Security_metod
.pdfМетод локальної аутентифікації ААА схожий на використання локальних команд login local за одним винятком. ААА також надає можливість налаштування резервного метода аутентифікації.
Налаштування локальних служб AAA для аутентифікації доступу адміністратора (в текстовому режимі) потребує кілька основних кроків:
Крок 1. Додати імена користувачів і паролі до локальної бази даних маршрутизатора для користувачів, які потребують адміністративного доступу до нього.
Крок 2. Включити ААА глобально на маршрутизаторі. Крок 3. Налаштувати параметри AAA на маршрутизаторі.
Крок 4. Підтвердити та усунути несправності в конфігурації ААА.
5.3 Серверне рішення ААА
Локальна реалізація ААА не дуже добре масштабується. Більшість корпоративних середовищ мають кілька маршрутизаторів, кілька адміністраторів і сотні або тисячі користувачів, які потребують доступу до корпоративної локальної мережі. Підтримувати локальну базу даних для кожного маршрутизатора при такому розмірі мережі не представляється можливим.
Щоб вирішити цю проблему, можна використовувати один або кілька серверів AAA для управління користувацьким та адміністративним доступом для користувачів.
Протоколи TACACS + і RADIUS
TACACS + і RADIUS є протоколами перевірки автентичності. Кожен підтримує різні можливості і функціональність. Що обрати, TACACS + або RADIUS залежить від потреб організації. Наприклад, великий провайдер може вибрати RADIUS, оскільки він підтримує детальний облік, необхідний для виставлення рахунків користувачам. Організація з різними групами користувачів може вибрати TACACS +, тому що він вимагає вибрати політики авторизації, які будуть застосовуватися до кожного користувача або кожної групи користувачів.
Важливо зрозуміти, що ці протоколи мають багато відмінностей. Ключові фактори для TACACS + :
Несумісний зі своїми попередниками TACACS і XTACACS.
Розділяє процеси аутентифікації і авторизації.
Шифрує всі комунікації.
Використовує TCP-порт 49. Ключові фактори для RADIUS:
Використання проксі-серверів RADIUS для забезпечення масштабованості.
Об'єднує аутентифікацію і авторизацію в одному процесі. 
Шифрує тільки пароль.
50
Використовує UDP у якості транспортного протоколу.
Підтримує технології віддаленого доступу, 802.1X, і Session
Initiation Protocol (SIP).
TACACS + аутентифікація
TACACS + є повністю новим протоколом, який є несумісним з будь-якою попередньою версією TACACS.
TACACS + забезпечує окремі послуги ААА. Поділ послуг ААА забезпечує гнучкість в реалізації, оскільки дає можливість використовувати TACACS + для авторизації та обліку при використанні іншого способу аутентифікації.
TACACS + пропонує багатопротокольную підтримку, наприклад, IP і AppleTalk. TACACS + шифрує весь пакет для більш безпечних комунікацій і використовує TCP-порт 49.
RADIUS-аутентифікація
Протокол RADIUS, розроблений Livingston Enterprises, це відкритий IETF стандарт для додатків мережного доступу або IP мобільності. RADIUS нині ви-
значається документами RFC 2865, 2866, 2867, 2868.
Протокол RADIUS приховує паролі під час передачі, використовуючи досить складну операцію, яка включає Message Digest 5 (MD5) хешування. Тим не менш, інша частина пакету передається в незашифрованому вигляді.
RADIUS об'єднує аутентифікацію і авторизацію в одному процесі. RADIUS використовує UDP-порт 1645 або 1812 для перевірки автентичності та UDP порт 1646 або 1813 для обліку.
RADIUS широко використовується постачальниками послуг VoIP. Протокол Diameter планується для заміни протоколу RADIUS. Diameter використо-
вує новий транспортний протокол Stream Control Transmission Protocol (SCTP)
замість TCP і UDP.
5.4 Самостійна робота студента
5.4.1 Запитання для самоперевірки
1.Як розшифровується абревіатура ААА?
2.Дайте визначення аутентифікації.
3.Дайте визначення авторизації.
4.Дайте визначення обліку.
5.4.2 Матеріали для самостійного поглибленого вивчення теми
1.Дослідіть як створюється користувацький список методів аутентифікації і як він працює.
2.Дослідіть додаткові методи безпеки на лініях, такі як блокування користувачів.
3.Дослідіть серверні рішення ААА, які пропонуються на ринку ПЗ.
51
ТЕМА 6. ВПРОВАДЖЕННЯ СИСТЕМ FIREWALL
Вступ
Мережі розростаються, вони все частіше використовуються для передачі та зберігання конфіденційних даних. Свого часу це посилило потребу в розвинутих технологіях безпеки, що призвело до винаходу брандмауера (firewall). Цей термін походить від назви спеціальних стін, зроблених з каменю або металу, щоб завадити поширенню полум'я між приміщеннями. Так само міжмережні екрани відділяють захищені області від незахищених. Вони запобігають несанкціонованому доступу до захищених мережних ресурсів.
Спочатку використовувалися прості списки управління доступом (access control lists - ACL), у тому числі стандартні, розширені, пронумеровані. Інші технології стали доступними на при кінці 1990-х років. Міжмережні екрани зі станом почали використовувати таблиці для відстеження в режимі реального часу стану сесій. Перші брандмауери зі станом використовували опцію “TCP established” для ACL. Пізніше, почали використовувати рефлексивні списки контролю доступу, щоб динамічно відображати трафік певного типу на трафік відповіді, який йде у зворотному напрямі на обмежений період часу. Time-based ACLs були створені, щоб застосовувати списки контролю доступу у певні часи доби та певні дні тижня.
Дизайн сучасної мережі має містити один чи декілька правильно розміщених брандмауерів, щоб захистити ті ресурси, які мають бути захищені, дозволяючи безпечний доступ до тих ресурсів, які мають залишатися доступними.
6.1 Списки контролю доступу
Списки контролю доступу широко використовуються в комп'ютерних мережах для попередження мережних атак і контролю мережного трафіку. Адміністратори використовують ACL для визначення і контролю класів трафіку на мережених пристроях, базуючись на параметрах, специфічних для рівнів 2, 3, 4, 7 моделі OSI.
Практично будь-який тип трафіку може бути визначений явно за допомогою відповідним чином пронумерованих ACL. Наприклад, ACL з номером 700799 може бути використаний для блокування клієнта з конкретною MACадресою від з’єднання з заданою точкою доступу.
Сьогодні, при класифікації трафіку, найбільш поширеними параметрами, які використовуються в ACL, є IPv4 і IPv6-адреси та номери портів TCP і UDP. Наприклад, ACL може дозволити всім користувачам з певною IP-адресою мережі завантажувати файли з мережі Інтернет, використовуючи протокол FTP.
6.1.1 Нумеровані стандартні та розширені ІР ACL Стандартні списки контролю доступу
Списки ACL з номерами 1-99 або 1300-1999 є стандартними для IPv4 та IPv6. Стандартні списки контролю доступу порівнюють пакети, досліджуючи в IP заголовку поле IP-адреси джерела пакету. Ці списки ACL використовуються
52
для фільтрації пакетів виключно на основі інформації рівня 3 про джерело інформації.
Синтаксис команди для конфігурування стандартного нумерованого IPACL виглядає наступним чином:
Router(config)# access-list { acl-# } { permit | deny | remark } source-addr [ source-wildcard ][ log ]
acl-# визначає номер ACL. Друге значення визначає, слід дозволити або заборонити трафік з налаштованої IP-адреси джерела. Третє значення – це IPадреса джерела, яка має контролюватися. Четверте значення – це інвертована маска, яку потрібно застосувати до налаштованої IP-адреси, щоб вказати діапазон адрес. Параметр log може бути доданий на при кінці запису ACL, щоб вказати, що має бути створене інформаційне повідомлення журналу кожного разу, коли спрацьовує це правило.
