Добавил:
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
3-2 Ідентифікація об'єктів та користувачів / лк / Лекция9 - аут удаленных пользователей.doc
Скачиваний:
119
Добавлен:
02.02.2021
Размер:
159.74 Кб
Скачать

11

Лекция №9

Тема: "Аутентификация удаленных пользователей"

Вопросы:

1. Организация защищенного удаленного доступа.

2. Протокол аутентификации РАР.

3. Протокол аутентификации СНАР.

4. Протокол аутентификации S/Key.

1. Организация защищенного удаленного доступа.

Удаленный доступ к компьютерным ресурсам стал в настоящее время таким же актуальным и значимым, как и доступ в режиме непосредственного подключения. Удаленный доступ к корпоративной сети осуществляется из незащищенного внешнего окружения через открытые сети. Поэтому средства построения защищенной корпоративной сети должны обеспечить безопасность сетевого взаимодействия при подключении к сети удаленных компьютеров.

Удаленный доступ к корпоративной сети возможен через глобальную компьютерную сеть или через среду передачи информации, образованную цепочкой из телефонной и глобальной компьютерной сети. Доступ через глобальную сеть Интернет является достаточно эффективным способом удаленного доступа к корпоративной сети, причем для подключения удаленного пользователя к Интернету может использоваться канал телефонной связи. Отметим основные достоинства удаленного доступа к корпоративной сети через Интернет:

  • обеспечивается масштабируемая поддержка удаленного доступа, позволяющая мобильным пользователям связываться по местной телефонной линии с интернет-провайдером и затем через Интернет входить в свою корпоративную сеть;

  • сокращаются расходы на информационный обмен через открытую внешнюю среду, так как удаленные пользователи подключаются к Интернету и через эту глобальную сеть связываются с минимальными затратами с сетью своей организации;

  • управление трафиком удаленного доступа осуществляется так же, как любым другим трафиком Интернета.

В корпоративной сети для взаимодействия с удаленными пользователями выделяется сервер удаленного доступа. Этот сервер служит для выполнения следующих функций:

  • установки соединения с удаленным компьютером;

  • аутентификации удаленного пользователя;

  • управления удаленным соединением;

  • посредничества при обмене данными между удаленным компьютером и корпоративной сетью.

Среди протоколов удаленного доступа к локальной сети наибольшее распространение получил протокол точка-точка РРР (Point-to-Point Protocol), который является открытым стандартом Интернета. Протокол РРР предназначен для установления удаленного соединения и обмена информацией по установленному каналу пакетами сетевого уровня, инкапсулированными в РРР-кадры. Используемый в протоколе РРР метод формирования кадров обеспечивает одновременную работу через канал удаленной связи нескольких протоколов сетевого уровня.

Протокол РРР поддерживает следующие важные функции:

  • аутентификацию удаленного пользователя и сервера удаленного доступа;

  • компрессию и шифрование передаваемых данных;

  • обнаружение и коррекцию ошибок;

  • конфигурирование и проверку качества канала связи;

  • динамическое присвоение адресов IP и управление этими адресами.

На основе протокола РРР построены часто используемые при удаленном доступе протоколы РРТР, L2F и L2TP. Эти протоколы позволяют создавать защищенные каналы для обмена данными между удаленными компьютерами и локальными сетями, функционирующими по различным протоколам сетевого уровня - IP, IPX или NetBEUI. Для передачи по телефонным каналам связи пакеты этих протоколов инкапсулируются в РРР-кадры. При необходимости передачи через Интернет защищенные РРР-кадры инкапсулируются в IP-пакеты сети Интернет. Криптозащита трафика возможна как в каналах Интернета, так и на протяжении всего пути между компьютером удаленного пользователя и сервером удаленного доступа локальной сети.12.2

Контроль доступа пользователей к ресурсам корпоративной сети должен осуществляться в соответствии с политикой безопасности организации, которой принадлежит данная сеть. Эффективное разграничение доступа к сетевым ресурсам может быть обеспечено только при надежной аутентификации пользователей. Требования к надежности аутентификации удаленных пользователей должны быть особенно высокими. Это обусловлено тем, что при взаимодействии с физически удаленными пользователями значительно сложнее обеспечить доступ к сетевым ресурсам только для тех пользователей, которые имеют на это определенные полномочия. В отличие от локальных пользователей, удаленные пользователи не проходят процедуру физического контроля при допуске на территорию организации.

При удаленном взаимодействии важна аутентификация не только пользователей, но и оборудования, поскольку подмена пользователя или маршрутизатора приводит к одним и тем же последствиям - данные из корпоративной сети передаются не тем лицам, которым они предназначены.

Для обеспечения надежной аутентификации удаленных пользователей необходимо выполнение следующих требований:

  • проведение аутентификации обеих взаимодействующих сторон - как удаленного пользователя, так и сервера удаленного доступа — для исключения маскировки злоумышленников;

  • оперативное согласование используемых протоколов аутентификации;

  • осуществление динамической аутентификации взаимодействующих сторон в процессе работы удаленного соединения;

  • криптозащита передаваемых секретных паролей либо применение механизма одноразовых паролей для исключения перехвата и несанкционированного использования аутентифицирующей информации.

Протокол РРР имеет встроенные средства, которые могут быть использованы для организации аутентификации при удаленном взаимодействии. В стандарте RFC 1334 определены два протокола аутентификации:

  • протокол распознавания пароля PAP (Password Authentication Protocol);

  • протокол распознавания при рукопожатии CHAP (Challenge Handshake Authentication Protocol).

В процессе установления удаленного соединения каждая из взаимодействующих сторон может предложить применение одного из стандартных протоколов аутентификации - РАР или CHAP.

Следует отметить, что при использовании протокола РАР идентификаторы и пароли передаются по линии связи в незашифрованном открытом виде. При использовании протокола CHAP каждый пароль перед передачей по линии связи шифруется на основе случайного числа, полученного от сервера. Технология, применяемая в протоколе CHAP, обеспечивает также защиту от повторного использования злоумышленником перехваченных пакетов с зашифрованным паролем. Широкое применение для аутентификации по одноразовым паролям получил протокол S/Key. В программных продуктах, обеспечивающих связь по протоколу РРР, протоколы РАР и CHAP, как правило, поддерживаются в первую очередь.

Иногда компании создают собственные протоколы аутентификации удаленного доступа, работающие вместе с протоколом РРР. Эти фирменные протоколы обычно являются модификациями протоколов РАР и CHAP, обладая вместе с тем некоторыми усовершенствованиями. Например, служба удаленного доступа RAS (Remote Access Service) операционной системы Windows NT использует собственный вариант протокола аутентификации CHAP с хэш-функцией MD4. Этот вариант протокола аутентификации носит название MS-CHAP. Стандартная для протокола CHAP хэш-функция MD5 не поддерживается. Клиентское и серверное программное обеспечение компании Shiva в дополнение к протоколам РАР и CHAP обеспечивает поддержку фирменного метода SPAP (Shiva Password Authentication Protocol).