IP телефония

Автор: Пользователь скрыл имя, 06 Декабря 2011 в 13:02, курсовая работа

Описание работы

В настоящее время наблюдается бурное развитие сети Интернет, других сетей, основанных на протоколе IP, в том числе сетей IP – телефонии. Глобальная сеть Интернет прочно входит в жизнь людей, предоставляя множество услуг: от новостей и почты до многопользовательских конференций и виртуальных магазинов.
На данном этапе трудно представить успешную работу какой-либо ганизации, использующей компьютерную технику для ведения своих дел, без локальной сети. Крупные компании создают свои сети, располагающиеся в нескольких зданиях или даже городах.

Работа содержит 1 файл

Курсовой.doc

— 1.37 Мб (Скачать)

3. Обеспечение безопасности  с точки зрения  проверки прав

доступа к ресурсам (ААА)

  Сеть IP-телефонии любого провайдера, как правило, имеет несколько точек доступа к услуге; при такой схеме организации реализовывать процесс аутентификации пользователей для каждой точки доступа в отдельности (на месте) не целесообразно. Гораздо разумнее ценрализовать процесс аутентификации, используя для этого отдельный сервер и общую базу данных, к которым будут обращаться серверы доступа (такое решение получило название непрямой аутентификации). Объясняется это главным образом с точки зрения проблем администрирования, возникающих в случае организации аутентификации на месте.

3.1. Непрямая аутентификация

  Непрямая аутентификация – модель, в которой механизм аутентификации размещается в стороне от других серверов сети, при этом они связываются с ним каждый раз, когда пользователь запрашивает доступ.

  Решения на основе непрямой аутентификации позволяют справляться с проблемой масштабируемости на вычислительных центрах, у которых одна группа пользователей, но несколько точек обслуживания. Даже на той площадке, где всего два сервера, будет затруднительно поддерживать совместимость двух отдельных баз данных аутентификации. Если другие проектные шаблоны предусматривают объединение механизмов аутентификации и управления доступом, то шаблон непрямой аутентификации перемещает механизм аутентификации из точки обслуживания в отдельный аутентификационный сервер. Все другие компоненты сети предоставляют услуги или управляют доступом к ресурсам, но не принимают решений об аутентификации. Вместо этого они аутентифицируют пользователей непрямым способом, связываясь с аутентификационным сервером всякий раз, когда кто-то пытается зарегистрироваться в системе.

Как уже  отмечалось с точки зрения обеспечения безопасности соединения как в сетях IP-телефонии в частности, так и в IP- сетях вообще, проблему можно условно разделить на две составляющих.

  Первое – это проблема обеспечения правомерного и безопасного доступа к сетевым ресурсам и услугам, а второе – это обеспечение безопасности информации уже непосредственно в каналах. Совершенно очевидно, что основная роль при решении подобных задач будет принадлежать процессу аутентификации пользователей. В силу структуры мультисервисной сети, на базе которой предоставляются услуги IP- телефонии нас будет интересовать непрямая аутентификация, ее протоколы, а также слабые и сильные места.        Многие широко известные сегодня системы обеспечивают непрямую аутентификацию с помощью специально разработанных протоколов.Открытым стандартом для реализации непрямой аутентификации является протокол RADIUS. В общем случае протокол непрямой аутентификации начинает свою работу, когда кто-нибудь пытается зарегистрироваться в точке обслуживания с удаленного места, которым может быть, например, рабочая станция. Когда точка обслуживания принимает запрос на регистрацию, она пересылает имя пользователя и пароль аутентификационному серверу. Часто для пересылки данных таких сообщений используется внутренний протокол типа RADIUS или протокол, разработанный изготовителем. Если сервер подтверждает аутентификацию, то он посылает в точку обслуживания подтверждение, сформатированное в соответствии с этим внутренним протоколом. Получив его, точка обслуживания принимает к исполнению попытку пользователя зарегистрироваться. Если сервер посылает отказ, то точка обслуживания отвергает запрос. Поскольку аутентификационные запросы перенаправляются аутентификационному серверу, имеется риск, что зломщик будет подделывать сообщение «Доступ разрешен», чтобы обмануть точку доступа; поэтому для аутентификации двусторонних сообщений между точкой обслуживания и аутентификационным сервером должно использоваться шифрование. Некоторые системы, использующие непрямую аутентификацию, могут иметь высокий уровень устойчивости к отказам, поддерживая функцию перенаправления. Если какой-либо из серверов теряет работоспособность (в том числе и при DOS-атаке), то запросы на аутентификацию могут перенаправляться на альтернативный сервер, содержащий копию всей аутентификационной базы данных. Это позволяет провайдеру IP-телефонии реплицировать свои службы на несколько хост-машин и реализовать аутентификацию на нескольких аутентификационных серверах, исключая тем самым появление точки критического отказа.

  Например, сетевой оборудование компании Cisco Sistems поддерживает три протокола сервера защиты – TACACS+, RADIUS и Kerberos. Первые два являются на сегодня главными протоколами сервера защиты, используемыми для решения задач ААА с серверами сетевого доступа, шлюзами IP- телефонии, маршрутизаторами и брандмауэрами.

3.2. Технологии ААА  на основе протокола TACACS+

3.2.1. Протокол TACACS+

TACACS –  это простой протокол управления  доступом, основанный на стандартах UDP и разработанных компанией Bolt, Beranek and Newman, Inc. (BBN). Компания Cisco несколько раз совершенствовала и расширяла протокол TACACS, и в результате появилась ее собственная версия, известная как TACACS+.

  TACACS+ представляет собой приложение сервера защиты, позволяющее на основе соответствующего протокола реализовать централизованное управление доступом пользователей к услугам. Информация о сервисах TACACS+ и пользователях хранится в базе данных, обычно размещенной на компьютере под управлением UNIX или Windows NT. TACACS+ позволяет с помощью одного сервера управления приложениями реализовать независимую поддержку сервисов ААА.

  Протокол TACACS+ работает по технологии клиент-сервер. Фундаментальным структурным компонентом протокола TACACS+ является разделение аутентификации, авторизации и учета. Это позволяет обмениваться идентификационными сообщениями любой длины и содержания, и, следовательно, использовать для клиентов TACACS+ любой идентификационный механизм, в том числе PPP PAP, PPP CHAP, аппаратные карты и т.д.

3.2.2. Свойства протокола  TACACS+

  TACACS+ поддерживает следующие возможности сервера защиты:

Пакеты TCP для надежной передачи данных. Использование TCP в качестве протокола связи для соединений TACACS+ между сервером доступа и сервером защиты. Для TACACS+ резервируется TCP-порт 49.

Архитектура ААА. Каждый сервис предоставляется отдельно и имеет собственную базу данных, но, тем не менее, они работают вместе, как один сервер защиты.

Канальное шифрование. Часть TCP-пакета, содержащая данные протокола TACACS+, шифруется с целью защиты трафика между сервером доступа и сервером защиты.

Каждый пакет TACACS+ имеет 12-байтовый заголовок, пересылаемый в виде открытого текста, и тело переменной длины, содержащее параметры TACACS+. Тело пакета шифруется с помощью алгоритма, использующего псевдослучайный заполнитель, получаемый посредством MD5. Пакеты TACACS+ передаются по сети и хранятся сервером TACACS+ в шифрованном виде. Когда это необходимо, пакет дешифруется сервером доступа и приложением TACACS+ путем обращения алгоритма шифрования.

Аутентификация PAP и CHAP. Обеспечивает полный контроль аутентификации с помощью средств вызова/ответа PAP и CHAP, а также посредством использования диалоговых окон ввода пароля доступа и поддержки сообщений интерактивной процедуры начала сеанса.

Защита локальных и глобальных сетей. Поддержка средств ААА удаленного и локального сетевого доступа для серверов доступа, маршрутизаторов и другого сетевого оборудования, поддерживающего TACACS+. Дает возможность осуществлять централизованное управление сетевым оборудованием.

Функция обратного вызова. Данная функция возвращает телефонные вызовы, заставляя сервер доступа звонить соответствующему пользователю, что может дать дополнительные гарантии защиты.

Индивидуальные списки доступа пользователей. База данных TACACS+ может дать указание серверу сетевого доступа контролировать доступ данного пользователя к сетевым службам и ресурсам в течении фазы авторизации на основе списка доступа.

3.2.3. Процессы ААА в  протоколе TACACS+

  Аутентификация не является обязательной. Она рассматривается как опция, которая конфигурируется на месте. В некоторых местах она вообще не требуется, в других местах она может применяться лишь для ограниченного набора услуг.

  Заголовок пакета TACACS+ содержит поле типа, являющееся признаком того, что пакет представляет собой часть процесса ААА. Аутентификация TACACS+ различает три типа пакетов: START (начало), CONTINUE (продолжение) и REPLY (ответ).

  В запросе на авторизацию можно указать, что аутентификация пользователя не проведена (личность не доказана). В этом случае лицо, отвечающее за авторизацию должно самостоятельно решить, допускать такого пользователя к запрашиваемым услугам или нет. Протокол TACACS+ допускает только положительную или отрицательную авторизацию, однако этот результат допускает настройку на потребности конкретного заказчика. Авторизация может проводиться на разных этапах, например, когда пользователь впервые входит в сеть и хочет открыть графический интерфейс или когда пользователь запускает PPP и пытается использовать поверх PPP протокол IP с конкретным адресом IP. В этих случаях демон сервера TACACS+ может разрешить предоставление услуг, но наложить ограничения по времени или потребовать список доступа IP для канала PPP.

 В процессе авторизации TACACS+ используется два типа пакетов: REQUEST (запрос) и RESPONSE (ответ). Данный процесс авторизации пользователя контролируется посредством обмена парами «атрибут/значение» между сервером защиты TACACS+ и сервером доступа. Аудит (или учет) обычно следует за аутентификацией и авторизацией. Учет представляет собой запись действий пользователя. В системе TACACS+ учет может выполнять две задачи. Во-первых, он может использоваться для учета использованных услуг (например, для выставления счетов). Во-вторых, его можно использовать в целях безопасности. Для этого TACACS+ поддерживает три типа учетных записей. Записи «старт» указывают, что услуга должна быть запущена. Записи «стоп» говорят о том, что услуга только что окончилась. Записи «обновление» (update) являются промежуточными и указывают на то, что услуга все еще предоставляется. Учетные записи TACACS+ содержат всю информацию, которая используется в ходе авторизации, а также другие данные: время начала и окончания (если это необходимо) и данные об использовании ресурсов. Транзакции между клиентом TACACS+ и сервером TACACS+ идентифицируются с помощью общего «секрета», который никогда не передается по каналам связи. Обычно этот «секрет» вручную устанавливается на сервере и на клиенте. TACACS+ можно настроить на шифрование всего трафика, который передается между клиентом и демоном сервера TACACS+.

  В процессе аудита TACACS+ использует два типа пакетов – REQUEST (запрос) и RESPONSE (ответ). Данный процесс во многом подобен процессу авторизации. В процессе аудита создаются записи с информацией об активности пользователя в отношении заданных сервисов. Записи, регистрирующие выполненные сетевым оборудованием действия, могут сохраняться в некотором стандартном формате, на сервере защиты с целью дальнейшего анализа.

  В рамках TACACS+ аудит ААА не является средством надежной защиты и обычно используется только для учета или управления. Однако с помощью аудита ААА можно контролировать действия пользователя, чтобы, например, вовремя заметить его необычное поведение при работе с сетевым оборудованием.

3.3. Технологии ААА  на базе протокола  RADIUS

3.3.1. Протокол RADIUS

  Протокол RADIUS был разработан компанией Livingston Enterprises, Inc. (теперь находящейся в составе Lucent Technologies) в качестве протокола аутентификации серверного доступа и учета. В настоящее время протокол RADIUS описывается в документе RFC 2865, а аудит RADIUS – в RFC 2866.

  RADIUS (Remote Access Dial-In User Service – сервис идентификации удаленных абонентов) представляет собой распределенный протокол, используемый в рамках технологии клиент/сервер и обеспечивающий защиту сети от несанкционированного доступа. Так например компания Cisco поддерживает RADIUS как одну из составляющих системы защиты ААА.

  Рассматриваемый протокол скорее объединяет аутентификацию и авторизацию, чем трактует их отдельно, как это делается в отношении аудита.   Протокол RADIUS может использоваться с другими протоколами защиты  ААА, например с TACACS+, Kerberos и локальными базами данных защиты. Протокол RADIUS реализован во многих сетевых средах, требующих высокого уровня защиты при условии поддержки сетевого доступа для удаленных пользователей. Он представляет собой полностью открытый протокол, поставляемый в формате исходного текста, который можно изменить для того, чтобы он мог работать с любой доступной в настоящий момент системой защиты. Широкую популярность RADIUS обеспечивает возможность добавлять новые пары «атрибут/значение» в дополнение к тем, которые описаны в документе RFC 2865. Протокол RADIUS имеет атрибут поставщика (атрибут 26), позволяющий поставщику осуществлять поддержку своих собственных расширенных наборов атрибутов, включающих нестандартные атрибуты. Вследствие использования пар «атрибут/значение» конкретных поставщиков могут возникать трудности при интеграции серверных продуктов защиты RADIUS в другие системы защиты. Серверы защиты RADIUS и соответствующие клиенты должны игнорировать нестандартные пары «атрибут/значение», созданные конкретными поставщиками. Связь между NAS и сервером RADIUS основана на протоколе UDP. В целом считается, что протокол RADIUS не имеет отношения к подключению. Все вопросы, связанные с доступностью сервера, повторной передачей данных и отключениями по истечении времени ожидания, контролируются устройствами, работающими под управлением протокола RADIUS, но не самим протоколом передачи. Протокол RADIUS основан на технологии клиент-сервер. Клиентом RADIUS обычно является NAS, а сервером RADIUS считается «демон», работающий на машине UNIX или NT. Клиент передает пользовательскую информацию на определенные серверы RADIUS, а затем действует в соответствии с полученными от сервера инструкциями. Серверы RADIUS принимают запросы пользователей на подключение, проводят идентификацию пользователей, а затем отправляют всю конфигурационную информацию, которая необходима клиенту для обслуживания пользователя. Для других серверов RADIUS или идентификационных серверов других типов сервер RADIUS может выступать в роли клинта-посредника (proxy).

3.3.2. Свойства и возможности  протокола RADIUS

  RADIUS поддерживает следующие возможности сервера защиты:

Пакеты UDP. Для связи RADIUS между сервером доступа и сервером защиты используется протокол UDP и UDP-порт 1812, официально назначенный для этого. Некоторые реализации RADIUS используют UDP-порт 1645. Использование UDP упрощает реализацию клиента и сервера RADIUS.

Объединение аутентификации и авторизации и выделение аудита. Сервер RADIUS получает запросы пользователя, выполняет аутентификацию и обеспечивает клиенту информацию о конфигурации. Аудит выполняется сервером аудита RADIUS.

Шифрование паролей пользователей. Пароли, содержащиеся в пакетах RADIUS (а это только пользовательские пароли), шифруются посредством хэширования MD5.

Аутентификация PAP и CHAP. Обеспечивает управление аутентификацией с помощью средств вызова/ответа PAP и CHAP, а также посредством диалога начала сеанса и ввода пароля наподобие входа в систему UNIX.

Защита глобальной сети. Обеспечивает поддержку средств ААА удаленного доступа для серверов доступа многих поставщиков, поддерживающих клиентов RADIUS. Дает возможность централизовать управление удаленным доступом.

Поддержка ряда протоколов, обеспечивающих терминальный доступ к серверу защиты RADIUS.

Функция обратного вызова. Данная функция возвращает телефонные вызовы, заставляя сервер доступа звонить соответствующему пользователю, что может дать дополнительные гарантии защиты пользователям, использующим доступ по телефонным линиям.

Расширяемость. Все транзакции предполагают использование пар «атрибут/значение» переменной длины. Новые атрибуты могут быть добавлены в существующие реализации протокола.

Гарантированная сетевая защита. Аутентификация транзакций между клиентом и сервером защиты RADIUS предполагает использование общего секретного значения.

3.3.3. Процесс аутентификации  и авторизации  в протоколе RADIUS

  Клиент RADIUS и сервер защиты RADIUS обмениваются пакетами Access- Request (доступ-запрос), Access-Accept (доступ-подтверждение), Access-Reject (доступ-отказ) и Access-Challenge (доступ-вызов). Как показано на рис. 3.1, при попытке подключиться к серверу сетевого доступа, имеющему конфигурацию клиента RADIUS, выполняются следующие шаги:

Информация о работе IP телефония