 |
Secure Shell как средство замены уязвимых сервисов TCP/IP 10 глава
|
|
|
|
2) Strobe (Super Optimized TCP Port Surveyor) – сканирует все открытые на ПК в данное время TCP-порты;
3) Jakal – сканер-"невидимка" для доменов;
4) IdentTCPscan – определяет владельца соединения с TCP-портом;
5) CONNECT - представляет собой скрипт bin/sh и сканирует подсети на наличие TFTP-серверов;
6) FSPScan – сканирует File Service Protocol – серверы;
7) XSCAN – сканирует "дыры" в Х-сервере.
6.3.2. Средства мониторинга сетевой безопасности
Мониторинг сетевой безопасности играет ключевую роль в общей стратегии компании, связанной с защитой информации [105], но он может отнимать у администратора слишком много времени. Вот почему так важно работать со специальными средствами, автоматизирующими этот процесс и способными не только самостоятельно следить за событиями в сети, но и предупреждать администратора о всевозможных угрозах. Лучшие продукты данной категории отличаются тем, что они не просто записывают информацию, но и могут анализировать ее. К таким продуктам относятся приложения-антивирусы, средства идентификации пользователей и программы, позволяющие обнаруживать попытки внедрения в корпоративные сети извне. Таким образом, средства мониторинга сетевой безопасности – это динамические средства, самостоятельно следящие за событиями в сети и фиксирующие аномалии в работе, предупреждающие администратора об угрозах, анализирующие полученную информацию и восстанавливающие разрушенные данные.
Программы-аудиторы следят за сетевым трафиком и могут выявлять характерные особенности работы сети, а также различные отклонения. Но тогда в результате излишней персонализации управляющих функций возникает новое уязвимое место - администратор может умышленно или по неосмотрительности оставить прорехи в системе безопасности, отключив средства генерации предупреждающих сигналов и сообщений. На этот случай имеются специальные программы, рассчитанные на проведение "аудита аудиторов" (контроль за работой программных средств и сотрудников, проверяющих функционирование интрасети) и уведомляющие высшее руководство компании обо всех случаях снятия защиты с сети администратором. В некоторых продуктах возможности изменения администратором полномочий пользователей лимитированы, тогда как его собственные права на доступ к прочей служебной информации не ограничены.
|
|
|
Обобщенная схема средств мониторинга сетевой безопасности представлена на рис.25.
Рис.25. Обобщенная схема средств мониторинга сетевой безопасности (агенты устанавливаются на все аппаратное и программное обеспечение в интрасети, МЭ и т.п.)
Упомянутые выше системы относятся к классу средств обнаружения вторжений (Intrusion Detection Tools), предназначенных для обнаружения попыток НСД в сеть извне и изнутри. Подобные системы устанавливаются на компьютерах, размещенных в стратегически важных контрольных точках сети, например, у канала маршрутизатора, ведущего в Internet, или перед интрасетью, содержащей ключевые корпоративные данные. Система ведет непрерывный мониторинг работы сети и анализирует такие параметры, как характеристики сетевого трафика, показатели использования центрального процессора и подсистемы ввода/вывода, динамики файловых операций, стремясь найти в этих параметрах признаки нарушения средств защиты.
Среди методов, используемых в таких системах, выделяют три основные группы:
1) алгоритмы выявления статистических аномалий,
2) алгоритмы обнаружения с использованием базы правил;
3) смешанные алгоритмы.
Первая группа алгоритмов выявляет нарушения системы защиты путем анализа журналов мониторинга, отыскивая в них следы поведения системы или пользователя, которое отклоняется от некоторого шаблона. Составляются профили нормального режима работы и строятся модели событий, соответствующие типичным операциям. Любое отклонение помечается как подозрительная ситуация. Достоинствами данного метода является адаптивность к поведению пользователей и операционной среды, и то, что не обязательно знать заранее обо всех дефектах службы защиты сети. Но скрупулезная обработка данных мониторинга чрезмерно загружает системные ресурсы и поэтому отрицательно сказывается на общесистемной производительности. Неправильное составление профилей может вызвать ложные тревоги. Сами профили, особенно в динамических системах, нуждаются в обновлении. И, наконец, сложно установить порог отклонения актуального поведения от действующего профиля.
|
|
|
В системах обнаружения, основанных на своде правил, -используются составленные в организации модели изменений системного состояния высокого уровня (событий мониторинга), которые имеют место во время атаки. Такие модели и образуют базу правил, которую постоянно нужно обновлять. Примером этого типа систем является описанный выше пакет RealSecure компании ISS.
