контроль удаленного доступа

Для регулированием удаленными подключениями маленькой локальной сети впринципи достаточно одного сервера удаленного доступа.Нужно учитывать спецификация физической среды Ethernet и token ring. Но, если локальная сеть соединяет несколько сегментов и число удаленных сотрудников увеличивается, то нужно уже несколько серверов. Удаленные доступа к серверам локальной сети создают угрозы информационной безопасности.

Для использования в одной сети несколько серверов удаленного доступа нужно централизованный контроль к ресурсам сети. Также нужно учитывать правила межсетевого экрана.

Когда сотрудник соединяется с серверов удаленного доступа, то RAS исполняет процедуру аутентификации по протоколу к примеру CHAP. Сотрудник входит в сеть логически и соединяется к нужному серверу, где опять должен пройти авторизацию и аутентификацию. При наличия ошибок передачи данных, нужно использовать методы обнаружения ошибок.

Несложно увидеть, что принцип такой схемы неудобен сотруднику, так как ему нужно при каждом обращении к серверу проходить аутентификацию. Сотрудник должен запоминать несколько паролей.
Возникает также проблемы с администрированием такой локальной сети.Админу также нужно знать функции концентраторов и функции сетевого адаптера. Сильно усложняет аудит безопасности. Нужно также учитывать ограничения политики безопасности.

Выделенные сложности и недостатки устраняются при установке в локальной сети централизованной службы авторизации и аутентификации. Для этой службы выделяют отдельный сервер. Обычно его называют сервером аутентификации. Этот сервер исполняет функции проверки удаленных сотрудников, анализируя их полномочия,а так же журнализирует все действия с ресурсами локальной сети. Также в локальной сети логично проводить алгоритм покрывающего дерева.

Однако во многих случаях, сервера удаленного доступа нуждаются в посреднике для работы с центральной базой данных системы защиты. Множество сетевых ОС и служб сохраняют эталонные пароли сотрудников с использованием хеширования, что серверам удаленного доступа не позволяет реализовать протоколы PAP и CHAP.

Роль посредника между центральной базой данных и серверов уделенного доступа может быть сервер аутентификации. Этот сервер выполняет специальные протоколы которые разрешают соединить сервер удаленного доступа и сервер аутентификации в одну систему. К самым популярным протоколам централизованого надсмотра доступа к локальной сети удаленных сотрудников есть протоколы TACACS и RADIUS. Эти протоколы предназначены для организации передачи информации в локальной сети где находятся несколько серверов удаленного доступа. В этих сетях администратор может управлять базой паролей, индентификаторов, данными сотрудников и назначать им права учета. Эти протоколы требуют использования отдельного сервера аутентификации который будет взаимодействовать со службами NDS, Microsoft NT Directory Service. Также эти протоколы могу служить только посредниками внешних серверов аутентификации. Также для удаленного доступа можно использовать неземные средства связи, к примеру спутниковые системы.

Посмотрим особенные характеристики централизованного контроля на примере TACACS, схема показано на рис.1.

Рисунок 1

Система TACACS работает на архитектуре клиент/сервер. На сервере создается центральная база данных об удаленных сотрудников (пароли,логины, права и тд). Клиентами сервера есть серверы удаленного доступа, которые принимают запросы на доступ к сетевым ресурсам. При этом на серверах должно стоять ПО который реализует этот протокол. Сервер TACACS должен ответить на каждый запрос по стандартной схеме. Нужно учитывать характеристики проводных линий связи и полосы пропускания и пропускную способность сети. Есть следующие типы соединений:

AUTH — реализована только аутентификация;
SLIP — реализована ауетентификация, подтверждается IP сотрудника и записывается логическое соединение;
LOGIN — так же как в SLIP только не потверждается IP сотрудника.

Сервер TACACS может делать авторизацию и аутентификацию удаленных сотрудников нескольким способами:

с помощью механизма который встроен в сервер;
путем перенаправления запросов другим серверам аутентификации, к примеру Kerberos.
с помощью одноразовых паролей;
централизованных систем: NIS, NetWare и тд.

Основной недостаток протокола, это передача открытого пароля по сети(сети PDH или сети dwdm), но обновленный протокол TACACS+ компанией Cisco устранил эту проблему. Новый протокол шифрует пароль с помощью MD5, что частично решает проблемы защиты информации в сетях.

Система RADIUS почти идентична системе TACACS. Отличия заключаются в бесплатном ПО и меньшей сложности в реализации. Также использование протоколов имеет разницу, TACACS — tcp, RADIUS — udp. Нужно также учитывать особенности коммутации каналов и пакетов.

Смотрите также: