Московский государственный университет имени М.В.Ломоносова
Опубликован: 28.11.2014 | Доступ: свободный | Студентов: 1395 / 128 | Длительность: 23:26:00
ISBN: 978-5-9556-0163-2
Лабораторная работа 11:

Аутентификация доступа к ресурсам с использованием браузера

< Лекция 11 || Лабораторная работа 11 || Лекция 12 >

Цель

Выполнить аутентификацию локальных пользователей при доступе к ресурсам, расположенным в DMZ. Для доступа к этим ресурсам использу-ется браузер. Межсетевой экран выполняет аутентификацию, используя либо Basic-аутентификацию протокола НТТР, либо аутентификацию с по-мощью HTML-формы, которая задана в настройках самого межсетевого экрана.

Оба эти способа аутентификации не обеспечивают конфиденциаль-ность, поэтому их следует использовать только тогда, когда политика без-опасности допускает возможность пассивных атак, либо когда использует-ся туннелирование на более низком уровне стека протоколов.

Можно отредактировать существующую HTML-форму или создать собственную.

Веб-интерфейс:

Object → HTTP Banner Files → Add
	Name: userAuth


Командная строка

1. Переписать файл FormLogin из каталога

HTTPAuthBanners/userAuth/.pscp.exe
admin@<IP-адрес>:HTTPAuthBanners/userAuth/FormLogin FormLogin

2. Отредактировать его редактором.

3. Переписать отредактированный файл в тот же каталог.

Топология сети


Описание практической работы

Правила аутентификации пользователей

1. Создание локальной базы данных пользователей.

Веб-интерфейс:

User Authentication → Local User Databases → Add
	Name: web_auth

User Authentication → Local User Databases → web_auth
Users → Add

Командная строка

add LocalUserDatabase web_auth
cc LocalUserDatabase web_auth

При использовании идентификатора пользователя:


Командная строка

add User olga Password=qwerty

При использовании в правилах аутентификации идентификатора группы вместо идентификатора пользователя следует указать группу, в которую входит данный пользователь:


Командная строка

add User olga Password=qwerty Groups=web_user

2. Создание правила аутентификации пользователей.

Веб-интерфейс:

User Authentication → User Authentication Rules → Add
	Name: web_auth



Командная строка

add UserAuthRule Interface=lan AuthSource=Local 
LocalUserDB=web_auth OriginatorIP=lan/lan_net 
LoginType=HTMLForm HTTPBanners=userAuth Name=web_auth Agent=HTTP

3. Создание объекта в Адресной Книге с адресами локальной се-ти и требованием аутентификации пользователей.

Веб-интерфейс:

Object → Address Book → web_auth → Add
	Name: lan_auth

На вкладке User Authentication указать идентификатор пользователя:


Командная строка

cc Address AddressFolder web_auth
add IP4Address lan_auth Address=192.168.1.0/24 UserAuthGroups=olga

Использование идентификатора группы:


Командная строка

cc Address AddressFolder local_lan
add IP4Address lan_auth Address=192.168.12.0/24 UserAuthGroups=web_user

Правила фильтрования

a) Правило, разрешающее доступ к веб-серверу аутентифицированным пользователям.

Веб-интерфейс:

Rules → IP Rules → web_auth → Add
	Name: http_auth
Rules → IP Rules → web_auth → http_auth

Командная строка

cc IPRuleFolder <N Folder>
add IPRule Action=Allow SourceInterface=lan SourceNetwork=lan/lan_auth DestinationInterface=dmz DestinationNetwork=dmz/web_server Service=http Name=http_auth

b) Правило, перенаправляющее неаутентифицированных пользо-вателей на межсетевой экран для прохождения аутентификации.

Веб-интерфейс:

Rules → IP Rules → web_auth → Add
	Name: http_sat
Rules → IP Rules → web_auth → http_sat


Командная строка

cc IPRuleFolder <N Folder>
add IPRule Action=SAT SourceInterface=lan SourceNetwork=lan/lan_net DestinationInterface=dmz DestinationNetwork=dmz/web_server Service=http SATTranslateToIP=lan/lan_ip SATAllToOne=Yes Name=http_sat

c) Правило, разрешающее трафик для выполнения аутентификации пользователей.

Веб-интерфейс:

Rules → IP Rules → local_nets → Add
	Name: http_auth
Rules → IP Rules → local_nets → http_auth

Командная строка

cc IPRuleFolder <NFolder>
add IPRule Action=Allow SourceInterface=lan SourceNetwork=lan/lan_net DestinationInterface=dmz DestinationNetwork=dmz/web_server Service=http Name=http

Правило, разрешающее трафик к интерфейсу core для доступа к форме аутентификации пользователей.

Веб-интерфейс:

Rules → IP Rules → local_nets → Add
	Name: http_core
Rules → IP Rules → local_nets → http_core

Командная строка

cc IPRuleFolder <N Folder>
add IPRule Action=Allow SourceInterface=lan SourceNetwork=lan/lan_net 
DestinationInterface=core DestinationNetwork=dmz/web_server Service=http Name=http_core

Проверка конфигурации

Используем браузер, в качестве адреса указываем IP-адрес веб-сервера, после чего попадаем на созданную html-страницу.


Проверяем статус аутентифицированных пользователей.


< Лекция 11 || Лабораторная работа 11 || Лекция 12 >