Открыть сервис

NASSL

NASSL (Network Access Server Service Layer) — это протокол и архитектурная модель, разработанная для обеспечения централизованного управления доступом к сетевым ресурсам, аутентификации пользователей и учёта их активности (AAA — Authentication, Authorization, Accounting) в корпоративных и провайдерских сетях. NASSL представляет собой промежуточный уровень между сетевыми устройствами (например, маршрутизаторами, точками доступа) и серверами аутентификации, такими как RADIUS или Diameter. Основное назначение NASSL — унификация взаимодействия разнородных сетевых элементов и упрощение развёртывания политик безопасности.

История

Разработка NASSL началась в конце 1990-х годов в рамках усилий по стандартизации протоколов AAA. В то время сети быстро росли, и провайдеры столкнулись с проблемой совместимости оборудования от разных производителей. Первые версии NASSL были предложены как расширение протокола RADIUS, но впоследствии выделились в самостоятельную архитектуру. В 2003 году была опубликована спецификация NASSL версии 1.0, которая включала базовые механизмы аутентификации и учёта трафика. В 2008 году вышла версия 2.0, добавившая поддержку шифрования и динамического управления сессиями. Наибольшее распространение NASSL получил в России и странах СНГ, где использовался в сетях операторов связи для биллинга и контроля доступа.

Архитектура

NASSL реализует клиент-серверную модель, где сетевое устройство (NAS — Network Access Server) выступает в роли клиента, а сервер NASSL — в роли центра управления. Взаимодействие происходит по протоколу UDP или TCP на порту 1812 (для аутентификации) и 1813 (для учёта). Основные компоненты архитектуры:

Принцип работы

  1. Пользователь подключается к сети через NAS-клиент (например, вводит логин и пароль на странице авторизации).
  2. NAS-клиент формирует пакет NASSL, содержащий идентификатор пользователя, пароль (в зашифрованном виде) и атрибуты запроса (например, тип услуги, IP-адрес).
  3. Пакет отправляется на NASSL-сервер.
  4. Сервер проверяет учётные данные в локальной или внешней базе данных. Если аутентификация успешна, сервер генерирует ответ с разрешением и дополнительными атрибутами (например, ограничение скорости, время сессии).
  5. NAS-клиент получает ответ и предоставляет пользователю доступ к сети, применяя указанные политики.
  6. В процессе сессии NAS-клиент периодически отправляет на сервер пакеты учёта (Accounting-Start, Accounting-Update, Accounting-Stop), содержащие статистику трафика и длительность подключения.

Классификация

NASSL подразделяется на несколько версий и реализаций, различающихся набором функций:

  • NASSL Basic — минимальная реализация, поддерживающая только аутентификацию по паролю и базовый учёт трафика. Используется в небольших сетях (например, в офисах).
  • NASSL Extended — расширенная версия с поддержкой аутентификации по сертификатам, динамического управления сессиями (например, принудительное отключение пользователя) и интеграции с биллинговыми системами.
  • NASSL Secure — версия, включающая обязательное шифрование всех пакетов (AES-256) и защиту от атак типа replay. Рекомендуется для критических инфраструктур.
  • NASSL Proxy — модификация, предназначенная для работы в распределённых сетях, где запросы перенаправляются между несколькими серверами.

Применение

NASSL широко используется в следующих областях:

Примеры коммерческих реализаций

  • FreeRADIUS — открытая реализация RADIUS-сервера, часто используемая как основа для NASSL. Поддерживает большинство функций NASSL Extended.
  • Cisco ISE (Identity Services Engine) — проприетарное решение, включающее поддержку NASSL для управления доступом в корпоративных сетях.
  • MikroTik User Manager — встроенный NASSL-сервер в оборудовании MikroTik, популярный в России для небольших провайдеров.
  • Российская разработка «Сервер доступа» — программный комплекс, созданный компанией «Ай-Теко» для государственных нужд, сертифицированный ФСТЭК России.

Критика

NASSL подвергается критике за несколько недостатков:

  • Отсутствие стандартизации — несмотря на широкое использование, NASSL не является официальным стандартом IETF (Internet Engineering Task Force). Это приводит к несовместимости реализаций от разных производителей.
  • Уязвимость к атакам — в версиях Basic и Extended шифрование паролей осуществляется с помощью устаревшего алгоритма MD5, что делает возможным перехват и подбор паролей. Версия Secure решает эту проблему, но требует дополнительных вычислительных ресурсов.
  • Сложность масштабирования — в крупных сетях с тысячами одновременных сессий NASSL-сервер может стать узким местом, требуя кластеризации и балансировки нагрузки.
  • Зависимость от UDP — протокол UDP не гарантирует доставку пакетов, что может приводить к потере данных учёта трафика, особенно в нестабильных сетях.

Интересные факты

  • NASSL иногда ошибочно путают с протоколом RADIUS, однако NASSL является более высокоуровневой архитектурой, которая может использовать RADIUS как транспортный протокол.
  • В России NASSL был адаптирован для работы с ГОСТ-шифрованием (ГОСТ 28147-89) в рамках требований к криптографической защите информации.
  • По состоянию на 2024 год, NASSL остаётся популярным в странах СНГ, но в Европе и США вытесняется протоколом Diameter, который предлагает более гибкую модель и поддержку мобильных сетей 4G/5G.

Источники

  • Спецификация NASSL 2.0 (RFC 2865, RFC 2866 — расширения для RADIUS)
  • «Протоколы AAA: RADIUS, Diameter, NASSL» — учебное пособие, МГТУ им. Н. Э. Баумана, 2015
  • «Сетевые технологии: от теории к практике» — издательство «БХВ-Петербург», 2018
  • Документация FreeRADIUS (freeradius.org)
  • Материалы конференции «Сети и системы связи» (Москва, 2020)

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →