CC BY
86
Doi: 10.36724/2409-5419-2021-13-3-28-35
ИССЛЕДОВАНИЕ ПОДХОДОВ ДЛЯ АУТЕНТИФИКАЦИИ ПОЛЬЗОВАТЕЛЕЙ БЕСПРОВОДНОЙ СЕТИ С ПРИМЕНЕНИЕМ РАЗЛИЧНЫХ LDAP РЕШЕНИЙ
ДОКШИН
Александр Денисович1 КОВЦУР
Максим Михайлович2
ПРУДНИКОВ Сергей Владимирович3
ТАРГОНСКАЯ Алина Игоревна4
Сведения об авторах:
студент Санкт-Петербургского государственного университета телекоммуникаций им. проф. М.А.Бонч-Бруевича, г. Санкт-Петербург, Россия, a.dokshln007@gmall.com
2к.т.н., доцент Санкт-Петербургского государственного университета телекоммуникаций им. проф. М.А.Бонч-Бруевича, г. Санкт-Петербург, Россия, maxkovzur@mall.ru
3старший преподаватель Санкт-Петербургского государственного университета телекоммуникаций им. проф. М.А.Бонч-Бруевича, г. Санкт-Петербург, Россия, prud2000@mall.ru
4студент Санкт-Петербургского государственного университета телекоммуникаций им. проф. М.А.Бонч-Бруевича, г. Санкт-Петербург, Россия, Targonskaya.al@gmall.com
АННОТАЦИЯ
Введение: с каждым годом технология сетей семейства IEEE802.11 становится все более распространенной и популярной. Опираясь на возможные риски, ИТ-администраторы принимают меры для защиты своих организаций. Один из способов повышения информационной безопасности - использование IEEE802.1x для авторизации пользователей. Цель исследования: целью исследования является изучение различных LDAP решений для авторизации пользователей в беспроводной сети. Результаты: разработано три варианта централизованного решения для авторизации пользователей беспроводной сети на базе операционных систем: Windows Server, Ubuntu Linux и Astra Linux. При работе с Windows Server было выявлено, что для хранения учетных данных пользователей можно использовать LDAP базу данных Active Directory. Так же исследование показало, что если в сетевой инфраструктуре организации необходимо реализовывать сервер с использованием операционной системы Linux, то в качестве LDAP базы данных можно использовать FreelPA базу данных, а роль RADIUS сервера необходимо доверить программному обеспечению FreeRADIUS. Преимущество данного подхода заключается в том, что все программное обеспечение необходимо для авторизации пользователей - является бесплатным. Несмотря на то, что Active Directory является самой популярной LDAP базой данных - FreeIPA удовлетворяет всем потребностям, которые появляются во время администрирования системы безопасности. Практическая значимость: каждое решение прошло нагрузочное тестирование и может быть внедрено в сетевую инфраструктуру организаций. Обсуждение: выбор операционной системы и LDAP базы данных для авторизации пользователей полностью зависит от требований организации, поэтому под каждое требование подойдет один из предложенных вариантов реализации.
КЛЮЧЕВЫЕ СЛОВА: WiFi; LDAP; Active Directory; аутентификация; RADIUS.
Для цитирования: Докшин А.Д., Ковцур М.М., Прудников С.В., Таргонская А.И. Исследование подходов для аутентификации пользователей беспроводной сети с применением различных LDAP решений // Наукоемкие технологии в космических исследованиях Земли. 2021. Т. 13. № 3. С. 28-35. Doi: 10.36724/2409-5419-2021-13-3-28-35
Ведение
На данный момент беспроводная сеть является объектом постоянного внимания. Сегодня трудно представить современную инфраструктуру без внедрения беспроводных сетей, однако из-за высокой популярности беспроводных сетей необходимо уделять особое внимание информационной безопасности этих решений. Системные администраторы и IT-директора признают, что небезопасные сети семейства IEEE802.11 являются одним из общих векторов атаки [1].
Некоторые беспроводные сети защищены с помощью одного общего SSID и парольной фразы. Данный режим получил название PSK или режим предустановленного ключа аутентификации. Однако такой подход является небезопасным и неэффективным, если речь заходит о предоставлении доступа к беспроводной сети организации. Если общий SSID или парольная фраза состоят из большого количества символов, то велика вероятность, что они попадут в открытые источники [2]. Любой желающий может увидеть эту информацию. В некоторых случаях сигнал Wi-Fi достигает соседнего здания, парковки или тротуара. Таким образом, помимо угроз безопасности, защита сетей Wi-Fi с помощью парольных фраз также малоэффективна. В случае смены персонала в организации, администраторам приходится менять пароли, из-за чего могут возникнуть дополнительные сложности [3].
