Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Обеспечение безопасности посредством удаленной аутентификации

Дэн Бэкман

Занимаясь безопасностью своей сети, вы иногда чувствуете себя маленьким мальчиком, который затыкает пальцем дыру в плотине. Можно, конечно, обеспечить безопасность в "видимых" местах вашей сети, в частности таких, как firewall-система, но контролируете ли вы сеть полностью?

Все больше и больше пользователей, находясь дома, практикуют удаленные сеансы связи со своими рабочими местами. Например, установив на своих рабочих станциях пакет pcANYWHERE, они могут подключаться к ним через офисную телефонную линию. Однако если программное обеспечение при этом было сконфигурировано неправильно, то образуется "хорошая" дыра в системе безопасности, о существовании которой вы не узнаете до тех пор, пока не станет слишком поздно. Обычно для таких коммутируемых соединений создаются учетные разделы и пользователи должны иметь (и помнить) соответствующие пароли. Общий уровень безопасности также снижает отсутствие "скрытого" режима ввода пароля в некоторых клиентских программах.

Само собой разумеется, что пользователи не должны следить за множеством всех этих учетных записей и, более того, управлять ими. Теоретически в среде, где работают тысячи пользователей, аутентификацию коммутируемых соединений можно осуществлять с помощью учетных записей сетевой ОС. На самом же деле большинство организаций имеют отдельные базы данных регистрации пользователей для сетевой ОС, Unix, больших ЭВМ и коммутируемых соединений. Ясно, что нельзя поддерживать адекватный уровень безопасности вашей сети, если нет тщательной поддержки учетных записей пользователей или, еще хуже, кто-то из бывших работников фирмы, недовольных своей работой в ней, сохранил возможность доступа к вашей сети.

И хотя вам нужно аккуратно отслеживать состояние учетных записей пользователей, все же нет необходимости иметь несколько копий каждой записи. В случае коммутируемого соединения, отвечая на запрос, сервер удаленного доступа должен обращаться к имеющейся учетной базе данных, обеспечивать централизованную аутентификацию, контроль доступа, предоставлять надежные средства наблюдения за учетными записями пользователей и средства аудита.

В лаборатории Сиракузского университета мы исследовали несколько технологий аутентификации удаленных узлов, в том числе серверы удаленного доступа фирм Ascend Communications, Bay Networks, Shiva и 3Com и программные серверы Remote Access Server (RAS) фирмы Microsoft для Windows NT 4.0 и NetWare Connect 2.0 фирмы Novell. На наш взгляд, несмотря на наличие развитых средств обеспечения аутентификации для служб ЛВС, все эти продукты не обладают достаточной гибкостью для работы в сети масштаба предприятия, а необходимая в таких случаях поддержка со стороны производителей оставляет желать лучшего.

Обращение к регистрационным БД

Все проверенные нами продукты, как минимум, обеспечивают аутентификацию местных пользователей, но не решают эту проблему в масштабе всего предприятия. При отсутствии централизованных средств аутентификации и контроля невозможно управлять сколько-нибудь большим числом коммутируемых соединений. Исправить положение можно создав централизованную систему аутентификации и используя протокол, который позволит серверу удаленного доступа общаться с этой системой.

Протестированные нами серверы удаленного доступа поддерживают четыре протокола аутентификации: с использованием NetWare Bindery фирмы Novell или Windows NT Domain фирмы Microsoft, а также служб XTACACS (Extended Terminal Access Control Access System) и RADIUS (Remote Authentication Dial-In User Service).

В идеале аутентификация пользователя при коммутируемом соединении должна осуществляться на базе имеющихся учетных записей пользователей и не зависеть от используемой ОС, будь то NetWare, Windows NT или Unix. Хотя каждая из сетевых ОС имеет соответствующую программную поддержку, в службах аутентификации Novell и Windows NT мы обнаружили серьезные недостатки. Заманчиво, конечно, рассматривать эти две ОС как решение проблемы аутентификации, однако, по нашему мнению, их функциональность весьма ограниченна по сравнению с такими полномасштабными системами аутентификации, как RADIUS и XTACACS, и, кроме того, как уже говорилось, у всех серверов удаленного доступа необходимая поддержка со стороны производителей далека от требований стандартов.

Обеспечение аутентификации в NetWare и Windows NT

Самый простой способ интегрировать в вашу сеть службу аутентификации коммутируемых соединений — "пристроить" ее на существующем сервере. Такое решение предлагают и Novell и Microsoft. Пакет RAS фирмы Microsoft входит в состав Windows NT Server 4.0 и работает как служба Windows NT. Пакет NetWare Connect фирмы Novell — это загружаемый модуль NetWare, продаваемый как дополнение к NetWare 3.12 и 4.1. И в том и в другом случае идентификация пользователей проводится по учетным записям через сетевую операционную систему, что делает конфигурацию службы аутентификации предельно простой. Настроить средства аутентификации на этих двух системах было так же просто, как инсталлировать программное обеспечение, включить модем и набрать телефонный номер.

Два других протестированных нами сервера удаленного доступа — LANRover/E Plus фирмы Shiva и AccessBuilder 4000 фирмы 3Com — также поддерживают службу аутентификации NetWare и могут посылать запросы в NetWare Bindery. Сервер фирмы 3Com, кроме того, обеспечивает поддержку службы аутентификации NT Domain (с использованием простого шлюза, установленного на сервере Windows NT). Мы обнаружили, что оба эти продукта обеспечивают безупречный доступ к существующим учетным записям тестовой ЛВС, но им недостает возможностей интеллектуального управления доступом. Например, служба просмотра Bindery фирмы Shiva требует, чтобы пользователи коммутируемых соединений были объединены в особую группу dial-in или dial-out, а в службе аутентификации для Windows NT фирмы 3Com мы вообще не нашли никаких функций управления доступом.

Все четыре продукта обеспечивают аутентификацию коммутируемых соединений в сети, основанной на ОС NetWare или Windows NT, однако плохо масштабируются. Ни один из них не предоставляет более или менее развитого способа конфигурирования сеанса, например по типу соединения — shell, SLIP или PPP, — а также не позволяет внести дополнительные усовершенствования, в частности ограничить сеансы связи определенным временем суток или классом пользователей.

Трехзвенная система аутентификации

Для поддержки крупномасштабных инфраструктур коммутируемого доступа рекомендуется использовать XTACACS, TACACS+ или RADIUS. Эти протоколы обеспечивают идентификацию, контроль доступа и управление учетными записями в рамках сети большого предприятия.

Каждый из испытанных нами продуктов по умолчанию поддерживает локальные регистрационные базы данных, а также может выполнять роль шлюза для внешней системы аутентификации. Таким образом создается трехзвенная архитектура, т. е. сначала производится аутентификация пользователя на сервере удаленного доступа, затем этот сервер запрашивает сервер аутентификации, а тот, в свою очередь, запрашивает внешнюю сетевую информационную службу, например NIS, NIS+ или Kerberos.

Самый первый протокол этого поколения TACACS был разработан фирмой BBN Planet — поставщиком услуг Интернет — и использован фирмой Cisco Systems. В данный момент это единственный протокол удаленной аутентификации, который принят IETF в качестве стандарта в RFC 927 и RFC 1492. Вначале TACACS ограничивался только проверкой имени пользователя и его пароля. Затем он был преобразован в расширенный протокол XTACACS и стал обеспечивать ограничение доступа авторизованных пользователей и ряд других дополнительных возможностей на стороне сервера. Последний протокол этого поколения — TACACS+ разработан фирмой Cisco для поддержания дополнительных мер безопасности, в частности таких, как защита сетевых коммуникаций (предотвращение перехвата паролей), улучшение контроля доступа и ведения регистрации.

Протокол RADIUS был разработан фирмой Livingston Enterprises. Он, как и TACACS+, предназначен для дополнительного усиления системы безопасности, располагает различными средствами для контроля доступа и имеет возможности проведения регистрации. В отличие от протокола TACACS+, который поддерживается только фирмой Cisco, RADIUS был передан в IETF с целью разработки на его основе всеобъемлющего стандарта для аутентификации коммутируемых соединений. Фирма Livingston предоставила исходный код RADIUS другим производителям, включая фирму Ascend, что обеспечило его широкую поддержку на рынке средств удаленного доступа.

Проверка на прочность

Мы испытали серверы RADIUS и XTACACS на компьютерах SPARCstation 2 и SPARCstation 10 фирмы Sun Microsystems с операционной системой Solaris 2.5. В качестве демона XTACACS мы выбрали xtacacsd 4.0 — сервер, разработанный на базе кода фирмы Cisco и доступный по адресу ftp://ftp.navya.com/pub/vikas. Что же касается протокола RADIUS, то для поддержки MAX 1800 мы выбрали RADIUS-сервер фирмы Ascend. Использовать собственный XTACACS-сервер фирмы Cisco не удалось, так как он не поддерживает ОС Solaris 2.5. Фирма Cisco не предоставила для тестирования ни своего сервера удаленного доступа, ни ПО CiscoSecure, и мы нигде не нашли средств поддержки протокола TACACS+.

Аутентификация — это служебная операция нижнего уровня, поэтому для ее осуществления не требуется больших аппаратных мощностей. Сеть нашего университета, например, поддерживает более 20 000 пользователей и более 200 коммутируемых соединений на одном компьютере Sun SPARCstation, а для доступа к регистрационной базе данных NIS мы используем протокол XTACACS. Оба сервера — и xtacacsd и RADIUS фирмы Ascend — было немного сложно компилировать, устанавливать и конфигурировать, но после их запуска служба аутентификации работала безупречно. Для проверки трехзвенной модели аутентификации мы направляли все запросы на аутентификацию к регистрационной базе данных Unix.

Протоколы XTACACS и RADIUS обеспечивают доступ к NIS в одном и том же формате. Кроме того, при передаче оба эти протокола используют шифрование имен пользователей и их паролей.

И наконец, отличительной чертой трехзвенной модели аутентификации, которая показалась нам весьма полезной, является возможность использовать shell-сценарии для обеспечения дополнительной защиты. И XTACACS и RADIUS позволят вам исходя из вашей модели защиты безопасности создавать различные привилегии доступа, так как оба они имеют развитые логико-информационные возможности.

Наше тестирование показало, что пакеты LANRover/E Plus фирмы Shiva и MAX 1800 фирмы Ascend обеспечивают безупречную поддержку протоколов XTACACS и RADIUS. Поскольку эти протоколы в значительной степени являются аппаратно-независимыми, то при осуществлении аутентификации процедура коммутируемого соединения BRI ISDN фирмы Ascend, как и следовало ожидать, не вызвала никаких дополнительных осложнений.

В качестве примера поддержки XTACACS мы использовали стандартный сценарий и для аутентификации через сервер доступа XTACACS установили ПО LANRover/E Plus фирмы Shiva. Нас приятно удивила простота инсталляции и соединения этих двух компонентов. После конфигурации XTACACS-сервера надо было только указать его IP-адрес для LANRover/E Plus — и дело пошло. Все это произвело столь сильное впечатление, что мы решили преобразовать нашу собственную систему аутентификации в соответствии с моделью XTACACS-Shiva. Преимущество, которое дает переход к XTACACS, заключается в следующем: появляется возможность управлять учетными записями в рамках одной базы данных Unix. В качестве протокола аутентификации LANRover/E Plus версии 4.0 также поддерживает RADIUS.

