Bileti_po_AvIS / Avis_bilet_10

Билет № 10

1. Протоколы управление 802.1x

2. Дайте тех. задание для компании-инсталлятора кабельной системы вашей организации.

1. Протоколы управление 802.1x

Информационная система – это всегда сетевая система.

Защищать будем не средствами ОС, а средствами сетевой аппаратуры, на центральном устройстве - коммутаторе.

Есть протоколы IEEE 802.1, это протоколы управления. 802.1x – протокол контроля доступа на коммуникационных устройствах (GbE был внедрен).

Протокол 802.1x (предложен в 2001 г.) занимается защитой от НСД, он контролирует доступ к порту сетевого устройства. 802.1x основан на стандарте 802.1, где контроль доступа особенно важен.

Предполагалось, что производители оборудования будут следовать этому протоколу, это была попытка стандартизации AAA. Но производители в значительной степени расширяют его.

Согласно 802.1x, есть два вида портов: контроль доступа

– Неконтролируемый. К порту может подключиться любой пользователь.

–Контролируемый. Может подсоединяться только порт со специальным паролем, если пройдет аутентификацию.

Существует два вида port-based контроля (контроля портов):

– Физический. Т.к. у нас соединение point-to-point, можно отталкиваться от того, что только один порт рабочей станции или сервера может подключиться к данному порту аппаратуры.

– Логический. К порту могут подключаться разные физические порты. (Используется в беспроводных сетях).

Этому стандарту соответствует клиент-серверная архитектура (RPC):

На рабочей станции находится агент – supplicant (suppliant), на коммутаторах – autentification system (аутентификационная система, аутентификатор программный продукт), а autentification server (сервер аутентификации) – у оператора связи, в центре аутентификации – централизации информации хранится.

Сервер и аутентификатор работают по протоколу EAP, а supplicant и аутентификатор - по протоколу EAPoL.

Аутентификационная информация инкапсулируется в фрейм EAP и отправляется оператору связи.

Процесс опознавания происходит так. Фрейм EAP (по стандарту) содержит специальную аутентификационную информацию, она может включает:

– EAPoL start – начало аутентификации

– EAPoL (stop) logoff – конец аутентификации

– EAPoL key – передача ключа и т.д. Затем передает EAP серверу.

Недостатки стандарта IEEE 802.1x:

– Не предусмотрена работа удаленных пользователей (соединение по dial-up);

– Контроля только по порту недостаточно.

Контроля по доступа к порту не достаточно, поэтому вводят контроль по MAC-адресу, и возможность подсоединения к порту не одного, а нескольких портов, т.е перекоммутация.

Задачи администратора системы по этому вопросу:

– задать параметры контроля процесса доступа к портам (разрешить и запретить доступ к порту, выбрать тип контроля порта, задать пул портов и адресов);

– проверять, кто имеет доступ к портам;

– контролировать количество попыток аутентификации, период handshaking («рукопожатия»), период принудительного выхода («выбрасывания») из системы, если аутентификация не прошла.

Если пользователи удалены, используют протокол RADIUS. Это еще одна попытка формализации AAA, контроль доступа для удаленных пользователей.

RADIUS – Remote Autentification Dial-In User Service.

Это так же клиент-серверная архитектура.

Когда стартует RADIUS-система, пользователь имеет доступ через соединение NAS (Network Access Server). NAS-соединение может быть реализовано с помощью телефонной или сетевой аппаратуры. NAS – это клиент RADIUS, он передаёт запрос ААА (запрос на аутентификацию) RADIUS-серверу. Этот сервер имеет БД, где фиксируются пользователи, пароли, ключи, права, доступ к ресурсам.

RADIUS-сервер исполняет правила AAA и выдаёт ответ пользователю через NAS (поддерживается NAS-соединение).

RADIUS-сервер находится у оператора связи или в корпоративной сети.

RADIUS входит практически во все специализированные ОС.

2. Дайте ТЗ для компании-инсталлятора кабельной системы в вашей организации.

Кабельная система должна быть структурирована, т.е СКС, также необходимо, чтобы имела топологию «звезда».

Кабельная система должна создаваться на основании следующих стандартов:

ANSI/EIA/TIA 568-B, планирование кабельной системы (который предназначен для технических характеристик различных системных конфигураций и компонентов СКС);

ANSI/EIA/TIA 569 стандарт описывает требования к помещениям, в которых устанавливается СКС и оборудование связи (например, какого размера должна быть дырка);

ANSI/EIA/TIA 606-A администрирование телекоммуникационных инфраструктур коммерческих зданий. Этот стандарт содержит спецификации по администрированию кабельных систем, трасс, помещений, правила цветовой кодировки, маркировки и документирования смонтированной кабельной системы.

ANSI/EIA/TIA 607 – система заземления, стандарт требует соблюдения правил безопасности, связанных с заземлением экранов кабелей и других металлических компонентов кабельных систем. Соединения должны выполняться в соответствии с требованиями электрических нормативов.

Используется ограниченная среда передачи.

Элементы кабельной системы:

• Аппаратное помещение

• Административная кабельная подсистема

• Магистральная (вертикальная) кабельная подсистема

• Горизонтальная кабельная подсистема

• Рабочее Место

• Аппаратное помещение (к главном клозету (МС)) подводятся сетевые кабеля вертикальной и горизонтальной кабельной системы. Так же в нем должно быть установлено активное оборудование.

• Для магистральной (вертикальной) подсистемы предпочтительнее оптоволокно, чем витая пара из соображений пожаробезопасности.

• Административная кабельная подсистема соединяется патч-панелями и пачт-кордами и не должна превышать 6 м.

• Горизонтальная кабельная подсистема выполняется кабелем «неэкранированная витая пара» (UTP), категории 5e, с полосой пропускания 100 МГц. Кабели горизонтальной подсистемы прокладываются к электротехнических лотках по коридорам и в электротехнических коробах по комнатам до абонентских рабочих мест. Расстояние от коммутационной панели до розеток пользователя максимальное расстояние не превышало 90 м.

• К информационным розеткам рабочие станции абонентов подключаются при помощи коммутационных шнуров (патч-кордов) длиной 3 м.

Оконечным устройством кабельной системы является телекоммуникационные розетки с разъемами RJ45. Разъемы должны быть экранированы и заземлены по стандарту ANSI/EIA/TIA 607/

Розетки ставят, потому при проектировании сети о рабочих местах может быть ничего не известно и Терминалы (сетевой аппаратуры) и раб. станции подсоединяются разными кабелями системы.

Вся система должна быть документирована и промаркирована. Все порты и розетки должны иметь номера.

Требования к коммутационному оборудованию. (В шкафах необходимо придерживаться следующего расположения. Сверху вниз: оптические патч-панели, оптическое активное оборудование, органайзер, медые патч-панели в сочетании с органайзерами с соблюдением условия 1 органайзер на 48 портов, медное активное оборудование, сервера, источники бесперебойного питания)

Требования к расположению кабелей. (Короб должен располагаться на высоте 80 см.)

Требования по телекоммуникационному заземлению: А. Все экранированные кабельные системы должны быть заземлены; Б. Все телекоммуникационное активное и пассивное оборудование должно заземляться на Телекоммуникационной Шине Заземления; В. Все шкафы должны иметь Телекоммуникационную Шину Заземления, подключенную к Главной Шине Заземления с нулевым потенциалом.

Кабельная система должна иметь гибкость к модификации, масштабируемость. Для этого систему необходимо структурировать и делать модульной. Отсечка системы делается патч-панелями, не только для коммутации, но и легкой пожаробезопасности (вертикаль (оптика) и горизонталь(витая пара) здания).