Розширені списки контролю доступу
Розширені списки контролю доступу перевіряють пакети, базуючись на інформації рівня 3 і рівня 4 про джерело інформації і місце її призначення. Інформація рівня 4 може містити інформацію про порти ТCP та UDP. Розширені списки контролю доступу надають більшої гнучкості і контролю над мережним доступом, ніж стандартні ACL. Синтаксис команди для конфігурування розширеного пронумерованого IP ACL виглядає наступним чином:
Router(config)# access-list { acl-# } { permit | deny | remark } protocol source-addr [ source-wildcard ] [ operator operand ] destination-addr [ destination-wildcard ] [ operator operand ] [ established ][ log ]
Подібно до стандартних списків ACL, acl-# визначає номер ACL. Списки ACL з номерами 100-199 або 2000-2699 є розширеними списками ACL. Наступне значення вказує, слід дозволити пакет чи заборонити відповідно до критеріїв, які вказані далі. Третє значення вказує тип протоколу. Адміністратор повинен вказати IP, TCP, UDP, або інші специфічні протоколи. Далі іде IP-адреса і інвертована маска для джерела, IP-адреса та маска кінцевого місця призначення мережного трафіку. Параметри портів визначаються як додаткові, якщо адміністратор не вказав порт за номером або за добре відомим ім'ям порту, всі рухи в цьому напряму будуть заборонені, або дозволені.
Всі списки ACL на при кінці мають неявну заборону, це означає, що якщо пакет не відповідає жодному з критеріїв, зазначених у ACL, пакет буде знищений. Після створення ACL, включіть щонайменше одне дозвільне правило; в іншому випадку, весь трафік буде відкинутий на тому інтерфейсі, до якого ACL був застосований.
Як стандартні, так і розширені списки ACL можуть бути використані для опису пакетів, які входять і виходять з інтерфейсу. Список досліджується послідовно. При першому співпаданні запису, зупиняється пошук по списку і визначаються дії, які необхідно виконати.
53
Після створення стандартного або розширеного ACL, адміністратор повинен застосувати його до відповідного інтерфейсу. Для цього використовується наступна команда:
Router(config-if)# ip access-group access-list-number { in | out }
6.1.2 Іменовані стандартні та розширені ІР ACL
Можна створити іменований ACL замість нумерованого. Іменовані списки ACL повинні бути зазначені як стандартний або розширений.
Router(config)# ip access-list [ standard | extended ] name_of_ACL
Виконання цієї команди переводить нас в режим конфігурування ACL, де можна вводити команди на дозвіл або заборону трафіку, використовуючи такий самий синтаксис, як для нумерованих IP ACL.
Для стандартних ACL можна використовувати правила дозволу або заборони трафіку:
Router(config-std-nacl)# deny { source [source-wildcard] | any } Router(config-std-nacl)# permit { source [sourcewildcard] | any}
Розширений іменований ACL пропонує додаткові параметри:
Router(config-ext-nacl)# { permit | deny } protocol source-addr
[source-wildcard] [ operator operand ] destination-addr [destina- tion-mask ] [ operator operand ] [ established ]
Після створення ACL адміністратор активує ACL на інтерфейсі, вказавши в команді ім’я ACL:
Router(config-if)# ip access-group access-list-name { in | out }
ACL також може бути використаний для дозволу або заборони з певних IP-адрес віртуального доступу через vty лінії. Стандартні списки контролю доступу дозволяють обмежити IP-адреси джерел. Розширений ACL додатково дозволяє обмежити протокол доступу, наприклад порт 23 (Telnet) або порт 22
(SSH).
Щоб застосувати ACL до vty ліній, використовують команду:
Router(config-line)# access-class access-list-name { in | out }
6.1.3 Записи ІР ACL
Використання ACL для створення записів журналу
Наприкінці ACL запису можна налаштувати log параметр:
R1(config) # access-list 101 permit tcp 192.168.1.0 0.0.0.255
192.168.2.0 0.0.0.255 eq 22 log
Якщо цей параметр налаштований, Cisco IOS порівнює пакети з записами в ACL і в разі збігу, маршрутизатор реєструє цю інформацію в будь-якому дозволеному для цього місці. Протоколювання може відбуватися на консоль, до внутрішнього буферу маршрутизатора або на Syslog сервер. Записуються наступні елементи інформації:
Action - Permit або deny. 
