Руководство по технологиям объединенных сетей Cisco (953103), страница 98
Текст из файла (страница 98)
Если поле типа представляет собой запрос ОТР или типовую карту маркера, то поле тип-данные содержит информацию, которую запрашивает сервер лля аутентификации. Глава 26. Протокол расширяемой аутентификации... 469 Использование службы йА0! 08 для аутентификации ЕАР Одним из наиболее привлекательных качеств протокола ЕАР является его способность добавлять ВАОПЗБ в качестве службы удаленной (Ьас)г-епб) аутентификации . При использовании ВАОП)б-сервера, аутентификация ЕАР несколько отличается от традиционной ВАОПЗБ-аутентификации. В традиционной службе аутентификации ВА()П)Б сервер доступа к сети (Хенгог(г Ассезз Беггег — Ь(АБ) запрашивает у пользователя метод аутентификации, который будет использоваться.
Когда клиент отвечает на запрос сервера ХАЯ, последний создает пакет запроса на доступ, который будет отправлен серверу кАОПЗб путем трансляции этого метода аутентификации в соответствующий ЙАЕ)ПЗБ-атрибут для сервера. Сервер ВАРИ)б отвечает ответным пакетом, содержащим либо разрешение на доступ либо отказ в нем. Когда сервер ХАЯ получает ответ, он интерпретирует результаты согласно выбранному методу аугентификации и отправляет их клиенту, принимая или отвергая аутентификацию пользователя.
Такой способ несколько отличается от использования ЕАР в качестве механизма аутентификации. В тех случаях, когда сервер Ь!Аб использует КАРП)б в качестве удаленного сервера для ЕАР-аутентификации, от самого ХАЯ не требуется поддерживать используемый метод аутентификации. В этом случае Ь(АБ функционирует как прокси-сервер для аутентификации между клиентом и сервером ВАОИЗб и прозрачно передает сообщение аутентификации между клиентом и удаленным сервером. Сервер ХАЯ больше не участвует в процессе аутентификации, Он функционирует в режиме прокси-сервера, поддерживая обмен ЕАР-сообщениями двух удаленных одноранговых устройств.
Эта общая платформа аутентификации в настоящее время позволяет производителям разрабатывать и использовать различные методы аутентификации, которые понятны и клиенту, и серверу, не заботясь об их поддержке сервером Ь)АБ, который требуется только для того, чтобы объединить ЕАР-сообщения и отправить их ВАРИЗБ-серверу. Для поддержки протокола ЕАР были добавлены два новых атрибута службы ВАОП)5. Совместно они обеспечивают поддержку службой ВАОПЗБ протокола ЕАР. Первый атрибут представляет собой ЕАР-сообщение (ЕАР-Меззаае). Он используется для отправки информации протокола ЕАР от клиента к серверу и наоборот. Сервер Ь(АБ может посылать информацию в одном или нескольких ЕАР-сообщениях.
Ои может также использовать данный атрибут для ответа на пакеты вызова, согласия или отказа. Предполагается, что этот метод аутентификации будет использоваться для усиленной криптографии и для других чувствительных методов аугснтификации. Вторым добавленным ВАО!Ю-атрибутом является атрибут "сообшсниеаутентификатор" (Меззаае-Ацгйепг(сагог). Этот атрибут поддерживает целостность пакетов службы КАРП)5 и отражает попытки атак на ВАОПЗБ-сервер ЕАР путем защиты данных, находящихся внутри пакета.