Решение данной проблемы заключается в аутентификации пользователя с использованием подхода IEEE802.1x при подключении к сети. Такой подход устраняет общую парольную фразу и гарантирует, что администратору не придется менять пароль каждый раз, когда сотрудник покидает организацию. В этом случае каждый пользователь имеет свои учетные данные для аутентификации. Такой режим получил название Enterprise или WPA2/WPA3 — Enterprise [4].
В данном исследовании описывается разработка наиболее эффективного подхода для авторизации пользователей Wi-Fi сети, применяя подход IEEE802.1x с внедрением LDAP баз данных. В ходе исследования будут представлены различные методы аутентификации пользователей на основе операционных систем (ОС) Windows и Linux. Уникальность данных методов заключается в том, что они позволяют компаниям отказаться от готовых коммерческих решений и сократить издержки.
Для анализа информационной безопасности IEEE802.11 исследованы актуальные проблемы в области беспроводных сетей, проведен обзор последних научных статей. Компания Microsoft проводила исследования с WLAN. Были проверены различные организации, в которых используются беспроводные сети. Анализ и статистика дали возможность понять, что существуют трудности в развертывании, управлении и безопасности
корпоративных WLAN сетей. Согласно работе [5], можно сделать вывод о том, что систему безопасности многих компаний необходимо улучшать. Например, тот факт, что при подключении к беспроводной сети у пользователя запрашивалась только парольная фраза, весьма удивил исследователей.
Реализовать атаки на беспроводную сеть Wi-Fi можно различными способами. Атака типа "подслушивание", может быть отнесена к категории особо опасных, так как злоумышленник может пассивно отслеживать трафик беспроводной сети и в нужный ему момент перехватить конфиденциальную информацию [6]. Атаки типа «фи-шинг (fishing)», позволяют злоумышленнику проникнуть в сеть путём создания дополнительной точки доступа. При этом рядовой пользователь не сможет определить, что точка доступа, к которой он подключается, заведомо создана злоумышленником [7]. Проблема заключается в том, что пользователь может передать секретный пароль злоумышленнику. Таким образом, данные уязвимости несут большой ущерб как коммерческой, так и конфиденциальной информации.
Централизованное хранение учетных данных
Хранилище идентификаторов пользователей относится к объекту, в котором хранятся имена пользователей и пароли. В большинстве случаев это сервер LDAP. Практически любой сервер RADIUS отправляет запрос LDAP базе данных для проверки каждого пользователя, который должен быть авторизован [8]. При использовании LDAP есть несколько предостережений, особенно в отношении того, как хешируются пароли на сервере LDAP. Если пароли не хранятся в виде открытого текста или хеша NTLM, то в этом случае необходимо выбирать методы EAP [9].
Разработка надежной сети WPA-Enterprise требует дополнительных условий, а именно наличия центра сертификации и беспрепятственного распространение сертификатов среди пользователей [10].
LDAP определяется как стандарт для каталогов, содержащих подробную информацию об учетных записях пользователей. Каталоги также могут содержать другие структурированные данные. Но для аутентификации пользователей в беспроводной сети можно ограничиться хранением учетных записей пользователей [11].
До LDAP службы каталогов разрабатывались телекоммуникационной отраслью для отслеживания клиентов и рассматривались как компьютеризированные телефонные книги. Первый стандарт X.500 был разработан Международным Союзом Электросвязи (МСЭ) в 1988 году.
LDAP был разработан в 1993 году в Мичиганском университете как простой способ доступа к первым каталогам X.500, которые располагались на серверах и обме-
нивались данными с клиентами по более сложному протоколу. LDAP должен был сделать взаимодействие более «легким», как подразумевается буквой «L» в LDAP [12].
Два года спустя следующая версия LDAPv2 была выпущена в серии из трех RFC. LDAPv2 устранила зависимость от X.500, в том числе изменив сетевое соединение с Open Standards Intercommunication (OSI) на более гибкую модель TCP / IP. Такой шаг сделал протокол более совместимым для интернет-коммуникаций [13].
Затем, в 1997 году появился LDAPv3, в котором улучшена поддержка каталогов, не основанных на X.500. Создан формат для URL-адресов LDAP, добавлены функции безопасности, такие, как аутентификация и расширения для TLS и SSL [14].
