• Главная
  • Карта сайта
Не найдено

IAS + AAA = прозора аутентифікація

  1. Безпечна аутентифікація вилученого користувача Програми віддаленого доступу і VPN застосовуються...
  2. інфраструктура AAA
  3. установка IAS
  4. Налаштування IAS для взаємодії з NAS-пристроєм Cisco
  5. Протоколювання і облік
  6. Обмеження мережевого доступу за допомогою індивідуальних ACL
  7. Застосування обмежень за часом
  8. необмежені можливості
Безпечна аутентифікація вилученого користувача

Програми віддаленого доступу і VPN застосовуються майже у всіх організаціях, і розробники Microsoft повинні забезпечити бездоганну аутентифікацію користувачів для продуктів дистанційного доступу інших постачальників, що працюють в мережах Microsoft Програми віддаленого доступу і VPN застосовуються майже у всіх організаціях, і розробники Microsoft повинні забезпечити бездоганну аутентифікацію користувачів для продуктів дистанційного доступу інших постачальників, що працюють в мережах Microsoft. У середовищах Windows 2000 і Windows NT 4.0 це завдання вирішується за допомогою Microsoft Internet Authentication Service (IAS). Завдяки службі дистанційній аутентифікації користувачів комутованих з'єднань (Remote Authentication Dial-In User Service, RADIUS), IAS може ідентифікувати користувачів більшості платформ віддаленого доступу, в тому числі продуктів VPN і Cisco IOS компанії Cisco Systems. У базовій конфігурації IAS реалізовані різноманітні можливості. У даній статті розглядається проблема інтеграції IAS з одним з широко поширених рішень, інфраструктурою аутентифікації, авторизації та обліку (AAA).

Знайомство з RADIUS

Перш ніж розглядати можливості IAS, слід познайомитися з технологією RADIUS. Відповідно до визначення, даного в документах Request for Comments (RFC) 2138 і RFC 2139 робочої групи IETF, RADIUS забезпечує зв'язок сервера мережевого доступу (network access server, NAS) з сервером аутентифікації (наприклад, Windows 2000 Server з активною службою IAS). Крім того, RADIUS визначає метод отримання аудиторської інформації, в тому числі тривалість сеансу зв'язку, ім'я користувача та інші корисні статистичні дані про трафік. Таке застосування терміна NAS для багатьох незвично. Його можна замінити терміном RAS, але в контексті RADIUS переважно використовувати NAS.

Згідно з документами RFC 2138 і RFC 2139, сервер аутентифікації приймає необхідну для аутентифікації та обліку інформацію через порти UDP 1812 і 1813, відповідно. Однак в деяких серверах аутентифікації використовуються порти UDP 1 645 і 1646, як було прийнято до появи RFC. За замовчуванням IAS на платформі Windows 2000 приймає запити через обидві пари портів, але IAS можна налаштувати на зв'язок з будь-якого порту.

Базова процедура взаємодії між NAS і сервером аутентифікації проста. Після того як NAS отримає ім'я користувача і пароль від віддаленого клієнта, NAS посилає серверу аутентифікації повідомлення Access-Request, що містить відомості про паролі і імені користувача. Сервер звіряє облікову інформацію з внутрішньою базою даних. Структурі цієї бази даних можна надати будь-який формат, зрозумілий сервера: наприклад, текстового файлу, файлу паролів Unix або бази облікових записів Windows; IAS-сервер (у випадку з IAS) порівнює облікову інформацію зі своєю базою облікових записів або Active Directory (AD). Завершивши перевірку, сервер аутентифікації посилає на адресу NAS пакет Access-Reject або Access-Accept або ж відправляє на адресу NAS пакет Access-Challenge, щоб запитати додаткову інформацію про користувача. Як правило, пакет Access-Challenge використовується для реалізації двохфакторну схем аутентифікації на основі смарт-карт або програмних маркерів. На рисунку 1 показана вдала спроба аутентифікації користувача по комутованого з'єднання.

NAS і сервер аутентифікації повинні використовувати один загальний ключ. Цей ключ ніколи не пересилається через мережу в простому текстовому форматі, і обидва пристрої задіють його для шифрування паролів і аутентифікації запитів і відповідей. До загального ключ може входити до 255 чутливих до регістру символів. З метою безпеки в загальні ключі, як і в паролі, слід вводити спеціальні символи (відмінні від букв і цифр).

інфраструктура AAA

Познайомившись з технологією RADIUS, можна перейти до іншого компоненту, інфраструктурі AAA. Програмне забезпечення Cisco IOS забезпечує повнофункціональну інфраструктуру AAA, за допомогою якої можна аутентифицировать користувачів через RADIUS або протокол Terminal Access Controller Access Control System Plus (TACACS +). Крім аутентифікації, AAA дозволяє конкретним користувачам застосовувати певні команди, протоколювати команди і збирати інформацію. AAA відрізняється високою гнучкістю і забезпечує управління окремими методами доступу (наприклад, telnet) або всіма методами доступу (наприклад, telnet, PPP і послідовними з'єднаннями).

За допомогою списків методів AAA можна вказати кілька протоколів або інших засобів, які будуть застосовуватися системою для аутентифікації користувача. Допустимі елементи списку - RADIUS, TACACS +, локальні імена користувачів і паролі, а також пароль активізації маршрутизатора. Коли користувач намагається зареєструватися, AAA застосовує перший метод зі списку. Решта методи використовуються тільки в тому випадку, якщо перший метод завершується помилкою. Якщо після застосування методу отримано повідомлення FAIL, що свідчить про невдалу спробу, процес аутентифікації зупиняється. Якщо сервер RADIUS або TACACS + недоступний або відсутній, то завдяки списку методів, що складається з декількох елементів, можна отримати доступ до маршрутизатора через telnet і з консолі за допомогою пароля активізації.

Список методів застосовується до лінії або інтерфейсу маршрутизатора. У кожному інтерфейсі і лінії дозволяється використовувати різні списки методів. Тому для кожного типу доступу можна застосовувати особливий протокол аутентифікації або комбінацію протоколів. Якщо в списку існує метод з ім'ям default, то AAA автоматично застосовує його до всіх відповідним лініях і інтерфейсів.

установка IAS

Встановити і використовувати IAS можна на системах Windows 2000 Server і NT Server 4.0. IAS - частина ядра Windows 2000; для NT 4.0 IAS є один з декількох компонентів пакету NT 4.0 Option Pack, який можна завантажити з Web-вузла Microsoft за адресою: http://www.microsoft.com/ntserver/nts/downloads/ recommended / nt4optpk / default.asp . Пакет Option Pack досить великий і складається з багатьох додатків, але для установки IAS необхідні лише компоненти Common Program Files і Internet Service Manager (ISM) 4.0. Як і при установці базових компонентів з компакт-диска NT, після інсталяції будь-яких компонентів Option Pack потрібна повторна установка відповідного пакета оновлень.

У Windows 2000 потрібно запустити утиліту Add / Remove Programs з панелі управління і вибрати IAS як компонент Networking Services в розділі Windows Components. Після установки IAS слід скористатися оснащенням Internet Authentication Service консолі управління Microsoft Management Console (MMC). Під час установки система додає в папку меню ProgramsAdministrative Tools ярлик для цієї оснастки (ias.msc).

Одна з першочергових завдань після установки IAS на платформі Windows 2000 - налаштувати IAS для взаємодії з AD. Для цього слід вибрати функцію Register Service in Active Directory з оснащення Internet Authentication Service. Після реєстрації в AD служба IAS отримує доступ до інформації про користувачів і групи в AD. В іншому випадку IAS могла б перевіряти інформацію про користувачів і складі груп тільки в локальній базі облікових записів сервера.

