Security (Лекции по информационной безопасности), страница 7

PDF-файл Security (Лекции по информационной безопасности), страница 7 Информационное обеспечение разработок (13026): Лекции - 11 семестр (3 семестр магистратуры)Security (Лекции по информационной безопасности) - PDF, страница 7 (13026) - СтудИзба2017-12-21СтудИзба

Описание файла

Файл "Security" внутри архива находится в папке "Лекции по информационной безопасности". PDF-файл из архива "Лекции по информационной безопасности", который расположен в категории "". Всё это находится в предмете "информационное обеспечение разработок" из 11 семестр (3 семестр магистратуры), которые можно найти в файловом архиве МГТУ им. Н.Э.Баумана. Не смотря на прямую связь этого архива с МГТУ им. Н.Э.Баумана, его также можно найти и в других разделах. Архив можно найти в разделе "лекции и семинары", в предмете "информационное обеспечение разработок и исследований" в общих файлах.

Просмотр PDF-файла онлайн

Текст 7 страницы из PDF

(BBN) для военной сети Military Network (MILNET). Компания Cisco несколько раз совершенствовала и расширяла протокол TACACS, и в результатепоявилась ее собственная версия TACACS, известная как TACACS+.TACACS+ пользуется транспортным протоколом TCP. «Демон» сервера «слушает» порт 49, который является портом протокола IP, выделенным для протокола TACACS. Этот порт зарезервирован для выде-13ленных номеров RFC в протоколах UDP и TCP. Все текущие версии TACACS и расширенные вариантыэтого протокола используют порт 49.Протокол TACACS+ работает по технологии клиент/сервер, где клиентом TACACS+ обычно являетсяNAS, а сервером TACACS+, как правило, считается «демон» (процесс, запускаемый на машине UNIXили NT). Фундаментальным структурным компонентом протокола TACACS+ является разделение аутентификации, авторизации и учета (AAA — Authentication, Authorization, Accounting).

Это позволяет обмениваться аутентификационными сообщениями любой длины и содержания, и, следовательно, использовать для клиентов TACACS+ любой аутентификационный механизм, в том числе PPP PAP, PPP CHAP,аппаратные карты и Kerberos. Аутентификация не является обязательной. Она рассматривается как опция, которая конфигурируется на месте. В некоторых местах она вообще не требуется, в других местахона может применяться лишь для ограниченного набора услуг.Авторизация — это процесс определения действий, которые позволены данному пользователю. Обычноаутентификация предшествует авторизации, однако это необязательно. В запросе на авторизацию можно указать, что аутентификация пользователя не проведена (личность пользователя не доказана).

В этомслучае лицо, отвечающее за авторизацию, должно самостоятельно решить, допускать такого пользователя к запрашиваемым услугам или нет. Протокол TACACS+ допускает только положительную или отрицательную авторизацию, однако этот результат допускает настройку на потребности конкретного заказчика. Авторизация может проводиться на разных этапах, например, когда пользователь впервые входитв сеть и хочет открыть графический интерфейс или когда пользователь запускает PPP и пытается использовать поверх PPP протокол IP с конкретным адресом IP. В этих случаях «демон» сервера TACACS+ может разрешить предоставление услуг, но наложить ограничения по времени или потребовать список доступа IP для канала PPP.14Учет обычно следует за аутентификацией и авторизацией. Учет представляет собой запись действийпользователя.

В системе TACACS+ учет может выполнять две задачи. Во-первых, он может использоваться для учета использованных услуг (например, для выставления счетов). Во-вторых, его можно использовать в целях безопасности. Для этого TACACS+ поддерживает три типа учетных записей.

Записи«старт» указывают, что услуга должна быть запущена. Записи «стоп» говорят о том, что услуга только чтоокончилась. Записи «обновление» (update) являются промежуточными и указывают на то, что услуга всееще предоставляется. Учетные записи TACACS+ содержат всю информацию, которая используется входе авторизации, а также другие данные, такие как время начала и окончания (если это необходимо) иданные об использовании ресурсов.Транзакции между клиентом TACACS+ и сервером TACACS+ идентифицируются с помощью общего«секрета», который никогда не передается по каналам связи.

Обычно этот секрет вручную устанавливается на сервере и на клиенте. TACACS+ можно настроить на шифрование всего трафика, который передается между клиентом TACACS+ и демоном сервера TACACS+.На рисунке 17 показано взаимодействие между пользователем, с одной стороны, и клиентом и серверомTACACS+, с другой.1.

èÓθÁÓ‚‡ÚÂθ ËÌˈËËÛÂÚ ÒÓ‰ËÌÂÌË êêê Ò ÒÂ‚ÂÓωÓÒÚÛÔ‡.2. ëÂ‚Â ‰ÓÒÚÛÔ‡ Á‡Ô‡¯Ë‚‡ÂÚ Û ÔÓθÁÓ‚‡ÚÂÎfl ËÏfl Ë Ô‡Óθ.3. èÓθÁÓ‚‡ÚÂθ Óڂ˜‡ÂÚ Ì‡ Á‡ÔÓÒ.4. äÎËÂÌÚ TACACS+ ÔÓÒ˚·ÂÚ Á‡¯ËÙÓ‚‡ÌÌ˚È Ô‡ÍÂÚ ÒÂ‚ÂÛTACACS+.5. ëÂ‚Â TACACS+ ÒÓÓ·˘‡ÂÚ ÂÁÛθڇÚ˚ ˉÂÌÚËÙË͇ˆËË.6. äÎËÂÌÚ Ë ÒÂ‚Â Ó·ÏÂÌË‚‡˛ÚÒfl ‡‚ÚÓËÁÓ‚‡ÌÌÓÈËÌÙÓχˆËÂÈ.7. äÎËÂÌÚ TACACS+ Ó·‡·‡Ú˚‚‡ÂÚ Ô‡‡ÏÂÚ˚, ÔÓÎÛ˜ÂÌÌ˚ ‚Ó‚ÂÏfl ‡‚ÚÓËÁ‡ˆËË.êËÒÛÌÓÍ 17.

ÇÁ‡ËÏÓ‰ÂÈÒÚ‚Ë ÏÂÊ‰Û ÔÓθÁÓ‚‡ÚÂÎÂÏ Ë ÒËÒÚÂÏÓÈ TACACS+В ходе аутентификации TACACS+ используются пакеты трех типов: START, CONTINUE и REPLY.START и CONTINUE всегда отправляются клиентом, а REPLY всегда отправляется сервером.Аутентификация начинается, когда клиент отправляет серверу сообщение START. Сообщение STARTописывает тип будущей аутентификации и может содержать имя пользователя и некоторыеаутентификационные данные. Пакет START отправляется только в качестве первого сообщения аутентификационной сессии TACACS+или сразу же после повторного запуска этойсессии.

(Повторный запуск может проводитьсяпо просьбе сервера, которая содержится в пакете REPLY.) Пакет START всегда имеет порядковый номер, равный единице.В ответ на пакет START сервер отправляет пакет REPLY. Сообщение REPLY указывает, завершилась ли аутентификация или ее следуетпродолжить. Если пакет REPLY требует продолжения аутентификации, он также указывает,какую дополнительную информацию ему нужно предоставить. Клиент собирает эту информацию и отправляет ее серверу в сообщенииCONTINUE.По завершении аутентификации клиент можетначать процесс авторизации (если она требуется). Сессия авторизации состоит из двух сообщений: сообщения REQUEST (запрос) и следующегоза ним сообщения RESPONSE (ответ).

Сообщение REQUEST содержит фиксированное количество полей, которые описывают пользователя илипроцесс, и переменный набор аргументов, которые описывают услуги и опции, требующие авторизации.êËÒÛÌÓÍ 18. èÓˆÂÒÒ ‡ÛÚÂÌÚËÙË͇ˆËË TACACS+êËÒÛÌÓÍ 19. èÓˆÂÒÒ ‡‚ÚÓËÁ‡ˆËË TACACS+На рисунках 18 и 19 показаны процессы аутентификации и авторизации TACACS+.RADIUSПротокол RADIUS был разработан компанией Livingston Enterprises, Inc. в качестве протокола аутентификации серверного доступа и учета.

