rfc2865[1] (1027731), страница 13
Текст из файла (страница 13)
е., явочным порядком. Прим. перев.www.bilim.com27www.protocols.ruРазумные сети от компании BiLiM SystemsАтрибуты:Перевод RFC 28656 Service-Type (6) = Login (1)6 Login-Service (15) = Telnet (0)6 Login-IP-Host (14) = 192.168.1.37.2. Framed-сервис с использованием аутентификации CHAPСервер NAS с адресом 192.168.1.16 передает UDP-пакет Access-Request серверу RADIUS для аутентификации пользователя flopsy,подключающегося к порту 20 по протоколу PPP с использованием CHAP.
Сервер NAS вместе в атрибутами Service-Type иFramed-Protocol передает серверу RADIUS сведения о том, что пользователь желает работать по протоколу PPP, хотя NAS необязан передавать такие рекомендации.Атрибут Request Authenticator содержит 16-октетное случайное значение, созданное NAS, которое также используется в CHAPChallenge.Атрибут CHAP-Password содержит 1-октетное значение CHAP ID (в данном случае 22), за которым следует 16 октетов откликаCHAP response.01 010d 3375 5706 c002 071 Code = 100 47 2a ee 8667 a2 01 08 66c3 16 18 58 95a8 01 10 05 0606 00 00 00 01(Access-Request)f06cf2008d6f93000d70ff0055736314967944069c030706a5137200971675008ee904001 ID = 12 Length = 7116 Request AuthenticatorАтрибуты:8 User-Name (1) = "flopsy"19 CHAP-Password (3)6 NAS-IP-Address (4) = 192.168.1.166 NAS-Port (5) = 206 Service-Type (6) = Framed (2)6 Framed-Protocol (7) = PPP (1)Сервер RADIUS идентифицирует flopsy и передает UDP-пакет Access-Accept серверу NAS, говорящий тому о возможностииспользования PPP и выделении пользователю адреса из динамического пула.Атрибут Response Authenticator содержит 16-октетное хэш-значение MD5 для (2), id (1), Length (56), поля Request Authenticator изпредыдущего пакета, атрибутов данного отклика и разделяемого ключа.02 01 00 38 15 ef3c 86 01 a4 06 0608 06 ff ff ff fe00 01 0c 06 00 001 Code = Access-Accept (2)bc000a057d ab 26 cf a3 dc 34 d9 c000 00 02 07 06 00 00 00 0106 00 00 00 02 0d 06 00 00dc1 ID = 1 (совпадает со значением в пакете Access-Request)2 Length = 5616 Response AuthenticatorАтрибуты:6 Service-Type (6) = Framed (2)6 Framed-Protocol (7) = PPP (1)6 Framed-IP-Address (8) = 255.255.255.2546 Framed-Routing (10) = None (0)6 Framed-Compression (13) = VJ TCP/IP Header Compression (1)6 Framed-MTU (12) = 15007.3.
Пользователь подключается с помощью карты Challenge-ResponseNAS с адресом 192.168.1.16 передает UDP-пакет Access-Request серверу RADIUS для пользователя mopsy, подключающегосячерез порт 7. Пользователь ввел пароль challenge. Генерируемые смарт-картой запрос (challenge) и отклик имеют значения32769430 и 99101462, соответственно.Атрибут Request Authenticator содержит 16-октетное случайное значение, созданное NAS.Атрибут User-Password содержит результат операции XOR для 16 октетов пароля (в данном случае challenge, с дополнениемнулями справа) и MD5(shared secret|Request Authenticator).www.bilim.com28www.protocols.ruПеревод RFC 286501 02 00 39 f3 a430 41 a0 39 01 0773 77 82 89 b5 70a8 01 10 05 06 001 Code = Access-Request (1)Разумные сети от компании BiLiM Systems7a6d88001f6f5e006a 6d 76 71 0b 94 7a b970 73 79 02 12 33 65 7515 08 48 25 c5 04 06 c0071 ID = 22 Length = 5716 Request AuthenticatorАтрибуты:7 User-Name (1) = "mopsy"18 User-Password (2)6 NAS-IP-Address (4) = 192.168.1.166 NAS-Port (5) = 7Сервер RADIUS передает пользователю mopsy дополнительный запрос, на который ожидает ответа.
