logo
Программа Сетевой академии Cisco CCNA 3 и 4 (Вс

Обеспечение безопасности соединений удаленного доступа

Обеспечение безопасности при удаленном доступе является критически важным. Оно должно включать в себя технологии использования брандмауэров, физическую безопасность, механизмы аутентификации и авторизации, возможности аудита и, возможно, шифрование данных. Для обеспечения безопасности при удаленном дос­тупе наиболее важны функции аутентификации и авторизации. В этой сфере целе­сообразно также использование одноразовых паролей и карт безопасности.

Удаленные пользователи и удаленные маршрутизаторы, использующие протокол “точка-точка” (Point-to-Point Protocol— PPP) должны проходить аутентификацию с помощью протокола CHAP (Challenge Handshake Authentication Protocol — CHAP). Про­токол аутентификации по паролю (Password Authentication Protocol — PAP) обеспечивает меньший уровень безопасности и его использование не рекомендуется. Другим вариан­том осуществления аутентификации, авторизации и учета является использование про­токола аутентификации пользователя при удаленном доступе (Remote Authentication Dial-In User ServerRADIUS). Корпорация Livingston, Inc. разработала протокол RADIUS не­сколько лет назад; за прошедшее время он стал промышленным стандартом и описан в спецификациях RFC 2138 и RFC 2856.

Протокол RADIUS предоставляет сетевому администратору возможность под­держивать централизованную базу данных, содержащую информацию о пользовате­лях. Эта база данных содержит информацию аутентификации и конфигурирования и определяет типы служб, которые разрешены пользователю (например, PPP, Telnet, rlogin и т.д.). RADIUS является протоколом типа “клиент/сервер”. Сервер доступа выступает в качестве клиента RADIUS-сервера.

Службы удаленного доступа должны строго контролироваться. Пользователям не должно быть разрешено самостоятельно подсоединять к своим рабочим станциям или серверам сети модемы (некоторые компании действительно увольняют сотрудников, которые делают это). Полезно иметь только одну точку входа в сеть для удаленного доступа (например, отдельный крупный модемный пул или сервер доступа), с тем, чтобы все пользователи проходили аутентификацию одним и тем же образом. Для всех служб выхода из сети во внешнюю среду следует использовать другой набор модемов. Как при входе в сеть, так и при выходе из нее во внешнюю среду соответствующие службы должны включать в себя функцию аутентификации.

Если модемы и серверы доступа поддерживают службу обратного вызова (callback), а большинство обладают такой функцией, то эту службу следует использовать при уда­ленном доступе. При использовании службы обратного вызова после того, как пользо­ватель входит в сеть и проходит аутентификацию, система отключает этот вызов и сама выполняет обратный вызов на указанный номер. Использование обратного вызова це­лесообразно потому что система выполняет его в отношении реального пользователя, а не возможного хакера, который маскируется под пользователя. Однако обратный вы­зов легко может быть сфальсифицирован, поэтому он не должен быть единственным механизмом обеспечения безопасности.

Распространение ложной информации является функцией обеспечения безопасности, которая предотвращает ситуацию, когда третья сторона может доказать, что между двумя другими сторонами имеет место сеанс связи. Использование этой функции желательно в тех случаях, когда нежелательно слежение за сеансом связи. Строгое слежение имеет прямо противопо­ложный смысл: в этом случае третья сторона может доказать, что между двумя другими сто­ронами имеет место сеанс связи. Строгое слежение желательно использовать в тех случаях, если требуется проследить за сеансом связи и доказать, что он имел место.

Многие аспекты операционной безопасности в сетях удаленного доступа выходят за рамки этой книги. Достаточно сказать, что модемы и серверы доступа должны быть тщательно сконфигурированы и защищены от хакеров, которые могут попы­таться реконфигурировать их. Модемы должны быть запрограммированы на возврат к стандартной конфигурации в начале и конце каждого вызова, а модемы и серверы доступа должны закрывать вызов так, чтобы от него не оставалось последствий. Сер­веры должны отключать пользователя от сети, если он неожиданно прерывает связь.