В июне 1996 года пятый проектный вариант протокола RADIUS былпредставлен на рассмотрение IETF. В настоящее время спецификация RADIUS (RFC 2058) и стандарт учета RADIUS (RFC 2059) предложены для утверждения в качестве общепринятых стандартов.Связь между NAS и сервером RADIUS основана на UDP. В целом считается, что протокол RADIUS не имеет отношения к подключению. Все вопросы, связанные с доступностью сервера, повторной передачейданных и отключениями по истечении времени ожидания, контролируются устройствами, работающими под управлением протокола RADIUS, но не самим протоколом передачи.Протокол RADIUS основан на технологии клиент/сервер. Клиентом RADIUS обычно является NAS, а сервером RADIUS считается «демон», работающий на машине UNIX или NT.

Клиент передает пользовательскую информацию на определенные серверы RADIUS, а затем действует в соответствии с полученнымиот сервера инструкциями. Серверы RADIUS принимают запросы пользователей на подключение, проводят аутентификацию пользователей, а затем отправляют всю конфигурационную информацию, котораянеобходима клиенту для обслуживания пользователя.

Для других серверов RADIUS или аутентификационных серверов других типов сервер RADIUS может выступать в роли клиента-посредника (proxy).На рисунке 20 показано взаимодействие между пользователем, с одной стороны, и клиентом и серверомRADIUS, с другой.Сервер RADIUS может поддерживать разные методы аутентификации пользователя. Если пользовательпредоставит ему свое имя и оригинальный пароль, этот сервер может поддержать PPP PAP или CHAP,UNIX login и другие механизмы аутентификации. Обычно регистрация пользователя состоит из запроса(Access Request), который поступает из NAS на сервер RADIUS, и соответствующего ответа (положительного или отрицательного), который дает сервер.

Пакет Access Request содержит имя пользователя, зашифрованный пароль, IP-адрес системы NAS и номер порта. Формат запроса дает возможность пользователю запросить определенный тип сессии. Например, если запрос производится в алфавитно-цифровом режиме, из этого следует, что запрашивается услуга одного типа («Service-Type = Exec-User»), но если запрос делается в пакетном режиме PPP, значит услуга должна быть другой («Service Type = FramedUser» или «Framed Type = PPP»).151. èÓθÁÓ‚‡ÚÂθ ËÌˈËËÛÂÚ ÒÓ‰ËÌÂÌË êêê Ò ÒÂ‚ÂÓωÓÒÚÛÔ‡.2.

ëÂ‚Â ‰ÓÒÚÛÔ‡ Á‡Ô‡¯Ë‚‡ÂÚ Û ÔÓθÁÓ‚‡ÚÂÎfl ËÏfl Ë Ô‡Óθ.3. èÓθÁÓ‚‡ÚÂθ Óڂ˜‡ÂÚ Ì‡ Á‡ÔÓÒ.4. äÎËÂÌÚ RADIUS ÔÓÒ˚·ÂÚ ËÏfl ÔÓθÁÓ‚‡ÚÂÎfl ËÁ‡¯ËÙÓ‚‡ÌÌ˚È Ô‡Óθ ÒÂ‚ÂÛ RADIUS.5. ëÂ‚Â RADIUS Óڂ˜‡ÂÚ ÒÓÓ·˘ÂÌËflÏË Accept, Reject ËÎËChallenge.6. äÎËÂÌÚ RADIUS Ó·‡·‡Ú˚‚‡ÂÚ Ô‡‡ÏÂÚ˚, ÔÓÎÛ˜ÂÌÌ˚ ÓÚÒÂ‚Â‡, ‚ÏÂÒÚÂ Ò ÒÓÓ·˘ÂÌËflÏË Accept, Reject ËÎË Challenge.êËÒÛÌÓÍ 20. ÇÁ‡ËÏÓ‰ÂÈÒÚ‚Ë ÏÂÊ‰Û ÔÓθÁÓ‚‡ÚÂÎÂÏ Ë ÒËÒÚÂÏÓÈ RADIUSКогда сервер RADIUS получает от NAS запрос Access Request, он проводит поиск указанного имени пользователя в базе данных. Если в базе данных такого имени нет, то сервер загружает стандартный профиль,используемый по умолчанию, или отправляет пользователю отрицательный ответ.

Этот отрицательныйответ может при необходимости сопровождаться текстом, поясняющим причины отказа.16В системе RADIUS функции аутентификации и авторизации совмещены. Если имя пользователя найдено в базе данных и если пароль указан правильно, сервер RADIUS дает положительный ответ, в которомприводится список пар атрибутов для данной сессии. Типичными параметрами этого типа являются типуслуги (shell или framed), тип протокола, адрес IP, присваиваемый пользователю (статический или динамический), список объектов доступа или статический маршрут, который необходимо добавить в таблицумаршрутизации NAS.

Свежие статьи
Популярно сейчас
А знаете ли Вы, что из года в год задания практически не меняются? Математика, преподаваемая в учебных заведениях, никак не менялась минимум 30 лет. Найдите нужный учебный материал на СтудИзбе!
Ответы на популярные вопросы
Да! Наши авторы собирают и выкладывают те работы, которые сдаются в Вашем учебном заведении ежегодно и уже проверены преподавателями.
Да! У нас любой человек может выложить любую учебную работу и зарабатывать на её продажах! Но каждый учебный материал публикуется только после тщательной проверки администрацией.
Вернём деньги! А если быть более точными, то автору даётся немного времени на исправление, а если не исправит или выйдет время, то вернём деньги в полном объёме!
Да! На равне с готовыми студенческими работами у нас продаются услуги. Цены на услуги видны сразу, то есть Вам нужно только указать параметры и сразу можно оплачивать.
Отзывы студентов
Ставлю 10/10
Все нравится, очень удобный сайт, помогает в учебе. Кроме этого, можно заработать самому, выставляя готовые учебные материалы на продажу здесь. Рейтинги и отзывы на преподавателей очень помогают сориентироваться в начале нового семестра. Спасибо за такую функцию. Ставлю максимальную оценку.
Лучшая платформа для успешной сдачи сессии
Познакомился со СтудИзбой благодаря своему другу, очень нравится интерфейс, количество доступных файлов, цена, в общем, все прекрасно. Даже сам продаю какие-то свои работы.
Студизба ван лав ❤
Очень офигенный сайт для студентов. Много полезных учебных материалов. Пользуюсь студизбой с октября 2021 года. Серьёзных нареканий нет. Хотелось бы, что бы ввели подписочную модель и сделали материалы дешевле 300 рублей в рамках подписки бесплатными.
Отличный сайт
Лично меня всё устраивает - и покупка, и продажа; и цены, и возможность предпросмотра куска файла, и обилие бесплатных файлов (в подборках по авторам, читай, ВУЗам и факультетам). Есть определённые баги, но всё решаемо, да и администраторы реагируют в течение суток.
Маленький отзыв о большом помощнике!
Студизба спасает в те моменты, когда сроки горят, а работ накопилось достаточно. Довольно удобный сайт с простой навигацией и огромным количеством материалов.
Студ. Изба как крупнейший сборник работ для студентов
Тут дофига бывает всего полезного. Печально, что бывают предметы по которым даже одного бесплатного решения нет, но это скорее вопрос к студентам. В остальном всё здорово.
Спасательный островок
Если уже не успеваешь разобраться или застрял на каком-то задание поможет тебе быстро и недорого решить твою проблему.
Всё и так отлично
Всё очень удобно. Особенно круто, что есть система бонусов и можно выводить остатки денег. Очень много качественных бесплатных файлов.
Отзыв о системе "Студизба"
Отличная платформа для распространения работ, востребованных студентами. Хорошо налаженная и качественная работа сайта, огромная база заданий и аудитория.
Отличный помощник
Отличный сайт с кучей полезных файлов, позволяющий найти много методичек / учебников / отзывов о вузах и преподователях.
Отлично помогает студентам в любой момент для решения трудных и незамедлительных задач
Хотелось бы больше конкретной информации о преподавателях. А так в принципе хороший сайт, всегда им пользуюсь и ни разу не было желания прекратить. Хороший сайт для помощи студентам, удобный и приятный интерфейс. Из недостатков можно выделить только отсутствия небольшого количества файлов.
Спасибо за шикарный сайт
Великолепный сайт на котором студент за не большие деньги может найти помощь с дз, проектами курсовыми, лабораторными, а также узнать отзывы на преподавателей и бесплатно скачать пособия.
Популярные преподаватели
Нашёл ошибку?
Или хочешь предложить что-то улучшить на этой странице? Напиши об этом и получи бонус!
Бонус рассчитывается индивидуально в каждом случае и может быть в виде баллов или бесплатной услуги от студизбы.
Предложить исправление
Добавляйте материалы
и зарабатывайте!
Продажи идут автоматически
4980
Авторов
на СтудИзбе
471
Средний доход
с одного платного файла
Обучение Подробнее