Protocol - TCP, UDP, або ICMP.
54
Source and destination - IPv4 або IPv6 адреси джерела та місця призначення.
TCP and UDP – номери портів джерела та місця призначення.
For ICMP – типи повідомлень.
Повідомлення журналу генеруються при співпаданні першого пакету, а потім з інтервалом п'ять хвилин.
Включення параметру ведення журналу на маршрутизаторі або комутаторі серйозно впливає на продуктивність цього пристрою. Параметр ведення журналу слід використовувати тільки тоді, коли мережа знаходиться під атакою, і адміністратор намагається визначити, хто зловмисник.
Застереження при роботі з ACL
Неявне deny all – на при кінці списку контролю доступу присутній неявний запис deny all. Навіть якщо це твердження не є очевидним в ACL, воно присутнє.
Фільтрація за допомогою стандартних ACL - списки контролю досту-
пу - стандартні ACL мають обмежені можливості фільтрації пакетів на основі тільки ІР-адреси джерела. Можливо доведеться створити розширені списки контролю доступу, щоб в повній мірі реалізувати політику безпеки.
Порядок записів в ACL – використовується політика першого співпадання. Коли пакет відповідає запису, список більше не розглядається. Деякі записи в ACL є більш конкретними, ніж інші, вони мають бути розміщені вище в ACL. Адміністратор повинен забезпечити, щоб записи в верхній частині ACL не відкидали будь-які записи, знайдені нижче.
Спрямована фільтрація - ACL мають спрямований фільтр, який визначає, які розглядати пакети, вхідні чи вихідні. Адміністратор повинен перевірити в якому напрямку ACL фільтрує дані.
Модифікація ACL - маршрутизатор порівнює пакети, розглядаючи записи в ACL зверху вниз. Коли нові записи додаються до ACL, вони, за замовчуванням, додаються до нижньої частини списку. Це може призвести до того, що нові записи не будуть використовуватися, якщо попередній запис є більш загальним. Коли новий запис робить ACL непридатним, потрібно створити новий ACL з правильним упорядкуванням операторів. Старий ACL потрібно видалити, і новий ACL призначити на інтерфейс маршрутизатора. При використанні Cisco IOS Release 12.3 і пізнішої версії, для додавання записів у правильне місце списку можуть бути використані номери записів.
Спеціальні пакети – пакети, які генеруються маршрутизатором, такі як оновлення таблиці маршрутизації, не досліджуються вихідними ACL на цьому ж маршрутизаторі. Якщо політика безпеки вимагає фільтрації пакетів такого типу, фільтрація має бути передбачена в ACL на сусідніх маршрутизаторах.
55
Редагування розширених ACL
Після створення і застосування ACL, редагування їх вимагає особливої уваги. До версії IOS 12.3, видалення певного запису з пронумерованого ACL призводило до видалення всього ACL.
В Cisco IOS версії 12.3 і вище, з використанням порядкових номерів, можна видалити певні записи зі стандартних і розширених ACL, без видалення всього ACL. Крім того, можна додавати нові записи до списку, розташовуючи їх в потрібному місці ACL.
Для зворотної сумісності з попередніми версіями, якщо використовуються записи без порядкових номерів, то першому запису присвоюється послідовний номер 10, і номери наступних записів автоматично збільшуються на 10. Якщо послідовний номер для нового запису не вказаний, маршрутизатор розміщує запис в нижній частині списку і присвоює йому відповідний порядковий номер.
Порядок розбору стандартного ACL маршрутизатором
Для стандартних списків доступу, Cisco IOS додає нові записи за спаданням IP-адрес, незалежно від послідовного номера. Таким чином, послідовний номер в стандартному ACL використовується для ідентифікації запису, який потрібно видалити.
Усі записи, незалежно від того, в якій послідовності вони були введені, будуть розміщені в порядку зменшення IP-адрес, від конкретних до загальних.
Для стандартних списків доступу, Cisco IOS застосовує внутрішню логіку для конфігурації записів і перевірки ACL. Записи для хостів, в яких задані конкретні адреси IPv4, будуть попереду, але не обов'язково в тому порядку, як вони були введені. Це робиться з метою оптимізації пошуку записів для хостів. Записи для мережі знаходяться нижче і в тому порядку, в якому вони були введені.
