132
2. SCP protokolining ishlash tamoyillarini tushintiring.
3. SNMP protokolining vazifasi nimadan iborat.
4. SNMP protokolining ishlash tamoyillarini tushintiring.
5. Loglar (logs) nima uchun ishlatiladi?
6. Loglash darajalari haqida ma’lumot bering.
10-LABORATORIYA ISHI
AAA SERVERDA AUTENTIFIKATSIYA REJIMINI SOZLASH
(RADIUS, TACACS+)
Ishdan
maqsad:
Ma’lumot
uzatish
tarmoqlarida
autentifikatsiya, avtorizatsiya va hisobga
olish protokollarini sozlash,
hamda amaliy koʻnikmaga ega boʻlish.
Nazariy qism
AAA (Authentication, Authorization, Accounting) mexanizmi
ulanishni taqdim etish jarayonini tavsiflash va uning ustidan nazorat
qilish uchun ishlatiladi.
Autentifikatsiyalash (Authentication) - bu soʻrovni xavfsizlik
tizimidagi mavjud roʻyxatga olish yozuvi bilan taqqoslash
hisoblanadi.
Bu login, parol, sertifikat, smart-karta va boshqalar
boʻyicha amalga oshiriladi.
Avtorizatsiya (Authorization) (vakolatlarni, ulanish darajasini
tekshirish)
–
tizimdagi
mavjud
roʻyxatga
olish
yozuvi
(autentifikatsiyalashdan oʻtgan shaxsni) va ma’lum vakolatlarni (yoki
ulanishga ta’qiqlashni) taqqoslash hisoblanadi.
Hisobga olish (Accounting) - bu foydalanuvchi tomonidan
tizimning resurslaridan foydalanilishi haqida ma’lumotlarni toʻplash
hisoblanadi.
Koʻp tizimlarga ega boʻlgan (serverlar, ATS, WI-FI, binolar va
boshqalar) tashkilotni (masalan, universitet) misol qilib oladigan
boʻlsak, har bir tizimda bir xil foydalanuvchini roʻyxatdan oʻtkazishi
kerak boʻladi. Buni amalga oshirrmaslik
uchun AAA-server
oʻrnatilgan va barcha foydalanuvchilar faqat unda roʻyxatdan oʻtgan
boʻlishi kerak. Tashkilotning barcha tizimlari AAA-serverga
ulanishadi.
Ishlash algoritmi:
133
1. foydalanuvchi tizimga autentifikatsiya qilish uchun soʻrov
yuboradi (parol, kalit va boshqalar);
2. tizim uni AAA-serverga uzatadi (chunki u tasdiqlay
olmaydi);
3. AAA-server tizimga javob yuboradi;
4. foydalanuvchi kirish huquqini oladi yoki olmaydi.
FTP
WWW
proxy
Ma lumotlar ba zasi
AAA
Autentifikatsiya
Avtorizatsiya
Ma murlash
Tijorat
Pochta
Nusxalash
WI-FI
ATS
10.1-rasm. AAA protokolini ishlash prinsipi
AAA serverining asosiy protokollari.
RADIUS, DIAMETER
TACACS, TACACS+ (Cisco kompaniyasiniki)
RADIUS protokoli (
Remote Authentication in Dial-In User
Service) serverga kirish va hisobga olish
uchun autentifikatsiya
protokoli sifatida Livingston Enterprises, Inc. kompaniyasi tomonidan
ishlab chiqilgan. Hozirda RADIUS spesifikatsiyasi (RFC 2058) va
RADIUS ma’murlash standarti (RFC 2059) IETF tomonidan umumiy
qabul qilingan standartlar sifatida tasdiqlash uchun taklif qilinmoqda.
RADIUS
protokoli
haqiqiylikni,
avtorizatsiyalashni
va
roʻyxatga olishni tekshirishni amalga oshirish uchun ishlatiladi.