LDAP база данных предназначена для хранения каталогов. Данные LDAP структурированы и иерархичны. Структура определяется «схемами», которые описывают типы объектов, которые может хранить база данных, включая список всех их возможных атрибутов. Синтаксис, используемый для ссылки на конкретный объект в базе данных, основан на этой структуре. В наиболее распространенном случае, использование сервера LDAP позволяет централизовать управление учетными записями пользователей и соответствующими разрешениями. LDAP уникальным делает его древовидная структура, объединяющая пользователей в иерархии групп [15]. Каждый пользователь — это запись со своим уникальным идентификатором или отличительным именем (DN). Каждое DN имеет ряд атрибутов о пользователе, что позволяет зеркально отразить элементы управления доступом для пользователей в дереве каталогов. DN является доступным для объектно-ориентированных языков программирования. DN также может содержать информацию о URL, что делает его доступным через Интернет [16].
Способность LDAP объединяться с объектно-ориентированными языками программирования и DNS делает его идеальным для работы в Интернете. Он также составляет основу других интернет-протоколов, таких, как XML Enabled Directory (XED) и язык разметки службы каталогов (DSML) [17].
Древовидная структура LDAP вдохновила Microsoft на аналогичный подход в Active Directory, и с тех пор компания взяла на себя поддержку LDAP. Так Active Directory в Windows Server 2000 была только LDAP-совместимой, но уже в Windows Server Microsoft расширила поддержку LDAP и включила LDAP API в SDK платформы Microsoft Developer Network (MSDN).
Помимо Microsoft, LDAP поддерживается в продуктах от таких крупных компаний, как Sun Microsystems, Inc., IBM Corp., Hewlett-Packard Company, Novell Inc., Red Hat Inc., Oracle Corp., Apple Inc. и Siemens AG. Каждая
из этих компаний предлагает службы каталогов, которые поддерживают LDAP [18].
Будущее LDAP заключается в расширении версии LDAPv3. В число последних улучшений, добавленных поставщиками, входят обновления графического интерфейса управления, упрощающие изменение пользователей и их атрибутов. В Windows Server Microsoft добавила службы безопасности LDAP и службы динамических каталогов, которые уже были в LDAPv3, но не отсутствовали в Active Directory.
Гибкость LDAP, масштабируемость и способность работать с новыми технологиями поддерживает популярность LDAP, который остается ядром многих служб каталогов сегодня.
Серверы каталогов LDAP часто используются в качестве хранилища для аутентификационных данных пользователей в различных системах, а также часто используются для хранения конфиденциальной информации, такой, как пароли и другие данные учетных записей. Информационная безопасность является важным аспектом большинства серверов каталогов и включает в себя множество функций политики паролей, поддержку различных типов аутентификации через SASL (простой уровень аутентификации и безопасности), возможность двух-факторных авторизаций.
Как правило, серверы каталогов предоставляют поддержку для детализированных элементов управления, ограничивающих доступ к записям, атрибутам и значениям для каждого отдельного пользователя.
Разработка централизованного решения для авторизации пользователей на базе операционной системы Windows
В данном решении для авторизации пользователей используется LDAP база данных Active Directory (AD), которая организует и защищает все ресурсы организации на Windows Server, включая пользователей, принтеры и общие файловые ресурсы. AD предоставляет администраторам инструмент, необходимый для того, чтобы у каждого пользователя или группы были соответствующие права на использование определенных ресурсов [19].
Active Directory, благодаря удобному графическому интерфейсу, пользуется популярностью у системных администраторов и дает возможность быстро менять привилегии для каждого пользователя, добавлять и удалять пользователей. Основой Active Directory являются доменные службы, которые хранят информацию о каталоге и обрабатывают взаимодействие пользователя с доменом. AD проверяет доступ, когда пользователь входит в устройство или пытается подключиться к серверу по сети, а также контролирует, какие пользователи имеют доступ к каждому ресурсу. При этом аутентификация поль-
зователей проводится с использованием протокола LDAP. Базы данных, поддерживающие этот протокол, часто применяют для централизованного хранения пользовательских идентификаторов [20].
Для установки LDAP базы данных Active Directory в Windows Server необходимо добавить роль сервера "Доменные службы Active Directory", после чего создать группу, пользователи которой смогут проходить авторизацию при подключении к беспроводной сети. Структурная схема авторизации при помощи LDAP базы данных Active Directory представлена на (рис. 1).
Эксперимент показал, что авторизация пользователей, учетные данные которых хранятся в LDAP базе данных проходит успешно, а значит Active Directory полностью подходит для хранения учетных данных.
Разработка централизованного решения для авторизации пользователей на базе операционной системы семейства Linux
В данном подходе будет использоваться LDAP база данных FreeIPA, за авторизацию и аутентификацию данных в этом решении отвечает программное обеспечение FreeRADIUS [21]. Программное обеспечение FreelPA включает в себя LDAP базу данных. Загрузка программного обеспечения осуществляется бесплатно. Преимуществом является то, что помимо взаимодействия в консоли, FreeIPA имеет удобный графический интерфейс, что позволяет ад-
министраторам комфортно взаимодействовать с базой данных [22]. Также интерфейс и функционал аналогичен Active Directory. Помимо схожего интерфейса, FreeIPA возможно использовать совместно с Active Directory.
