Кафедра ТКС
Идентификация объектов и пользователей
Лекция №9.Тема:
Аутентификация удаленных пользователей
Учебные вопросы
1.Организация защищенного удаленного доступа. 2.Протокол аутентификации РАР.
3.Протокол аутентификации СНАР. 4.Протокол аутентификации S/Key.
1.Организация защищенного удаленного доступа.
Удаленный доступ к корпоративной сети осуществляется из незащищенного внешнего окружения через открытые сети. Поэтому средства построения защищенной корпоративной сети должны обеспечить безопасность сетевого взаимодействия при подключении к сети удаленных компьютеров.
Схема удаленного доступа
Основные достоинства удаленного доступа через Интернет:
обеспечивается масштабируемая поддержка удаленного
доступа, позволяющая мобильным пользователям связываться по местной телефонной линии с интернет-провайдером и затем через Интернет входить в свою корпоративную сеть;
сокращаются расходы на информационный обмен через
открытую внешнюю среду, так как удаленные пользователи подключаются к Интернету и через него связываются с сетью своей организации;
управление трафиком удаленного доступа осуществляется
так же, как любым другим трафиком Интернета.
Функции сервера удаленного доступа
установка соединения с удаленным компьютером ;аутентификация удаленного пользователя;управление удаленным соединением;посредничество при обмене данными между удаленным
компьютером и корпоративной сетью.
Как правило, в сеансе протокола РРР имеется четыре фазы.
1)Установление соединения (LCP-протокол).
2)Проверка подлинности пользователя (PAP или CHAP – протокол).
3)Фаза переговоров.
4)Завершение соединения.
Протокол РРР поддерживает следующие важные функции:
конфигурирование и проверку качества канала связи;аутентификацию удаленного пользователя и сервера
удаленного доступа;компрессию и шифрование передаваемых данных;обнаружение и коррекцию ошибок;
динамическое присвоение адресов IP и управление этими
адресами.
Для обеспечения надежной аутентификации удаленных
пользователей необходимо выполнение следующих требований:проведение аутентификации обеих взаимодействующих
сторон как удаленного пользователя, так и сервера удаленного доступа
для исключения маскировки злоумышленников;
оперативное согласование используемых протоколов
аутентификации;
осуществление динамической аутентификации
взаимодействующих сторон в процессе работы удаленного соединения;
криптозащита передаваемых секретных паролей либо
применение механизма одноразовых паролей для исключения перехвата и несанкционированного использования аутентифицирующей информации.
В стандарте RFC 1334 определены два протокола аутентификации:
1)протокол распознавания пароля PAP (Password Authentication Protocol);
2)протокол распознавания при рукопожатии CHAP (Challenge Handshake Authentication Protocol).
2. Протокол аутентификации РАР.
Протокол РАР использует для аутентификации передачу проверяемой стороной идентификатора и пароля в виде открытого текста. Если проверяющая сторона обнаруживает совпадение идентификатора и пароля с записью, имеющейся у
него в базе данных легальных пользователей, то процесс аутентификации считается успешно завершенным, после чего проверяемой стороне посылается соответствующее сообщение.
Протокол аутентификации РАР
Удаленный |
Сервер удаленного |
|
доступа В |
||
клиент А |
||
|
||
|
А, К |
|
|
ПОДТВЕРЖДЕНИЕ (ОТКАЗ) |
Протокол аутентификации РАР, согласно которому идентификаторы и пароли передаются по линии связи в незашифрованном виде, целесообразно применять только совместно с протоколом, ориентированным на аутентификацию по одноразовым паролям, например, совместно с протоколом S/Key. В противном случае пароль, передаваемый по каналу связи, может быть перехвачен злоумышленником и использован повторно в целях маскировки под санкционированного удаленного пользователя.
Одна из причин популярности протокола РАР у провайдеров услуг сети Internet заключается в том, что безопасность коммутируемых соединений не является определяющим фактором при организации подключения к сети Internet.
3.Протокол аутентификации СНАР.
Впротоколе CHAP используется секретный статический пароль. В отличие от протокола РАР, в протоколе CHAP пароль каждого пользователя для
передачи по линии связи шифруется на основе случайного числа, полученного от сервера. Такая технология обеспечивает не только защиту
пароля от хищения, но и защиту от повторного использования злоумышленником перехваченных пакетов с зашифрованным паролем. Протокол CHAP применяется в современных сетях гораздо чаще, чем РАР, так как он использует передачу пароля по сети в защищенной форме и, следовательно, гораздо безопаснее.
Шифрование пароля в соответствии с протоколом CHAP выполняется с помощью криптографического алгоритма хэширования и поэтому является необратимым. В стандарте RFC 1334 для протокола CHAP в качестве хэш- функции определен алгоритм MD5, вырабатывающий из входной последовательности любой длины 16-байтовое значение.
Формат пакета протокола CHAP
|
Протокол аутентификации СНАР |
Сервер |
|
|
|
Удаленный |
|
удаленного |
клиент А |
|
доступа В |
|
CHAP- ВЫЗОВ |
|
|
CHAP- ОТКЛИК |
|
|
CHAP- ПОДТВЕРЖДЕНИЕ (ОТКАЗ) |
|
А ← В: rВ, B; |
(CHAP- ВЫЗОВ) |
А→ В: A, h (В, rВ, К); (CHAP- ОТКЛИК)
А← В: (CHAP- ПОДТВЕРЖДЕНИЕ ИЛИ ОТКАЗ )
h(•) – MD5
rВ- |
|
|
|
Метка времени |
|
Случайное число |
|