Βασικές Έννοιες

Καθώς τα δίκτυα εξαπλώνονται πέρα από το φυσικό χώρο των επιχειρήσεων η έννοια της ασφάλειας γίνεται πιο σημαντική και σύνθετη. Οι εταιρίες πρέπει να προστατέψουν τα δίκτυά και τους δικτυακούς τους πόρους από απομακρυσμένους χρήστες που μπαίνουν παράνομα στο σύστημα αποκτώντας πρόσβαση με κάποιο τρόπο. Τα συστήματα της Cisco χρησιμοποιούν μία στρατηγική που είναι γνωστή σαν Πιστοποίηση, Έγκριση και Παρακολούθηση (authentication, authorization, accounting-AAA) για να εκτελέσει τις λειτουργίες της πιστοποίησης της ταυτότητας του χρήστη, τη παροχή ή όχι πρόσβασης και την παρακολούθηση των κινήσεων των απομακρυσμένων χρηστών αντίστοιχα. Στα σημερινά δίκτυα χρησιμοποιούνται τα πρωτοκολλά0 TACACS+ (Terminal Access Controller Access Control System plus) και RADIUS (Remote Access Dial-In User Service) για τη παροχή ΑΑΑ λύσεων. Η υποστήριξη των RADIUS και TACACS+ δίνει τη δυνατότητα στη Cisco να προτείνει μία πολύ ευέλικτη και αποδοτική ΑΑΑ λύση.

Η Πιστοποίηση είναι η διαδικασία με την οποία καθορίζεται ποιος έχει πρόσβαση στο LAN. Απλές μέθοδοι έγκρισης χρησιμοποιούν μια βάση δεδομένων που αποτελείται από usernames και passwords στον server πρόσβασης. Πιο εξελιγμένα συστήματα χρησιμοποιούν μεθόδους όπως το TACACS και το Kerberos.

Ωστόσο, το ότι πιστοποιείται η ταυτότητα κάποιου χρήστη δε σημαίνει ότι αυτός έχει αποκτήσει πρόσβαση σε όλες τις υπηρεσίες του δικτύου—είναι πιθανό να του ζητηθεί εκ νέου κάποιος κωδικός από κάποια συγκεκριμένη υπηρεσία UNIX, NetWare ή AppleShare. Ένας καλός NAS server υποστηρίζει μία πλειάδα επιλογών πιστοποίησης.

Η Έγκριση είναι η ικανότητα του περιορισμού των δικτυακών υπηρεσιών σε διαφορετικούς χρήστες βάση μιας δυναμικά εφαρμοζόμενης λίστας πρόσβασης (access list) που μερικές φορές αναφέρεται και ως "προφίλ χρήστη" και που βασίζεται στο δίδυμο username/password. Αυτό το χαρακτηριστικό είναι σημαντικό για δύο λόγους: βοηθάει στη μείωση της έκθεσης του εσωτερικού δικτύου στον έξω κόσμο και απλοποιεί τη μορφή του δικτύου για τον τελικό χρήστη που αγνοεί τις τεχνικές του λεπτομέρειες.

Το χαρακτηριστικό της έγκρισης επιτρέπει στους χρήστες να κινούνται. Κινούμενοι και προσωρινοί χρήστες (χρήστες με φορητά από ξενοδοχεία και τηλεργαζόμενοι με modems και ISDN συνδέσεις από το σπίτι) θέλουν να συνδεθούν στη πιο κοντινή τοπική σύνδεση διατηρώντας ωστόσο όλα τα προνόμιά των LAN τους.

Ο Διαχειριστής του δικτύου (Network Administrator) πρέπει να είναι σε θέση να περιορίζει τη πρόσβαση στο δίκτυο για όλα τα πρωτόκολλα και τις υπηρεσίες (Telnet, IP, IPX και AppleTalk) όσο οι χρήστες συνδέονται (dial-in) από τη την ίδια "πηγή" modem (pool). Η διαδικασία έγκρισης με τη χρήση access list για κάθε χρήστη δεν περιορίζεται σε συγκεκριμένα interfaces αλλά ανατίθεται δυναμικά στη συγκεκριμένη πόρτα στην οποία συνδέεται ο χρήστης. Για παράδειγμα όταν ο χρήστης Α συνδέεται στη πόρτα 1, μπορεί να δει τα υπο-δίκτυα 1, 2, 3 και τις AppleTalk ζώνες bldg D, bldg E και bldg F. Όταν ο χρήστης 2 συνδέεται στη πόρτα 1, τότε το προφίλ του τον περιορίζει στο υπο-δίκτυο 1 και στη ζώνη bldg D.

Από τη στιγμή που το NAS υποστηρίζει πολύ περισσότερους απομακρυσμένους χρήστες από τις φυσικές γραμμές που έχει στη διάθεσή του κάθε χρήστης ή group, μπορεί να τηλεφωνήσει στο ίδιο περιστρoφικό κέντρο και να πάρει πρόσβαση στο δίκτυο. Αυτή η access list βασίζεται στο username και σαν τέτοια κάθε NAS μπορεί να υποστηρίξει χιλιάδες χρήστες στη βάση δεδομένων που έχει για τα usernames και passwords.

Η παρακολούθηση είναι το τρίτο κύριο συστατικό ενός ασφαλούς συστήματος. Οι διαχειριστές του συστήματος μπορεί από το να θέλουν να χρεώσουν τους πελάτες τους για την ώρα που παρέμειναν συνδεδεμένοι στο δίκτυο μέχρι να παρακολουθήσουν ύποπτες προσπάθειες σύνδεσης στο δίκτυο.

To πρωτόκολλο RADIUS αναπτύχθηκε από την Livingston Enterprises ως ένας server πρόσβασης, πιστοποίησης και παρακολούθησης. Από τότε έχει υλοποιηθεί από διάφορους άλλους πωλητές και έχει κερδίσει ευρεία υποστήριξη ανάμεσα ακόμα και στους παροχείς υπηρεσιών (ISPs).

Το RADIUS είναι βασισμένο στο client/server μοντέλο. Οι servers πρόσβασης (NAS-Νetwork Access Servers) λειτουργούν σαν clients του RADIUS. Ο client είναι υπεύθυνος για την προώθηση της πληροφορίας του χρήστη στον αρμόδιο RADIUS server και την εκτέλεση των εντολών που θα του σταλούν πίσω από το server.

O RADIUS server ή daemon παρέχει υπηρεσίες πιστοποίησης και παρακολούθησης σε έναν ή περισσότερους RADIUS clients δηλαδή συσκευές ΝΑS. Οι RADIUS servers είναι υπεύθυνοι για το να λαμβάνουν τις αιτήσεις σύνδεσης των χρηστών, να τους πιστοποιούν και τέλος να επιστρέφουν όλη τη πληροφορία με τις απαιτούμενες ρυθμίσεις για τους clients ώστε να δοθούν οι αιτούμενες υπηρεσίες στους χρήστες. Ο RADIUS server πρόσβασης είναι συνήθως ένας αφιερωμένος σταθμός εργασίας συνδεδεμένος με το δίκτυο.

Η επικοινωνία μεταξύ ενός NAS και ενός RADIUS server βασίζεται στο User Datagram Protocol (UDP). Το σχήμα 1 δείχνει τη μορφή ενός πακέτου RADIUS.

Οι δημιουργοί του RADIUS επέλεξαν το UDP ως το πρωτόκολλο μεταφοράς για τεχνικούς λόγους. Γενικά το RADIUS θεωρείται μία υπηρεσία άνευ συνδέσεως(connectionless). Θέματα που σχετίζονται με τη διαθεσιμότητα του server, την επανεκπομπή και τα timeouts διαχειρίζονται από διάφορες συσκευές του RADIUS και όχι από το πρωτόκολλο μεταφοράς.

Σχήμα 1:RADIUS Packet Format from RFC 2058

Τυπικά μία αίτηση για login αποτελείται από μία αίτηση (Access Request) από το NAS server στον RADIUS server και μια απάντηση, θετική ή αρνητική, του τελευταίου (Access-Accept ή Access-Reject). Το πακέτο αίτησης που στέλνει ο NAS server περιέχει το username, το κρυπτογραφημένο password, την IP διεύθυνση του NAS server και τη πόρτα. Η μορφή της αίτησης παρέχει επιπλέον πληροφορίες για τον τύπο της σύνδεσης την οποία ο χρήστης θέλει να ξεκινήσει. Για παράδειγμα εάν η αίτηση παρουσιάζεται σε mode χαρακτήρων τότε το "Service-Type = Exec-User" αλλά εάν παρουσιάζεται σε mode PPP πακέτου τότε το "Service-Type = Framed User" και "Framed-Type = PPP"

