Bezpieczeństwo sieci - kontrola dostępu
Kontrola dostępu do sieci to metoda zwiększania bezpieczeństwa prywatnej sieci organizacyjnej poprzez ograniczenie dostępności zasobów sieciowych do urządzeń końcowych, które są zgodne z polityką bezpieczeństwa organizacji. Typowy schemat kontroli dostępu do sieci składa się z dwóch głównych komponentów, takich jak ograniczony dostęp i ochrona granic sieci.
Ograniczony dostęp do urządzeń sieciowych uzyskuje się poprzez uwierzytelnianie użytkownika i kontrolę autoryzacji, która jest odpowiedzialna za identyfikację i uwierzytelnianie różnych użytkowników w systemie sieciowym. Autoryzacja to proces przyznawania lub odmawiania określonych uprawnień dostępu do chronionego zasobu.
Network Boundary Protectionkontroluje łączność logiczną do iz sieci. Na przykład można wdrożyć wiele zapór ogniowych, aby zapobiec nieautoryzowanemu dostępowi do systemów sieciowych. W celu ochrony przed atakami z Internetu można również wdrożyć technologie wykrywania i zapobiegania włamaniom.
W tym rozdziale omówimy metody identyfikacji i uwierzytelniania użytkowników w celu uzyskania dostępu do sieci, a następnie różne typy zapór ogniowych i systemy wykrywania włamań.
Zabezpieczanie dostępu do urządzeń sieciowych
Ograniczenie dostępu do urządzeń w sieci jest bardzo istotnym krokiem do zabezpieczenia sieci. Ponieważ urządzenia sieciowe obejmują zarówno sprzęt komunikacyjny, jak i komputerowy, naruszenie ich bezpieczeństwa może potencjalnie spowodować uszkodzenie całej sieci i jej zasobów.
Paradoksalnie, wiele organizacji zapewnia doskonałe zabezpieczenia swoich serwerów i aplikacji, pozostawiając komunikującym się urządzeniom sieciowym podstawowe zabezpieczenia.
Ważnym aspektem bezpieczeństwa urządzeń sieciowych jest kontrola dostępu i autoryzacja. Opracowano wiele protokołów, aby spełnić te dwa wymagania i zwiększyć bezpieczeństwo sieci na wyższym poziomie.
Uwierzytelnianie i autoryzacja użytkownika
Uwierzytelnienie użytkownika jest niezbędne do kontroli dostępu do systemów sieciowych, w szczególności urządzeń infrastruktury sieciowej. Uwierzytelnianie ma dwa aspekty: ogólne uwierzytelnianie dostępu i autoryzację funkcjonalną.
Ogólne uwierzytelnianie dostępu to metoda kontrolowania, czy dany użytkownik ma „jakikolwiek” typ prawa dostępu do systemu, z którym próbuje się połączyć. Zwykle ten rodzaj dostępu jest powiązany z posiadaniem przez użytkownika „konta” w tym systemie. Autoryzacja dotyczy indywidualnych „praw” użytkowników. Na przykład decyduje, co może zrobić użytkownik po uwierzytelnieniu; użytkownik może być upoważniony do konfiguracji urządzenia lub tylko do przeglądania danych.
Uwierzytelnianie użytkownika zależy od czynników, które obejmują coś, co zna (hasło), coś, co posiada (token kryptograficzny) lub coś, czym jest (dane biometryczne). Użycie więcej niż jednego czynnika do identyfikacji i uwierzytelniania stanowi podstawę uwierzytelniania wieloskładnikowego.
Uwierzytelnianie oparte na haśle
Na minimalnym poziomie wszystkie urządzenia sieciowe powinny mieć uwierzytelnianie według nazwy użytkownika i hasła. Hasło powinno być nietrywialne (co najmniej 10 znaków, mieszane alfabety, cyfry i symbole).
W przypadku zdalnego dostępu przez użytkownika należy zastosować metodę zapewniającą, że nazwy użytkownika i hasła nie są przekazywane w sposób jawny przez sieć. Hasła również powinny być zmieniane z rozsądną częstotliwością.
Scentralizowane metody uwierzytelniania
System uwierzytelniania oparty na poszczególnych urządzeniach stanowi podstawowy środek kontroli dostępu. Jednak scentralizowana metoda uwierzytelniania jest uważana za bardziej skuteczną i wydajną, gdy w sieci znajduje się duża liczba urządzeń z dużą liczbą użytkowników uzyskujących dostęp do tych urządzeń.
Tradycyjnie do rozwiązywania problemów napotykanych podczas zdalnego dostępu do sieci stosowano scentralizowane uwierzytelnianie. W systemach dostępu zdalnego (RAS) administrowanie użytkownikami na urządzeniach sieciowych jest niepraktyczne. Umieszczenie wszystkich informacji o użytkowniku na wszystkich urządzeniach, a następnie ich aktualność to koszmar administracyjny.
Scentralizowane systemy uwierzytelniania, takie jak RADIUS i Kerberos, rozwiązują ten problem. Te scentralizowane metody pozwalają na przechowywanie informacji o użytkownikach i zarządzanie nimi w jednym miejscu. Systemy te można zwykle bezproblemowo zintegrować z innymi schematami zarządzania kontami użytkowników, takimi jak katalogi Active Directory lub LDAP firmy Microsoft. Większość serwerów RADIUS może komunikować się z innymi urządzeniami sieciowymi w normalnym protokole RADIUS, a następnie bezpiecznie uzyskiwać dostęp do informacji o koncie przechowywanych w katalogach.
Na przykład Internet Authentication Server (IAS) firmy Microsoft łączy usługi RADIUS i Active Directory w celu zapewnienia scentralizowanego uwierzytelniania dla użytkowników urządzeń. Zapewnia również ujednolicenie informacji o koncie użytkownika z kontami domeny Microsoft. Powyższy diagram przedstawia kontroler domeny Windows działający zarówno jako serwer Active Directory, jak i jako serwer RADIUS dla elementów sieci do uwierzytelniania w domenie Active Directory.
Listy kontroli dostępu
Wiele urządzeń sieciowych można skonfigurować za pomocą list dostępu. Te listy definiują nazwy hostów lub adresy IP, które są upoważnione do dostępu do urządzenia. Na przykład typowe jest ograniczenie dostępu do sprzętu sieciowego z adresów IP, z wyjątkiem administratora sieci.
To chroniłoby wówczas przed wszelkiego rodzaju dostępem, który mógłby być nieautoryzowany. Tego typu listy dostępu służą jako ostatnia ważna ochrona i mogą być dość potężne na niektórych urządzeniach z różnymi regułami dla różnych protokołów dostępu.