Управление доступом к сети — это метод повышения безопасности частной организационной сети путем ограничения доступности сетевых ресурсов для конечных устройств, которые соответствуют политике безопасности организации. Типичная схема управления доступом к сети состоит из двух основных компонентов, таких как ограниченный доступ и сетевая защита границ.
Ограниченный доступ к сетевым устройствам достигается посредством проверки подлинности пользователя и контроля авторизации, который отвечает за идентификацию и проверку подлинности разных пользователей в сетевой системе. Авторизация — это процесс предоставления или отказа в определенных разрешениях доступа к защищенному ресурсу.
Сетевая защита границ контролирует логическое подключение в и из сетей. Например, несколько брандмауэров могут быть развернуты для предотвращения несанкционированного доступа к сетевым системам. Также для обнаружения атак из Интернета можно использовать технологии обнаружения и предотвращения вторжений.
В этой главе мы обсудим методы идентификации и аутентификации пользователей для доступа к сети, за которыми следуют различные типы брандмауэров и систем обнаружения вторжений.
Защита доступа к сетевым устройствам
Ограничение доступа к устройствам в сети является очень важным шагом для обеспечения безопасности сети. Поскольку сетевые устройства включают в себя как коммуникационное, так и компьютерное оборудование, их компрометация может привести к выходу из строя всей сети и ее ресурсов.
Как это ни парадоксально, многие организации обеспечивают превосходную безопасность для своих серверов и приложений, но оставляют общающимся сетевым устройствам элементарную безопасность.
Важным аспектом безопасности сетевого устройства является контроль доступа и авторизация. Многие протоколы были разработаны для удовлетворения этих двух требований и повышения безопасности сети до более высоких уровней.
Аутентификация пользователя и авторизация
Аутентификация пользователя необходима для контроля доступа к сетевым системам, в частности к устройствам сетевой инфраструктуры. Аутентификация имеет два аспекта: общая аутентификация доступа и функциональная авторизация.
Аутентификация общего доступа — это метод управления тем, имеет ли конкретный пользователь «любой» тип доступа к системе, к которой он пытается подключиться. Обычно этот вид доступа связан с тем, что у пользователя есть «учетная запись» в этой системе. Авторизация имеет дело с «правами» отдельных пользователей. Например, он решает, что может сделать пользователь после аутентификации; пользователь может быть авторизован для настройки устройства или просмотра только данных.
Аутентификация пользователя зависит от факторов, которые включают что-то, что он знает (пароль), что-то, что он имеет (криптографический токен), или что-то, что он (биометрический). Использование более чем одного фактора для идентификации и аутентификации обеспечивает основу для многофакторной аутентификации.
Проверка подлинности на основе пароля
На минимальном уровне все сетевые устройства должны иметь аутентификацию по имени пользователя и паролю. Пароль должен быть нетривиальным (не менее 10 символов, смешанные алфавиты, цифры и символы).
В случае удаленного доступа пользователем должен использоваться метод, обеспечивающий, чтобы имена пользователей и пароли не передавались в открытом виде по сети. Кроме того, пароли также должны быть изменены с определенной частотой.
Методы централизованной аутентификации
Система аутентификации на основе отдельных устройств обеспечивает базовую меру контроля доступа. Однако централизованный метод аутентификации считается более эффективным и действенным, когда в сети имеется большое количество устройств с большим количеством пользователей, обращающихся к этим устройствам.
Традиционно централизованная аутентификация использовалась для решения проблем, возникающих при удаленном доступе к сети. В системах удаленного доступа (RAS) администрирование пользователей на сетевых устройствах нецелесообразно. Размещение всей пользовательской информации на всех устройствах и последующее ее обновление является административным кошмаром.
Централизованные системы аутентификации, такие как RADIUS и Kerberos, решают эту проблему. Эти централизованные методы позволяют хранить пользовательскую информацию и управлять ею в одном месте. Эти системы обычно могут быть легко интегрированы с другими схемами управления учетными записями пользователей, такими как Microsoft Active Directory или каталоги LDAP. Большинство серверов RADIUS могут связываться с другими сетевыми устройствами по обычному протоколу RADIUS, а затем безопасно получать доступ к информации учетной записи, хранящейся в каталогах.
Например, сервер Microsoft Internet Authentication Server (IAS) соединяет RADIUS и Active Directory для обеспечения централизованной аутентификации для пользователей устройств. Это также гарантирует, что информация учетной записи пользователя объединена с учетными записями домена Microsoft. На приведенной выше схеме показан контроллер домена Windows, работающий как сервер Active Directory и сервер RADIUS для сетевых элементов для аутентификации в домене Active Directory.
Списки контроля доступа
Многие сетевые устройства могут быть настроены со списками доступа. Эти списки определяют имена хостов или IP-адреса, которые авторизованы для доступа к устройству. Например, типичным является ограничение доступа к сетевому оборудованию с IP-адресов, за исключением администратора сети.
Это защитит от любого типа доступа, который может быть неавторизованным. Эти типы списков доступа служат важной последней защитой и могут быть довольно мощными на некоторых устройствах с разными правилами для разных протоколов доступа.