Όταν ο RADIUS server λαμβάνει μια αίτηση από κάποιον NAS, ψάχνει σε μια βάση δεδομένων για το username που υπάρχει στην αίτηση. Εάν το username δεν υπάρχει στη βάση δεδομένων τότε είτε ένα τυπικό προφίλ φορτώνεται και ο RADIUS server αποστέλλει μήνυμα αποδοχής (Αccess-Accept) είτε αποστέλλει μήνυμα απόρριψης (Access-Reject) το οποίο μπορεί να συνοδεύεται και από κάποιο επεξηγηματικό μήνυμα του λόγου απόρριψης.

Στην περίπτωση που το username βρεθεί και το password είναι σωστό ο RADIUS server επιστρέφει μία Access-Accept απάντηση η οποία περιλαμβάνει μια λίστα των χαρακτηριστικών των ρυθμίσεων που πρέπει να χρησιμοποιηθούν από τη μεριά του NAS για τη σύνδεση. Τυπικές παράμετροι περιλαμβάνουν το τύπο της υπηρεσίας (shell ή framed), το τύπο του πρωτοκόλλου, την IP διεύθυνση που θα δοθεί στο χρήστη (στατική ή δυναμική), την access list που πρέπει να εφαρμοστεί ή τη στατική διεύθυνση που πρέπει να εγκατασταθεί στον πίνακα δρομολογίων του NAS. Το σχήμα 2 δείχνει τη διαδικασία του RADIUS login και authentication.

Σχήμα 2:RADIUS Login and Authentication Process

Η πιστοποίηση είναι η πιο απαιτητική πλευρά της ασφάλισης απομακρυσμένων χρηστών λόγω της δυσκολίας που σχετίζεται με τη σίγουρη αναγνώριση του χρήστη. Για τη διασφάλιση της ταυτότητας ενός απομακρυσμένου χρήστη το πρωτόκολλο RADIUS υποστηρίζει πολλές μεθόδους πιστοποίησης περιλαμβανομένων των Password Authentication Protocol (PAP), Challenge Handshake Authentication Protocol (CHAP) και token cards. Προς το παρόν όλες οι εκδόσεις του RADIUS απαιτούν να τρέχει ένας server για τα token cards επιπρόσθετα του RADIUS server. Όταν βγει στην αγορά η έκδοση υποστήριξης του RADIUS, CiscoSecure, θα περιέχει ΟΕΜ υποστήριξη για CryptoCard token κάρτες και έτσι δεν θα είναι απαραίτητος επιπλέον server για τα token cards.

Για κάθε τύπο login που χρειάζεται πιστοποίηση και έγκριση, πρέπει να εισαχθεί μια γραμμή εντολών. Αυτή η γραμμή είναι η λίστα που χρησιμοποιείται για login μέσω του RADIUS εκτός αν υπάρχει κάποια άλλη λίστα που έχει ρυθμιστεί. Η παρακολούθηση μπορεί να χρησιμοποιηθεί ανεξάρτητα από τις άλλες διαδικασίες και επιτρέπει την αποστολή δεδομένων στην αρχή και στο τέλος των συνδέσεων καταδεικνύοντας τη ποσότητα των πόρων που χρησιμοποιήθηκαν κατά τη σύνδεση. Ένας ISP θα μπορούσε να χρησιμοποιήσει το RADIUS για να καλύψει ειδικές απαιτήσεις ασφάλειας και χρέωσης.

Το TACACS+ επιτρέπει σε ένα ξεχωριστό server πρόσβασης (τον TACACS+ server) να παρέχει τις υπηρεσίες πιστοποίησης, έγκρισης και παρακολούθησης με ανεξάρτητο τρόπο. Κάθε υπηρεσία μπορεί να συνδυαστεί με τη δική της βάση δεδομένων ή μπορεί να χρησιμοποιήσει τις άλλες υπηρεσίες που είναι διαθέσιμες στο δίκτυο.

