12-LABORATORIYA ISHI
AAA SERVERDA AUTENTIFIKATSIYA REJIMINI SOZLASH (RADIUS, TACACS+)
12.1. Ishdan maqsad
AAA haqida nazariy ma’lumotga ega bo’lish
CPT dasturida AAA texnologiyasidan foydalanib ximoyalangan tarmoq qurish
12.2. Nazariy qism
Tarmoq xavfsizligini ta'minlash uchun foydalanuvchilar tomonidan tarmoqning turli elementlariga kirish ustidan nazoratni ta'minlash kerak. Ushbu elementlar tarmoq qurilmalari, serverlari, kompyuterlari, dasturlari yoki hatto tarmoqning o'zi segmentlari bo'lishi mumkin. Stsenariylar har xil, ammo printsipi bir xil - autentifikatsiya, avtorizatsiya va hisobga olish (Autentifikatsiya, Avtorizatsiya, hisobga olish - AAA). Tarmoqni qurishda va ishlatishda uning qurilmalariga kimning kirish huquqi borligini qat'iy nazorat qiladi. Agar sizning tarmog'ingiz kichik bo'lsa va foydalanuvchilar soni kam bo'lsa, kirish va xavfsizlikni nazorat qilish oson va ko'pincha bitta tarmoq ma'muri buning uchun javobgardir. Ammo agar tashkilot keng ko'lamli korporativ tarmoqqa ega bo'lsa yoki u ko'plab abonentlarga ega bo'lgan aloqa operatorining tarmog'i bo'lsa, unda kimning nimaga kirish huquqiga ega ekanligini qo'lda kuzatib bo'lmaydi. Bunday holda, AAA qutqarish uchun keladi - bu foydalanuvchilarni autentifikatsiya qilish, avtorizatsiya qilish va hisobga olishni ta'minlaydigan mexanizm, ya'ni kirishni boshqarish va amalga oshirilgan harakatlarni qayd etish.
Oddiy so'zlar bilan aytganda, AAA tamoyilini quyidagicha ta'riflash mumkin: tarmoqdagi har qanday harakatni amalga oshirish uchun biz ushbu harakatni (autentifikatsiya) kim tomonidan boshlanganligini, uning ushbu harakatni (avtorizatsiyani) amalga oshirish huquqiga ega yoki yo'qligini aniqlashimiz kerak. u amalga oshirgan harakatlar jurnalga yoziladi.
Tarmoqlar uchun ikkita asosiy AAA turi mavjud:
Tarmoq qurilmalarini boshqarish. Tarmoq qurilmasi, Telnet seanslari, Secure Shell (SSH seanslari) yoki boshqa usulda kirish huquqiga ega bo'lganlarni boshqaradi.
Tarmoqqa kirish. Tarmoqqa kirish huquqini olishdan oldin foydalanuvchi yoki qurilmani aniqlash.
Zamonaviy tarmoqlarda AAA uchun ikkita asosiy echimdan foydalaniladi: Masofaviy autentifikatsiyani terish uchun foydalanuvchi xizmati (RADIUS) va Cisco-ning terminalga kirish nazorati kirish-boshqarish tizimi plyus (TACACS +) protokollari. DIAMETER deb nomlanuvchi uchinchi AAA protokoli ham mavjud, ammo u odatda faqat uyali aloqa operatorlari tomonidan qo'llaniladi. RADIUS va TACACS + ni ko'rib chiqamiz va taqqoslaymiz, bu sizning tarmog'ingiz uchun qaysi biri yaxshiroq ekanligini aniqlashga yordam beradi.
RADIUS va TACACS+ protokollari bilan tanishishdan oldin, keling, AAA mexanizmining asosiy tushunchalarini tushunaylik. Masalan, biz kirish nazorati bo'lgan xonaga qonuniy kirish jarayonidan foydalanamiz.
Autentifikatsiya (authentication) - binoga kirmoqchi bo'lgan shaxsni aniqlash. Bizning misolimizda bu barmoq izlarini skanerlash bo'lishi mumkin, chunki har bir inson o'ziga xosdir va shaxsni tasdiqlashning kafili bo'lishi mumkin. Tarmoqli dunyoda standart autentifikatsiya har bir foydalanuvchi uchun yaratilgan va uning shaxsini tasdiqlashiga imkon beruvchi login va paroldan foydalanishdan iborat.
Avtorizatsiya (authorization) - bu muvaffaqiyatli autentifikatsiyadan keyingi qadam. Bu autentifikatsiyadan o'tgan shaxsning binolariga kirish huquqlarini tekshirishdan iborat. Ehtimol, odam birinchi xonaga kirish huquqiga ega, ammo undan uzoqroq borish taqiqlangan. Tarmoq qurilmalarida kirish huquqlari ko'pincha tasdiqlangan foydalanuvchi bajarishi mumkin bo'lgan buyruqlar ro'yxati bilan belgilanadi. Masalan, kirish darajasi 1 bo'lgan tarmoq muhandisi faqat ko'rsatuv buyrug'i yordamida qurilma konfiguratsiyasini ko'rishi mumkin, kirish darajasi 2 bo'lgan muhandis esa o'zgarishlarni amalga oshirishi mumkin. Aloqa operatorlarining AAA serverlarida kirish huquqi abonentning istalgan tarif rejasiga a'zoligini aniqlashi mumkin.
Hisobga olish (accounting) - buxgalteriya bu autentifikatsiya va avtorizatsiyaga parallel bo'lgan bosqich bo'lib, jurnalda ushbu jarayonlarning muvaffaqiyati yoki muvaffaqiyatsizligi, odam xonaga kira olganligi yoki kirmaganligi, foydalanuvchi tarmoq qurilmasiga kirish huquqini qo'lga kiritganmi yoki yo'qligini qayd etadi. u amalga oshirgan harakatlar. Ushbu jarayon xavfsizlik va kirishni boshqarish nuqtai nazaridan muhimdir, chunki bu sizga potentsial tahdidlarni aniqlash va tizimdagi "teshiklarni" izlash imkonini beradi.
Do'stlaringiz bilan baham: |