FreeIPA — это проект с открытым исходным кодом, спонсируемый Red Hat. Его целью является предоставление легко управляемого пакета Identity, Policy and Audit (IPA), в первую очередь предназначенного для систем Linux. FreeIPA легок в установке и позволяет улучшить информационную безопасность, а также хранит данные о всех пользователях, которым разрешено авторизоваться в сети [23].
Для установки FreeIPA нужно воспользоваться менеджером пакетов. Инсталляция в системе Linux Ubuntu производится при помощи apt (Advanced Packaging Tool) из официального хранилища.
Программное обеспечение FreeIPA поддерживает графический интерфейс, воспользоваться которым можно, если перейти в браузер и прописать в адресной строке доменное имя компьютера. Далее необходимо авторизоваться в LDAP базе данных. Для входа необходимо указать имя пользователя — admin, пароль, указанный при настройке FreeIPA. В графическом интерфейсе можно добавлять, удалять и привязывать к учетным данным привилегии. Для удобства есть возможность создать определенную группу политик, которым будут следовать пользователи, принадлежащие этой группе. Структурная
Клиент Аутентификатор
Доступ к Internet и другим сетевым ресурсам
Рис. 1. Реализация RADIUS авторизации на базе операционной системы Windows Server
схема авторизации при помощи LDAP базы данных FreelPA представлена на (рис. 2).
После настройки всего оборудования, эксперимент показал, что пользователи без труда могут пройти авторизацию, а значит LDAP база данных FreelPA полностью подходит для хранения учетных данных пользователей для беспроводных клиентов.
Настройка сервера аутентификации на базе Astra Linux
После успешного внедрения сервера для аутентификации и авторизации пользователей на базе Windows и Linux Ubuntu появляется потребность осуществить весь реализованный функционал в операционной системе российского производства.
Клиент Аутентификатор
1 (fol ) "У Сервер AAA д LDAP База данньи
/ J Y FreeRADIUS FreelPA
wol radius -^ч
MV Y
Доступ к Internet и другим сетевым ресурсам Рис. 2. Реализация RADIUS авторизации на базе операционной системы семейства Linux
Astra Linux — компьютерная операционная система, изначально разработанная для использования в вооруженных силах Российской Федерации. Данная операционная система устанавливается во всех организациях, связанных с безопасностью страны. Astra Linux получил сертификацию Министерства обороны России и Федеральной службы безопасности (ФСБ) [24].
Данная операционная система также доступна для домашнего и корпоративного использования. Преимущество внедрения Astra Linux заключается в том, что это позволяет полностью отказаться от ОС зарубежного производства [25].
В реализации сервера для авторизации в качестве LDAP базы данных используется FreeIPA, роль RADIUS сервера играет программное обеспечение FreeRADIUS.
Процесс реализации LDAP базы данных на операционной системе Astra Linux точно такой же, как и на Linux Ubuntu, поэтому весь функционал, ОС Ubuntu—будет до-
ступен в Astra Linux. После успешного внедрения FreeIPA пользователю становится доступным графический интерфейс, в которой возможно зайти при помощи браузера.
Таким образом, на практике реализован сервер для аутентификации и авторизации пользователей на базе ОС российского производства. Данный метод позволяет полностью отказаться от систем зарубежных разработчиков.
Заключение
Для защиты от основных атак на беспроводные сети была представлена концепция аутентификации и авторизации пользователей при помощи различных LDAP решений. Исследование показало, что RADIUS-сервер может быть реализован на базе ОС Windows Server и систем семейства Linux. Реализация на базе ОС Astra Linux решает вопрос импортозамещения. Данное решение показало хорошие результаты, в связи с чем может быть внедрено в систему безопасности беспроводной сети предприятия.
Дальнейшими задачами является реализация тестирования для выявления критической нагрузки сервера при авторизации пользователей и на основе этого подбор необходимых характеристик оборудования для повышения порога пиковой нагрузки на сервер.
Литература
1. Штеренберг С. И., Стародубцев И. В., Шашкин В. С. Разработка комплекса мер для защиты предприятия от фишинговых атак // Защита информации. Инсайд. 2020. № 2 (92). С. 24-31.
2. Киреева Е. В. Методы защиты информации от несанкционированного доступа в wifi сетях // Мировая наука. 2019. № 12 (33). С. 200-202.
3. Докшин А. Д., Даньшина А. В., Ковцур М.М., Юркин Д. В. Исследование подходов авторизации пользователей беспроводной сети на основе LDAP // Аллея Науки. 2020. Т. 1. № 3 (42). С. 758-761.
4. Ковцур М.М., Симанов М. С. Анализ особенностей организации авторизации пользователей в сетях коллективного доступа стандарта IEEE802.11 // Актуальные проблемы инфотелекоммуника-ций в науке и образовании (АПИНО 2019): сборник научных статей VIII Международной научно-технической и научно-методической конференции. 2019. С. 537-541.
5. Ломако А.Г., Овчаров В. А., Акулов С. А., Коротков В. С. Механизмы реализации типовых атак на компоненты беспроводных сетей передачи данных // The 2017 Symposium on Cybersecurity of the Digital Economy (CDE'17). Book of Abstracts. 2017. С. 249-254.
6. Сахаров Д. В., Красов А. В., Ушаков И. А., Бирих Э. В. Моделирование защищенной масштабируемой сети предприятия с динамической маршрутизацией на основе IPv6 // Защита информации. Инсайд. 2020. № 1 (91). С. 51-57.
7. Shterenberg S. I., Poltavtseva M. A. A distributed intrusion detection system with protection from an internal intruder // Automatic Control and Computer Sciences. 2018. Vol. 52. No. 8. Pp. 945-953.
8. Красов А. В., Косов Н. А., Холоденко В. Ю. Исследование методов провижининга безопасной сети на мультивендорном оборудовании с использованием средств автоматизированной конфигурации // Colloquium-journal. 2019. № 13-2 (37). С. 243-247.
9. Полищук С. Новый подход к сегментации сети и его ценность для бизнеса // Журнал сетевых решений LAN. 2017. № 1-2. С. 37-42.
10. Красов А.В., Сахаров Д. В., Ушаков И. А., Лосин Е. П. Обеспечение безопасности передачи multicast-трафика в ip-сетях // Защита информации. Инсайд. 2017. № 3 (75). С. 34-42.
11. SharikovP. I., Krasov AV., GelfandA.M., KosovN. A. Research of the possibility of hidden embedding of a digital watermark using practical methods of channel steganography // Intelligent Distributed Computing XIII 2019. Pp. 203-209.
12. Цветков А. Ю. Исследование существующих механизмов защиты операционных систем семейства Linux // Актуальные проблемы инфотелекоммуникаций в науке и образовании (АПИНО 2018) VII Международная научно-техническая и научно-методическая конференция: Сборник научных статей / Под редакцией С. В. Бачевского. 2018. С. 657-662.
13. Iskhakov A., Meshcheryakov R., Ekhlakov Yu. The internet of things in the security industry // Interactive systems: Problems of Human-
Computer Interaction. Collection of scientific papers. 2017. Pp. 161-168.
14. Стародубцев Ю. И., ЗакалкинП. В., ИвановС. А., ДобрышинМ. М. Способ защиты серверов услуг сети связи от компьютерных атак // Вопросы оборонной техники. Серия 16: Технические средства противодействия терроризму. 2020. № 9-10 (147-148). С. 63-67.
15. АлександровЕ. С., ИвановГ.Н., КовцурМ.М. Анализ механизмов защиты WI-FI сетей // Актуальные проблемы инфотелекоммуникаций в науке и образовании (АПИНО 2018) VII Международная научно-техническая и научно-методическая конференция: Сборник научных статей / Под редакцией С. В. Бачевского. 2018. С. 657-662.
16. Сахаров Д. В., Красов А. В., Ушаков И. А., Бирих Э. В. Моделирование защищенной масштабируемой сети предприятия с динамической маршрутизацией на основе IPv6 // Защита информации. Инсайд. 2020. № 1 (91). С. 51-57.
17. Темченко В. И., Цветков А. Ю. Проектирование модели информационной безопасности в операционной системе // Актуальные проблемы инфотелекоммуникаций в науке и образование. VIII Международная научно-техническая и научно-методическая конференция: сб. науч. ст. СПб.: СПбГУТ, 2019. С. 740-745.
18. Багомедова А. Р., Ушаков И. А., Цветков А.Ю. Разработка методов проверки соответствия серверов виртуализации требованиям безопасности согласно стандарту ГОСТ Р 56938-2016 // Актуальные проблемы инфотелекоммуникаций в науке и образовании (АПИНО 2018): сборник статей VII Международной научно-технической и научно-методической конференции. 2018. С. 58-63.
19. Akbashev R. R. The analysis of information security problems in the computer network, which is connected to the internet // Information Technology. Problems and Solutions: Proceedings of the International scientific-practical conference. 2017. № 1 (4). Pp. 295-298.
20. Basan A., Basan E., Makarevich O., Teterevyatnikov S. Research of influence of the attacks on the group of mobile wireless network nodes // Integrating Research Agendas and Devising Joint Challenges. International Multidisciplinary Symposium ICT Research in Russian Federation and Europe. 2018. Pp. 20-28.
21. Makashov A. The network layer model of the wireless sensor network acting under the influence of interferences // 2019 3rd School on Dynamics of Complex Networks and their Application in Intellectual Robotics, DCNAIR2019. No. 3. 2019. Pp. 116-118.
22. Ушаков И. А. Обнаружение инсайдеров в корпоративной компьютерной сети на основе технологий анализа больших данных // Вестник Санкт-Петербургского государственного университета технологии и дизайна. Серия 1: Естественные и технические науки. 2019. № 4. С. 38-43.
23. Котенко И. В., Кулешов А. А., Ушаков И. А. Система сбора, хранения и обработки информации и событий безопасности на основе средств Elastic stack // Труды СПИИРАН. 2017. № 5 (54). С. 5-34.
24. Штеренберг С. И., Полтавцева М. А. Распределенная система обнаружения вторжений с защитой от внутреннего нарушителя // Проблемы информационной безопасности. Компьютерные системы. 2018. № 2. С. 59-68.
25. Суворов А. М., Цветков А.Ю. Исследование атак типа переполнение буфера в 64-х разрядных unix подобных операционных системах // Актуальные проблемы инфотелекоммуникаций в науке и образовании (АПИНО 2018). VII Международная научно-техническая и научно-методическая конференция: сб. науч. ст. 2018. С. 570-573.
ИНФОРМАТИКА, ВЫЧИСЛИТЕЛЬНАЯ ТЕХНИКА И УПРАВЛЕНИЕ
RESEARCH OF APPROACHES FOR AUTHENTICATION OF WIRELESS NETWORK USERS USING VARIOUS LDAP SOLUTIONS
ALEXANDR D.DOKSHIN
St. Petersburg, Russia, a.dokshin007@gmail.com
MAXIM M. KOVTSUR
St. Petersburg, Russia, maxkovzur@mail.ru
SERGEI V. PRUDNIKOV
St. Petersburg, Russia, prud2000@mail.ru
ALINA I. TARGONSKAYA
St. Petersburg, Russia, targonskaya.ai@gmail.com
KEYWORDS: economic model, large technical system; life cycle stages; system cost estimate; simulation modeling of system development; serial production of products; effective management decisions.
ABSTRACT
Intoduction: every year, the technology of the IEEE802.11 family of networks is becoming more widespread and popular. Based on the possible risks, IT administrators take measures to protect their organizations. One of the ways to improve information security is to use IEEE802.1 x for user authorization. Purpose: the purpose of the study is to study various LDAP solutions for user authorization in a wireless network. Results: three variants of the centralized solution for authorization of users of a wireless network on the basis of operating systems are developed: Windows Server, Ubuntu Linux, and Astra Linux. When working with Windows Server, it was found that you can use the Active Directory LDAP database to store user credentials. The study also showed that if the network infrastructure of the organization needs to implement a server using the Linux operating system, then the FreeIPA database can be used as an LDAP database, and the role of the RADIUS server must be entrusted to the FreeRADIUS software. The advantage of this approach is that all the software required for user authorization is free. Despite the fact that Active Directory is the most popular LDAP database-FreeIPA meets all the needs that arise during security administration. Practical relevance: each solution has passed load testing and can be implemented in the network infrastructure of organizations. Discussion: the choice of operating system and LDAP database for user authorization completely depends on the requirements of the organization, so one of the proposed implementation options will fit each requirement.
REFERENCES
1. Shterenberg S. I., Starodubtsev I. V., Shashkin V.S. Development of a set of measures to protect an enterprise from phishing attacks. Zaschita informacii. Insaid. 2020. No. 2 (92). Pp. 24-31. (In Rus)
2. Kireeva E. V. Methods for protecting information from unauthorized
access in wifi networks. Mirovaya nauka [World Science]. 2019. No. 12. Pp 200-202. (In Rus)
3. Dokshin A. D., Danshina A.V., Kovtsur M.M., Yurkin D.V. Investigation of LDAP-based wireless network user authorization approaches. Alleya Nauki [Alley of Science]. 2020. T. 1. № 3 (42). Pp. 758-761. (In Rus)
4. Kovtsur M. M., Simanov M. S. Analiz osobennostei organizacii avtor-izacii polzovatelei v setyah kollektivnogo dostupa standarta IEEE802.11 [Analysis of the features of the organization of user authorization in the networks of collective access of the IEEE802.11 standard]. Aktual-nie problemi infotelekommunikacii v nauke i obrazovanii APINO 2019: Sbornik nauchnih statei VIII Mejdunarodnoi nauchno_tehnicheskoi i nauchno_metodicheskoi konferencii [Actual problems of infotelecom-munications in science and education (APINO 2019). Collection of scientific articles of the VIII International Scientific-Technical and Scientific-methodological Conference]. 2019. Pp. 537-541. (In Rus)
5. Lomako A. G., Ovcharov V. A., Akulov S. A., Korotkov V. S. Mehanizmi re-alizacii tipovih atak na komponenti besprovodnih setei peredachi dannih [Mechanisms for implementing typical attacks on components of wireless data networks]. The 2017 Symposium on Cybersecurity of the Digital Economy (CDE'17). Book of Abstracts. 2017. Pp. 249-254. (In Rus)
6. Saharov D. V., Krasov A. V., Ushakov I. A., Birih E. V. Modeling a secure, scalable enterprise network with IPv6-based dynamic routing. Zaschita informacii. Insaid [Information security. Inside view]. 2020. No. 1 (91). Pp. 51-57. (In Rus)
7. Shterenberg S. I ., Poltavtseva M. A. A distributed intrusion detection system with protection from an internal intruder. Automatic Control and Computer Sciences. 2018. Vol. 52. No. 8. Pp. 945-953.
8. Krasov A. V., Kosov N. A., Holodenko V. Yu. Research of methods of secure network provisioning on multi-vendor equipment using automated configuration tools. Colloquium-journal. 2019. No. 13-2 (37). Pp. 243-247. (In Rus)
9. Polishchuk C. A new approach to network segmentation and its business value. Jurnal setevih reshenii LAN [Network Solutions Journal LAN]. 2017. No. 1-2. Pp. 37-42. (In Rus)
10. Krasov A. V., Saharov D. V., Ushakov I. A., Losin E. P. Ensuring the secu-
rity of multicast traffic transmission in IP networks. Zaschita informacii. Insaid [Information security. Inside view]. 2017. № 3 (75). Pp. 34-42. (In Rus)
11. Sharikov P. I., Krasov AV., Gelfand A. M., Kosov N. A. Research of the possibility of hidden embedding of a digital watermark using practical methods of channel steganography. Intelligent Distributed Computing XIII. 2019. Pp. 203-209.
12. Tsvetkov A. Yu. Issledovanie suschestvuyuschih mehanizmov zaschiti operacionnih sistem semeistva Linux [Research of the existing mechanisms of protection of operating systems of the Linux family]. Aktualnie problemi infotelekommunikacii v nauke i obrazovanii APINO 2018, VII Mejdunarod-naya nauchno_tehnicheskaya i nauchno_metodicheskaya konferenciya. Sbornik nauchnih statei [Actual problems of infotelecommunications in science and education (APINO 2018) VII International Scientific-technical and scientific-methodological Conference. Collection of scientific articles. Edited by S. V. Bachevsky]. 2018. Pp. 657-662. (In Rus)
13. Iskhakov A., Meshcheryakov R., Ekhlakov Yu. The internet of things in the security industry. Interactive systems: Problems of Human-Computer Interaction. Collection of scientific papers. 2017. Pp. 161-168.
14. Starodubcev Yu.I., Zakalkin P. V., Ivanov S. A., Dobrishin M. M. A method for protecting communication network service servers from computer attacks. Voprosi oboronnoi tehniki. Seriya 16 Tehnicheskie sredstva pro-tivodeistviya terrorizmu [Questions of defense equipment. Series 16: Technical means of countering terrorism]. 2020. No. 9-10 (147-148). Pp. 63-67. (In Rus)
15. Aleksandrov E. S., Ivanov G. N., Kovcur M. M. Analiz mehanizmov zaschiti WI_FI setei [Analysis of WI-FI network protection mechanisms]. Aktualnie problemi infotelekommunikacii v nauke i obrazovanii APINO 2018. VII Mejdunarodnaya nauchno_tehnicheskaya i nauchno_meto-dicheskaya konferenciya [Actual problems of infotelecommunications in science and education (APINO 2018). Proc. of the VII International Scientific-technical and scientific-methodological Conference]. St. Petersburg, 2018. Pp 657-662. (In Rus)
16. Saharov D. V._ Krasov A. V._ Ushakov I. A._ Birih E. V. Modeling a secure, scalable enterprise network with IPv6-based dynamic routing. Zaschita informacii. Insaid [Information security. Inside view]. 2020. No. 1 (91). Pp. 51-57. (In Rus)
17. Timchenko V. I., Tsvetkov A. Yu. Proektirovanie modeli informacionnoi bezopasnosti v operacionnoi sisteme [Designing an information security model in an operating system]. Aktualnie problemi infotelekommunikacii v nauke i obrazovanie. VIII Mejdunarodnaya nauchno_tehnicheskaya i nauchno_metodicheskaya konferenciya [Actual problems of infotelecommunications in science and education. VIII International Scientific-technical and scientific-methodological Conference]. St. Petersburg: SP-bGUT, 2019. Pp. 740-745. (In Rus)
18. Bagomedova A. R., Ushakov I. A., Tsvetkov A. Yu. Razrabotka metodov proverki sootvetstviya serverov virtualizacii trebovaniyam bezopasnosti soglasno standartu GOST R56938_2016 [Development of methods for verifying the compliance of virtualization servers with security requirements in accordance with GOST R56938-2016]. Aktualnie problemi infotelekommunikacii v nauke i obrazovanii _APINO 2018. Sbornik statei
VII Mejdunarodnoi nauchno_tehnicheskoi i nauchno_metodicheskoi kon-ferencii [Actual problems of infotelecommunications in science and education APINA 2018. Collection of articles of the VII International nauch-no_tehnicheskoi i nauchno_metodicheskoi konferencii.]. St. Petersburg, 2018. Pp. 58-63. (In Rus)
19. Akbashev R. R. The analysis of information security problems in the computer network, which is connected to the internet. Information Technology. Problems and Solutions: Proceedings of the International scientific-practical conference. 2017. No. 1 (4). Pp. 295-298.
20. Basan A., Basan E., Makarevich O., Teterevyatnikov S. Research of influence of the attacks on the group of mobile wireless network nodes. Integrating Research Agendas and Devising Joint Challenges. International Multidisciplinary Symposium ICT Research in Russian Federation and Europe. 2018. Pp. 20-28.
21. Makashov A. The network layer model of the wireless sensor network acting under the influence of interferences. 2019 3rd School on Dynamics of Complex Networks and their Application in Intellectual Robotics, DCNAIR2019. No. 3. 2019. Pp. 116-118.
22. Ushakov I. A. Detection of insiders in the corporate computer network based on big data analysis technologies. Vestnik Sankt_Peterburgskogo gosudarstvennogo universiteta tehnologii i dizaina. Seriya 1: Estestven-nie i tehnicheskie nauki [Bulletin of the St. Petersburg State University of Technology and Design. Series 1: Natural and Technical Sciences]. 2019. No. 4. Pp. 38-43. (In Rus)
23. Kotenko I. V., Kuleshov A. A., Ushakov I. A. A system for collecting, storing and processing security information and events based on Elastic stack tools. TrudiSPIIRAN [Works of SPIIRAN]. 2017. No. 5 (54). Pp. 5-34. (In Rus)
24. Shterenberg S. I ., Poltavtseva M. A. Distributed intrusion detection system with internal intruder protection. Problemi informacionnoi bezopasnosti. Kompyuternie sistemi [Problems of information security. Computer systems]. 2018. No. 2. Pp. 59-68. (In Rus)
25. Suvorov A. M., Tsvetkov A. Yu. Issledovanie atak tipa perepolnenie bufera v 64_h razryadnih unix podobnih operacionnih sistemah [Investigation of buffer overflow attacks in 64-bit unix-like operating systems]. Aktualnie problemi infotelekommunikacii v nauke i obrazovanii APINO 2018. VII Mejdunarodnaya nauchno_tehnicheskaya i nauchno_metodich-eskaya konferenciya [Actual problems of infotelecommunications in science and education (APINO 2018). VII International Scientific-technical and scientific-methodological Conference]. St. Petersburg. 2018. Pp. 570-573. (In Rus)
INFORMATION ABOUT AUTHORS:
Dokshin A.D., student of The Bonch-Bruevich Saint-Petersburg State University of Telecommunications;
Kovtsur M.M., PhD, docent of The Bonch-Bruevich Saint-Petersburg State University of Telecommunications;
Prudnikov S.V., Senior lecturer of The Bonch-Bruevich Saint-Petersburg State University of Telecommunications;
Targonskaya A.I., student of The Bonch-Bruevich Saint-Petersburg State University of Telecommunications.
For citation: Dokshin A.D., Kovtsur M.M., Prudnikov S.V., Targonskaya A.I. Research of approaches for authentication of wireless network users using various LDAP solutions. H&ES Research. 2021. Vol. 13. No. 3. Pp. 28-35. Doi: 10.36724/2409-5419-2021-13-3-28-35 (In Rus)