В гибридных системах с помощью базы правил можно выявлять известные варианты атак, а с помощью алгоритма статистических аномалий - атаки новых видов. Пример гибридной системы -это Computer Misuse Detection System (CMDS) корпорации Science Application International Corporation (SAIC). Ее назначение - отслеживать случаи неадекватного использования компьютеров. Ведется мониторинг МЭ, ядра Unix, СУБД и любых приложений, способных формировать контрольные данные.
Большая часть современных антивирусных пакетов построена по принципу сканирования со сквозной обработкой сети: они ищут и локализуют подозрительные фрагменты данных и запрещают несанкционированным пользователям доступ к "очагам заражения". Сейчас наблюдается рост числа программ, выполненных в виде загружаемых модулей NetWare (NLM) и призванных охранять интрасети от массового заражения. Правда, сетевые версии антивирусов в большинстве своем защищают файл-серверы, а не рабочие станции. Отсюда - необходимость объединить два комплементарных решения, чтобы получить антивирусное ПО, функционирующее как на сервере (NetShield), так и на станциях-клиентах (VirusScan).
|
|
|
Дополнительную проблему представляют удаленные пользователи. Их идентификация и локализация оказались весьма сложными задачами. Администратор без труда может получить данные о собственных пользователях, но в отношении "непрошенных гостей" аналогичная информация недоступна. Одного лишь анализа входного трафика для определения типа пользователя явно недостаточно. Но здесь можно использовать МЭ в сочетании со средствами мониторинга сетевого трафика. Для этих целей применяются коммерческие программы защиты, которые фиксируют любую сетевую активность на входе в частные сети. Есть и продукты, способные фильтровать поток входной информации из Internet в корпоративные сети.
Некоторые продукты, например AuditTrack, сообщают администратору сети обо всех попытках удаленных пользователей проникнуть в защищенные каталоги.
Примерами систем мониторинга являются следующие четыре пакета [106]. Пакеты LT Auditor+ компании Blue Lance и AuditTrack компании e.g. Software являются программами текущего контроля за событиями в среде NetWare. Они отслеживают события, позволяют отфильтровывать самые серьезные из них и генерируют отчеты на основе журнала регистрации событий. Эти пакеты просто предоставляют данные, на основе которых можно определить, что произошло, и прийти к каким-либо выводам.
Пакет LT Auditor+ предназначен для защиты от НСД и от воровства интеллектуальной собственности. Он гарантирует секретность данных, ведет контроль за привилегиями пользователей и использованием приложений. LT Auditor+ состоит из нескольких настраиваемых фильтров – для регистрации входа, файлов, сервера, NDS (службы директорий) и Bindery. Этот пакет отличает возможность централизованной установки, конфигурирования и выдачи сообщений на одну консоль. LT Auditor+ хорошо масштабируется и производит оповещение в реальном масштабе времени. Данный пакет имеет удобный оконный интерфейс пользователя.
Пакет AuditTrack сообщает администратору обо всех попытках проникнуть в защищенные каталоги или подозрительной работе с файлами, а также проверяет регистрацию и права доступа аудитора. Продукт Каnе Security Analyst (KSA) компании Intrusion Detection сопоставляет события и имеющие отношение к безопасности показатели с набором наилучших из когда-либо достигнутых на практике показателей функционирования сети и формирует отчетный лист с анализом состояния сети по внешним и внутренним атакам для ОС Netware и Windows NT. Оценка безопасности ведется по шести критическим к безопасности пунктам: ограничения бюджета пользователей: устойчивость пароля; контроль доступа; мониторинг системы; целостность данных; конфиденциальность данных. Предотвращаемые этим пакетом угрозы – это легко предполагаемые пароли; исчезновение пакета; эффективные полномочия; неактивный пользовательский идентификатор и др.
|
|
|
Пакет BindView Enterprise Management System (EMS) компании BindView Development предоставляет наиболее полный среди этих продуктов набор отчетов и видов анализа по системе защиты, обладая при этом наилучшим интерфейсом управления. Он позволяет управлять серверами NetWare 3.X, 4.Х и Windows NT с одной консоли. BindView EMS способен гораздо на большее, нежели просто проверка защиты.
К средствам мониторинга сетевой безопасности также относятся сетевой монитор безопасности IP Alert-1 для контроля за безопасностью сегмента сети Internet, осуществляющий контроль за адресами, использованием удаленного ARP- и DNS-поиска, ICMP-соединениями и т.д., а также семейство продуктов Servicewatch фирмы Del Mar Solutions (www.delmarsol.com).
Использование различных экспертных систем [107], функционирующих на основе применения методов искусственного интеллекта к решению прикладных задач защиты. Они помогают системному программисту осуществлять свои функции и быстро принимать решения, выявлять узкие места интрасети, выдавая конкретные рекомендации при возникновении той или иной угрозы взлома.
Вопросы для самоконтроля по разделу 6
1. Какие типы атак реализуются на уровне сетевого программного обеспечения?
2. Как обеспечить закрытость каналов связи интрасетей?
3. Что такое межсетевые экраны? Каково их основное назначение? Какие основные функции выполняет межсетевой экран?
4. Что такое машина-бастион? Какие требования к ее защите предъявляются?
5. Для чего нужны серверы-посредники?
6. Расскажите о программных и аппаратных межсетевых экранах.
7. Какие основные недостатки МЭ вам известны?
8. Какие требования предъявляются к программным МЭ в условиях российского рынка?
9. Какие основные вопросы рассмотрены в Руководящем документе Гостехкомиссии Росси по МЭ?
10. Какие выделяют типы МЭ? Рассмотрите их основные функции, достоинства и недостатки.
|
|
|
11. Что такое виртуальные корпоративные сети? На основе каких подходов их можно строить?
12. Какие схемы подключения МЭ используются в настоящее время?
13. Что такое демилитаризованная зона?
14. Расскажите об основных компонентах МЭ.
15. Кто проводит сертификацию МЭ в России и за рубежом?
16. Какие рекомендации дают специалисты при выборе МЭ?
17. Для чего в Internet применяется шифрование? Какие системы и средства при этом используются?
18. Какие протоколы Internet со встроенными возможностями шифрования вам известны?
19. Для чего предназначена криптокарта Fortezza?
20. Какие вспомогательные средства защиты и мониторинга каналов связи существуют? Какие существуют сканеры? Какова структура средств мониторинга сетевой безопасности? Приведите примеры таких систем.
7. АУТЕНТИФИКАЦИЯ В INTERNET
7.1. Улучшение паролей
Очень важно правильно выбрать свой пароль, и почти в каждой ОС имеются утилиты, помогающие пользователю в выборе безопасного пароля. Некоторые из них выполняются вместо обычной системной программы проверки пароля, другие же работают автономно и анализируют выбранный пароль с помощью набора правил, которые определяют, насколько безопасно его использовать. Но и те, и другие решают задачу помощи пользователям в выборе хорошего пароля.
Рассмотрим некоторые принципы выбора пароля. Обычно пароль нельзя выбирать из следующего списка слов: имя пользователя, слово, которое может быть найдено в словаре какого-либо языка, слово короче б символов; любая информация о самом пользователе (или его родственниках) и слова, полученные перестановкой букв его имени; какое-либо слово с добавленными в конец числами или знаками препинания. Пароли должны быть настолько произвольны и бессмысленны, насколько это возможно, но вместе с тем достаточно просты для запоминания без необходимости записывать.
И еще несколько полезных замечаний. Пароль должен выбираться на оговоренный в системе срок и периодически меняться. Доступ к файлу паролей должен быть ограничен. Число неудачных попыток входа в систему также должно быть заранее определено, что затруднит применение метода "грубой силы".
7.2. Одноразовые пароли
Динамический механизм задания пароля - один из наилучших способов защититься от угроз извне. Статичные пароли генерируются пользователем и, следовательно, потенциально уязвимы. Они передаются по сети открытым текстом и поэтому могут быть перехвачены. И, наконец, они неоднократно используются. Одноразовый динамический пароль действителен только для одного входа в систему, и затем его действие истекает. Даже если кто-то перехватил его, пароль окажется бесполезен. В основе идентификации пользователя лежит процедура типа "запрос-ответ".
Иначе этот метод, например, для удаленного доступа по телефонным линиям, называется двухфакторной системой идентификации [100], здесь применяется пароль или персональный идентификационный номер (personal identification number - PIN) и персональное устройство идентификации пользователя, именуемое также аппаратным ключом.
Существует два вида аппаратных ключей для удаленного доступа по телефонной сети: ручные устройства и модули, включаемые между модемом удаленной станции и телефонной розеткой. На ручных аппаратных ключах обычно имеется цифровая клавиатура и экран для считывания информации. Аппаратные ключи по виду напоминают утолщенную кредитную карточку. Такое устройство представляет собой интеллектуальную карточку. Любой аппаратный ключ предполагает наличие в сети главного (master) устройства идентификации, работающего в паре с этим аппаратным ключом. Главное устройство, включаемое обычно перед модемом или устройством удаленного доступа, выполняет функции контроля за удаленным доступом. Некоторые из имеющихся на рынке систем защиты представляют собой комбинацию устройств удаленного доступа и двухфакторной идентификации.
Реализация динамического одноразового пароля может быть выполнена как аппаратными, так и программными средствами.
Аппаратные средства. Устройства типа платы SecurlD (интеллектуальной карты) фирмы Security Dynamics Technologies или подобные устройства фирм Digital Pathways или Enigma Logic обеспечивают хосту очень высокий уровень защиты. Пользователю выдается устройство размером с кредитную карточку, которое высвечивает на табло ряд чисел. С течением времени эти числа меняются. Если пользователь хочет зарегистрироваться на компьютере, использующем подобное устройство, определенным образом синхронизированное с компьютером, он вводит свой идентификатор и информацию, отображенную на табло в этот момент (так называемую "лексему" [108]). Так как устройство будет изменять числа с течением времени, тот же самый пароль не будет использоваться дважды. А поскольку пользователь должен ввести еще и свой идентификатор, то даже если кто-то заполучит его устройство, он, вероятно, не будет знать cooтветствующий идентификатор пользователя.
Система SecuriD реализует уникальный механизм определения ключа сеанса. Каждую минуту личная карточка выдает новый пароль, а сервер аутентификации использует текущее время для проверки правильности ввода. Такое решение - наилучшее с точки зрения пользователя, так как вход в систему занимает всего 10 с, и при этом для обращения к специальному устройству не надо снимать руки с клавиатуры.
Устройство SecuriD использует стартовое значение личных карточек, "зашитое" при изготовлении. Это упрощает программирование карточек, а также скрывает пароли от недобросовестного администратора, который может ими воспользоваться. Тем не менее некоторые организации, вероятно, пожелают, чтобы стартовые значения карточек были в их распоряжении. Но поскольку из-за неточности электронных часов, используемых в компьютерах, время на сервере и клиентском ПК различается, то существует временное окно протяженностью от 3 до 5 мин, в течение которых система остается открытой для несанкционированного входа с помощью воспроизведения процесса аутентификации. Это самое уязвимое место аутентификации с привязкой по времени.
В некоторых других аппаратных средствах для генерации паролей может использоваться специальная карточка, которая подключается к определенному слоту компьютера. Таким образом достигается синхронизация пароля на карточке и в компьютере.
Также широко известно и другое аппаратное устройство – CryptoCard (Arnold Consulting, Inc.).
Программные средства. В Internet существует программное обеспечение, позволяющее достичь такого же уровня защиты, что и аппаратные средства динамического задания пароля. Бесплатная программа S/Key для ОС Unix (это стандарт де-факто, описанный в RFC 1760; ее можно получить в архиве FTP по адресу ftp://tbumper.bellcore/com/pub/nmb/skey) включает модифицированные версии таких утилит, как Telnet и FTP, которые используют для аутентификации специальную базу данных, а не файл паролей, как обычно. Когда пользователь пытается войти в систему, ему выдается некоторая сгенерированная строка символов. Далее пользователь имеет дело с локально установленной программой-клиентом, в которую он должен ввести эту строку символов. Этот клиент генерирует ответ, который пользователь затем вводит в качестве пароля. Если пароль подходит, пользователь получает доступ к системе. Если же нет, соединение будет разорвано.
В процессе аутентификации с использованием S/Key участвуют две стороны - клиент и сервер. Для описания принципа действия этой схемы применяются следующие понятия:
• зерно - слово из двух букв и пяти цифр (без разделителей);
• секретный пароль - фраза, состоящая более чем из восьми символов и служащая для генерации одноразового пароля;
• одноразовый пароль - фраза, состоящая из шести слов длиной от одного до четырех символов; составляющие фразу слова берутся из библиотеки размером 2048 слов;
• счетчик итераций - число, участвующее в образовании одноразового пароля; при каждой новой итерации число уменьшается на единицу.
Первым этапом является регистрация пользователя на сервере, в результате которой пользователь получает зерно, текущее значение счетчика итераций (максимальное значение из выбранного диапазона) и секретный пароль. Всего этого достаточно для начала работы. При регистрации в системе, использующей схему аутентификации S/Key, сервер присылает на клиентское ПК приглашение, содержащее зерно, передаваемое по сети в открытом виде, текущее значение счетчика итераций и запрос на ввод одноразового пароля, который должен соответствовать текущему значению счетчика итераций. Получив ответ, сервер проверяет его и передает управление серверу требуемого пользователем сервиса.
Соответствующий одноразовый пароль может быть получен разными способами. Во-первых, при помощи программы генерации паролей - введя зерно, диапазон изменения счетчика итераций и секретного пароля, можно получить список одноразовых паролей и распечатать их. Во-вторых, на большинстве платформ реализованы программы, которые при вводе тех же параметров генерируют соответствующий одноразовый пароль и позволяют легко скопировать его в окно с приглашением для ввода одноразового пароля. При достижении счетчиком итераций значения "1" необходима новая инициализация на сервере.
Можно упомянуть и еще два программных средства – АгКеу и OneTime Pass (фирма Management Analytics). ArKey работает без аппаратных средств и сопоставляет пользователей и системы. Эта программа поставляется с быстрым испытателем пароля и генератором паролей. Программа OneTime Pass также вырабатывает одноразовые пароли без криптографии и аппаратных средств. В ее основу положен принцип затирания используемого пароля из списка пригодных к использованию кодов.
Примером совместного использования программных и аппаратных средств для защиты доступа к интрасети [109] является гибридная система X.Safe [110]. Это карточка и пакет прикладных программ фирмы Racal-Airtech Ltd., с помощью которых удаленные пользователи могут получать безопасный доступ к интрасети. Безопасность обеспечивается Watchword II - парольной картой с цифровым кодом и жидкокристаллическим (LCD) дисплеем, который имеет каждый авторизированный пользователь.
7.3. Серверы аутентификации
Сейчас создается рынок серверов защиты данных от НСД [111, 112], выполняющих аутентификацию по паролю и авторизацию и обеспечивающих единственную точку входа в систему. Несмотря на то, что такие службы защиты, как аутентификация по паролю, сегодня все еще обеспечиваются коммуникационными серверами, существует тенденция к вынесению этих служб в отдельные системы. Стандарт ОСЕ требует выполнения аутентификации на выделенном сервере – по мере увеличения этой БД целесообразно размещать ее на выделенном сервере.
Для сервера аутентификации по паролю обычно требуется аппаратная платформа из числа ПК с высоким быстродействием и большими емкостями ОЗУ и жесткого диска или рабочих станций. Например, для сервера NetSP Secured Logon Coordinator версии 1.2 фирмы IBM необходимы RS/6000 с ОЗУ емкостью 32 Мбайт и жесткий диск емкостью не менее 1 Гбайт.
Хотя требования к различным типам серверов защиты значительно варьируются, одно общее для них требование сохраняется неизменным - это наличие шины, которую нельзя взломать физически, т.е. вскрыть или перезагрузить. Если можно добраться до системной консоли, то угроза нависает над всей сетью.
Организация удаленного доступа для пользователей сети – это разумный компромисс между возможностью удаленного доступа к корпоративным данным и обеспечением их безопасности. При этом для доступа по коммутируемой линии пользователям вовсе не надо запоминать дополнительные учетные имена и пароли. Серверы удаленного доступа выполняют аутентификацию пользователей, обращаясь к дереву NDS, доменной службе Windows NT или службе NIS. Такие системы доступа по коммутируемым линиям должны одновременно поддерживать несколько средств аутентификации на серверной стороне. И, наконец, для обеспечения внутрикорпоративных расчетов требуется тщательное ведение всех учетных записей, что, в свою очередь, означает необходимость эффективной поддержки централизованной учетной БД.
Продукты удаленного доступа основаны на службах RADIUS (Remote Access Dial-In User Service) и TACACS+ (Terminal Access Controller Access Control System Plus).
Использование протоколов аутентификации коммутируемых соединений, подобных RADIUS и FACACS+ и предназначенных для связи серверов удаленного доступа с внутренней сетевой инфраструктурой, позволяет снизить накладные расходы на управление корпоративными службами удаленного доступа. Хотя по своим функциональным возможностям оба протокола практически эквивалентны, почти все серверы удаленного доступа поддерживают RADIUS, принятый в качестве стандарта группой IETF, что делает его надежным и стратегически правильным выбором. Однако выбор сервера аутентификации не менее важен, чем выбор протокола. Если масштабируемость и гибкость для вас являются критически важными параметрами, мы настоятельно рекомендуем приобрести продукт, поддерживающий аутентификацию на основе сервера-посредника RADIUS, учетную БД и правила контроля доступа на серверной стороне.
При выборе протокола аутентификации коммутируемых соединений нужно обращать основное внимание на его четыре качества: поддержку сервера удаленного доступа, доступность требуемых служб аутентификации, наличие функции авторизации и системы учета доступа.
RADIUS и TACACS+ – это значительный шаг вперед по сравнению с более старыми протоколами TACACS и XTACACS. При аутентификации в них используются симметричные ключи шифрования паролей для передачи последних между серверами удаленного доступа и аутентификации (RADIUS шифрует только пароль, a TACACS+ – весь пакет в целом). Для дополнительной безопасности оба протокола поддерживают еще и протокол аутентификации по квитированию вызова CHAP (Challenge Handshake Authentication Protocol), препятствующий прохождению паролей по всей линии связи.
Однако эта модель не годится для аутентификации с использованием дерева NDS или доменной службы Windows NT. Для проверки ответа на вызов сервера, поступившего от проходящего аутентификацию пользователя, протокол CHAP применяет незашифрованную копию пароля в простой текстовой форме. К сожалению, большинство сетевых ОС и служб справочника сохраняют пароли пользователей с односторонним хэш-кодированием, что не позволяет серверам RADIUS и TACACS+ извлечь подлинный пароль для проверки ответа. При использовании стандартного регистрационного интерфейса службы сетевого доступа или протокола PAP (Password Access Protocol) пароль вводится в незашифрованном текстовом виде и проверяется на серверной стороне.
Аутентификация. В зависимости от специфики сети можно использовать простую аутентификацию по имени и паролю пользователя, но, возможно, потребуются и одноразовые пароли и жетоны типа SecurlD. В любом случае, протокол аутентификации коммутируемых соединений позволяет объединить несколько серверов сетевого доступа в единую безопасную систему аутентификации. RADIUS и TACACS+ могут функционировать как службы аутентификации, используя центральную БД учетных записей, или служить посредниками для внешних систем аутентификации. С этими протоколами сервер удаленного доступа может аутентифицировать пользователей либо на основании информации, полученной от корпоративных служб NDS, Windows NT Domain и NIS, либо с помощью разработанных независимыми фирмами систем безопасности, подобных системе Defender фирмы AXENT Technologies или ACE/Server фирмы Security Dynamics.
Даже при наличии одного-единственного сервера удаленного доступа, целесообразно применять централизованную систему аутентификации. Сервер сетевого доступа может запрашивать информацию, необходимую для системы аутентификации второго звена, непосредственно у сервера IntranetWare или Windows NT. Малые и средние по размерам центры удаленного доступа, где установлено несколько серверов доступа, могут использовать RADIUS или TACACS+ для поддержки служб аутентификации третьего звена. И, наконец, система аутентификации на основе сервера-посредника гарантирует гибкость в управлении доступом.
Это обеспечивает преимущество, которое заключается в упрощении процесса аутентификации на стороне сервера удаленного доступа – просто-напросто для всех запросов указывается общий сервер. Использование серверов RADIUS или TACACS+ в качестве центрального узла администрирования сделает службы аутентификации модульными и не зависящими от конкретного поставщика.
Сервер-посредник при удаленном доступе. Даже, если более крупные корпоративные центры удаленного доступа поддерживают RADIUS или TACACS+, серверы удаленного доступа не могут выбирать различные серверы аутентификации для каждого пользователя. Можно сконфигурировать серверы удаленного доступа таким образом, чтобы они запрашивали несколько серверов аутентификации, однако в этом случае нельзя запросить следующий сервер, если предыдущий не ответил. В такой ситуации сервер-посредник позволяет пользователю логически определять нужный сервер аутентификации.
Сохраняя централизованную модель аутентификации в соответствии со стандартом RADIUS, серверы типа Steel-Belted Radius фирмы Funk Software и Access Manager фирмы Shiva могут служить в качестве серверов-посредников по отношению к внешним (целевым) RADIUS-серверам. По умолчанию сервер-посредник RADIUS отделяет имя пользователя от идентификатора соответствующей области аутентификации с помощью символа "@". Обращение к серверу сетевого доступа, которое сопровождается вводом типа "chuck@nds" перенаправляется RADlUS-серверу, ответственному за область "nds", где и происходит аутентификация пользователя "chuck". При успешной аутентификации на целевом сервере сервер-посредник RADIUS направляет соответствующее подтверждение серверу удаленного доступа. В дополнение к этому, центральный RADIUS-сервер сохраняет за собой право устанавливать параметры сеанса и назначать другие правила авторизации. Пользователи из области "nds", как правило, работают на базе протокола РРР с трехчасовым лимитом времени; пользователи же из области "Unix" работают в режиме текстового терминала и автоматически подключаются к хосту Unix по протоколу Telnet.
Аутентификация на основе сервера-посредника часто используется поставщиками услуг передачи данных национального или глобального масштаба. Она дает возможность серверам удаленного доступа, находящимся в любом месте, обращаться к БД, которые поддерживаются их пользователями независимо друг от друга. Однако при передаче пакетов, содержащих необходимую для аутентификации информацию, по сетям общего пользования риск нарушения безопасности возрастает. Шифрование в соответствии со стандартами RADIUS и TACACS+ основано на симметричных статических ключах, а имена пользователей, пароли и информация сервера аутентификации для удобства помещаются в один пакет.
|
|
|
