Понятие безопасности сетевых коммуникаций

Размещено на http://allbest.ru

Содержание

Введение

1. Анализ угроз безопасности в локальных вычислительных сетях

2. Настройка удаленного доступа к сетевому оборудованию

3. Настройка контекстных списков доступа

4. Защита и блокировка сервисов

5. Настройка удаленного доступа для администрирования сетевого оборудования

Литература и техническое обеспечение



Введение

На сегодняшний день в мире существует более 130 миллионов компьютеров, и более 80 % из них объединены в различные информационно-вычислительные сети, от малых локальных сетей в офисах, до глобальных сетей типа Internet. Всемирная тенденция к объединению компьютеров в сети обусловлена рядом важных причин, таких как ускорение передачи информационных сообщений, возможность быстрого обмена информацией между пользователями, получение и передача сообщений (Е - Маil писем и прочего) не отходя от рабочего места, возможность мгновенного получения любой информации из любой точки земного шара, а так же обмен информацией между компьютерами разных фирм производителей работающих под разным программным обеспечением.

Такие огромные потенциальные возможности, которые несет в себе вычислительная сеть и тот новый потенциальный подъем, который при этом испытывает информационный комплекс, а так же значительное ускорение производственного процесса не дают нам право не принимать это к разработке и не применять их на практике. Но очевидно, что все вышесказанное нуждается в защите.



1. Анализ угроз безопасности в локальных вычислительных сетях

Под угрозой (вообще) обычно понимают потенциально возможное событие, действие, процесс или явление, которое может привести к нанесению ущерба чьим-либо интересам. Угрозой интересам субъектов информационных отношений будем называть такое событие, процесс или явление, которое посредством воздействия на информацию или другие компоненты автоматизированной системы (далее АС) может прямо или косвенно привести к нанесению ущерба интересам данных субъектов.

На сегодняшний день существует значительное число различных видов угроз.

Основными видами угроз безопасности сети являются:

- стихийные бедствия и аварии (наводнение, ураган, землетрясение, пожар и т.п.);

- сбои и отказы оборудования (технических средств) АС;

- последствия ошибок проектирования и разработки компонентов АС (аппаратных средств, технологии обработки информации, программ, структур данных и т.п.);

- ошибки эксплуатации (пользователей, операторов и другого персонала);

- преднамеренные действия нарушителей и злоумышленников (обиженных лиц из числа персонала, преступников, шпионов, диверсантов и т.п.).

Все виды могут быть классифицированы по разным признакам, что позволяет более эффективно использовать средства защиты информации.

Все множество потенциальных угроз по природе их возникновения разделяется на два класса: естественные (объективные) и искусственные (субъективные).

Схема угроз информационной безопасности изображена на рисунке 1.1.



Рисунок 1.1 - Угрозы информационной безопасности

Естественные угрозы -- это объективные, не зависимые от человека, факторы, способные нарушить безопасность сети. Угрозы этого типа относят к форс-мажорным.

Искусственные угрозы, напротив, вызваны преднамеренной (умышленные угрозы) или непреднамеренной (неумышленные) деятельностью человека:

- угрозы -- связаны с ошибками в проектировании и развертывании сети, ошибками в программном обеспечении, в действиях персонала и т.п.;

- умышленные угрозы -- основаны на корыстных устремлениях людей (злоумышленников).

Источники угроз по отношению к ЛВС разделяются на:

- внутренние -- структурные элементы самой сети, включая аппаратное, программное обеспечение и обслуживающий персонал;

- внешние -- все прочие.

Основные непреднамеренные искусственные угрозы АС (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла):

- Неумышленные действия, приводящие к частичному или полному отказу системы, или разрушению аппаратных, программных, информационных ресурсов системы (неумышленная порча оборудования, удаление, искажение файлов с важной информацией или программ, в том числе системных и т.п.);

- неправомерное включение оборудования или изменение режимов работы устройств и программ;

- неумышленная порча носителей информации;

- запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности системы или осуществляющих необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т.п.);

- нелегальное внедрение и использование неучтенных программ (игровых, обучающих, технологических и др., не являющихся необходимыми для выполнения нарушителем своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях);

- заражение компьютера вирусами;

- неосторожные действия, приводящие к разглашению конфиденциальной информации, или делающие ее общедоступной;

- разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования, идентификационных карточек, пропусков и т.п.);

- проектирование архитектуры системы, технологии обработки данных, разработка прикладных программ, с возможностями, представляющими опасность для работоспособности системы и безопасности информации;

- игнорирование организационных ограничений (установленных правил) при ранге в системе;

- вход в систему в обход средств защиты (загрузка посторонней операционной системы со сменных магнитных носителей и т.п.);

- некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом службы безопасности;

- пересылка данных по ошибочному адресу абонента (устройства);

- ввод ошибочных данных;

- неумышленное повреждение каналов связи.

Основные возможные пути умышленной дезорганизации работы, вывода системы из строя, проникновения в систему и несанкционированного доступа к информации:

- физическое разрушение системы или вывод из строя всех или отдельных наиболее важных компонентов компьютерной системы;

- вывод из строя подсистем обеспечения функционирования сети;

- дезорганизация функционирования системы (изменение режимов работы устройств или программ, забастовка, саботаж персонала, постановка мощных активных радиопомех на частотах работы устройств системы и т.п.);

- внедрение агентов в число персонала системы (в том числе, возможно, и в административную группу, отвечающую за безопасность);

- вербовка (путем подкупа, шантажа и т.п.) персонала или отдельных пользователей, имеющих определенные полномочия;

- применение подслушивающих устройств, дистанционная фото- и видеосъемка и т.п.;

- перехват побочных электромагнитных, акустических и других излучений устройств и линий связи, а также наводок активных излучений на вспомогательные технические средства, непосредственно не участвующие в обработке информации (телефонные линии, сети питания, отопления и т.п.);

- перехват данных, передаваемых по каналам связи, и их анализ с целью выяснения протоколов обмена, правил вхождения в связь и авторизации пользователя и последующих попыток их имитации для проникновения в систему;

- хищение носителей информации;

- несанкционированное копирование носителей информации;

- хищение производственных отходов (распечаток, записей, списанных носителей информации и т.п.);

- чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств;

- чтение информации из областей оперативной памяти, используемых операционной системой (в том числе подсистемой защиты) или другими пользователями, в асинхронном режиме используя недостатки мультизадачных операционных систем и систем программирования;

- незаконное получение паролей и других реквизитов разграничения доступа с дальнейшим их использованием;

- несанкционированное использование терминалов пользователей, имеющих уникальные физические характеристики, такие как номер рабочей станции в сети, физический адрес, адрес в системе связи, аппаратный блок кодирования и т.п.;

- вскрытие криптографических шифров;

- внедрение аппаратных и программных "закладок" и "вирусов";

- незаконное подключение к линиям связи с целью работы "между строк", с использованием пауз в действиях законного пользователя от его имени с последующим вводом ложных сообщений или модификацией передаваемых сообщений;

- незаконное подключение к линиям связи с целью прямой подмены законного пользователя путем его физического отключения после входа в систему и успешной аутентификации с последующим вводом дезинформации и навязыванием ложных сообщений.

Следует заметить, что чаще всего для достижения поставленной цели злоумышленник использует не один, а несколько перечисленных выше путей.

Самыми частыми и самыми опасными, с точки зрения размера ущерба, являются непреднамеренные ошибки пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы. Иногда такие ошибки являются угрозами: неправильно введенные данные, ошибка в программе, а иногда они создают слабости, которыми могут воспользоваться злоумышленники - таковы обычно ошибки администрирования. Согласно статистики 65% потерь - следствие непреднамеренных ошибок. Пожары и наводнения можно считать пустяками по сравнению с безграмотностью и расхлябанностью. Очевидно, самый радикальный способ борьбы с непреднамеренными ошибками - максимальная автоматизация и строгий контроль за правильностью совершаемых действий.

