Рисунок 8.2 - Взаимодействие между пользователем и системой TACACS+
Под аутентификацией понимается определение пользователя или конечного устройства (клиента, сервера, коммутатора, маршрутизатора, межсетевого экрана и т.д.) и его местоположения в сети с последующей авторизацией пользователей и конечных устройств. Наиболее простым способом аутентификации является использование паролей, но для поддержания высокого уровня безопасности пароли приходится часто менять. Методы использования одноразовых паролей используются по-прежнему широко. Механизм аутентификации по протоколу "от точки к точке" Point-to-Point Protocol (PPP) часто применяется в среде модемного доступа и включает использование следующих протоколов: аутентификации пароля (Password Authentication Protocol, PAP), взаимодействия вызовов (Challenge Handshake Protocol, CHAP) и гибкой аутентификации (Extensible Authentication Protocol, ЕАР).
Протокол РРР
Аутентификация на основе протокола Point-to-Point Protocol (PPP) - это популярное средство инкапсуляции (упаковки), которое часто используется в глобальных сетях. В его состав входят три основных компонента:
Чтобы установить прямую связь между двумя точками по каналу РРР, каждая из этих точек должна сначала отправить пакеты LCP для конфигурирования связи на этапе ее установления. После установления связи и прежде чем перейти к этапу работы на протоколах сетевого уровня, протокол РРР предоставляет (при необходимости) возможность проведения аутентификации.
По умолчанию аутентификация является необязательным этапом. В случае, если аутентификация требуется, в момент установления связи система указывает дополнительную конфигурацию протоколов аутентификации. Эти протоколы используются, в основном, центральными компьютерами и маршрутизаторами, которые связаны с сервером РРР через коммутируемые каналы или линии телефонной связи, а, возможно, и через выделенные каналы. Во время согласования на сетевом уровне сервер может выбрать опцию аутентификации центрального компьютера или маршрутизатора.
Для аутентификации протокола РРР может быть использовано два протокола: гибкий протокол аутентификации (ЕАР) и протокол взаимодействия вызовов (CHAP). Протокол ЕАР поддерживает множество идентификационных механизмов. Этот протокол находится в процессе доработки, и в будущем он сможет поддерживать более современные механизмы аутентификации в рамках аутентификации РРР. Аутентификация происходит после согласования LCP и до согласования IP Control Protocol (IPCP), в ходе которого происходит обмен адресами IP. Этот процесс аутентификации проходит в автоматическом режиме и не требует от пользователей ввода в компьютер каких-либо данных при подключении РРР. Часто аутентификация РАР или CHAP занимает место переговорного сценария, который отвечает на запросы о вводе сетевого имени пользователя (login) и пароля. Протокол CHAP поддерживает более высокий уровень безопасности, поскольку не передает реальный пароль по каналу РРР. Однако РАР используется чаще.
Протокол TACACS
TACACS – это простой протокол управления доступом, основанный на стандартах User Datagram Protocol (UDP) и разработанных компанией Bolt, Beranek and Newman, Inc. (BBN). Компания Cisco несколько раз совершенствовала и расширяла протокол TACACS, и в результате появилась ее собственная версия TACACS, известная как TACACS+. Протокол TACACS+ пользуется транспортным протоколом TCP. Демон сервера «слушает» порт 49, который является портом протокола IP, выделенным для протокола TACACS. Этот порт зарезервирован для выделенных номеров RFC в протоколах UDP и TCP. Все текущие версии TACACS и расширенные варианты этого протокола используют порт 49.
Протокол TACACS+ работает по технологии клиент-сервер, где клиентом TACACS+ обычно является сервер доступа NetWare (NetWare Access Server, NAS), а сервером TACACS+, как правило, считается "демон" (процесс, запускаемый на машине UNIX или NT). Фундаментальным структурным компонентом протокола TACACS+ является разделение аутентификации, авторизации и учета (Authentication, Authorization, Accounting, ААА). Это позволяет обмениваться идентификационными сообщениями любой длины и содержания, и, следовательно, использовать для клиентов TACACS+ любой идентификационный механизм, в том числе РРР РАР, РРР CHAP, аппаратные карты и Kerberos (рисунок 8.2). Аутентификация не является обязательной. Она рассматривается как опция, которая конфигурируется на месте. В некоторых местах она вообще не требуется, в других местах она может применяться лишь для ограниченного набора услуг.
Рисунок 8.2 - Взаимодействие между пользователем и системой TACACS+
Авторизация - это процесс определения действий, которые позволены данному пользователю. Обычно аутентификация предшествует авторизации, однако это не обязательно. Протокол TACACS+ допускает только положительную или отрицательную авторизацию.
Учет обычно следует за аутентификацией и авторизацией. Учет, представляет собой запись действий пользователя. В системе TACACS+ учет может выполнять две задачи. Во-первых, он может использоваться для учета использованных услуг (например, для выставления счетов). Во-вторых, его можно использовать в целях безопасности. Для этого TACACS+ поддерживает три типа учетных записей. Записи «старт» указывают, что услуга должна быть запущена. Записи «стоп» говорят о том, что услуга только что окончилась. Записи "обновление" (update) являются промежуточными и указывают на то, что услуга все еще предоставляется. Учетные записи TACACS+ содержат всю информацию, которая используется в ходе авторизации, а также другие данные: время начала и окончания (если это необходимо) и данные об использовании ресурсов.
Транзакции между клиентом TACACS+ и сервером TACACS+ идентифицируются с помощью общего «секрета», который никогда не передается по каналам связи. Обычно этот секрет вручную устанавливается на сервере и на клиенте. Протокол TACACS+ можно настроить на шифрование всего трафика, который передается между клиентом TACACS+ и демоном сервера TACACS+.
Протокол RADIUS
Протокол RADIUS был разработан компанией Livingston Enterprises, Inc. в качестве протокола аутентификации серверного доступа и учета. В настоящее время спецификация RADIUS (RFC 2058) и стандарт учета RADIUS (RFC 2059) предложены для утверждения в качестве общепринятых стандартов IETF.
Связь между NAS и сервером RADIUS основана на протоколе UDP. В целом считается, что протокол RADIUS не имеет отношения к подключению. Все вопросы, связанные с доступностью сервера, повторной передачей данных и отключениями по истечении времени ожидания, контролируются устройствами, работающими под управлением протокола RADIUS, но не самим протоколом передачи. Протокол RADIUS основан на технологии клиент-сервер (рисунок 8.3).
Рисунок 8.3 - Взаимодействие между пользователем и системой RADIUS
Клиентом протокола RADIUS обычно является NAS, а сервером RADIUS считается «демон», работающий на машине UNIX или NT. Клиент передает пользовательскую информацию на определенные серверы RADIUS, а затем действует в соответствии с полученными от сервера инструкциями. Серверы RADIUS принимают запросы пользователей на подключение, проводят идентификацию пользователей, а затем отправляют всю конфигурационную информацию, которая необходима клиенту для обслуживания пользователя. Для других серверов RADIUS или идентификационных серверов других типов сервер RADIUS может выступать в роли клиента-посредника (proxy).
