Предотвращение несанкционированного доступа в локальных вычислительных сетях предприятия с применением защитной архитектуры на базе протоколов ААА - Отчет по практике

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ Кафедра комплексной информационной безопасности электронно-вычислительных систем (КИБЭВС) Предотвращение несанкционированного доступа в ЛВС предприятия с применением защитной архитектуры на базе протоколов ААА Выполнил: студент гр. Тема проекта (работы): Предотвращение несанкционированного доступа ЛВС предприятия с применением защитной архитектуры на базе протоколов АААВ настоящее время существуют различные технологии, направленные на обеспечение безопасности данных, в котором выделяются 3 важнейших компонента: 1. аутентификация (с последующей авторизацией) В данной курсовой работе все внимание обращено на первый компонент - аутентификацию. Для обеспечения высокого уровня безопасности пароли необходимо часто менять, а криптографически стойкие пароли неудобны для запоминания пользователями, что в итоге привело к формированию методики использования одноразовых паролей.Произвести анализ сетевой безопасности ЛВС на предприятии чтобы обеспечивало совместное использование файлов, принтеров, файловой памяти и т.п. Поскольку ресурсы разделяемы и не используются монопольно одним пользователем, необходимо управление ресурсами и учет использования ресурсов. Неавторизованный доступ к ЛВС имеет место, когда кто-то, не уполномоченный на использование ЛВС, получает доступ к ней (действуя обычно как законный пользователь ЛВС). Создание и хранение учетных записей пользователей (абонентов) Управление учетной записью пользователя (абонента) из персонального интерфейса (например веб-кабинета)Сервера и рабочие станции: физических серверов во всех медучреждениях входящих в состав КБ-81 насчитывается более 40, виртуальных более 120, рабочих станций более 1400 ПК, Сеть: работу сети обеспечивают более 100 коммутаторов, 30 медиа-конвертеров, имеет доменную структуру, связывающие медицинские учреждения “туннелями” имеющих скорость 10ГБИТ/сек (которая обеспечивается медиа-конвертерами 10G).Например, такие технические угрозы, реализация которых влечет воздействие “Компрометация трафика ЛВС”, могут быть отделены от тех угроз, которые влекут воздействие “Нарушение функционирования ЛВС”. Следует понимать, что реализация многих угроз приводит к более чем одному воздействию, однако в рамках этого обсуждения каждая угроза будет рассматриваться в связи только с одним воздействием. Воздействия, которые будут использоваться для классификации и обсуждения угроз среде ЛВС: Неавторизованный доступ к ЛВС - происходит в результате получения неавторизованным человеком доступа к ЛВС. Несоответствующий доступ к ресурсам ЛВС-происходит в результате получения доступа к ресурсам ЛВС авторизованным или неавторизованным человеком неавторизованным способом. Раскрытие данных - происходит в результате получения доступа к информации или ее чтения человеком и возможного раскрытия им информации случайным или неавторизованным намеренным образом.Authentication, Authorization, Accounting) - используется для описания процесса предоставления доступа и контроля за ним.Например, сервер UNIX с поддержкой TACACS может передавать запросы базе данных UNIX и возвращать сообщения подтверждения или отказа серверу доступа. TACACS представляет собой приложение сервера защиты, позволяющее на основе соответствующего протокола реализовать централизованное управление доступом пользователей к серверу сетевого доступа, маршрутизатору или другому сетевому оборудованию, поддерживающему TACACS . TACACS - это протокол, реализованный по технологии клиент-сервер, причем почти всегда клиент - это NAS (Network Access Server - сервер сетевого доступа; например, Cisco AS5300 и Shiva Corp. Принципиально важной особенностью протокола TACACS является то, что он позволяет разделить аутентификацию, авторизацию и учет (AAA - Authentication, Authorization, Accounting) и реализовать их на отдельных серверах. Часть TCP-пакета, содержащая данные протокола TACACS , шифруется с целью защиты трафика между сервером сетевого доступа и сервером защиты.Название RADIUS является аббревиатурой от Remote Authentication Dial In User Service и представляет собой сетевой протокол, обеспечивающий централизованную Аутентификацию (Authentication), Авторизацию (Authorization) и Учет используемых сетевых ресурсов (Accounting). Протокол RADIUS был разработан компанией Livingston Enterprises (конкретно Карлом Ригней/Carl Rigney) для удаленного коммутируемого доступа через сетевые сервера доступа (Network Access Server - NAS) этой компании серии PORTMASTER к сети internet. В настоящее время протокол RADIUS используется для доступа к виртуальным частным сетям (VPN), точкам беспроводного (Wi-Fi) доступа, Ethernet коммутаторам, DSL и другим типам сетевого доступа. Ноутбуки и IP телефон, представляют устройства пользователя, с которых необходимо выполнить аутентификации и авторизации на сетевых серверах доступа (NAS): точке Wi-Fi доступа, маршрутизаторе, VPN сервере и IP АТС.

СОДЕРЖАНИЕ

Введение

1. Цели производственной практики

1.1 Изучение и анализ информационной сети предприятия

2. Исследование сети и выявление угроз (несанкционированный доступ к сети)

2.1 Сравнительный анализ ПО для решения поставленной задачи

3. Технические особенности

3.1 Сервера TACACS

3.2 Сервер RADIUS

3.3 Сервер DIAMETER

4. Программная реализация сервера RADIUS

4.1 Настройка сервера

4.2 Настройка активного сетевого оборудования

4.3 Тестирование защиты от несанкционированного доступа

Заключение

Список используемой литературы