|
Muhammad al-xorazmiy nomidagi toshkent axborot texnologiyalari universiteti kiberxavfsizlik asoslari
|
Sana | 05.01.2024 | Hajmi | 196,7 Kb. | | #130442 |
Bog'liq mustaqil ish
O’ZBEKISTON RESPUBLIKASI RAQAMLI TEXNOLOGIYALAR VAZIRLIGI
MUHAMMAD AL-XORAZMIY NOMIDAGI TOSHKENT AXBOROT TEXNOLOGIYALARI UNIVERSITETI
KIBERXAVFSIZLIK ASOSLARI
Mustaqil ish
Mavzu: Ilova sathi protokollari: TACACS
Bajardi: 0130-guruh talabasi
Rozikov Mirshod
Toshkent 2023
Mavzu: Ilova sathi protokollari: TACACS
Bugungi muhitda tarmoq administratori oldida turgan eng qiyin vazifalardan biri bu Tarmoq xavfsizligi - bu vakolatli foydalanuvchilar duch keladigan tarmoq xizmatlariga kirishni cheklash. Tarmoq xavfsizligiga bo'lgan ehtiyoj tarmoq ma'murlari uchun yanada katta cheklovlarni keltirib chiqaradi, chunki tarmoqlar o'sishda va markazlashmagan holga keladi.
Ideal holda, markaziy boshqaruv nuqtasi kerak - bu kirishni boshqarish serveri (ACS) deb ataladi. Ushbu server markaziy foydalanuvchi ma'lumotlar bazasiga ega bo'ladi va shubhasiz bo'lishi mumkin tashkilot hajmi va ehtiyojlariga qarab bir nechta server.
TACACS+ (Terminal Access Controller Access Control System plus) seans protokoli boʻlib, Cisco tomonidan amalga oshirilgan TACACS tizimini yanada takomillashtirish natijasidir.
TACACS+ seanslar tushunchasidan foydalanadi. TACACS+ doirasida uch xil turdagi AAA sessiyalarini (autentifikatsiya, avtorizatsiya, buxgalteriya hisobi) o'rnatish mumkin. Bitta seans turini o'rnatish, odatda, boshqasini muvaffaqiyatli o'rnatishni talab qilmaydi. Protokol spetsifikatsiyasi talab qilinmaydi avtorizatsiya seansini ochish avval autentifikatsiya seansini oching. TACACS+ serveri autentifikatsiyani talab qilishi mumkin, ammo protokol buni nazarda tutmaydi.
Kim qabul qilishga ruxsat berilganligini belgilaydi. Foydalanuvchilar o'zlari aytgan kim ekanliklarini isbotlashlari kerak. An'anaga ko'ra, vakolatli foydalanuvchilar foydalanishga majbur bo'lishdi identifikatoringizni tasdiqlash uchun parol, ammo bu ko'plab xavfsizlik cheklovlariga ega. TACACS paytida+ foydalanuvchi nomlari va parollardan foydalanishi mumkin, u kabi boshqa mexanizmlardan ham foydalanishi mumkin "bir martalik" parollar. Agar autentifikatsiya qilish uchun standart parollar ishlatilsa, u holda xakerlarning tizimga kirishini oldini olish uchun. Masalan: agar paket ushlangan bo'lsa va foydalanuvchi parolini o'z ichiga olgan bo'lsa, ushlangan paket jinoyatchilar tizimga kirishni osonlashtiradigan shifrlashni dekodlashdan oldin yetkazib beriladi.
Buxgalteriya hisobi nima qilinganligini hisobga olishni anglatadi foydalanuvchi va bu xizmatlar qachon ishlatilgan. Bu xavfsizlik auditi maqsadlari uchun juda foydali. Hisob xabarlarning boshi va oxiridan foydalanadi xizmat qachon va qachon boshlanganligini kuzatib boring to'xtatildi. Hisoblar mahalliy sifatida saqlanishi yoki boshqa qurilmaga yuborilishi mumkin, masalan syslog serveri.
TACACS+ mijoz modeli yondashuvidan foydalanadi. Server (UNIX yoki NT da ishlaydi) mijoz tomonidan so'roq qilinadi va server o'z navbatida foydalanuvchi autentifikatsiya qilingan yoki tekshirilmaganligini ko'rsatib javob beradi. Shuni ta'kidlash kerakki, mijoz foydalanuvchi yoki foydalanuvchi mashinasi emas, balki foydalanuvchining tarmoqqa kirishiga ruxsat berilganligini aniqlashga harakat qiladigan qurilma (odatda yo'riqnoma yoki xavfsizlik devori). TACACS+ transport protokoli sifatida TCP dan foydalanadi - standart port 49. Mijoz va server o'rtasidagi aloqa uchun UDP dan foydalanadi, masalan TCP tomonidan ishlatiladigan TACACS+.