Этот атрибут должен использоваться каждый раз, когда в ВАРИ)Я-пакетах запроса, согласия или вызова имеется атрибут ЕАР-Меззаяе, Если имеется атрибут "ЕАР-сообщение", а атрибут "сообшениеаутентификатор" отсутствует, то пакет должен быть отброшен, потому что целостность пакета проверить в этом случае невозможно. В табл. 26.1 описаны два новых атрибута ВАРИ)б и приведены их номера согласно 1ЕТЕ. 47О Часть (Ч. Технологии мультисервисного доступа ~~~иИа Ж1; Номврта атрибутов! ЕТР дгзя аугеитифаицицнф,фАР ЙА6$03 Номер 1ЕТР Атрибут Описание ЕАР-сообщение Инкапсулирует ЕАР-информацию, которая будет передеааться между клиентом н ЯА0108-сереером Сообщение — Обеспечивает целостность сообщения путем зашифровки аугенгнфнкатор ЕАР-сообщений с помощью секретного ЙАО1АА8-ключа 79 80 Типичное обсуждение аутентификации йап!08 РРР СОР янова.
еАР мт РРР ССРАсе-ЬТР АНМ РРР ЕАР. Яви»пм ,Мавау Тйсамсва е ВАОМЗ Ассаев. йеанавиЕАР МвмйиуЕЮ Вмсамо Юмсу ВАОйа Асеево. Орви»реди Ммва„"еУЕАР Верта Оурторт Зван,р, РРР ЕАР йеаноМОТРУОТР Сснвпре РРР ЕАР йеаропввЮТВ Оуррп ВАОйа Ассам. йэрнаиеу. Мммдвяар ймапмуоуй Оурр ВАОмз Ассенв-Ассери ЕАР-УОВМЯ6/Е4Р-ЗСССЕМ ~Оруп е амвауун) Фамвутвнп Ф ваннн РРР анан мна, на»пестов Яана ВОР— — РРР ЕАР Ясссеав гттс. 2б.2 Лоток аутентификаииоииык Вакетов лротокова ЕЛР йАА»гс»5 Поддержка инфраструктуры РК1 с помощью протокола ЕАР Можно ли использовать цифровые сертификаты при аутентификации пользователя с помощью протокола ЕАР? Инфраструктура общедоступных ключей (РМЫ1с Кеу 1и- Глава 26. Протокол расширяемой аутентификации...
Теперь, когда есть понимание того, как функционирует протокол ЕАР и сила ясна роль удаленного КА1АПЗБ-сераера а процессе аутентификации, следует рассмотреть типичное обсуждение аугентификации с клиентом протокола ЕАР, сервером 1А1А8 и сервером КА1рШБ. В разных сетевых структурах используются различные реализации протокола ЕАР. Каждая реализация следует основным базовым предпосылкам для потока аутентификационных данных. На рис. 26.2 показан осноаной поток пакетов аутентификации для КА1АШБ ЕАР, включая клиента, ХАЯ-сервер и КА1АИЛ-сервер. гшагшсгцге — Рк!) использует такие цифровые сертификаты.
Она предназначена для работы с асимметричными криптографическими ключами с целью обеспечить достоверность передаваемых данных. Эти данные могут быть данными аутентификации лля конкретного пользователя и конкретного применения, которые действительны только на определенный период времени. Два разрабатываемого в настоящее время стандарта протокола ЕАР используют цифровые сертификаты ЕАР-ТЬБ и РЕАР. Каждый из них имеет свои перспективы. Нельзя сказать, чтобы какой-либо из них был лучше или хуже другого. Однако, каждый из этих методов имеет присущие ему ярко выраженные свойства и соответствует различным требованиям.
По самой своей природе использование цифровых сертификатов для аутентификации пользователя представляет некоторую сложность. В настоящее время возрастают требования к новым реализациям протокола ЕАР и в последующих двух разделах обсуждаются новые расширения этого протокола. Безопасность протокола ЕАР на транспортном уровне (ЕАР-Тгаперог$ 1 ауег Зесигйу — ЕАР-Т1.8) Безопасность на транспортном уровне (Тгапзрогг Ьауег Бесипгу — ТЬБ) представляет собой новейшую версию группы 1ЕТР для протокола безопасного уровня сокета (Бесцге Бес)гег 1.ауег — БЯ.).