2. Настройка удаленного доступа к сетевому оборудованию

Рассмотрим уязвимые места, через которые может быть выполнен несанкционированный доступ к сетевому оборудованию:

- доступ через консольные порты (console) устройств к файлам конфигурации.

- доступ через порт удаленного соединения (AUX).

- удаленный доступ через порты Telnet устройств к файлам конфигурации.

- доступ к файлам конфигурации устройств и определение топологии сети с помощью средств SNMP.

- определение топологии внутренней сети и получение доступ к сетевым устройствам с помощью перехвата обновлений маршрутизации.

- доступ к сетевому оборудованию по протоколу HTTP (Hypertext Transfer Protocol -- протокол передачи гипертекстовых файлов).

Для снижения вероятности угроз по этим направлениям необходимо обеспечить защиту по следующим направлениям:

- защита на уровне физического доступа к устройствам;

- защита на уровне административного интерфейса;

- защита связей между маршрутизаторами.

Наибольший интерес для злоумышленников представляет административный интерфейс сетевого оборудования. Для обеспечения его защиты необходимо выполнить ряд требований:

- обеспечить защиту доступа по консольному порту (con);

- обеспечить защиту доступа по порту AUX;

- обеспечить защиту доступа по Telnet (vty);

- установить пароль на доступ в привилегированный режим;

- установить минимальную длину паролей;

- применить шифрование паролей;

- настроить параметры соединений;

- использовать многоуровневую систему привилегий доступа;

- использовать информационные баннеры устройств;

- обеспечить управление доступом SNMP.

Защита доступа обеспечивается с помощью паролей. Пароли могут устанавливаться непосредственно в маршрутизаторе. Но в сетях, требующих высоко уровня безопасности, управление паролями должно быть реализовано с помощью удаленной базы данных защиты через серверы аутентификации (Cisco Secure AccessControl Server - ACS) TACACS+ или RADIUS. Для резервирования можно использовать локальные базы данных со средствами аутентификации, авторизации и аудита (сервер AAA).

Защита доступа по консольному порту.

В начальный момент времени (по умолчанию) доступ к маршрутизатору по консольному порту открыт, и мы сразу попадаем в пользовательский режим. Для обеспечения защиты доступа по консольному порту в подрежиме конфигурации этого порта устанавливается пароль.

Защита доступа по порту AUX.

Через порт удаленного доступа (AUX) обеспечивается модемное подключение, но при необходимости его можно использовать вместо консольного порта. По умолчанию, доступ к маршрутизатору по порту AUX открыт. Для обеспечения защиты доступа по этому порту в подрежиме конфигурации порта (aux 0) устанавливается пароль.

Защита доступа по Telnet.

К маршрутизатору можно подключится для его конфигурирования удаленно, через один из его интерфейсов по линиям виртуального терминала (virtual terminal - vty) с установкой соединения по Telnet или SSH. Одновременно может быть организовано пять соединений (от 0 до 4). Можно установить один пароль на все соединения, а можно на каждое соединение установить свой пароль.

Установка пароля на доступ в привилегированный режим.

По умолчанию, пароль на доступ в привилегированный режим не установлен. Для установки пароля необходимо в режиме глобальной конфигурации выполнить команду enable secret. При этом пароль будет храниться в конфигурации в зашифрованном виде по MD5.

3. Настройка контекстных списков доступа

ACL (Access Control List) -- это набор текстовых выражений, которые что-то разрешают, либо что-то запрещают. Обычно ACL разрешает или запрещает IP-пакеты, но помимо всего прочего он может заглядывать внутрь IP-пакета, просматривать тип пакета, TCP и UDP порты. Также ACL существует для различных сетевых протоколов (IP, IPX, AppleTalk и так далее).