Η φιλοσοφία σχεδίασης του TACACS+ είναι ο καθορισμός μιας μεθόδου για την διαχείριση όχι όμοιων server πρόσβασης (NAS) από ένα και μόνο σύνολο διαχειριστικών υπηρεσιών όπως μια βάση δεδομένων. Ένας NAS παρέχει πρόσβαση σε έναν χρήστη, σε ένα δίκτυο ή υποδίκτυο ή και σε διασυνδεδεμένα δίκτυα.

Το TACACS+ αποτελείται από τρία κύρια μέρη: την υποστήριξη του πρωτοκόλλου από servers πρόσβασης και δρομολογητές, τα χαρακτηριστικά του πρωτοκόλλου και την κεντρική βάση δεδομένων. Παρόμοια με μια εσωτερική βάση δεδομένων, το TACACS+ υποστηρίζει τα παρακάτω τρία απαιτούμενα χαρακτηριστικά ενός ασφαλούς συστήματος.

Το TACACS+ προωθεί πολλούς τύπους πληροφοριών που αφορούν τα usernames και passwords. Αυτή η πληροφορία κρυπτογραφείται με τον αλγόριθμο MD5. Το TACACS+ μπορεί να προωθήσει πληροφορία για τους παρακάτω τύπους passwords (κωδικών): ARA, SLIP, PAP, CHAP, Telnet, μέχρι και τον νέο τύπο KCHAP με επέκταση. Αυτό επιτρέπει στους χρήστες να χρησιμοποιήσουν το ίδιο username/password για διαφορετικά πρωτόκολλα.

Το TACACS+ παρέχει ένα μηχανισμό με τον οποίο μπορεί να πει στον access server ποια access list χρησιμοποιεί ο χρήστης που είναι συνδεδεμένος στη πόρτα 1. Ο TACACS+ server και η τοποθεσία της πληροφορίας username/password καθορίζουν την access list μέσω της οποίας ο χρήστης φιλτράρεται. Οι access list(s) βρίσκονται στον access server. Ο TACACS+ server απαντά σε ένα username με μια απάντηση αποδοχής και με έναν αριθμό της λίστας πρόσβασης ο οποίος προκαλεί και την εφαρμογή της λίστας.

Το TACACS+ παρέχει πληροφορίες παρακολούθησης μέσω σε μια βάση δεδομένων μέσω TCP για τη διασφάλιση ενός ασφαλούς και ολοκληρωμένου ημερολογίου.

Το τμήμα παρακολούθησης του TACACS+ περιλαμβάνει τη δικτυακή διεύθυνση του χρήστη, το username, το πρωτόκολλο που ενεργοποιήθηκε, η υπηρεσία που επιχειρήθηκε να χρησιμοποιηθεί, ημέρα και ώρα και το πακέτο-φίλτρο που ενεργοποίησε το ημερολόγιο. Για συνδέσεις Telnet, περιέχει επιπλέον τις πόρτες πηγής και προορισμού, τις ενέργειες που πραγματοποιήθηκαν και τον τύπο συναγερμού.

Οι πληροφορίες χρέωσης περιλαμβάνουν τον χρόνο σύνδεσης, τη ταυτότητα του χρήστη, την τοποθεσία από την οποία συνδέθηκε, το χρόνο εκκίνησης και το χρόνο λήξης. Αναγνωρίζει επίσης το πρωτόκολλο που χρησιμοποιείται από το χρήστη και μπορεί να περιλαμβάνει εντολές που πρέπει να τρέξουν εάν το τελευταίο είναι το Telnet ή το exec. Οι μελλοντικές εκδόσεις του TACACS+ θα περιλαμβάνουν πρόσθετα στοιχεία παρακολούθησης όπως η ανανέωση του χρόνου, που θα στέλνει νέα στοιχεία για τον χρόνο σύνδεσης κάθε x λεπτά. Αυτό το χαρακτηριστικό επιτρέπει στους παροχείς υπηρεσιών Internet να χρεώνουν το πελάτη ακόμα και αν ο access server επανεκκινηθεί και έτσι χάσει τον αρχικό χρόνο εκκίνησης.

Το πρωτόκολλο παρέχει αρκετές πληροφορίες ώστε ένας server να μπορεί να παράγει ρουτίνες ανίχνευσης εισβολέων, να δίνει αναφορές στατιστικών, αριθμούς πακέτων και αριθμό bytes.

Οι χρήστες επιδιώκουν την αποφυγή χρήσεως του ίδιου username/password έτσι ώστε οι πελάτες να μην μοιράζονται το λογαριασμό τους με άλλους. Αν και η τελική απόφαση λαμβάνεται από τον server, το πρωτόκολλο είναι αρκετά ικανό να δώσει ικανά στοιχεία ανίχνευσης πολλαπλών εμφανίσεων του ίδιου κωδικού.

Το RADIUS είναι απλώς ένα πρωτόκολλο που παρέχει λειτουργίες πιστοποίησης και έγκρισης για υπηρεσίες μέσω τηλεφωνικών γραμμών. Ένα άλλο ευρέως διαδεδομένο πρωτόκολλο είναι το TACACS+ το οποίο είναι η τελευταία εξέλιξη του Cisco TACACS πρωτοκόλλου. Αν και αυτά τα πρωτόκολλα παρέχουν παρόμοια λειτουργικότητα έχουν αρκετές σημαντικές διαφορές.

Η πιο ουσιαστική διαφορά μεταξύ των RADIUS και TACACS+ είναι το δικτυακό πρωτόκολλο μεταφοράς που το καθένα χρησιμοποιεί. Το RADIUS χρησιμοποιεί το UDP για την ανταλλαγή πληροφοριών μεταξύ των NAS και των server πρόσβασης, ενώ το TACACS+ χρησιμοποιεί το TCP.

Το TCP είναι ένα πρωτόκολλο σύνδεσης connection oriented, ενώ το UDP προσφέρει best effort υπηρεσία (καλύτερης δυνατής σύνδεσης). Το RADIUS χρησιμοποιεί επιπρόσθετες προγραμματιζόμενες μεταβλητές για να ελέγξει θέματα όπως:προσπάθειες επανεκπομπής και timeouts έτσι ώστε να αντισταθμίσει τα κενά που αφήνει το UDP σε αυτούς τους τομείς. Το TACACS+ χρησιμοποιώντας το TCP δεν χρειάζεται αυτές τις επιπλέον μεταβλητές διότι τα θέματα σύνδεσης διαχειρίζονται προφανώς από το TCP.

Η χρησιμοποίηση του TCP παρέχει μια ξεχωριστή υπηρεσία αναγνώρισης, μέσω ενός TCP πακέτου αναγνώρισης, που χρησιμοποιείται για την επιβεβαίωση της λήψης μιας αίτησης προς το server πρόσβασης εντός συγκεκριμένου χρόνου. Αυτή η διαδικασία λαμβάνει χώρα ανεξάρτητα από τη συμφόρηση που πιθανόν να υπάρχει στο server πρόσβασης.

Με τη χρησιμοποίηση των TCP keep alives (ένδειξη "ζωντανής" σύνδεσης) μπορούν να ανιχνευθούν οι "πτώσεις" των servers. Επιπλέον μπορούν να διατηρηθούν πολλές ταυτόχρονες συνδέσεις και μηνύματα χρειάζεται να αποστέλλονται μόνο σε servers που είναι γνωστό ότι τρέχουν.

Το RADIUS κρυπτογραφεί μόνο τον κωδικό στο πακέτο Access-Request (αίτησης πρόσβασης) από τον client στον server. Το υπόλοιπό πακέτο μένει ανέπαφο. Άλλες πληροφορίες όπως το username, υπηρεσίες έγκρισης και παρακολούθησης μπορούν να αιχμαλωτιστούν από κάποιον τρίτο κάνοντας έτσι τα δίκτυα RADIUS πιθανούς στόχους για τους hackers που χρησιμοποιούν μεθόδους υποκλοπής μιας ολόκληρης σύνδεσης και επανάληψής της. Εξαιτίας αυτού του μειονεκτήματος τα δίκτυα RADIUS πρέπει να σχεδιάζονται έτσι που να ελαχιστοποιούν τη πιθανότητα εκδήλωσης επίθεσης.

Το TACACS+ κρυπτογραφεί ολόκληρο το πακέτο και αφήνει εκτός κρυπτογράφησης μόνο την επικεφαλίδα TACACS+ . Μέσα σε αυτήν υπάρχει ένα πεδίο που δείχνει εάν το πακέτο είναι ή όχι κρυπτογραφημένο. Η συνήθης διαδικασία κρυπτογραφεί ολόκληρο το πακέτο για ασφαλέστερη επικοινωνία.