В результаті цих дій IAS буде зареєстрована в вибирає за замовчуванням домені AD. Щоб забезпечити доступ IAS до інформації в іншому домені AD, досить помістити обліковий запис комп'ютера для IAS-сервера в групу RAS and IAS Servers на цільовому домені. Група RAS and IAS Servers повинна мати в AD певний набір повноважень. Для перевірки повноважень слід запустити оснастку MMC Active Directory Users and Computers і вибрати пункт Advanced Features з меню View. У лівій панелі буде показаний об'єкт RAS and IAS Servers Access Check (див. Екран 1). Клацнувши правою кнопкою миші на об'єкті, необхідно вибрати пункт Properties з контекстного меню, а потім вибрати вкладку Security, щоб перевірити, чи має група RAS and IAS Servers повноваження Read, Write, Create All Child Objects і Delete All Child Objects (див. Екран 2 ). В іншому випадку слід налаштувати повноваження відповідно до цих параметрів, щоб забезпечити коректне функціонування IAS.

Налаштування IAS для взаємодії з NAS-пристроєм Cisco

Служба IAS зможе приймати запити аутентифікації з RADIUS-сумісного NAS, якщо NAS визначено в якості клієнта RADIUS за допомогою оснастки Internet Authentication Service. Для призначення клієнта RADIUS потрібно натиснути правою кнопкою миші на контейнері Clients і вибрати пункт New Client. У діалоговому вікні Add Client потрібно ввести зручне ім'я і протокол для роботи з цим клієнтом (поки вибір обмежений єдиним протоколом - RADIUS). Необхідно присвоїти NAS відповідне ім'я, клацнути на кнопці Next (ім'я не обов'язково має відповідати хостімені NAS). Система попросить ввести IP-адресу або DNS-ім'я для NAS (див. Екран 3).

В поле Shared secret (див. Екран 3) можна ввести загальний ключ шифрування для двосторонньої аутентифікації з'єднання NAS з IAS-сервером і шифрувати паролі, що передаються по мережі. Налаштування загального ключа на сервері IAS і NAS повинна бути однаковою.

Щоб домогтися сумісності системи віддаленого доступу з протоколом Challenge Handshake Authentication Protocol (CHAP) (наприклад, якщо пароль повинен бути зашифрований, а NAS або клієнти видаленого доступу не підтримують Microsoft Challenge Handshake Authentication Protocol, MSCHAP), необхідно зберігати паролі в форматі, який може бути розшифрований IAS-сервером. Для правильного зберігання паролів слід відкрити оснастку Active Directory Users and Computers, натиснути правою кнопкою миші на домені, вибрати з контекстного меню пункт Properties і відредагувати групову політику Default Domain Policy Group Policy на вкладці Group Policy. У цій політиці слід включити режим Store password using reversible encryption for all users in the domain. Або можна вибрати вкладку властивостей користувача Account і встановити режим Store password using reversible encryption, щоб зберегти паролі кожного користувача окремо. Для першого збереження паролів з оборотним шифруванням кожен користувач повинен змінити свій пароль після того, як обраний один з названих режимів.

Щоб уникнути зберігання паролів з оборотним шифруванням, слід налаштувати NAS і політику віддаленого доступу, яка буде описана нижче, для використання MSCHAP завжди, коли тільки можна. Протокол MSCHAP (розширення специфікації RFC 1994) сумісний з NT і AD; в ньому не потрібно зберігати паролі в простому текстовому форматі або з оборотним шифруванням.

Протоколювання і облік

IAS заносить запити аутентифікації в журнал і отримує звітність з NAS. Щоб переглянути або змінити поточні параметри журналу, слід відкрити оснастку Internet Authentication Service, натиснути правою кнопкою на елементі Local File в контейнері Remote Access Logging і вибрати пункт Properties. У цьому вікні необхідно встановити прапорці Log account requests і Log authentication requests. Для введення інформації з Cisco NAS після завершення конфігурації NAS потрібно скористатися командою

aaa accounting network default start-stop group radius

Після того як запущений режим протоколювання, можна управляти виробництвом і форматувати журнальні файли IAS на вкладці Local File сторінки властивостей Local File. З цієї сторінки можна вказати місце зберігання журнальних файлів IAS-сервера, частоту створення журналів і формат файлу журналу. Я рекомендую вести щоденні або щотижневі журнали, в залежності від завантаженості сервера, і зберігати їх на несистемно томі.

