записи с информацией об активности пользователя в отношении заданных сервисов.
RADIUS
Протокол RADIUS (Remote Access Dial-In User Service — сервис идентификации удаленных абонентов) использует структуру клиент/сервер для обеспечения защиты сети от несанкционированного доступа в рамках технологии ААА.
Протокол RADIUS может использоваться совместно с протоколом TACACS+ и локальными базами данных защиты.
Возможности и особенности протокола RADIUS.
• Использует порт 1812 протокола UDP для связи между сервером сетевого доступа и сервером защиты (в некоторых случаях - порт 1645).
• Объединяет аутентификацию и авторизацию. Сервер RADIUS получает запрос от пользователя, выполняет аутентификацию и авторизацию. Аудит выполняется сервером аудита RADIUS отдельно.
• Шифрует пароли пользователей, содержащиеся в пакетах RADIUS, с помощью хэш-кода MD5.
|
|
|
• Использует средства аутентификации РАР и CHAP, а также поддерживает диалоговые окна ввода пароля.
• Обеспечивает средства ААА удаленного доступа для серверов сетевого доступа и сетевого оборудования, поддерживающего RADIUS.
• Поддерживает протоколы удаленного доступа SLIP, PPP и ARAP, а так же Telnet.
• Если команды внесены в конфигурацию базы данных RADIUS и поддерживаются сервером сетевого доступа, то они выполняются автоматически.
• Поддерживается функция обратного вызова, которая возвращает телефонные вызовы. Сервер сетевого доступа звонит пользователю, что дает дополнительные гарантии защиты.
• Возможность добавления новых пар (расширяемость) "атрибут/значение" производителем с помощью атрибута поставщика.
• В процессе аутентификации между клиентом и сервером защиты RADIUS используется общее секретное значение, что обеспечивает сетевую защиту.