Следовательно, RADIUSпередает UDP-пакет Access-Challenge серверу NAS.Атрибут Response Authenticator содержит 16-октетной хэш-значение MD5 для code (11), id (2), length (78), атрибута RequestAuthenticator из предыдущего пакета, атрибутов данного отклика и разделяемого ключа.Атрибут Reply-Message имеет значение "Challenge 32769430. Enter response at prompt."Атрибут State представляет собой значение magic cookie, возвращаемое с откликом пользователя (в нашем примере это 8 октетов 33 32 37 36 39 34 33 30 в шестнадцатеричном представлении).0b 02 00 4e 36 f3 c871 ff 9c 45 12 30 4333 32 37 36 39 34 3320 72 65 73 70 6f 6e6d 70 74 2e 18 0a 331 Code = Access-Challenge (11)76683073324a612e6537e86c202036c76c2061391165457434576e6e203340677470303c6565720c20726f1 ID = 2 (совпадает со значение в пакете Access-Request)2 Length = 7816 Response AuthenticatorАтрибуты:48 Reply-Message (18)10 State (24)Пользователь вводит свой отклик и NAS передает новый пакет Access-Request, включая в него атрибут State.Атрибут Request Authenticator содержит новое 16-октетное случайное значение.Атрибут User-Password представляет собой 16-октетное значение, полученное с помощью операции XOR для пользовательскогоотклика (в данном случае 99101462), дополненного справа нулями и MD5(shared secret|Request Authenticator).Атрибут State содержит значение magic cookie из пакета Access-Challenge.01 03 00 43 b1 22c4 57 ec f0 01 0720 5f c0 81 b9 19a8 01 10 05 06 0034 33 301 Code = Access-Request (1)556db9006d6f5100427095078a73f51813796110d002a533d612813225690437382c0636071fc0391 ID = 3 (отметим, что значение идентификатора изменилось)2 Length = 6716 Request AuthenticatorАтрибуты:7 User-Name = "mopsy"18 User-Password6 NAS-IP-Address (4) = 192.168.1.166 NAS-Port (5) = 710 State (24)Значение атрибута Response (отклик пользователя) было некорректным (для примера), поэтому сервер RADIUS говорит NAS онеобходимости отвергнуть попытку подключения.Атрибут Response Authenticator представляет собой 16-октетное хэш-значение MD5 для code (3), id (3), length(20), атрибутаRequest Authenticator из предыдущего пакета, атрибутов данного отклика (если они имеются) и разделяемого ключа.www.bilim.com29www.protocols.ruРазумные сети от компании BiLiM Systems03 03 00 14 a4 2f 4f ca 45 91 6c 4e 09 c8 34 0f9e 74 6a a01 Code = Access-Reject (3)Перевод RFC 28651 ID = 3 (совпадает со значением в пакете Access-Request)2 Length = 2016 Response AuthenticatorАтрибуты:Атрибуты отсутствуют, хотя включение Reply-Message допускается.8.
Вопросы безопасностиВопросы безопасности являются основной темой данного документа.На практике в каждом сервере RADIUS (или на связанном с ним дополнительном сервере) имеется база данных, содержащаясписок имен пользователей и сопоставленных каждому пользователю идентификационных данных (secret). Не делаетсяпредположений, что пользователь с данным именем будет идентифицироваться с использованием множества методов. Такойподход является уязвимым для атак с использованием наименее безопасного метода идентификации из числа поддерживаемых.Для предотвращения таких атак следует для каждого пользователя указать единственный метод идентификации. Еслипользователю нужны различные варианты идентификации в разных случаях, для решения проблемы следует создавать такомупользователю несколько записей с различными именами, каждая из которых будет использовать свою схему идентификации.Пароли и другая конфиденциальная информация должны храниться на отвечающей стороне так, чтобы доступ к ним былмаксимально ограничен.
В идеальном случае доступ к таким сведениям следует предоставлять только процессу, выполняющемуфункции аутентификации.Ключи следует передавать с использованием механизмов, обеспечивающих минимальное число участвующих в передаче (иследовательно, способных узнать ключи) объектов. В идеальном случае о наличии ключа следует знать лишь лицам, наделеннымсоответствующими полномочиями.
Передачу ключей можно обеспечить с помощью протоколов SNMP Security [14], норассмотрение этих механизмов выходит за пределы данной спецификации.Прочие методы распространения ключей требуют дополнительных исследований и экспериментов. В описывающем протоколSNMP Security документе [14] также содержится превосходный обзор связанных с сетевыми протоколами опасностей.Механизм сокрытия User-Password, описанный в параграфе 5.2 не подвергался достаточному криптоанализу по опубликованнымисточникам. Некоторые члены сообщества IETF высказывают сомнения [15] в том, что этот механизм обеспечивает достаточныйуровень конфиденциальности при передаче паролей в системах RADIUS.
Пользователям следует оценить уровень безопасностисвоей среды и при необходимости подключить дополнительные механизмы обеспечения конфиденциальности.9. Журнал измененийНиже приведен список изменений, внесенных в спецификацию, по сравнению с RFC 2138:Переменные типа string должны использовать кодировку UTF-8 вместо US-ASCII, и трактовать их следует как 8-битовыеданные.Целые числа и даты задаются как 32-битовые беззнаковые целые числа.Для обеспечения совместимости с таблицей атрибутов обновлен список атрибутов, которые могут включаться в AccessChallenge.User-Name ссылается на идентификаторы NAI (Network Access Identifier).User-Name можно передавать в пакетах Access-Accept для учета и использования с rlogin.Добавлены значения для атрибутов Service-Type, Login-Service, Framed-Protocol, Framed-Compression и NAS-Port-Type.Атрибут NAS-Port может использовать все 32 бита.Примеры приведены с шестнадцатеричными дампами пакетов.Порт отправителя UDP должен использоваться вместе с атрибутом Request Identifier для идентификации дубликатов.Допускается включение множества субатрибутов в атрибуты Vendor-Specific.Пакет Access-Request должен содержать по крайней мере один из атрибутов NAS-IP-Address или NAS-Identifier.В раздел “Работа протокола” добавлена информация о серверах-посредниках (proxy), повторной передаче и пакетах keep-alive.При наличии множества однотипных атрибутов все серверы-посредники должны сохранять порядок таких атрибутов.Даны пояснения для Proxy-State.Даны пояснения об отсутствии зависимости трактовки атрибутов от их положения в пакете и необходимости сохраненияпорядка однотипных атрибутов.Добавлен раздел “Согласование с IANA”.Обновлен параграф “Сервер-посредник (Proxy)" в главе "Работа протокола".Атрибуты Framed-MTU могут передаваться в пакетах Access-Request в качестве рекомендации.Обновлен раздел “Вопросы безопасности”.www.bilim.com30www.protocols.ruПеревод RFC 2865Разумные сети от компании BiLiM Systems Текстовые строки рассматриваются как подмножество string, для прояснения использования UTF-8.10.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
