Видове атаки и заплахи в компютърни мрежи
Управление на достъпа до системата и потребителски акаунти
Изтегляне 6.18 Mb.
|
3.1.2.4. Управление на достъпа до системата и потребителски акаунти.Системата има три варианта за контрол на достъпа : Чрез създаване на акаунти в локална база данни; Чрез външен LDAP сървър; Чрез външен RADIUS сървър. Под потребител в случая се има впредвид системен администратор или оператор, който управлява настройките на защитната стена или извършва диагностика. Достъпът до системата се осъществява по два начина : чрез терминал/SSH, където потребителите имат достъп до UNIX шел (bin/sh) и може да изпълняват всички команди, които системата поддържа; чрез WebUI интерфейс, разделен на менюта и подстраници. Част от страниците позволяват промяна на системните настройки чрез различни форми, докато други предостявят само информация за състоянието на системата. Трети позволяват изпълнението на различни приложения за диагностика, като използването на предоставените възможности може да се отрази на текущото състояние на системата (например използва се повече мрежови ресурс при стартиране на командата iperf за проверка на пропускливостта на комуникационен канал), но не се отразява дългосрочно на услугите предоставени на потребителите в локалната мрежа зад защитната стена. WebUI интерфейсът е удобен за ползване дори и от начинаещи потребители – когато потребителят се опита да запази несъвместима или непълна конфигурация, обикновено системата извежда съобщение за грешка. От друга страна достъпът до системата чрез терминал/SSH изисква много добри познания на UNIX шел-а, възможностите на системата и начина по който работи. Предполага се, че достъп до терминал/SSH има само един или няколко много опитни системни администратори и такъв достъп се налага само когато даден проблем не може да бъде разрешен през WebUI интерфейс (например, няма връзка от локалната мрежа до защитната стена, а пакетния филтър е настоен да блокира всички заявки до HTTPS/HTTP порт на защитната стена от външния интерфейс). В описанието на системата оттук нататък, ще се предпочита възможностите на WebUI интерфейса, като където е необходимо ще се описват и еквивалентните команди в UNIX шел-а. Системата позволява създаването на групи от потребители и списъци за управление на достъпа до различни части от WebUI интерфейса за всяка група. Всеки потребител наследява правата за достъп дадени на групата, към която принадлежи, като могат да му бъдат делегирани нови права за достъп или наложени допълнителни ограничения. Всеки потребител трябва да е член на поне една група, а системата позволява даден потребител да е член на няколко групи едновременно. Всеки потребител се характеризира със следните полета (незадължителните полета са маркирани със *): Потребителско име, парола и пълно име на потребителя; • Срок на изтичане на валидността на акаунта (възможно е да има акаунти, чиято валидност никога не изтича); Списък от групи, на които потребителят е член; Списък от ефективни права за достъп до различните части на WebUI интерфейса; Списък от сертификати на потребителя *; Списък от ауторизирани SSH ключове * (когато на съответния потребител трябва да бъде предоставен SSH достъп до системата); IPsec Pre-Shared Key*. Паролите на потребителите се съхраняват в глобален конфигурационен файл като паролите биват еднопосочно криптирани с MD5 хеш функция. Системата позволява използането на повече от един метод за аутентикация едновременно. Ако за даден потребител има конфигурирани сертификати, то има възможност за интегрирането им при настройките на VPN достъп за този потребител. Изтегляне 6.18 Mb. Сподели с приятели:
|