RADIUS-mijoz (odatda masofadan ulanish serveri, VPN-server,
simsiz tarmoqqa ulanish nuqtasi va h.k.) foydalanuvchining roʻyxatga
olish ma’lumotlarini va RADIUS xabar shaklidagi ulanish
134
parametrlarini RADIUS -serverga joʻnatadi. Server haqiqiylikni
tekshiradi va mijozning soʻrovini avtorizatsiyalaydi, keyin esa teskari
javob xabarini joʻnatadi. Mijozlar serverlarga roʻyxatga olish
xabarlarni ham joʻnatadi. Bundan tashqari, RADIUS standarti proksi-
serverlardan foydalanishni qoʻllaydi. RADIUSning
proksi-serveri bu
RADIUS protokolini qoʻllaydigan tugunlar orasida RADIUS-
xabarlarni qayta uzatadigan kompyuter hisoblanadi.
RADIUS - xabarlarni uzatilishi uchun UDP (User Datagram
Protocol - Foydalanuvchi deytagramm protokoli) protokoli ishlatiladi.
RADIUS haqiqiylikni tekshirish xabarlari uchun 1812 UDP-port,
roʻyxatga olish xabarlari uchun esa 1813 UDP-port ishlatiladi.
Tarmoqqa ayrim ulanish serverlari RADIUS haqiqiylikni tekshirish
xabarlari uchun 1645 UDP-portni va RADIUS hisobga olish xabarlari
uchun esa 1646 UDP-portni ishlatishi mumkin.
NAS va RADIUS serverlari oʻrtasidagi aloqa UDP protokoli
asosida amalga oshiriladi. Umuman olganda, RADIUS ulanish uchun
ahamiyatsiz hisoblanadi. Serverning mavjudligi, qayta uzatish va vaqt
tugashi bilan bogʻliq barcha muammolar
RADIUS qurilmalari
tomonidan boshqariladi, lekin uzatish protokoli oʻzi tomonidan emas.
RADIUS protokoli “mijoz-server” texnologiyasiga asoslangan
(10.2-rasm). RADIUS mijozi odatda NAS, RADIUS serveri esa
UNIX yoki NT mashinasida ishlaydi. Mijoz ma'lum bir RADIUS
serverlariga foydalanuvchi ma'lumotlarini yuboradi va keyin
serverdan olingan koʻrsatmalar asosida ishlaydi.
RADIUS serverlari
foydalanuvchiga
ulanish
soʻrovlarini
qabul
qiladi,
foydalanuvchilarning autentifikatsiyasini tasdiqlaydi va keyin mijoz
foydalanuvchiga xizmat qilishi uchun kerak boʻlgan barcha
konfiguratsiya ma'lumotlarini yuboradi. Boshqa RADIUS serverlari
yoki identifikatorning boshqa turlari uchun RADIUS server proksi-
klient vazifasini bajarishi mumkin.
TACACS protokoli (Terminal Access Controller Access Control
System)- bu User Datagram Protocol (UDP) standartlariga asoslangan
kirishni boshqarish boʻyicha oddiy protokol.
TACACS + bu “mijoz-server” texnologiyasi asosida
ishlaydigan protokol boʻlib, bu yerda TACACS + mijozi odatda NAS
deb ataladi va TACACS + server odatda "demon" deb nomlanadi (bu
jarayon UNIX yoki NT mashinasida ishlaydi). TACACS +
protokolining asosiy tarkibiy
qismi bu autentifikatsiya, avtorizatsiya
135
va ma’murlash (AAA - Authentication, Authorization, Accounting).
Bu har qanday uzunlik va tarkibdagi autentifikatsiya xabarlarini
almashtirishga imkon beradi va shuning uchun PPAC PAP, PPP
CHAP, apparat kartalari va Kerberos kabi TACACS + mijozlari uchun
har qanday autentifikatsiya mexanizmidan foydalanadi.
Autentifikatsiya majburiy amalga oshirilmaydi. Ba'zi
joylarda
bu umuman talab qilinmaydi, boshqalarda u faqat cheklangan
xizmatlar toʻplami uchun ishlatilishi mumkin.