В основном применение списков доступа рассматривают с точки зрения пакетной фильтрации, то есть пакетная фильтрация необходима в тех ситуациях, когда у вас стоит оборудование на границе Интернет и вашей частной сети и нужно отфильтровать ненужный трафик. Вы размещаете ACL на входящем направлении и блокируете избыточные виды трафика.

Функционал ACL состоит в классификации трафика, нужно его проверить сначала, а потом что-то с ним сделать в зависимости от того, куда ACL применяется. ACL применяется везде, например:

- На интерфейсе: пакетная фильтрация

- На линии Telnet: ограничения доступа к маршрутизатору

- VPN: какой трафик нужно шифровать

- QoS: какой трафик обрабатывать приоритетнее

- NAT: какие адреса транслировать

Сами ACL создаются отдельно, то есть это просто некий список, который создается в глобальном конфиге, потом он присваивается к интерфейсу и только тогда он и начинает работать. Необходимо помнить некоторые моменты, для того, чтобы правильно настроить списки доступа:

- обработка ведется строго в том порядке, в котором записаны условия;

- если пакет совпал с условием, дальше он не обрабатывается;

- в конце каждого списка доступа стоит неявный deny any (запретить всё);

- расширенные ACL нужно размещать как можно ближе к источнику, стандартные же как можно ближе к получателю;

- нельзя разместить более 1 списка доступа на интерфейс, на протокол, на направление;

- ACL не действует на трафик, сгенерированный самим маршрутизатором;

- для фильтрации адресов используется WildCard маска.

- permit: разрешить;

- deny: запретить;

- remark: комментарий о списке доступа;

- address: запрещаем или разрешаем сеть;

- any: разрешаем или запрещаем всё;

- host: разрешаем или запрещаем хосту;

- source-wildcard: WildCard маска сети;

- log: включаем логгирование пакеты проходящие через данную запись ACL;

- Расширенный список доступа:

- protocol source: какой протокол будем разрешать или закрывать (ICMP, TCP, UDP, IP, OSPF и т.д);

- deny: запретить;

- operator:

A.B.C.D -- адрес получателя

any -- любой конечный хост

eq -- только пакеты на этом порте

gt -- только пакеты с большим номером порта

host -- единственный конечный хост

lt -- только пакеты с более низким номером порта

neq -- только пакеты не на данном номере порта

range -- диапазон портов

- port: номер порта (TCP или UDP), можно указать имя;

- established: разрешаем прохождение TCP-сегментов, которые являются частью уже созданной TCP-сессии;

Прикрепение к интерфейсу:

- in: входящее направление;

- out: исходящее направление;

Именованные списки доступа:

- standard: стандартный ACL;

- extended: расширенный ACL;

- default: установить команду в значение по умолчанию;



4. Защита и блокировка сервисов

Межсетевые экраны (firewall, брандмауэр) делают возможной фильтрацию входящего и исходящего трафика, идущего через вашу систему. Межсетевой экран использует один или более наборов (правил) для проверки сетевых пакетов при их входе или выходе через сетевое соединение, он или позволяет прохождение трафика или блокирует его. Правила межсетевого экрана могут проверять одну или более характеристик пакетов, включая, но не ограничиваясь типом протокола, адресом хоста источника или назначения и портом источника или назначения.

Межсетевые экраны могут серьезно повысить уровень безопасности хоста или сети. Они могут быть использованы для выполнения одной или более ниже перечисленных задач:

- Для защиты и изоляции приложений, сервисов и машин во внутренней сети от нежелательного трафика, приходящего из внешней сети интернет.

- Для ограничения или запрещения доступа хостов внутренней сети к сервисам внешней сети интернет.

- Для поддержки преобразования сетевых адресов (network address translation, NAT), что дает возможность задействовать во внутренней сети приватные IP адреса и совместно использовать одно подключение к сети Интернет (либо через один выделенный IP адрес, либо через адрес из пула автоматически присваиваемых публичных адресов).