Поддержка RADIUS хорошо представлена и в сервере удаленного доступа МАХ 1800 фирмы Аscend. Хотя контроль пользовательских имен и паролей в этом продукте осуществляется посредством стандартных запросов ТАСАСS, посылаемых на XTACACS-сервер, RADIUS предлагает еще более мощную систему контроля доступа и регистрации. В случае успешной аутентификации при использовании RADIUS доступная конфигурационная информация будет гораздо полнее. Например, с помощью RADIUS вы можете определить, что разрешено данному соединению: доступ по протоколу канального уровня типа SLIP или PPP либо по протоколу прикладного уровня telnet. Возможно также получение другой конфигурационной информации, в частности IP-адреса и маски подсети.

RADIUS — открытый стандарт, поэтому в нем содержатся большие возможности для конфигурации самых разнообразных систем и устройств. Подобно простому протоколу управления сетью SNMP, который использует базы управляющей информации (MIB), RADIUS использует словари, в которых содержится конфигурационная информация производителя. Так, RADIUS-сервер фирмы Ascend имеет свой собственный словарь поддержки расширенных функций наподобие Multilink PPP для одновременного использования обоих "В"-каналов интерфейса базового уровня BRI для ISDN. Каждый RADIUS-словарь — это отдельный модуль, и с его помощью один RADIUS-сервер способен обслужить множество устройств.

Серверы RADIUS можно приобрести у разных производителей, например у фирм Livingston и Ascend или у третьих фирм, в частности у CryptoCard, которая предлагает сервер RADIUS на базе Windows NT — в нем используется ODBC-совместимая база данных для хранения учетной информации. Имеется также RADIUS-сервер фирмы Merit, поддерживающий протокол Kerberos; этот сервер обеспечивает аутентификацию коммутируемых соединений посредством кроссплатформенных систем аутентификации масштаба предприятия.

Если обеспечение контроля доступа не является для вас приоритетной задачей, вы можете обойтись простыми решениями вроде RAS для Windows NT, NetWare Connect или сервера удаленного доступа, который обеспечит аутентификацию в соответствии с регистрационными базами данных вашей сетевой ОС. Для более тщательного контроля доступа вам потребуется трехзвенная система аутентификации, использующая протоколы TACACS или RADIUS


распечатать статью

Лучшее что есть. Здесь можно купить уличную ель с доставкой. Советую!




  
5 '1997
СОДЕРЖАНИЕ

колонка редактора

• Помидоры АТМ наконец созрели

локальные сети

• Сегментирующие концентраторы повышают производительность сети

• Как подружить Unix с Wintel

• "Переезжаем" в IntranetWare

• Кадры решают все

• С чего начинается кабель?

корпоративные сети

• Коммутаторы третьего уровня для корпоративных интрасетей

• Новое поколение корпоративных сетей нуждается в АТМ

• Серверы удаленного доступа на основе устройств PC Card

• Альтернативы протоколу RIP в больших сетях

• Технология Tag Switching: коммутаторы и маршрутизаторы в одной "упряжке"

услуги сетей связи

• Frame Relay "шагает" по России

• Терминальные устройства учрежденческой связи

• Время ISDN пришло

• Услуги ISDN по любым каналам

• О технологиях измерений на сетях SDH

• Анализаторы протоколов для территориальных сетей

интернет и интрасети

• Создание корпоративных систем электронной почты

• Средства поддержки коллективных работ в интрасетях

• Групповая адресация в IP-сетях

• Выбираем платформу для сервера Интернет

защита данных

• Обеспечение безопасности посредством удаленной аутентификации

новые продукты

• Novell адаптируется к экспансии Windows NT, Восьмиканальный цифровой уплотнитель для абонентских линий, Хост-адаптер DIVA Pro 2.0: универсальность и простота настройки, Самый мощный коммутатор АТМ, Первый сотовый телефон с цветным дисплеем



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх