Централизованный контроль удаленного доступа

Для управления удаленными соединениями небольшой ло­кальной сети вполне достаточно одного сервера удаленного дос­тупа. Однако если локальная сеть объединяет относительно боль­шие сегменты и число удаленных пользователей существенно возрастает, то одного сервера удаленного доступа недостаточно.

При использовании в одной локальной сети нескольких сер­веров удаленного доступа требуется централизованный контроль доступа к компьютерным ресурсам.

Рассмотрим, как решается задача контроля доступа к сети удаленных пользователей в соответствии с обычной схемой, ко­гда удаленные пользователи пытаются получить доступ к сете­вым ресурсам, которые находятся под управлением нескольких разных ОС. Пользователь дозванивается до своего сервера уда­ленного доступа, и RAS выполняет для него процедуру аутенти­фикации, например по протоколу CHAP. Пользователь логиче­ски входит в сеть и обращается к нужному серверу, где снова проходит аутентификацию и авторизацию, в результате чего по­лучает или не получает разрешение на выполнение запрошенной операции.

Нетрудно заметить, что такая схема неудобна пользователю, поскольку ему приходится несколько раз выполнять аутентифи­кацию — при входе в сеть на сервере удаленного доступа, а по­том еще каждый раз при обращении к каждому ресурсному сер­веру сети. Пользователь вынужден запоминать несколько разных паролей. Кроме того, он должен знать порядок прохождения разных процедур аутентификации в разных ОС. Возникают так­же трудности с администрированием такой сети. Администратор должен заводить учетную информацию о каждом пользователе на каждом сервере. Эти разрозненные БД трудно поддерживать в корректном состоянии. При увольнении сотрудника сложно ис­ключить его из всех списков. Возникают проблемы при назначе­нии паролей, существенно затрудняется аудит.

Отмеченные трудности преодолеваются при установке в сети централизованной службы аутентификации и авторизации. Для централизованного контроля доступа выделяется отдельный сер­вер, называемый сервером аутентификации. Этот сервер служит для проверки подлинности удаленных пользователей, определения их полномочий, а также фиксации и накопления регистра­ционной информации, связанной с удаленным доступом. На­дежность защиты повышается, если сервер удаленного доступа запрашивает необходимую для аутентификации информацию непосредственно у сервера, на котором хранится общая БД сис­темы защиты компьютерной сети.

Однако в большинстве случаев серверы удаленного доступа нуждаются в посреднике для взаимодействия с центральной БД системы защиты, например со службой каталогов.

Большинство сетевых ОС и служб каталогов сохраняют эта­лонные пароли пользователей с использованием одностороннего хэширования, что не позволяет серверам удаленного доступа, стандартно реализующим протоколы РАР и CHAP, извлечь от­крытый эталонный пароль для проверки ответа.

Роль посредника во взаимодействии между серверами уда­ленного доступа и центральной БД системы защиты может быть возложена на сервер аутентификации. Централизованный кон­троль удаленного доступа к компьютерным ресурсам с помощью сервера аутентификации выполняется на основе специализиро­ванных протоколов. Эти протоколы позволяют объединять ис­пользуемые серверы удаленного доступа и сервер аутентифика­ции в одну подсистему, выполняющую все функции контроля удаленных соединений на основе взаимодействия с центральной БД системы защиты. Сервер аутентификации создает единую точку наблюдения и проверки всех удаленных пользователей и контролирует доступ к компьютерным ресурсам в соответствии с установленными правилами.

К наиболее популярным протоколам централизованного контроля доступа к сети удаленных пользователей относятся протоколы TACACS (Terminal Access Controller Access Control System) и RADIUS (Remote Authentication Dial-In User Service). Они предназначены в первую очередь для организаций, в цен­тральной сети которых используется несколько серверов удален­ного доступа. В этих системах администратор может управлять БД идентификаторов и паролей пользователей, предоставлять им привилегии доступа и вести учет обращений к системным ре­сурсам [9].

Протоколы TACACS и RADIUS требуют применения отдель­ного сервера аутентификации, который для проверки подлинно­сти пользователей и определения их полномочий может исполь­зовать не только собственную БД, но и взаимодействовать с современными службами каталогов, например с NDS (Novell Directory Services) и Microsoft Windows NT Directory Service. Сер­веры TACACS и RADIUS выступают в качестве посредников ме­жду серверами удаленного доступа, принимающими звонки от пользователей, с одной стороны, и сетевыми ресурсными серве­рами — с другой. Реализации TACACS и RADIUS могут также служить посредниками для внешних систем аутентификации.

Рассмотрим особенности централизованного контроля уда­ленного доступа на примере протокола TACACS (рис. 13.5).

Система TACACS выполнена в архитектуре клиент—сервер [32]. В компьютерной сети, включающей несколько серверов удаленного доступа, устанавливается один сервер аутентифика­ции, который называют сервером TACACS (обычно это програм­ма, работающая в среде универсальной ОС, чаще всего Unix).

На сервере TACACS формируется центральная база учетной информации об удаленных пользователях, включающая их име­на, пароли и полномочия. В полномочиях каждого пользователя задаются подсети, компьютеры и сервисы, с которыми он может работать, а также различные виды ограничений, например вре­менные ограничения. На этом сервере ведется БД аудита, в которой накапливается регистрационная информация о каждом логическом входе, продолжительности сессии, а также времени использования ресурсов сети.

Рис. 13.5. Схема централизованного контроля удаленного доступа

Клиентами сервера TACACS являются серверы удаленною доступа, принимающие запросы на доступ к ресурсам сети oт удаленных пользователей. В каждый такой сервер встроено ПО, реализующее стандартный протокол, по которому они взаимодействуют с сервером TACACS. Этот протокол также называется TACACS.

Протокол TACACS стандартизует схему взаимодействия серверов удаленного доступа с сервером TACACS на основе задания возможных типов запросов, ответов и соединений. определен и запросы, с которыми клиенты могут обращаться к серверу TACACS. Сервер на каждый запрос должен ответить соответст­вующим сообщением. Протокол задает несколько типов соединений, каждое из которых определяется как последовательность пар запрос—ответ, ориентированная на решение отдельной задачи.

Определено три типа соединений:

• AUTH — выполняется только аутентификация;

• LOGIN — выполняется аутентификация и фиксируется логическое соединение с пользователем;

• SLIP — выполняется аутентификация, фиксируется логическое соединение, подтверждается IP-адрес клиента.

С помощью соединения AUTH серверы удаленного доступа перенаправляют серверу TACACS поток запросов на логическое подключение пользователей к сети в целом. Соединение LOG IN служит для перенаправления запросов серверу TACACS на логическое подключение пользователей к отдельным компьютерам локальной сети.

При соединении AUTH сервер удаленного доступа посылает на сервер TACACS только одно сообщение — пакет AUTH, на который сервер TACACS отвечает сообщением REPLY.

Сервер TACACS на основании имеющихся у него данных проверяет пароль и возвращает ответ в виде пакета REPLY, где сообщает об успехе или неуспехе аутентификации. В соответст­вии с протоколом TACACS пароль передается между сервером удаленного доступа и сервером аутентификации в открытом виде. Поэтому протокол TACACS необходимо применять совместно с протоколом аутентификации по одноразовым паролям, например с протоколом S/Key.»

На основании полученных от сервера TACACS указаний сер­вер удаленного доступа выполняет процедуру аутентификации и разрешает или не разрешает удаленному пользователю логически войти в сеть.

Сервер TACACS может выполнять аутентификацию и авто­ризацию удаленных пользователей различными способами:

• использовать встроенный механизм аутентификации той ОС, под управлением которой работает сервер;

• использовать централизованные справочные системы ОС;

• использовать системы аутентификации, основанные на од­норазовых паролях, например систему SecurlD;

• передавать запросы другим системам аутентификации, на­пример, системе Kerberos.

Следует отметить, что недостатки протокола TACACS, свя­занные с открытой передачей пароля по сети, устранены компа­нией Cisco в версии, названной TACACS+. В соответствии с протоколом TACACS+ пароль для передачи по сети шифруется с помощью алгоритма MD5. TACACS+ предусматривает раздель­ное хранение БД аутентификационной, авторизационной и учет­ной информации, в том числе и на разных серверах. Улучшено взаимодействие с системой Kerberos.

Другой распространенной системой централизованной аутен­тификации при удаленном доступе является система RADIUS. По своим функциональным возможностям протоколы TACACS и RADIUS практически эквивалентны и являются открытыми стандартами, однако протокол RADIUS стал более популярен среди производителей систем централизованного контроля уда­ленного доступа. Это связано с тем, что основанное на нем сер­верное ПО распространяется бесплатно. Кроме того, протокол RADIUS менее сложен в реализации.

Дата добавления: 2015-04-29; Просмотров: 495; Нарушение авторских прав?; Мы поможем в написании вашей работы!