2.5. Настройка протокола аутентификации ms-chap

Для увеличения безопасности корпоративной сети при удалённом доступе используем протокол аутентификации MS-CHAP.

MS-CHAP (англ. Microsoft Challenge Handshake Authentication Protocol) – протокол проверки подлинности соединений между сервером и клиентом без передачи пароля последнего, использующий механизм «вызов-ответ». MS-CHAP является реализацией протокола CHAP, в которой предусмотрены механизм возврата сообщений об ошибках аутентификации и возможность изменения пароля пользователя.Кроме того MS-CHAP обеспечивает создание ключей шифрования для протокола MPPE, совместно с которым применяется в Microsoft PPTP.

MS-CHAP v1 представляет собой механизм аутентификации, похожий на CHAP, но имеющий важное отличие: в CHAP сервер должен хранить в обратимо-зашифрованном виде пароль клиента, который расшифровывается при каждой проверке подлинности клиента, а в MS-CHAP v1 серверу для этого требуется только MD4-хеш пароля.

Механизм MS-CHAPv1 состоит из следующих этапов:

1. Клиент отправляет серверу запрос на вход.

2. Сервер в ответ отправляет 8-байтовый случайный отклик(Challenge).

3. Клиент использует LAN Manager хэш своего пароля, добавляет к 16-байтовому результату пять нулевых байт и делит полученную 21-байтовую строку на три чести по 7 байт, чтобы получить три ключа для DES. Каждый из этих ключей используется для шифрования Challenge, присланного сервером. Все три результирующих шифрованных блока объединяются в 24-байтовый LMChallengeResponse. Также клиент создает второй 24-байтовый NTChallengeResponse, используя Windows NT хэш и ту же процедуру. Затем оба значения, LMChallengeResponse и NTChallengeResponse, а также флаг «Использовать NTChallengeResponse» размером в 1 байт отправляются серверу.

4. Сервер использует для расшифровки полученного ответа соответствующий флагу хэш клиентского пароля, который хранится в базе данных. Если расшифрованные блоки соответствуют значению Challenge, аутентификация завершается, и клиенту отсылается Success-пакет.

В маршрутизаторах Cisco для поддержки MS-CHAP предусмотрена команда ррр authentication ms-chap. Кроме этого они поддерживают двойную аутентификацию для РРР. При двойной аутентификации сначала идентифицируется удаленный хост с помощью РАР или CHAP, а затем пользова­тель, как правило, с помощью одноразовых паролей идентификационных карт, не поддерживаемых в рамках CHAP.

Конфигурация маршрутизатора выглядит следующим образом:

r-perimeter(config)#interface Virtual-Template1

r-perimeter(config-if)#ppp authentication ms-chap

r-perimeter(config-if)#ppp encrypt mppe ?

128 128 Bit Encryption only

40 40 Bit Encryption only

auto Will offer 40 and 128 bit if available

r-perimeter(config-if)#ppp encrypt mppe auto

r-perimeter(config-if)#ppp encrypt mppe auto required

Также необходимо произвести конфигурацию на компьютерах пользователей. Для этого необходимо произвести следующие действия:

1. Выберите Пуск > Настройки > Сеть и удаленный доступ к сети > Новое подключение.

2. В появившемся окне мастера подключений выберите Тип сетевого подключения, затем выберите Подключиться к частной сети через Интернет.

3. Выберите Набрать номер для следующего предварительного подключения.

4. В поле «Узел» или «IP-адрес» укажите адрес места назначения и нажмите Далее.

5. Выберите Пуск > Настройки > Сеть и удаленный доступ к сети, затем выберите соединение, которое только что было настроено.

6. При появлении следующего окна выберите Свойства > Безопасность для настройки параметров.

7. Выберите Дополнительно (настройки заказчика), затем выберите Настройки и укажите соответствующие типы шифрования (пункт «Шифрование данных») и аутентификации (разрешите эти протоколы).

8. В разделе «Сеть» (тип вызываемого VPN-сервера) выберите PPTP и нажмите OK.

9. Появится окно проверки имени пользователя и пароля.

10. Появится сообщение о выполнении регистрации компьютера в сети.

11. Появится окно «Свойства подключения».

12. В следующих окнах отображается состояние подключения.

Заключение

В данном курсовом проекте рассмотрены принципы разработки политики безопасности корпоративной сети и основные вопросы, которые должна решать политика безопасности. По этим принципалам была разработана корпоративная сеть, включающая в себя зону DMZ с front-end и back-end серверами. Построена сеть была на сетевом оборудовании компании Cisco. Были произведены начальные настройки, а так де настройки листов доступа и настройки протокола проверки подлинности MS-CHAP v1.

Список используемых источников

1. Sean Convery. Network Security Architectures. — Cisco Press, 2004. — P. 6–. — ISBN 978-1-58705-115-9.

2. Cryptanalysis of Microsoft’s PPTP Authentication Extensions (англ.). — 1999.

3. Виджэй Боллапрагада, Кэртис Мэрфи, Расс Уайт. Структура операционной системы Cisco IOS = Inside Cisco IOS. — М.: «Вильямс», 2002. — С. 208. — ISBN 1-57870-181-3.

4. Уэнделла Одома, CCIE 1624, 2011 год — CCNA 640-802 Official Cert Library, Updated, 3rd Edition.

5. Смирнов А. А., Житнюк П. П. Киберугрозы реальные и выдуманные // «Россия в глобальной политике». — 2010. — № 2.

21