Существует два основных способа создания наборов правил межсетевого экрана: «включающий» и «исключающий». Исключающий межсетевой экран позволяет прохождение всего трафика, за исключением трафика, соответствующего набору правил. Включающий межсетевой экран действует прямо противоположным образом. Он пропускает только трафик, соответствующий правилам и блокирует все остальное.

Включающий межсетевой экран обеспечивает гораздо большую степень контроля исходящего трафика. Поэтому включающий межсетевой экран является лучшим выбором для систем, предоставляющих сервисы в сети Интернет. Он также контролирует тип трафика, порождаемого вне и направляющегося в вашу приватную сеть. Трафик, не попавший в правила, блокируется, а в файл протокола вносятся соответствующие записи. Включающие межсетевые экраны обычно более безопасны, чем исключающие, поскольку они существенно уменьшают риск пропуска межсетевым экраном нежелательного трафика.

Схема работы межсетевого экрана показана на рисунке 4.1.

Рисунок 4.1 - принцип работы межсетевого экрана

Безопасность может быть дополнительно повышена с использованием «межсетевого экрана с сохранением состояния». Такой межсетевой экран сохраняет информацию об открытых соединениях и разрешает только трафик через открытые соединения или открытие новых соединений. Недостаток межсетевого экрана с сохранением состояния в том, что он может быть уязвим для атак DoS (Denial of Service, отказ в обслуживании), если множество новых соединений открывается очень быстро. Большинство межсетевых экранов позволяют комбинировать поведение с сохранением состояния и без сохранения состояния, что позволяет создавать оптимальную конфигурацию для каждой конкретной системы.

В базовую систему FreeBSD встроено три программных межсетевых экрана. Это IPFILTER (известный также как IPF), IPFIREWALL (известный также как IPFW) и OpenBSD PacketFilter (также известный как PF). Помимо этого, FreeBSD содержит два пакета ограничения трафика (по существу, предназначенных для контроля пропускной способности сетевого соединения): altq и dummynet. Dummynet традиционно сильно связан с IPFW, а ALTQ с PF. В настоящее время IPFILTER не поддерживает ограничение пропускной способности сетевого соединения. Для реализации этой функции предлагается использовать IPFILTER совместно с одним из двух существующих пакетов ограничения трафика. Конфигурация следующая: IPFILTER задействуется для фильтрации и трансляции трафика, а IPFW с dummynet или PF с ALTQ - для контроля пропускной способности сетевого соединения. IPFW и PF для контроля исходящих и входящих пакетов используют наборы правил, хотя и разными способами с разным синтаксисом правил.

Причина, по которой в FreeBSD включено более одного пакета межсетевых экранов, заключается в том, что разные пользователи выдвигают к ним различные требования и используют разные предпочтения. Нет одного пакета, который был бы очевидно лучше других.

Поскольку все межсетевые экраны основаны на анализе значений выбранных полей заголовка пакета, для создания правил межсетевого экрана необходимо понимание принципов TCP/IP, того, что означают различные поля заголовка пакета, и как эти поля используются в обычной сессии.

В июле 2003 программный межсетевой экран OpenBSD, известный как PF, был портирован в FreeBSD и стал доступен из коллекции портов FreeBSD; первым релизом, где PF был интегрирован в основную систему, стала FreeBSD 5.3 в ноябре 2004. PF это полноценный межсетевой экран с широким набором возможностей, в котором есть опциональная поддержка ALTQ (Alternate Queuing). ALTQ предоставляет управление пропускной способностью Quality of Service (QoS).

Проект OpenBSD осуществляет замечательную работу по поддержке PF FAQ. Этот раздел руководства фокусируется на взаимосвязи PF и FreeBSD, предоставляя лишь общую информацию по его использованию. За более подробной информацией по использованию PF обратитесь к PF FAQ.

5. Настройка удаленного доступа для администрирования сетевого оборудования

Подключение к сетевому оборудованию может осуществляться в двух случаях:

- Для администрирования этого оборудования.