З цієї ж причини внутрішня логіка IOS для стандартних ACL не дозволить вам налаштувати запис, якщо він є підмножиною попереднього запису.
Під час перегляду ACL звертаєш увагу на те, що номери записів вказують на порядок, в якому вони були введені, а не на порядок, в якому вони будуть перевірятися. Після перезавантаження маршрутизатора номери записів в ACL оновлюються і відповідають порядку обробки записів.
6.1.4 Топологія і потоки для ACL
Напрямок руху трафіку через мережний пристрій визначається як вхідний чи вихідний на інтерфейсі.
Вхідний трафік - це трафік, який входить на маршрутизатор, він контролюється ACL до того, як здійснюється доступ до таблиці маршрутизації.
Вихідний трафік – це трафік, який вже увійшов до маршрутизатора і був ним оброблений для визначення, куди направляти ці дані. Перед тим, як дані будуть відправлені з інтерфейсу, вони розглядаються його вихідним ACL.
56
Залежно від типу пристрою і типу налаштованого ACL, може також динамічно відстежуватися зворотний трафік.
Розміщення ACL
Розміщення ACL так само важливо, як і напрямок його застосування. Розміщення залежить від типу ACL.
Розташування стандартного ACL - стандартні списки контролю доступу розміщують якомога ближче до місця призначення. Стандартні ACLs фільтрують пакети тільки на основі адреси джерела. Розміщення цих списків управління доступом занадто близько до джерела може негативно вплинути на інші пакети, забороняючи весь трафік, в тому числі і потрібний.
Розташування розширеного ACL – розширені списки контролю доступу розташовують на маршрутизаторах якомога ближче до джерела трафіку. Розміщення розширених списків ACL занадто далеко від джерела призводить до неефективного використання мережних ресурсів. Наприклад, пакети можуть подолати довгий шлях тільки для того, щоб бути знищеними.
6.2 Міжмережні екрани
Термін брандмауер (firewall, міжмережний екран) спочатку стосувався стін, як правило, зроблених з каменю або металу, які могли завадити полум'ю поширитися на інші приміщення. Пізніше термін брандмауер був застосований до металевого листа, який відділяв моторне відділення транспортного засобу або повітряного судна від салону. Зрештою цей термін був пристосований для використання в комп'ютерних мережах: брандмауер запобігає входу небажаного трафіку в певну область мережі.
Брандмауер – це система або група систем, які визначають політику управління доступом між мережами.
Міжмережні екрани різні в різних організаціях, але всі вони мають деякі загальні властивості:
Вони стійкі до атак.
Вони є тільки транзитним пунктом між мережами, весь трафік проходить через брандмауер.
Вони реалізують політику управління доступом.
У 1988 році компанія DEC розробила перший мережний брандмауер у вигляді брандмауера фільтрації пакетів. Ці ранні брандмауери перевіряли пакети, щоб побачити чи відповідають вони набору правил, з можливістю передачі їх далі, або знищення. Цей тип фільтрації пакетів, відомий як фільтрація без урахування стану, відбувається незалежно від того, чи є пакет частиною існуючого потоку даних. Кожен пакет фільтруєть виключно на основі значень деяких параметрів в заголовку пакета.
У 1989 році AT & T Bell Laboratories розробили перший брандмауер з урахуванням стану (stateful firewall). Такі брандмауери здатні визначити, якщо пакет належить існуючому потоку даних. Статичні брандмауери пакетної філь-
57
трації доповнюються динамічними правилами, які створюються в режимі реального часу, щоб визначити ці активні потоки. Брандмауери з підтримкою стану допомагають пом'якшити DoS атаки.
Перші брандмауери не були автономними пристроями, використовувалися маршрутизатори або сервери з ПЗ, яке додавало їм функціональність брандмауера. З часом, кілька компаній розробили автономні брандмауери. Відокремлені пристрої брандмауера дозволяють розвантажити пам'ять і процесор маршрутизаторів і комутаторів. Сучасні маршрутизатори, такі як маршрутизатори з інтегрованими сервісами (ISR), також можуть бути використаний як міжмережні екрани для організацій, які не можуть дозволити собі мати відокремлений брандмауер.
