четверг, 12 января 2017 г.

12. Практическая безопасность сетей


Как уже было сказано выше, AAA-сервер позволяет централизованно хранить все учетные записи пользователей. Это отличная альтернатива локальной базе на самих устройствах. Какие же преимущества несет в себе AAA-сервер:

1) Удобное администрирование учетных записей. Если у вас больше 10-и сетевых устройств, то добавление даже одного пользователя превращается в весьма нудную и долгую процедуру. ААА-сервер решает эту проблему.
2) Безопасность учетных записей. В случае с локальной базой пользователей (login local), при несанкционированном доступе к устройству, злоумышленник потенциально получает доступ ко всем паролям, которые как правило одинаковы для всех коммутаторов и маршрутизаторов. При использовании AAA-сервера, все пароли хранятся централизованно, а на устройствах отсутствуют какие-либо записи. Здесь есть и обратная сторона медали. Если злоумышленник сможет получить доступ к AAA-серверу, то вся сеть окажется скомпрометирована. Поэтому уделяйте особое внимание защите AAA-серверов.
3) Простота соблюдения парольной политики. Как я уже говорил ранее, пароли должны обязательно меняться с определенной периодичностью. В этом случае AAA-сервер является незаменимым помощником. Смена паролей занимает считанные секунды, даже если в вашей сети сотни устройств. Что такое “парольная политика” мы подробно рассмотрим в следующих главах.
Если в вашей сети более 10-и устройств, то вы просто обязаны использовать AAA-сервер.
Но обо всем по порядку. Что же значат эти три буквы? Расшифруем:
A - Authentication (аутентификация)
A - Authorization (авторизация)
A - Accounting (учет)
Буквы расшифровали, но это не сильно прояснило смысл этой технологии. Для разъяснений я воспользуюсь примером моего любимого коуча - Keith Barker из CBT Nuggets. Представим, что вы пришли в банк, чтобы снять часть своих сбережений. Для начала вас попросят предоставить документы, чтобы убедиться, что вы являетесь клиентом банка. После того как вы показали документы, вы прошли аутентификацию (authentication), если конечно вы являетесь клиентом банка. Далее, девушка, которая вас обслуживает, проверяет, можете ли вы снимать деньги и снимать именно такую сумму. Если все нормально, то вы прошли авторизацию (authorization). А после всех этих действий, естественно ведутся записи в журнал, что вы приходили, сняли деньги, на счету осталось столько то денег. В данном случае прошел учет (accounting). Надеюсь теперь вам более понятно, что такое AAA и для чего это используется.
У многих возникают сложности при произношении “AAA”. Как же правильно произносить имя этой технологии? Чаще всего используется фраза “трипл эй” (triple A), т.е. “тройное А”.

Теперь рассмотрим процесс AAA на примере сетей. Представим, что на сетевом устройстве уже настроен AAA и в нашей сети есть AAA-сервер с настроенными учетными записями. В данном случае маршрутизатор выступает в роли AAA-клиента.
Распишем процесс поэтапно (естественно в упрощенном виде.)
1) Пользователь пытается подключиться к маршрутизатору по telnet или ssh.
2) Маршрутизатор запрашивает у пользователя учетные данные - username и password.
3) Пользователь вводит свои учетные данные.
4) Маршрутизатор обращается к серверу AAA с вопросом: “Разрешать доступ этому пользователю?”. И передает введенные данные.
5) ААА-сервер ищет учетные данные пользователя. Находит (или нет) их. В данном случае пользователь прошел (или не прошел) аутентификацию (authentication).
6) ААА-сервер также находит уровень привилегий для данного пользователя, который определяет его права. Это уже авторизация (authorization).
7) Маршрутизатору дается ответ: “Можно пустить этого пользователя с уровнем привилегий Х”, где Х - от 0 до 15.
8) Маршрутизатор разрешает пользователю доступ к командной строке с определенным уровнем привилегий.
9) Естественно, что данные операции логируются в журнале событий, т.е. происходит учет (accounting). 

Данное общение (между ААА-клиентом и ААА-сервером) выполняется при помощи ААА-протокола. В настоящее время наибольшее распространение получили два протокола: RADIUS и TACACS+. Далее мы рассмотрим их основные отличия.

2 комментария:

  1. Допустим настроил ААА и удалил все локальные учетки. Что будет если свич потеряет доступ к ААА-серверу? как тогда подключиться к нему удаленно?

    ОтветитьУдалить
    Ответы
    1. Читайте дальше) Вплоть до статьи 15.

      Удалить

Блог развивается при поддержке

Блог развивается при поддержке
Защищаем настоящие ценности клиента

Translate

Популярные сообщения

Blog Archive

Технологии Blogger.

Google+ Followers