Обмеження мережевого доступу за допомогою індивідуальних ACL

Завдяки гнучкості IAS, протоколу RADIUS і інфраструктури AAA, їх можна конфігурувати по-різному. Для коректного застосування параметрів необхідно доповнити конфігурацію NAS командою

aaa authorization network default group radius

Ця команда змушує маршрутизатор аутентифицировать користувачів із застосуванням параметрів, зазначених адміністратором на сервері аутентифікації.

Завдяки спеціальному атрибуту постачальника (номер 26) протоколу RADIUS, перед постачальниками відкриваються широкі можливості. Одне з найбільш корисних застосувань цього атрибута - реалізація списків управління доступом (ACL) для окремих користувачів. За допомогою індивідуальних призначених для користувача ACL можна обмежити доступ на мережевому рівні, відкриваючи для будь-якого користувача комутованих з'єднань або VPN лише певну підмножину мережевих ресурсів. Наприклад, за допомогою цих функцій можна надати постачальнику доступ тільки до його власного обладнання чи заборонити застосування комутованих з'єднань компанії для виходу в Internet. Гнучкість такого підходу проілюстрована Малюнком 2: призначений для користувача ACL обмежує віддалений доступ одного користувача, Генрі, але не заважає віддаленого доступу іншого користувача, Марі.

Для роботи з індивідуальними списками ACL в службі IAS використовуються політики віддаленого доступу, які застосовують параметри на основі інформації про групи в AD. IAS перевіряє умови політики віддаленого доступу в тому порядку, в якому політики перераховані в оснащенні Internet Authentication Service. До користувачів застосовується перша підходяща політика, яка може як вирішувати, так і забороняти віддалений доступ. Щоб змінити порядок проходження політик, досить натиснути правою кнопкою миші на будь-яку політику віддаленого доступу і вибрати в контекстному меню пункт Move up чи Move down.

Для настройки індивідуальних призначених для користувача ACL слід скласти нову політику віддаленого доступу за допомогою оснастки Internet Authentication Service. Для цього потрібно натиснути правою кнопкою миші на контейнері Remote Access Policies в лівій панелі і вибрати пункт New. Потім слід ввести ім'я політики і натиснути Next. На наступному екрані необхідно вказати умови, які потрібно застосувати до політики. Наприклад, якщо клацнути на кнопці Add і вибрати Windows-Groups, можна застосувати політику будь-якої групи, яка існує в AD. Важливо звернути увагу, що політики віддаленого доступу можна застосовувати безпосередньо до індивідуальним користувачам. Однак можна зарахувати користувача в нову групу і застосувати політику до цієї групи. В даному випадку визначення «індивідуальні призначені для користувача ACL» не зовсім вірно, але у всій документації Cisco дана функція називається саме так.

Після того як будуть вказані умови для нової політики, потрібно клацнути на кнопці Next і на наступному екрані вибрати режим Grant remote access permission. Після клацання на кнопці Edit Profile відкривається діалогове вікно Edit Profile, в якому слід вибрати вкладку Advanced. У розділі Parameters вказані стандартні параметри для з'єднань Point-to-Point Protocol (PPP). Для введення індивідуальних призначених для користувача ACL потрібно клацнути на кнопці Add. У вікні Add Attribute потрібно вибрати пункт Cisco-AV-Pair. У службі IAS параметр Cisco-AV-Pair спочатку налаштований на використання атрибута 26 з кодом постачальника Cisco 9. У вікні Multivalued Attribute Information слід створити запис ACL, клацнувши на кнопці Add. Для списку ACL необхідно застосовувати такий вигляд:

ip: inacl # N = permit

де величина N - інкремент, prot - протокол, source - мережа-джерело, smask - шаблонна маска (або інверсна маска), destination - мережа призначення і dmask - шаблонна маска. наприклад,

ip: inacl # 1 = permit ip 192.168.254.0 0.0.0.255 192.168.200.0 0.0.0.255

ip: inacl # 2 = permit ip 192.168.254.0 0.0.0.255 192.168.201.0 0.0.0.255

надати їм доступ до мереж 192.168.200.0 і 192.168.201.0 для комутованих клієнтів, які отримали IP-адреси в підмережі 192.168.254.0. Даний приклад показує налаштування вхідного списку ACL, але можна змінити і конфігурацію вихідного списку ACL. Досить замінити ключове слово inacl на outacl. При конфігуруванні будь-яких ACL для роботи з Cisco IOS важливо пам'ятати, що весь явно не дозволений трафік неявно заборонений.

Після того як будуть зроблені всі потрібні записи ACL, слід завершити створення політики віддаленого доступу, підтвердивши кожне діалогове вікно. Більш докладно про базовому налаштуванні конфігурації ACL для Cisco IOS розказано за адресою: http://www.cisco.com/univercd/cc/td/doc/product/ software / ios121 / 121cgcr / secur_c / scprt3 / scdacls.htm .

Застосування обмежень за часом

Після того як була створена і отримала ім'я нова політика віддаленого доступу, можна призначити для неї умови, що визначають час зв'язку для віддалених користувачів. Щоб ввести нову умову, слід клацнути на кнопці Add в діалоговому вікні Conditions. У діалоговому вікні Select Attribute потрібно вибрати розділ Day-And-Time-Restrictions, щоб відкрити діалогове вікно Time of Day Constraints. У ньому можна вибрати періоди часу, протягом яких дозволені з'єднання віддалених користувачів. Важливо переконатися, що зазначена умова Windows-Group або інше, щоб політика діяла тільки на користувачів, обраних адміністратором.

необмежені можливості

IAS і AAA - гнучкі інструменти. Якщо правильно використовувати їх в якості сервера аутентифікації на базі RADIUS і NAS, можна підвищити безпеку і керованість розгорнутих комутованих мереж і VPN. В одній статті неможливо докладно розповісти про всі сценарії, але я сподіваюся, що наведені приклади допоможуть адміністратору оцінити багатство функцій IAS і AAA і більш ефективно використовувати переваги цих інструментів у своїй мережі.

Тім Саммут - старший мережевий інженер в компанії ExtraTeam. Має сертифікати CCIE і CISSP. З ним можна зв'язатися за адресою: [email protected] .

Провайдеры:
  • 08.09.2015

    Batyevka.NET предоставляет услуги доступа к сети Интернет на территории Соломенского района г. Киева.Наша миссия —... 
    Читать полностью

  • 08.09.2015
    IPNET

    Компания IPNET — это крупнейший оператор и технологический лидер на рынке телекоммуникаций Киева. Мы предоставляем... 
    Читать полностью

  • 08.09.2015
    Boryspil.Net

    Интернет-провайдер «Boryspil.net» начал свою работу в 2008 году и на данный момент является одним из крупнейших поставщиков... 
    Читать полностью

  • 08.09.2015
    4OKNET

    Наша компания работает в сфере телекоммуникационных услуг, а именно — предоставлении доступа в сеть интернет.Уже... 
    Читать полностью

  • 08.09.2015
    Телегруп

    ДП «Телегруп-Украина» – IT-компания с 15-летним опытом работы на рынке телекоммуникационных услуг, а также официальный... 
    Читать полностью

  • 08.09.2015
    Софтлинк

    Высокая скоростьМы являемся участником Украинского центра обмена трафиком (UA — IX) с включением 10 Гбит / сек... 
    Читать полностью