
Лекция №9
Тема: "Аутентификация удаленных пользователей"
Вопросы:
1. Организация защищенного удаленного доступа.
2. Протокол аутентификации РАР.
3. Протокол аутентификации СНАР.
4. Протокол аутентификации S/Key.
1. Организация защищенного удаленного доступа.
Удаленный доступ к компьютерным ресурсам стал в настоящее время таким же актуальным и значимым, как и доступ в режиме непосредственного подключения. Удаленный доступ к корпоративной сети осуществляется из незащищенного внешнего окружения через открытые сети. Поэтому средства построения защищенной корпоративной сети должны обеспечить безопасность сетевого взаимодействия при подключении к сети удаленных компьютеров.
Удаленный доступ к корпоративной сети возможен через глобальную компьютерную сеть или через среду передачи информации, образованную цепочкой из телефонной и глобальной компьютерной сети. Доступ через глобальную сеть Интернет является достаточно эффективным способом удаленного доступа к корпоративной сети, причем для подключения удаленного пользователя к Интернету может использоваться канал телефонной связи. Отметим основные достоинства удаленного доступа к корпоративной сети через Интернет:
обеспечивается масштабируемая поддержка удаленного доступа, позволяющая мобильным пользователям связываться по местной телефонной линии с интернет-провайдером и затем через Интернет входить в свою корпоративную сеть;
сокращаются расходы на информационный обмен через открытую внешнюю среду, так как удаленные пользователи подключаются к Интернету и через эту глобальную сеть связываются с минимальными затратами с сетью своей организации;
управление трафиком удаленного доступа осуществляется так же, как любым другим трафиком Интернета.
В корпоративной сети для взаимодействия с удаленными пользователями выделяется сервер удаленного доступа. Этот сервер служит для выполнения следующих функций:
установки соединения с удаленным компьютером;
аутентификации удаленного пользователя;
управления удаленным соединением;
посредничества при обмене данными между удаленным компьютером и корпоративной сетью.
Среди протоколов удаленного доступа к локальной сети наибольшее распространение получил протокол точка-точка РРР (Point-to-Point Protocol), который является открытым стандартом Интернета. Протокол РРР предназначен для установления удаленного соединения и обмена информацией по установленному каналу пакетами сетевого уровня, инкапсулированными в РРР-кадры. Используемый в протоколе РРР метод формирования кадров обеспечивает одновременную работу через канал удаленной связи нескольких протоколов сетевого уровня.
Протокол РРР поддерживает следующие важные функции:
аутентификацию удаленного пользователя и сервера удаленного доступа;
компрессию и шифрование передаваемых данных;
обнаружение и коррекцию ошибок;
конфигурирование и проверку качества канала связи;
динамическое присвоение адресов IP и управление этими адресами.
На основе протокола РРР построены часто используемые при удаленном доступе протоколы РРТР, L2F и L2TP. Эти протоколы позволяют создавать защищенные каналы для обмена данными между удаленными компьютерами и локальными сетями, функционирующими по различным протоколам сетевого уровня - IP, IPX или NetBEUI. Для передачи по телефонным каналам связи пакеты этих протоколов инкапсулируются в РРР-кадры. При необходимости передачи через Интернет защищенные РРР-кадры инкапсулируются в IP-пакеты сети Интернет. Криптозащита трафика возможна как в каналах Интернета, так и на протяжении всего пути между компьютером удаленного пользователя и сервером удаленного доступа локальной сети.12.2
Контроль доступа пользователей к ресурсам корпоративной сети должен осуществляться в соответствии с политикой безопасности организации, которой принадлежит данная сеть. Эффективное разграничение доступа к сетевым ресурсам может быть обеспечено только при надежной аутентификации пользователей. Требования к надежности аутентификации удаленных пользователей должны быть особенно высокими. Это обусловлено тем, что при взаимодействии с физически удаленными пользователями значительно сложнее обеспечить доступ к сетевым ресурсам только для тех пользователей, которые имеют на это определенные полномочия. В отличие от локальных пользователей, удаленные пользователи не проходят процедуру физического контроля при допуске на территорию организации.
При удаленном взаимодействии важна аутентификация не только пользователей, но и оборудования, поскольку подмена пользователя или маршрутизатора приводит к одним и тем же последствиям - данные из корпоративной сети передаются не тем лицам, которым они предназначены.
Для обеспечения надежной аутентификации удаленных пользователей необходимо выполнение следующих требований:
проведение аутентификации обеих взаимодействующих сторон - как удаленного пользователя, так и сервера удаленного доступа — для исключения маскировки злоумышленников;
оперативное согласование используемых протоколов аутентификации;
осуществление динамической аутентификации взаимодействующих сторон в процессе работы удаленного соединения;
криптозащита передаваемых секретных паролей либо применение механизма одноразовых паролей для исключения перехвата и несанкционированного использования аутентифицирующей информации.
Протокол РРР имеет встроенные средства, которые могут быть использованы для организации аутентификации при удаленном взаимодействии. В стандарте RFC 1334 определены два протокола аутентификации:
протокол распознавания пароля PAP (Password Authentication Protocol);
протокол распознавания при рукопожатии CHAP (Challenge Handshake Authentication Protocol).
В процессе установления удаленного соединения каждая из взаимодействующих сторон может предложить применение одного из стандартных протоколов аутентификации - РАР или CHAP.
Следует отметить, что при использовании протокола РАР идентификаторы и пароли передаются по линии связи в незашифрованном открытом виде. При использовании протокола CHAP каждый пароль перед передачей по линии связи шифруется на основе случайного числа, полученного от сервера. Технология, применяемая в протоколе CHAP, обеспечивает также защиту от повторного использования злоумышленником перехваченных пакетов с зашифрованным паролем. Широкое применение для аутентификации по одноразовым паролям получил протокол S/Key. В программных продуктах, обеспечивающих связь по протоколу РРР, протоколы РАР и CHAP, как правило, поддерживаются в первую очередь.
Иногда компании создают собственные протоколы аутентификации удаленного доступа, работающие вместе с протоколом РРР. Эти фирменные протоколы обычно являются модификациями протоколов РАР и CHAP, обладая вместе с тем некоторыми усовершенствованиями. Например, служба удаленного доступа RAS (Remote Access Service) операционной системы Windows NT использует собственный вариант протокола аутентификации CHAP с хэш-функцией MD4. Этот вариант протокола аутентификации носит название MS-CHAP. Стандартная для протокола CHAP хэш-функция MD5 не поддерживается. Клиентское и серверное программное обеспечение компании Shiva в дополнение к протоколам РАР и CHAP обеспечивает поддержку фирменного метода SPAP (Shiva Password Authentication Protocol).