Το πρωτόκολλο RADIUS συνδυάζει τις διαδικασίες της πιστοποίησης και της έγκρισης. Τα πακέτα Access-Accept (αποδοχής της αίτησης πρόσβασης) που αποστέλλονται από τον RADIUS server στο client περιέχουν όλη τη πληροφορία που χρειάζεται η έγκριση, κάνοντας έτσι το διαχωρισμό των λειτουργιών της πιστοποίησης και της έγκρισης δύσκολο. Η χρήση του RADIUS πρέπει να προτιμάται όταν απαιτείται απλή πιστοποίηση και έγκριση ενός βήματος, όπως συμβαίνει με τα δίκτυα των περισσότερων παροχέων υπηρεσιών (ISPs).

Το TACACS+ χρησιμοποιεί την αρχιτεκτονική των τριών άλφα (ΑΑΑ) της Cisco, η οποία διαχωρίζει τις διαδικασίες πιστοποίησης, έγκρισης και παρακολούθησης. Το setup επιτρέπει ξεχωριστές λύσεις πιστοποίησης που μπορούν να χρησιμοποιούν το TACACS+ για έγκριση και παρακολούθηση. Για παράδειγμα είναι δυνατό να χρησιμοποιηθεί το Kerberos για πιστοποίηση και το TACACS+ για έγκριση και παρακολούθηση. Αφού ένας server πρόσβασης στο δίκτυο (NAS) πιστοποιηθεί από τον Kerberos server, ζητάει πληροφορίες έγκρισης από τον TACACS+ server χωρίς να είναι αναγκαία η επαναπιστοποίηση. Αυτό γίνεται όταν ο NAS πληροφορεί τον TACACS+ server για το γεγονός ότι έχει πιστοποιηθεί επιτυχώς από το Kerberos και τότε ο server παρέχει την πληροφορία έγκρισης.

Κατά τη διάρκεια μιας σύνδεσης και εάν επιπλέον έλεγχος πιστοποίησης είναι αναγκαίος, ο server πρόσβασης ελέγχει με τη βοήθεια του TACACS+ εάν ο χρήστης έχει πάρει άδεια χρήσης μιας συγκεκριμένης εντολής. Αυτό το χαρακτηριστικό παρέχει μεγαλύτερο έλεγχο των εντολών που μπορούν να εκτελεστούν στον server πρόσβασης την ίδια στιγμή που αποδεσμεύει το μηχανισμό πιστοποίησης από τον μηχανισμό έγκριση. Για τους παραπάνω λόγους το TACACS+ είναι πιο κατάλληλο για περιβάλλον σύνθετου δικτύου όπου χρησιμοποιείται σχήμα πολλαπλών πιστοποιήσεων. Αυτό το σενάριο χρησιμοποιούνται κυρίως σε δίκτυα μεγάλων επιχειρήσεων.

Εξαιτίας της συνεχούς εξέλιξης των προϊόντων ασφάλειας, που είναι μάλιστα ανταγωνιστικά μεταξύ τους, η αρχιτεκτονική θα πρέπει να είναι βαθμωτή ώστε να διαχωρίζει τα τρία άλφα (ΑΑΑ) που αποτελούν μαζί τη λύση στο πρόβλημα της και να ανοίγει τις πόρτες σε μελλοντικές επιλογές.

Το RADIUS υποστηρίζει ελάχιστα πρωτόκολλα εκτός του TCP/IP. Για παράδειγμα δεν υποστηρίζει τα:

• AppleTalk Remote Access (ARA)
• NetBios frame protocol control
• Novell Asynchronous Services Interface (NASI)
• Packet assembler/disassembler (PAD) connection

Τα παραπάνω πρωτόκολλα υποστηρίζονται από το TACACS+.

Η Cisco με το Cisco IOS παρέχει τη δυνατότητα επιλογής του πρωτοκόλλου που ο χρήστης θέλει να χρησιμοποιήσει. Οι Cisco servers πρόσβασης είναι μοναδικοί επειδή μπορούν να υλοποιήσουν τόσο το RADIUS όσο και το TACACS+.

Links για επιπλέον πληροφορίες: http://www.cisco.com

Βασικές Έννοιες