- Для установления соединения через это оборудование.

Поэтому, существует два режима доступа:

Символьный режим ААА (Authentication Authorization and Accounting) - пользователь посылает запрос на установление соединения с маршрутизатором для его администрирования.

Пакетный режим ААА - пользователь посылает запрос на установление соединения с другим устройством через маршрутизатор.

Для хранения учетных записей пользователей технология ААА может использовать локальную или удаленную базу данных защиты.

Локальная база данных используется, если пользователей через один или два сервера сетевого доступа. Учетные записи хранятся, непосредственно, на сервере сетевого доступа. Такой способ называется локальной аутентификацией (Local AAA Authentication).

Особенности локальной аутентификации.

- Используется в сетях с небольшим числом удаленных пользователей.

- Учетные записи хранятся на сервере сетевого доступа.

- Авторизация и аудит, при использовании локальной базы данных, усложняют процесс администрирования.

- Использование локальной базы данных позволяет сэкономить на установке удаленной базы данных.

Средства авторизации позволяют контролировать и ограничивать доступ пользователей к сетевым ресурсам.

Авторизация определяет, к каким сетевым ресурсам или командам маршрутизатора имеет доступ пользователь после успешного процесса аутентификации.

Авторизация может быть реализована с помощью удаленной или локальной базы данных.

При настройке авторизации необходимо определить атрибуты, описывающие права пользователя. Когда удаленный пользователь пытается получить доступ к сети, его аутентификационным параметрам ставятся в соответствие сформированные атрибуты авторизации, записанные в базе данных ААА.

Авторизация выполняется автоматически после аутентификации.

Средства аудита следят за количеством пользователей в системе и собирают статистику об их действиях. Фиксируется какой пользователь к каким ресурсам имел доступ или пытался получить доступ, и в течении какого времени. Это дает возможность выявления подозрительных действий.

При активизации средств ААА граничный маршрутизатор (сервер сетевого доступа) создает контрольные записи действий каждого пользователя. Записи действий могут храниться в удаленной или локальной базе данных. Эти записи можно импортировать в аудиторскую программу для анализа с целью контроля и управления.

Сервер ААА хранит записи (log), содержащие имя пользователя, адрес пользователя, имя службы, к которой обращался этот пользователь, время начала и конца сеанса, выполненные команды, объем переданных данных.

Для поддержки удаленной базы данных используются протоколы RADIUS и TACACS+.

Протокол TACACS+ обеспечивает централизованное управление доступом пользователей к серверу сетевого доступа или другому сетевому оборудованию, поддерживающему TACACS+. База данных TACACS+ размещается на компьютере под управлением операционных систем UNIX или Windows NT.

Возможности и особенности TACACS+:

- Использует порт 49 протокола TCP для надежной передачи данных между сервером сетевого доступа и сервером защиты.

- Для каждого сервиса строится собственную базу данных, но они работают вместе, как один сервер защиты.

- Пакет TACACS+ имеет 12-байтовый заголовок, который пересылается в виде открытого текста, а данные, содержащиеся в пакете, шифруются для защиты трафика между сервером сетевого доступа и сервером защиты.

- Использует средства аутентификации РАР и CHAP, а также поддерживает диалоговые окна ввода пароля.

- Поддерживает средства ААА удаленного и локального сетевого доступа для серверов сетевого доступа и сетевого оборудования, поддерживающего TACACS+.

- Поддерживает протоколы удаленного доступа SLIP, PPP и ARAP.

- Если команды внесены в конфигурацию базы данных TACACS+ и поддерживаются сервером сетевого доступа, то они выполняются автоматически.

- Поддерживается функция обратного вызова, которая возвращает телефонные вызовы. Сервер сетевого доступа звонит пользователю, что дает дополнительные гарантии защиты.

- Если есть список доступа, созданный на предыдущем сеансе связи, то TACACS+ может его использовать его в течение текущей фазы авторизации.

