• 10-LABORATORIYA ISHI AAA SERVERDA AUTENTIFIKATSIYA REJIMINI SOZLASH (RADIUS, TACACS+) Ishdan maqsad
  • Nazariy qism
  • Oʻzbеkiston rеspublikasi axborot tеxnologiyalari va kommunikatsiyalarini rivojlantirish vazirligi




    Download 7,38 Mb.
    Pdf ko'rish
    bet48/90
    Sana15.12.2023
    Hajmi7,38 Mb.
    #119638
    1   ...   44   45   46   47   48   49   50   51   ...   90
    Bog'liq
    Тармоқ хавфсизлиги 16 шрифт

    Topshiriq 

    9.14-rasmda keltirilgan tarmoq topologiyasini Cisco Packet 
    Tracer dasturida tuzing;

    Qurilmalarga berilgan tarmoqlar bo’yicha manzil bering; 

    SYSLOG serverini sozlashni amalg aoshiring; 

    Qurilgan topologiyani testlab ko’ring. 
    9.14-rasm. Tarmoq topologiyasi 
    Nazorat savollari 
    1. SCP protokolining vazifasi nimadan iborat. 


    132 
    2. SCP protokolining ishlash tamoyillarini tushintiring. 
    3. SNMP protokolining vazifasi nimadan iborat. 
    4. SNMP protokolining ishlash tamoyillarini tushintiring. 
    5. Loglar (logs) nima uchun ishlatiladi? 
    6. Loglash darajalari haqida ma’lumot bering. 
    10-LABORATORIYA ISHI 
    AAA SERVERDA AUTENTIFIKATSIYA REJIMINI SOZLASH 
    (RADIUS, TACACS+) 
    Ishdan 
    maqsad: 
    Ma’lumot 
    uzatish 
    tarmoqlarida 
    autentifikatsiya, avtorizatsiya va hisobga olish protokollarini sozlash
    hamda amaliy koʻnikmaga ega boʻlish. 
    Nazariy qism 
    AAA (Authentication, Authorization, Accounting) mexanizmi 
    ulanishni taqdim etish jarayonini tavsiflash va uning ustidan nazorat 
    qilish uchun ishlatiladi. 
    Autentifikatsiyalash (Authentication) - bu soʻrovni xavfsizlik 
    tizimidagi mavjud roʻyxatga olish yozuvi bilan taqqoslash 
    hisoblanadi. Bu login, parol, sertifikat, smart-karta va boshqalar 
    boʻyicha amalga oshiriladi. 
    Avtorizatsiya (Authorization) (vakolatlarni, ulanish darajasini 
    tekshirish) 
    – 
    tizimdagi 
    mavjud 
    roʻyxatga 
    olish 
    yozuvi 
    (autentifikatsiyalashdan oʻtgan shaxsni) va ma’lum vakolatlarni (yoki 
    ulanishga ta’qiqlashni) taqqoslash hisoblanadi. 
    Hisobga olish (Accounting) - bu foydalanuvchi tomonidan 
    tizimning resurslaridan foydalanilishi haqida ma’lumotlarni toʻplash 
    hisoblanadi. 
    Koʻp tizimlarga ega boʻlgan (serverlar, ATS, WI-FI, binolar va 
    boshqalar) tashkilotni (masalan, universitet) misol qilib oladigan 
    boʻlsak, har bir tizimda bir xil foydalanuvchini roʻyxatdan oʻtkazishi 
    kerak boʻladi. Buni amalga oshirrmaslik uchun AAA-server 
    oʻrnatilgan va barcha foydalanuvchilar faqat unda roʻyxatdan oʻtgan 
    boʻlishi kerak. Tashkilotning barcha tizimlari AAA-serverga 
    ulanishadi. 
    Ishlash algoritmi: 


    133 
    1. foydalanuvchi tizimga autentifikatsiya qilish uchun soʻrov 
    yuboradi (parol, kalit va boshqalar); 
    2. tizim uni AAA-serverga uzatadi (chunki u tasdiqlay 
    olmaydi); 
    3. AAA-server tizimga javob yuboradi; 
    4. foydalanuvchi kirish huquqini oladi yoki olmaydi. 
    FTP
    WWW
    proxy
    Ma lumotlar ba zasi
    AAA
    Autentifikatsiya
    Avtorizatsiya
    Ma murlash
    Tijorat
    Pochta
    Nusxalash
    WI-FI
    ATS
    10.1-rasm. AAA protokolini ishlash prinsipi 
    AAA serverining asosiy protokollari. 