6.2.1Переваги та обмеження міжмережних екранів
Єдекілька переваг використання брандмауера в мережі:
Попереджає вплив ненадійних користувачів на чутливі хости та додатки.
Потік даних протоколу може бути контрольований, що дозволяє запобігати експлуатації недоліків протоколу.
Можуть бути заблоковані шкідливі дані від серверів і клієнтів.
Реалізація політики безпеки може бути виконана просто, масштабовано і надійно з правильно налаштованим брандмауером.
Міжмережні екрани також мають певні обмеження:
Неправильно налаштований міжмережний екран може мати серйозні наслідки, такі як єдина точка відмови.
Дані з багатьох застосунків не можуть бути передані через брандмауери надійно.
Люди можуть активно шукати шляхи обійти брандмауер, щоб отримати доступ до заборонених об’єктів, підставляючи мережу потенційній атаці.
Продуктивність мережі може знизитися.
Несанкціонований трафік може бути тунельним або приховуватися як легітимний при проходженні через брандмауер.
Важливо мати уявлення про різні типи брандмауерів і їх конкретні можливості, щоб правильно обрати брандмауер для кожної конкретної ситуації.
6.2.2 Типи брандмауерів
Система брандмауера може складатися з безлічі різних пристроїв і компонентів. Зазвичай більшість людей брандмауером називають пристрій, який виконує функцію фільтрації трафіку. Найбільш поширеними є наступні типи брандмауерів:
Брандмауер пакетної фільтрації - це зазвичай маршрутизатор з можливістю фільтрації пакетів рівня 3, а іноді і рівня 4 OSI.
58
Stateful Firewall - контролює стан з'єднання, чи в стадії ініціації, чи передачі даних, чи припинення.
Брандмауер прикладного шлюзу (proxy firewall) - міжмережний екран,
який фільтрує інформацію на рівнях 3, 4, 5, і 7 еталонної моделі OSI. Велика частина функцій контролю і фільтрації виконується в програмному забезпеченні.
NAT брандмауер – міжмережний екран, який розширює кількість доступних IP-адрес і приховує адресний дизайн мережі .
Інші способи реалізації брандмауера:
Host-based firewall - ПК або сервер з ПЗ брандмауера, яке на ньому пра-
цює.
Прозорий міжмережевий екран - брандмауер, який фільтрує IP трафік між парою інтерфейсів моста.
Гібридний брандмауер - брандмауер, який є поєднанням різних типів брандмауерів.
Брандмауер пакетної фільтрації
Брандмауери пакетної фільтрації працюють в основному на мережному рівні моделі OSI. Міжмережні екрани, як правило, вважаються пристроями рівня 3. Тим не менш, вони можуть також дозволити або заборонити трафік на основі інформації рівня 4, такої як протокол, а також номери портів джерела і одержувача. Фільтрація пакетів використовує списки ACL, щоб визначити, слід дозволити або заборонити трафік, базуючись на IP-адресах джерела та призначення, протоколі, номерах портів джерела і призначення, і типах пакетів.
Сервіси надаються на певних портах. Наприклад, сервери SMTP прослуховують порт 25 за замовчуванням. Обмежуючи певні порти, адміністратор може обмежити сервіси, які відповідають цим портам.
Брандмауер фільтрації пакетів використовує простий перегляд таблиці політик, які дозволяють або забороняють трафік на основі певних критеріїв:
IP-адреса джерела. IP-адреса призначення. Протокол.
Номер порту джерела. Номер порту призначення.
Прапор синхронізації (SYN) в пакеті.
Нижче наведені деякі переваги використання брандмауера пакетної фільтрації:
Прості набори правил можуть бути використані для реалізації пакетного фільтра.
Пакетні фільтри мають низький вплив на продуктивність мережі.
Пакетні фільтри легко реалізувати, вони підтримуються більшістю маршрутизаторів.
59