Протокол ТЬБ представляет собой версию 3.0 протокола БЯ.. Протокол Т15 аутентифицирует пользователя, как лля сервера аутентификации, так и для клиента. Каждый из ннх использует свой частный ключ и сертификат для проверки своего партнера по связи. Сначала сервер посылает свои идентификационные данные, Клиент проверяет сертификат с помощью надежного сервера проверки полномочий сертификата (Сегг!Всаге Ашйопгу — СА). После того как произошла идентификация сервера клиентом, последний посылает свой сертификат серверу для идентификации пользователя, пытающегося пройти аутентификацию. Сервер проверяет действительность сертификата на своем СА-сервере лля подтверждения полномочий пользователя.
Такая проверка известна как взаимная аутентификация. При этом каждая сторона проверяет аутентичность другой стороны лля того, чтобы получить положительный результат проверки ЕАР, не передавая пароли по каналу. Защищенный протокол ЕАР (РгоФесФед ЕАР— РЕАР) Защищенный протокол ЕАР (Ргогесгег) ЕАР— РЕАР), использует те же принципы, что и протокол ЕАР-ТЬБ. Однако, при использовании РЕАР аутентификация имеет несколько иной характер. РК1 используется только для аутентификации клиентом сервера. Этот процесс называется сертифицированием со стороны сервера.
Такой тип аутентификации преследует три цели. Во-первых, это позволяет клиенту сделать запрос серверу с тем, чтобы последний доказал свою идентичность с сертификатом. Зто во многом напоминает любой общедоступный %еь-сайт, который использует протокол БЯ.. Когда польюватель посещает %еь-сайт с использованием протокола ББЬ (НТТРБ в браузере), от сервера требуется предоставить свой сертификат для доказательства, что он является узлом, с которым пытаются установить соединение. Второй целью использования протокола РЕАР является достижение большей гибкости в аутентификации пользователя.
Иногда бывает непрактичным выпускать отдельный сертификат для каждого клиента, который последствии будет использоваться для его аутентификации. Протокол РЕАР позволяет использовать альтернативные методы аутентификации со стороны пользователя, включая ОТР-пароли. 472 Часть 1Ч. Технологии мультисереисного доступа Третьей и последней целью использования сертификата со стороны сервера является зашифровка сеанса с помощью сертификата сервера до того, как пользователь направит свое вмя серверу. Это предотвращает ситуацию, когда атакующие извлекают имя пользователя из пакета аутентификации. Реализации протокола ЕАР Теперь, когда описан протокол ЕАР и его различные расширения, можно рассмотреть различные приложения этого мощного механизма аутентификации.
Сфера использования этого протокола все время расширяется. Протокол ЕАР был введен в модели аутентификации при беспроводном доступе. Преимущества обязательной аутентификации на 2-м уровне для доступа к сети очевидны. Использование этого механизма не позволяет узлам получать адрес 3-го уровня до окончания аутентификации. Эта концепция была расширена на среды ЕАХ-коммутации. Использование протокола ЕАР для управления доступом к порту коммутатора на 2-м уровне позволяет сетевым администраторам иметь полный контроль над тем, какие пользователи получают право на доступ к локальной сети ЕАМ. Кроме того, этот метод аутентификации обеспечивает средства контроля сети ЪЧ.АХ пользователя, независимо от физического порта коммутатора.
Для поддержки атрибутов такого административного контроля системные администраторы используют службу КАОШЬ. В дополнение к этим реализациям, протокол ЕАР был расширен на методы удаленного доступа. Протокол ЕАР может быль применен к традиционным соединениям удаленного доступа, а также к соединениям чР01ч' в тех случаях, когда конечной точкой является маршрутизатор. От сервера ХАЯ требуется только поадержка протокола ЕАР как одного из типов РРР-аутентификации. Как уже говорилось ранее, метод аутентификации, используемый в протоколе ЕАР, не обязательно должен поддерживаться самим сервером ХАЯ.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