Agar kerak bo'lsa, server boshqa portlarni tinglash uchun sozlanishi mumkin. TACACS+ bir nechta asosiy farqlari bilan RADIUS (foydalanuvchi serverida masofaviy kirish terish) ga o'xshaydi. RADIUS mijoz va server o'rtasidagi aloqa uchun UDP dan foydalanadi, masalan TCP tomonidan ishlatiladigan TACACS+.
TCP ulanishi bilan yo'naltirilgan protokol yanada ishonchli bo'lib, uni transport protokolini yanada ishonchli tanlash imkonini beradi. TACACS+ ham, RADIUS ham mijoz va server o'rtasidagi aloqalarni shifrlash uchun umumiy maxfiy kalitdan foydalanadi. Mijoz serverga so'rov yuborganda RADIUS foydalanuvchi parolini shifrlaydi. Bu shifrlash paketli sniffer yordamida kimningdir foydalanuvchi parolini “sniff” qilishini oldini oladi. Biroq, foydalanuvchi nomi va ishlayotgan xizmatlar kabi boshqa ma'lumotlarni tahlil qilish mumkin. TACACS+ nafaqat barcha aloqa yukini shifrlaydi, balki mijoz va server o'rtasidagi foydalanuvchi parolini ham shifrlaydi. Bu mijoz va server o'rtasidagi aloqa ma'lumotlarini shifrlashni qiyinlashtiradi. TACACS+ shifrlash va shifrni ochish algoritmida MD5 xesh funksiyasidan foydalanadi. Nihoyat, RADIUS autentifikatsiya va avtorizatsiya tekshiruvlarini birlashtiradi. Mijoz serverdan autentifikatsiyani talab qilganda; server autentifikatsiya atributlari bilan bir qatorda avtorizatsiya atributlari bilan javob beradi. Bu funktsiyalarni alohida bajarish mumkin emas. TACACS+ da barcha uchta AAA funksiyasi (autentifikatsiya, avtorizatsiya va hisobga olish) alohida bajarilishi mumkin. Bu, albatta, ma'murga AAA siyosatini ishlab chiqishda ko'proq moslashuvchanlikni beradi. Masalan, autentifikatsiya qilish uchun kerberos kabi bitta usuldan, avtorizatsiya uchun esa TACACS kabi alohida usuldan foydalanish mumkin.
TACACS+ ni sozlash ikki qismdan iborat: 1) server ma’lumotlar bazasida foydalanuvchi profillarini yaratish, 2) server bilan bog‘lanish uchun mijozlarni sozlash. Qo'shimcha xavfsizlikni ta'minlash uchun biz TACACS+ dan Cisco tarmoq muhitida qanday samarali foydalanish mumkinligi haqidagi turli misollarga e'tibor qaratamiz. Faraz qilaylik, o'quvchi Cisco routerlari va Cisco PIX xavfsizlik devorini qanday sozlash bo'yicha asosiy bilimga ega. 1-misol: Routerlar/xavfsizlik devorlarini himoya qilish. Routerlar va xavfsizlik devorlari har qanday tarmoqning muhim tarkibiy qismidir, shuning uchun ushbu qurilmalarga kirishni cheklash oqilona. Biz Cisco marshrutizatoriga e'tibor qaratamiz, lekin Cisco PIX xavfsizlik devorida amalga oshirish uchun bir xil qadamlar talab qilinadi. Cisco routerining buyruq qatori interfeysiga (CLI) kirishda ikkita asosiy rejim mavjud: foydalanuvchi rejimi va yoqish rejimi. Foydalanuvchi rejimi cheklangan ruxsatga ega bo'lish va router konfiguratsiyasi va statistikasini ko'rish imkonini beradi. Yoqish rejimi sizga marshrutizatorni to'liq boshqarish imkonini beruvchi superfoydalanuvchi imtiyozlarini beradi. Ikkala rejim ham odatda alohida parol bilan himoyalangan. Router telnet ulanishlarini qabul qiladigan IP manzillarini cheklash uchun filtrni qo'llash kirishni yanada cheklashi mumkin. Bu yaxshi boshlanish bo'lsa-da, ushbu kirishni boshqarish usullarida bir nechta muammolar mavjud. Birinchidan, marshrutizatorga kirishga ruxsat berish uchun umumiy paroldan foydalanish parolning sizib ketishi ehtimolini oshiradi. Telnetga kirish uchun manba manzilini filtrlash uchun kirish ro'yxatidan foydalanishning qo'shimcha cheklanishi, agar siz parolni bilib olsangiz, yo'riqnoma va telnetga ulanish imkonini beruvchi mashinaga o'tishingiz mumkinligini anglatadi. Agar biror narsa noto'g'ri bo'lsa va o'sha paytda kim "nazorat"da bo'lganini aniqlash uchun sysloglarni tekshirish kerak bo'lsa, syslog ko'rsatishi mumkin bo'lgan yagona narsa bu telnet serverining IP manzilidir, lekin tizimga kim kirganligini emas. router. Ba'zi bir xodim yo'riqnomani tegishli o'zgartirishni boshqarish kanallaridan o'tmasdan o'zgartiradi (u vaqtni tejashga harakat qildi, bu oddiy o'zgarish edi), o'zgarish rejalashtirilganidek ketmaydi va tarmoqning bir qismi ishlamayapti. Sysloglarni ko'rib chiqish shuni ko'rsatadiki, kimdir ruxsat berilgan IP-manzildan yo'riqnomaga kirgan, biroq bir nechta bo'limlar ushbu maxsus mashinaga kirish huquqiga ega - Muhandislik amaliyoti va operatsiyalari. Bu oddiy xatolikmi yoki yo'riqnomaga kirishga urinishda ishlaydigan mashina ishlayotganligini aniq bilishning hech qanday usuli yo'q. AAA dan foydalanib, biz kirishni tarmoq sathidan foydalanuvchi qatlamiga o'tkazishimiz mumkin. Routerga kirish uchun foydalanuvchi logini nafaqat to'g'ri IP-manzildan kelishi kerak, balki TACACS+ serveri tomonidan autentifikatsiyani ham talab qiladi. Agar qurilma ataylab buzilgan bo'lsa, nafaqat IP manzilini, balki qurilmada ro'yxatdan o'tgan foydalanuvchi hisobini ham ko'rsatadigan audit izi paydo bo'ladi. Yana bir qadam avtorizatsiyani qo'shishdir. Bu ba'zi foydalanuvchilarga boshqalarga qaraganda ko'proq imtiyozlarga ega bo'lish imkonini beradi. Birinchi darajali muhandislar faqat bir nechta "ko'rsatish" buyruqlarini bajarish uchun ruxsat olishlari mumkin, bir nechta yuqori darajali muhandislarga esa "superfoydalanuvchi" ruxsati beriladi.2-rasmda Cisco Secure TACACS+ Unix serveridagi odatiy foydalanuvchi konfiguratsiyasi ko'rsatilgan va 3-rasmda routerga to'liq kirish huquqiga ega foydalanuvchi.
Keyingi qadam, autentifikatsiya va avtorizatsiyani amalga oshirish uchun TACACS+ serveridan foydalanish uchun router yoki pixni sozlashdir. Routerdagi buyruq satrida quyidagi buyruqlarni kiriting: tacacs-server host 192.168.2.1 kaliti maxfiy kaliti. Bu AAA serveri va shifrlash kaliti sifatida sozlangan xostni aniqladi, kalit ham yo'riqnoma, ham serverda aniqlanishi kerak va agar kalitlar mos kelmasa, ular bir-birining paketlarini shifrlay olmaydi aaa new- model AAA autentifikatsiyasini yoqadi aaa autentifikatsiya login standart guruh tacacs+ Tacacs + ijrochi yoki buyruq darajasini aniqlash uchun ishlatiladigan usul bo'lishini belgilaydi. aaa buxgalteriya start-stop group tacacs+ Buxgalteriya hisobiga ruxsat beradi va buyruqlarning boshlanishi va tugashini kuzatish imkonini beradi, bu qaysi buyruqlar va qachon ishlatilganligini kuzatish imkonini beradi.
Xulosa
Autentifikatsiya, avtorizatsiya va hisobni ta'minlash uchun TACACS+ dan foydalanish tarmoq muhandislariga tarmoqlarni himoya qilishda qo'shimcha xavfsizlik darajasini beradi. Bu sizga tarmoq xizmatlariga kirishni batafsilroq tartibga solish imkonini beradi. Tarmoqqa ulanayotgan masofaviy foydalanuvchilar foydalanuvchi ma'lumotlar bazasi va foydalanuvchi faqat qaysi qurilmalarga kirishi mumkinligini emas, balki foydalanuvchi muayyan qurilmadagi qaysi xizmatlarga kirishini ham nazorat qiluvchi maxsus siyosat bilan himoyalanishi mumkin. Agar foydalanuvchi hisobi buzilgan bo'lsa, u o'chirib qo'yilishi mumkin. Hisob qaydnomasi foydalanuvchi qanday xizmatlarga ega ekanligini kuzatish uchun ishlatilishi mumkin bo'lgan audit tekshiruvini taqdim etadi. Ko'proq ishchilar uydan masofadan ishlashni boshlaganlarida, TACACS+ foydalanuvchi hisoblari va tarmoq xizmatlarini boshqarish vazifasini yanada samaraliroq va xavfsizroq qilishi mumkin. TACACS+ serverlarida boshqa ilovalar ishlamasligi kerak; bu boshqa ilovalardan biridagi zaifliklar yordamida serverning buzilishi ehtimolini kamaytiradi. TACACS+ serverlari bilan aloqa autentifikatsiyani amalga oshirish uchun server bilan bog'lanishi kerak bo'lgan qurilmalar (mijozlar) bilan cheklanishi kerak.
|
| |