    RADIUS, DIAMETER 

    TACACS, TACACS+ (Cisco kompaniyasiniki) 
    RADIUS protokoli (Remote Authentication in Dial-In User 
    Service) serverga kirish va hisobga olish uchun autentifikatsiya 
    protokoli sifatida Livingston Enterprises, Inc. kompaniyasi tomonidan 
    ishlab chiqilgan. Hozirda RADIUS spesifikatsiyasi (RFC 2058) va 
    RADIUS ma’murlash standarti (RFC 2059) IETF tomonidan umumiy 
    qabul qilingan standartlar sifatida tasdiqlash uchun taklif qilinmoqda. 
    RADIUS 
    protokoli 
    haqiqiylikni, 
    avtorizatsiyalashni 
    va 
    roʻyxatga olishni tekshirishni amalga oshirish uchun ishlatiladi. 
    RADIUS-mijoz (odatda masofadan ulanish serveri, VPN-server, 
    simsiz tarmoqqa ulanish nuqtasi va h.k.) foydalanuvchining roʻyxatga 
    olish ma’lumotlarini va RADIUS xabar shaklidagi ulanish 


    134 
    parametrlarini RADIUS -serverga joʻnatadi. Server haqiqiylikni 
    tekshiradi va mijozning soʻrovini avtorizatsiyalaydi, keyin esa teskari 
    javob xabarini joʻnatadi. Mijozlar serverlarga roʻyxatga olish 
    xabarlarni ham joʻnatadi. Bundan tashqari, RADIUS standarti proksi-
    serverlardan foydalanishni qoʻllaydi. RADIUSning proksi-serveri bu 
    RADIUS protokolini qoʻllaydigan tugunlar orasida RADIUS-
    xabarlarni qayta uzatadigan kompyuter hisoblanadi.
    RADIUS - xabarlarni uzatilishi uchun UDP (User Datagram 
    Protocol - Foydalanuvchi deytagramm protokoli) protokoli ishlatiladi. 
    RADIUS haqiqiylikni tekshirish xabarlari uchun 1812 UDP-port, 
    roʻyxatga olish xabarlari uchun esa 1813 UDP-port ishlatiladi. 
    Tarmoqqa ayrim ulanish serverlari RADIUS haqiqiylikni tekshirish 
    xabarlari uchun 1645 UDP-portni va RADIUS hisobga olish xabarlari 
    uchun esa 1646 UDP-portni ishlatishi mumkin. 
    NAS va RADIUS serverlari oʻrtasidagi aloqa UDP protokoli 
    asosida amalga oshiriladi. Umuman olganda, RADIUS ulanish uchun 
    ahamiyatsiz hisoblanadi. Serverning mavjudligi, qayta uzatish va vaqt 
    tugashi bilan bogʻliq barcha muammolar RADIUS qurilmalari 
    tomonidan boshqariladi, lekin uzatish protokoli oʻzi tomonidan emas. 
    RADIUS protokoli “mijoz-server” texnologiyasiga asoslangan 
    (10.2-rasm). RADIUS mijozi odatda NAS, RADIUS serveri esa 
    UNIX yoki NT mashinasida ishlaydi. Mijoz ma'lum bir RADIUS 
    serverlariga foydalanuvchi ma'lumotlarini yuboradi va keyin 
    serverdan olingan koʻrsatmalar asosida ishlaydi. RADIUS serverlari 
    foydalanuvchiga 
    ulanish 
    soʻrovlarini 
    qabul 
    qiladi, 
    foydalanuvchilarning autentifikatsiyasini tasdiqlaydi va keyin mijoz 
    foydalanuvchiga xizmat qilishi uchun kerak boʻlgan barcha 
    konfiguratsiya ma'lumotlarini yuboradi. Boshqa RADIUS serverlari 
    yoki identifikatorning boshqa turlari uchun RADIUS server proksi-
    klient vazifasini bajarishi mumkin. 
    TACACS protokoli (Terminal Access Controller Access Control 
    System)- bu User Datagram Protocol (UDP) standartlariga asoslangan 
    kirishni boshqarish boʻyicha oddiy protokol. 
    TACACS + bu “mijoz-server” texnologiyasi asosida 
    ishlaydigan protokol boʻlib, bu yerda TACACS + mijozi odatda NAS 
    deb ataladi va TACACS + server odatda "demon" deb nomlanadi (bu 
    jarayon UNIX yoki NT mashinasida ishlaydi). TACACS + 
    protokolining asosiy tarkibiy qismi bu autentifikatsiya, avtorizatsiya 


    135 
    va ma’murlash (AAA - Authentication, Authorization, Accounting). 
    Bu har qanday uzunlik va tarkibdagi autentifikatsiya xabarlarini 
    almashtirishga imkon beradi va shuning uchun PPAC PAP, PPP 
    CHAP, apparat kartalari va Kerberos kabi TACACS + mijozlari uchun 
    har qanday autentifikatsiya mexanizmidan foydalanadi. 
    Autentifikatsiya majburiy amalga oshirilmaydi. Ba'zi joylarda 
    bu umuman talab qilinmaydi, boshqalarda u faqat cheklangan 
    xizmatlar toʻplami uchun ishlatilishi mumkin. 

    Download 7,38 Mb.
    1   ...   44   45   46   47   48   49   50   51   ...   90




    Download 7,38 Mb.
    Pdf ko'rish

    Bosh sahifa
    Aloqalar

        Bosh sahifa



    Oʻzbеkiston rеspublikasi axborot tеxnologiyalari va kommunikatsiyalarini rivojlantirish vazirligi

    Download 7,38 Mb.
    Pdf ko'rish