Security (1027395), страница 6
Текст из файла (страница 6)
Результат шифрования отображается на экране. Пользователь отправляет этотрезультат на сервер аутентификации. В то время как пользователь подсчитывает этот результат, сервераутентификации рассчитывает этот же результат самостоятельно, используя для этого базу данных, гдехранятся все пользовательские ключи. Получив ответ от пользователя, сервер сравнивает его с результатом собственных вычислений. Если оба результата совпадают, пользователь получает доступ к сети. Если результаты оказываются разными, доступ к сети не предоставляется.При использовании схемы с синхронизацией по времени на аппаратном устройстве пользователя и насервере работает секретный алгоритм, который через определенные синхронизированные промежуткивремени генерирует идентичные пароли и заменяет старые пароли на новые.
Пользователь подключается к серверу аутентификации, который запрашивает у пользователя код доступа. После этого пользователь вводит свой PIN в аппаратное карточное устройство, и в результате на экран выводится некотораявеличина, которая представляет собой одноразовый пароль. Этот пароль и отправляется на сервер. Сервер сравнивает его с паролем, который был вычислен на самом сервере. Если пароли совпадают, пользователь получает доступ к сети.ÄÛÚÂÌÚËÙË͇ˆËfl PPPPPP — это популярное средство инкапсуляции (упаковки), которое часто используется в глобальных сетях. В его состав входят три основных компонента:●метод инкапсуляции датаграмм в последовательных каналах;●протокол Link Control Protocol (LCP), который используется для установления, конфигурирования итестирования связи;●семейство протоколов Network Control Protocols (NCP) для установки и конфигурирования различных протоколов сетевого уровня.Чтобы установить прямую связь между двумя точками по каналу РРР, каждая из этих точек должна сначала отправить пакеты LCP для конфигурирования связи на этапе ее установления.
После установления11связи и, прежде чем перейти к этапу работы на протоколах сетевого уровня, протокол PPP дает (при необходимости) возможность провести аутентификацию.По умолчанию аутентификация является необязательным этапом. На случай, если аутентификация потребуется, в момент установления связи система указывает дополнительную конфигурацию протоколоваутентификации.
Эти протоколы используются, в основном, центральными компьютерами и маршрутизаторами, которые связаны с сервером PPP через коммутируемые каналы или линии телефонной связи,а возможно, и через выделенные каналы. Во время согласования на сетевом уровне сервер может выбрать опцию аутентификации центрального компьютера или маршрутизатора.PAP и CHAP представляют собой два метода аутентификации соединения PPP. EAP — это общий протокол аутентификации PPP, который поддерживает множество аутентификационных механизмов. Этотпротокол находится в процессе доработки, и в будущем он сможет поддерживать более современные механизмы аутентификации в рамках аутентификации PPP.
Аутентификация происходит после согласования LCP и до согласования IP Control Protocol (IPCP), в ходе которого происходит обмен адресами IP. Этотпроцесс аутентификации проходит в автоматическом режиме и не требует от пользователей ввода в компьютер каких-либо данных при подключении PPP. Часто аутентификация PAP или CHAP занимает место переговорного сценария, который отвечает на запросы о вводе сетевого имени пользователя (login) ипароля. CHAP поддерживает более высокий уровень безопасности, поскольку не передает реальный пароль по каналу PPP. Однако PAP используется чаще.
Ниже приводится упрощенный обзор этих трех протоколов. Более подробные технические детали и самую свежую информацию можно получить в рабочейгруппе IETF по расширениям PPP (pppext) по адресу:http://www.ietf.org/html.charters/pppext-charter.html.èÓÚÓÍÓÎ PPP PAPНа рисунке 14 показаны действия по аутентификации с использованием протокола PAP.Маршрутизатор отделения пытается провести аутентификацию сервера сетевого доступа (NAS) или «аутентификатора». По завершении этапа установления связи маршрутизатор передает пару «аутентификатор-пароль» серверу NAS до тех пор, пока аутентификация не будет проведена или пока связь не прервется.12PAP не является сильным аутентификационным методом. PAP аутентифицирует только вызывающегооператора, а пароли пересылаются по каналу, который считается уже «защищенным».
Таким образом,этот метод не дает защиты от использования чужихêËÒÛÌÓÍ 14. ÄÛÚÂÌÚËÙË͇ˆËfl PPP PAPпаролей и неоднократных попыток подбора пароля.Частота и количество неудачных попыток входа в сеть контролируются на уровне вызывающего оператора.èÓÚÓÍÓÎ PPP CHAPCHAP используется для периодической аутентификации центрального компьютера или конечного пользователя с помощью согласования по тремпараметрам. Аутентификация происходит в момент установления связи, но может повторятьсяи после ее установления.На рисунке 15 показан процесс аутентификацииCHAP.Маршрутизатор отделения пытается провестиаутентификацию сервера сетевого доступа (NAS)или «аутентификатора».
CHAP обеспечивает безопасность сети, требуя от операторов обмена«текстовым секретом». Этот секрет никогда непередается по каналу связи. По завершении этапа установления связи аутентификатор передаетвызывающей машине запрос, который состоитиз аутентификатора (ID), случайного числа иимени центрального компьютера (для местногоустройства) или имени пользователя (для удаленного устройства).
Вызывающая машина проводитêËÒÛÌÓÍ 15. ÄÛÚÂÌÚËÙË͇ˆËfl PPP CHAPвычисления с помощью односторонней хэш-функции. Аутентификатор, случайное число и общий «текстовый секрет» один за другим подаются на вход хэш-функции. После этого вызывающая машина отправляет серверу ответ, который состоит из хэша и имени центрального компьютера или имени пользователя удаленного устройства.
По получении ответа аутентификатор проверяет проставленное в ответе имяи выполняет те же вычисления. Затем результат этих вычислений сравнивается с величиной, проставленной в ответе. Если эти величины совпадают, результат аутентификации считается положительным,система выдает соответствующее уведомление, и LCP устанавливает связь. Секретные пароли на местном и удаленном устройстве должны быть идентичны. Поскольку «текстовый секрет» никогда не передается по каналам связи, никто не может подслушать его с помощью каких-либо устройств и использовать для нелегального входа в систему.
Пока сервер не получит адекватный ответ, удаленное устройствоне сможет подключиться к местному устройству.CHAP обеспечивает защиту от использования чужих паролей за счет пошаговых изменений аутентификатора и применения переменной величины запроса. Повторяющиеся запросы предназначены для ограничения времени, в течение которого система теоретически остается подверженной любой отдельной хакерской атаке.
Частоту и количество неудачных попыток входа в систему контролирует аутентификатор.èËϘ‡ÌËÂ. Обычно в качестве односторонней хэш-функции CHAP используется MD5, а общий секретхранится в текстовой форме. У компании Microsoft есть свой вариант протокола CHAP (MS-CHAP), гдепароль (на вызывающей машине и на аутентификаторе) хранится в зашифрованном виде. Это дает протоколу MS-CHAP некоторое преимущество: в отличие от стандартного протокола CHAP, он может пользоваться широкодоступными базами данных постоянно зашифрованных паролей.èÓÚÓÍÓÎ PPP EAPPPP EAP является общим протоколом аутентификации PPP, который поддерживает множество аутентификационных механизмов. EAP не производит выбор конкретного аутентификационного механизма на этапе контроля соединения, но откладывает этотвыбор до этапа аутентификации.
Этот сценарий позволяет аутентификатору запросить больше информации до определения конкретного аутентификационного механизма. Кроме того, это даетвозможность использовать «внутренний» сервер, который реально запускает различные механизмы, тогда как аутентификаторPPP служит лишь для обмена аутентификационными данными.На рисунке 16 показано, как работает PPP EAP.Маршрутизатор отделения пытается провести аутентификациюсервера сетевого доступа (NAS) или «аутентификатора».
По завершении этапа установления связи аутентификатор отправляетодин или несколько запросов для аутентификации вызывающеймашины. В запросе имеется поле типа запроса, где указано, чтоименно запрашивается. Так, например, здесь можно указать такие типы запросов, как аутентификация MD5, S/Key, аутентификация с использованием аппаратной карты для генерированияпаролей и т. д.
Запрос типа MD5 очень сходен с протоколом ау- êËÒÛÌÓÍ 16. ÄÛÚÂÌÚËÙË͇ˆËfl PPP EAPтентификации CHAP. Обычно аутентификатор отправляет первоначальный аутентификационный запрос, за которым следует один или несколько дополнительных запросов о предоставлении аутентификационной информации. При этом первоначальный запрос не является обязательным и может опускаться в случаях, когда аутентификация обеспечивается иными способами (при связи по выделенным каналам, выделенным номерам и т. д.).
В этих случаях вызывающая машина отправляет пакет ответных данных в ответ на каждый запрос. Как и пакет запроса, пакет ответныхданных содержит поле, соответствующее полю типа запроса. И наконец, аутентификатор завершаетпроцесс отправлением пакета, который свидетельствует о положительном или отрицательном результате аутентификации.TACACS+TACACS+ является протоколом последнего поколения из серии протоколов TACACS. TACACS — этопростой протокол управления доступом, основанный на стандартах User Datagram Protocol (UDP) и разработанных компанией Bolt, Beranek and Newman, Inc.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