Порядок настройки оборудования:

Списки методов должны быть применены к интерфейсам. Различные списки могут быть применены к различным интерфейсам.

Для применения списка к интерфейсу, надо в порежиме конфигурации этого интерфейса ввести команду login authentication с именем списка методов аутентификации.

При включении ААА активируется список методов «по умолчанию» с именем «default». Он пустой и автоматически применяется ко всем интерфейсам маршрутизатора.

Подключить методы к списку «default» можно с помощью команды aaa authentication login default.

Если к интерфейсу подключить другой список, то он автоматически заменит существующий.

Если к интерфейсу не подключен никакой список, то на нем будет выполняться аутентификация по локальной базе данных.

Для отмены списка методов на интерфейсе, надо выполнить команду no aaa authentication login имя списка. Пример выполнения настройки Authentication Authorization and Accounting показан на рисунке 5.1

Рисунок 5.1 - Пример выполнения настройки

сетевой сервер вирус информационный

Для установки параметров сервера TACACS+ используется команда глобального режима конфигурации tacacs-server host. В этой команде обязательно должно быть указано имя или ip-адрес сервера TACACS+.

При этом, желательно установить параметр single-connection, который включает поддержку только одного открытого соединения TCP для получения подтверждения от сервера защиты. Соединение должно быть открыто и закрыто для каждого сеанса.

С помощью команды глобального режима конфигурации tacacs-server key устанавливаем ключ для шифрования сообщений между сервером сетевого доступа и сервером защиты.

Так как в сети может быть несколько серверов защиты, то можно сформировать отдельный ключ шифрования для каждого сервера в опциях команды tacacs-server host.

Теперь необходимо в списках методов аутентификации определить аутентификацию с помощью сервера защиты TACACS+. Для этого используется команда aaa authentication login. В поле имени списка можно установить «default», так как это упрощает процесс использования ААА. В завершении, данный список применяется к соответствующим интерфейсам.

Необходимо настроить удаленную аутентификацию AAA с использованием серверов защиты TACACS+ и RADIUS на подключение к маршрутизатору R1 по telnet через последовательный интерфейс.

Локальная база:

- user12345 пароль pass12345.

- admin1 пароль adminpass.

В списке методов аутентификации проверять сначала RADIUS, а затем TACACS+. В качестве резервного метода аутентификации использовать локальную базу данных.

Установить режим аутентификации для последовательного интерфейса PAP. IP-адрес сервера защиты TACACS+ 10.1.1.100. Ключ шифрования - test12345. IP-адрес сервера защиты RADIUS 10.1.1.101. Ключ шифрования - test54321. Пример настройки сервера защиты TACACS+ показан на рисунке 5.2



Рисунок 5.2 - пример настройки сервера защиты TACACS+



Литература и техническое обеспечение

1. Власов Ю.В. Администрирование сетей на платформе MS Windows Server: Учебное пособие / Ю.В. Власов, Т.И. Рыжова - М.: Интернет-Университет Информационных Технологий; БИНОМ. Лаборатория знаний, 2008. - 384 с.: ил., табл. - (Серия "Основы информационных технологий"). ISBN/ISSN:978-5-94774-858-1.

2. Ермаков А. Е. Основы конфигурирования корпоративных сетей CISCO: учеб. пособие для вузов / А. Е. Ермаков. - Москва : Учебно-методический центр по образованию на железнодорожном транспорте, 2013. 247 с ISBN 978-5-89035-677-2.

3 A.M. Кенин, Практическое руководство системного администратора. СПб.: БХВ-Петербург, 2010 -- 452 с. -- ISBN: 978-5-9775-0435-5 (ОСR).

4. Палмер М., Синклер Р.Б. Проектирование и внедрение компьютерных сетей. Учеб-ный курс. 2-е издание. - СПб.: БХВ-Петербург, 2004. - 240 с.: ил. ISBN:5-94157-374-Х.

Размещено на Allbest.ru

...