Файловый архив студентов. Файловый архив студентов.
1259 вузов, 4593 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Северо-Кавказский федеральный университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
БСЭВМ & ИБТС 1&2 лабы методички / Безопасность сетей ЭВМ / Методички / Лаб №2.docx
Скачиваний:
21
Добавлен:
10.06.2015
Размер:
94.4 Кб
Скачать
►Содержание►

Лабораторная работа №2.

Изучение способа удаленной аутентификации пользователей с использованием Radius сервера.

Теоретическая часть.

Протокол Radius.

Название Raduis является аббревиатурой от Remote Authentication Dial In User Service и представляет собой сетевой протокол, обеспечивающий централизованную аутентификацию (Authentication), авторизацию (Authorization), и учет используемых сетевых ресурсов (Accounting).

Под аутентификацией понимается процесс, позволяющий идентифицировать пользователя по его данным, например, по логину (имя пользователя, номер телефона и т.д.) и паролю.

Авторизация – процесс, в течении которого определяются полномочия идентифицированного пользователя на доступ к определенным сетевым ресурсам.

Термин Учет использованных сетевых ресурсов уже сам по себе достаточно информативен. Первичными данными, которые передаются по протоколу RADIUS, являются объемы входящего и исходящего трафиков при передаче данных, и длительность разговора и набранный номер при использовании IP телефонии. Кроме определенных в протоколе стандартных атрибутов (параметров), протокол предусматривает возможность использования производителем оборудования (вендором) собственных атрибутов.

Сами по себе сообщения RADIUS передаются в форме пакетов UDP. Причем информация об аутентификации направляется на порт UDP с номером 1812. Некоторые серверы доступа используют, однако, порты 1645 (для сообщений об аутентификации) или, соответственно, 1646 (для учета) — выбор должен определять своим решением администратор. В поле данных пакета UDP (так называемая полезная нагрузка) всегда помещается только одно сообщение RADIUS. В соответствии с RFC 2865 и RFC 2866 определены следующие типы сообщений:

Access-Request - "запрос доступа". Запрос клиента RADIUS, с которого начинается собственно аутентификация и авторизация попытки доступа в сеть;

Access-Accept - "доступ разрешен". С помощью этого ответа на запрос доступа клиенту RADIUS сообщается, что попытка соединения была успешно аутентифицирована и авторизована;

Access-Reject - "доступ не разрешен". Этот ответ сервера RADIUS означает, что попытка доступа к сети не удалась. Такое возможно в том случае, если пользовательских данных недостаточно для успешной аутентификации или доступ для пользователя не авторизован;

Access-Challenge - "вызов запроса". Сервер RADIUS передает его в ответ на запрос доступа;

Accounting-Request - "запрос учета", который клиент RADIUS отсылает для ввода учетной информации после получения разрешения на доступ;

Accounting-Response - "ответ учета". Таким образом сервер RADIUS реагирует на запрос учета и подтверждает факт обработки запроса учета.

Сообщение RADIUS всегда состоит из заголовка и атрибутов, каждый из которых содержит ту или иную информацию о попытке доступа: например, имя и пароль пользователя, запрашиваемые услуги и IP-адрес сервера доступа. Таким образом, главной задачей атрибутов RADIUS является транспортировка информации между клиентами, серверами и прочими агентами RADIUS. Атрибуты RADIUS определены в нескольких RFC, а именно: RFC 2865, RFC 2866, RFC 2867, RFC 2868, RFC 2869 и RFC 3162.

Технология VLAN.

В работе системных администраторов довольно часто возникает задача разделения сети на отдельные логические блоки (на отделы, аудитории и т.д.). Хорошо, если время и ресурсы позволяют реализовать такое деление в железе. Но зачастую на объекте уже есть сеть и делать надо на ее базе и желательно с минимальными простоями.

И тут нам на помощь приходит такая технология, как VLAN (для реализации необходимы коммутаторы с ее поддержкой). VLAN — Virtual Local Area Network. Суть технологии заключается в том, что к сетевому кадру (2-й уровень) прибавляется дополнительный заголовок (tag), который содержит служебную информацию и VLAN ID. Отдельным портам коммутаторов также назначен VLAN ID. На основании данного поля пакеты передаются на определенные порты коммутатора. Таким образом мы создаем логические сети, в которые включаем компьютеры из разных концов имеющейся сети. Сети с разными VLAN ID недоступны друг другу, как если бы они были выполнены из отдельных кабелей и устройств. Значения VLAN ID могут быть от 1 — 4095. При этом 1 зарезервирована как VLAN по умолчанию или default.

Списки доступа.

ACL (Access Control List) — это набор текстовых выражений, которые что-то разрешают, либо что-то запрещают. Обычно ACL разрешает или запрещает IP-пакеты, но помимо всего прочего он может заглядывать внутрь IP-пакета, просматривать тип пакета, TCP и UDP порты. Также ACL существует для различных сетевых протоколов (IP, IPX, AppleTalk и так далее). В основном применение списков доступа рассматривают с точки зрения пакетной фильтрации, то есть пакетная фильтрация необходима в тех ситуациях, когда у вас стоит оборудование на границе различных сетей и нужно отфильтровать ненужный трафик.

Функционал ACL состоит в классификации трафика, нужно его проверить сначала, а потом что-то с ним сделать в зависимости от того, где списки доступа применяются. Списки доступа применяется везде:

  • На интерфейсе: пакетная фильтрация.

  • На линии Telnet: ограничения доступа к маршрутизатору.

  • Vpn: какой трафик нужно шифровать.

  • QoS: какой трафик обрабатывать приоритетнее.

  • NAT: какие адреса транслировать.

Применительно к пакетной фильтрации, сами списки доступа создаются независимо, а уже потом применяются к интерфейсу. Как только списки доступа были применены к интерфейсу, маршрутизатор начинает просматривать трафик. Маршрутизатор рассматривает трафик как входящий и исходящий. Тот трафик, который входит в маршрутизатор называется входящим (in), тот, который из него выходит — исходящий (out). Соответственно списки доступа размещаются на входящем или на исходящем направлении.

Когда на интерфейс маршрутизатора приходит пакет, маршрутизатор проверяет есть ли список доступа на интерфейсе или нет, если он есть, то дальше обработка ведется по правилам списка доступа строго в том порядке, в котором записаны выражения, если список доступа разрешает проходить пакету, то в данном случае маршрутизатор отправляет пакет дальше, если список доступа не разрешает проходить пакету, пакет уничтожается. Если списка доступа нет – пакет пролетает без всяких ограничений.

Практическая часть.

Сегмент управления – сеть 10.10.10.0/26 имеет доступ телекоммуникационному оборудованию. VLAN ID = 100.

Пользовательский сегмент – сеть 10.168.192.0/22 не имеет доступа к телекоммуникационному оборудованию. Запретить доступ к управлению оборудованием. VLAN ID = 200

Сегмент оборудования – сеть 10.10.20.0/28 и 10.10.21.0/28 имеет доступ к RADIUS серверу. VLAN ID = 110.

Серверный сегмент – сеть 10.0.0.0/30.

Ход работы.

  1. Произведем настройку компьютеров в сегменте управления и в пользовательском сегменте, присвоив IP адреса 10.10.10.2/26 и 10.168.192.2/22 соответственно. Шлюзом по умолчанию для каждого из сегментов будет являться первый IP адрес в своей сети.

  2. Произведем настройку коммутатора:

Switch>enable // Вход в привилегированный режим

Switch#configure terminal // Меню глобальной конфигурации

Switch(config)#username admin password 1234 // Создание пары «Логин-пароль»

Switch(config)#enable secret 4321 // Пароль на вход в превилегированный режим

Switch(config)#service password-encryption // Включение шифрования паролей

Switch(config)#line console 0 // Настройка авторизации через консоль

Switch(config-line)#login local // Включение локальной авторизации

Switch(config-line)#exit // Выход в предыдущее меню

Switch(config)#line vty 0 4 // Настройка авторизации через

удаленное соединение

Switch(config-line)#login local

Switch(config-line)#transport input telnet // Указывание протокола авторизации

Switch(config-line)#exit

Switch(config)#line vty 5 15

Switch(config-line)#login local

Switch(config-line)#transport input telnet

Switch(config-line)#exit

Далее создаем VLAN’ы в соответствии с заданием:

Switch(config)#vlan 100 // Создание VLAN с ID=100

Switch(config-vlan)#name staff // Присвоение имени VLAN’у 100

Switch(config-vlan)#exit

Switch(config)#vlan 200

Switch(config-vlan)#name users

Switch(config-vlan)#exit

Switch(config)#vlan 110

Switch(config-vlan)#name equipment

Switch(config-vlan)#exit

Необходимо указать какой из интерфейсов какому VLAN’у принадлежит. Сегмент управления подключен к интерфейсу FastEthernet 0/2, пользовательский сегмент подключен к интерфейсу FastEthernet 0/1, сегмент оборудования подключен к интерфейсу FastEthernet 0/24, для сегмента оборудовани используется VLAN 110:

Switch(config)#interface fastEthernet 0/1 // Вход в меню настройки интерфейса

Switch(config-if)#description Link to Users // Присвоение названия интерфейсу

Switch(config-if)#switchport mode access // Перевод порта в режим доступа

Switch(config-if)#switchport access vlan 200 // Присвоение VLAN’а порту

Switch(config-if)#exit

Switch(config)#interface fastEthernet 0/2

Switch(config-if)#description Link to Admin

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 100

Switch(config-if)#exit

Switch(config)#interface fastEthernet 0/24

Switch(config-if)#description Link to Router

Switch(config-if)#switchport mode trunk // Перевод порта в режим тегирования

Switch(config-if)#switchport trunk allowed vlan 100,110,200 // Список тегируемых VLAN’ов

Switch(config-if)#exit

Switch(config)# interface vlan 110

Switch(config-if)#ip address 10.10.20.2 255.255.255.240 // Присвоение IP адреса интерфейсу

Switch(config-if)#exit

Switch(config)#ip default-gateway 10.10.20.1 // Использование шлюза по умолчанию

Switch(config)#exit

Switch#write // Сохранение конфигурации

Соседние файлы в папке Методички
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности