Защита сетевого доступа с помощью средств ААА

           Защита сетевого доступа с  помощью средств ААА

        Несанкционированный  доступ, а также возможность фальсификации  и обмана в сетевой среде  дают нарушителям потенциальную  возможность получения доступа  к сетевому оборудованию и  сетевым службам. Архитектура ААА  позволяет сильно ограничить  возможности нарушителей, оставляя  законным пользователям сети  право иметь доступ к сетевым  ресурсам.

       Защита  сетевого доступа — независимо  от того, рассматривается она  в применении к территориальной  сети предприятия, удаленному доступу  или Internet — имеет модульную архитектуру, состоящую из следующих трех компонентов:

• Аутентификация. Требует от пользователей доказательства того, что они действительно являются теми, за кого себя выдают, например, посредством ввода имени пользователя и пароля, использования системы запросов/подтверждений, идентификационных карт или какого-то другого метода.

"Я — пользователь  student, и мой пароль validateme доказывает это"

• Авторизация. После аутентификации пользователя сервис авторизации решает, к каким ресурсам разрешается доступ данному пользователю и какие действия разрешается ему выполнять.

"Пользователь student может иметь доступ к узлу NT_Server посредством Telnet"

• Аудит. Запись того, что пользователь действительно делал, к чему имел доступ и в течение какого времени, осуществляется с целью учета, контроля и выяснения стоимости. С помощью аудита можно проследить за тем, как используются сетевые ресурсы. Аудит может быть применен для анализа практики сетевого доступа и обнаружения сетевых вторжений.

"Пользователь student получал доступ к узлу NT_Server посредством Telnet 15 раз"

        Средства  ААА в продуктах Cisco поддерживают контроль доступа либо с помощью локальной базы данных на сервере сетевого доступа.

ААА и локальная база данных защиты

      Если требуется  обеспечить доступ к сети небольшому  числу удаленных пользователей  через один-два сервера сетевого  доступа, можно хранить информацию  об их именах и паролях на  сервере сетевого доступа. Такой  подход называют локальной аутентификацией, или аутентификацией с помощью  локальной базы данных зашиты.

Ниже указаны особенности использования средств ААА с локальной базой данных зашиты:

• Локальная аутентификация подходит для малых сетей с небольшим числом удаленных пользователей и серверов сетевого доступа.

• Имена пользователей, пароли и параметры авторизации хранятся в локальной базе данных защиты на сервере сетевого доступа.

• Удаленные пользователи проходят аутентификацию и авторизацию с помощью локальной базы данных зашиты.

• Авторизация и аудит при использовании локальной базы данных зашиты имеют ограниченную поддержку.

• Контроль доступа с помощью локальной базы данных защиты позволяет сэкономить на установке и поддержке удаленной базы данных зашиты.

       Аутентификация с использованием локальной базы данных зашиты обычно выполняется следующим образом. Сначала с помощью команд ААА необходимо в локальной базе данных зашиты каждого сервера сетевого доступа указать соответствующие параметры для каждого из возможных пользователей. Процесс ААА состоит из следующих шагов:

1. Удаленный пользователь устанавливает соединение РРР с сервером сетевого доступа.

2. Сервер сетевого доступа запрашивает у пользователя имя и пароль.

3. Сервер сетевого доступа выполняет аутентификацию имени и пароля с помощью локальной базы данных.

4. Сервер сетевого доступа выполняет процедуру авторизации, в результате чего пользователь получает право доступа к сетевым сервисам и другим ресурсам в соответствии со значениями, заданными в локальной базе данных.

5. Сервер сетевого доступа следит за трафиком пользователя и создает записи аудита в соответствии со значениями, заданными в локальной базе данных.