- •Содержание
- •Тема 1. Системы счисления и операции, применяемые в ip-сетях ……………………5
- •Тема 2. Аутентификация, авторизация и учет ………………………………………..…7
- •Тема 3. Маршрутизация в ip-сетях……………………………………….…………………10 предисловие
- •Системы счисления и операции, применяемые в ip-сетях
- •Аутентификация, авторизация и учет
- •Маршрутизация в ip-сетях
- •Изобразить деление адресов подсетей в виде табл. 5.
- •Составить таблицу маршрутов маршрутизатора r для обслуживания всех подсетей в виде табл. 6.
- •Определить на какие интерфейсы будут направлены пакеты с ip-адресами назначения 131.40.Y1.Y2, 131.40.Y2.Y3, 131.40.Y3. Y4. Литература
Аутентификация, авторизация и учет
Типовая структура корпоративной сети приведена на рис. 1. На ней изображены
вспомогательный (Proxy) сервер, основными функциями которого является коммутация трафика между интерфейсами Int-1, Int-2 и Int-3 в соответствии со списками доступа администратора;
хосты локального и удаленного пользователя;
Серверы
DHCP для конфигурирования хостов,
AAA для аутентификации, авторизации и учета,
е-mail для обработки почтовых сообщений,
DB1и DB2 для хранения документации группового использования.
Хост
Хост
Хост
Proxy
Удаленный
хост
Публичная IP-сеть
1nt-1
1nt-3
DHCPХост
e-mail
DB1
DB2
Сервер
AAA
1nt-2
Корпоративная IP-сеть
Рис. 1. Типовая схема корпоративной сети
В корпоративной сети последовательно осуществляются три административные процедуры: аутентификация, авторизация и учет.
Аутентификация – установление легитимности абонента посредством запроса его имени и пароля. При попытке подключения пользователя к корпоративной сети proxy-сервер запрашивает его имя и пароль. Полученный ответ сравнивается с записью в списке доступа вида: имя пользователя (Name или User ID) – пароль (Password), которая внесена администратором сети и хранится на ААА-сервере. Аутентификация может осуществляться при помощи двух протоколов – Password Authentication Protocol (PAP) и Challenge Handshake Authentication Protocol (CHAP), являющимися составными частями протокола PPP.
В протоколе PAP имя пользователя и пароль передаются в одном сообщении и в открытом виде. Они могут быть легко перехвачены злоумышленником, поэтому протокол PAP используется только для аутентификации локальных пользователей и не может быть использован для аутентификации удаленных пользователей.
При использовании протокола CHAP proxy-сервер посылает удаленному хосту пользователя некоторое случайное число V, а хост возвращает другое число W, вычисленное по заранее известной функции с использованием имени (Name) и пароля (Password). Иначе говоря, W=f(V, Name, Password). Предполагается, что злоумышленник в состоянии перехватить пересылаемые по сети значения V, Name и W, и ему известен алгоритм вычисления функции f. Существо формирования W состоит в том, что исходное элементы (биты) случайного числа V различным образом “перемешиваются” с неизвестным злоумышленнику элементами пароля Password. Затем полученный зашифрованный текст подвергается сжатию. Такое преобразование называется дайджест-функцией (digest function) или хэш-функцией, а результат – дайджестом. Точная процедура формирования дайджеста определена алгоритмом MD5 и описана в [RFC 1321, PS]. Proxy-сервер запрашивает у ААА-сервера истинное значение W, пересылая ему значения Name и Challenge=V. Сервер AAA на основании полученных от proxy-сервера значений V и Name и имеющегося у него в базе данных пароля Password по тому же алгоритму вычисляет W и возвращает его proxy-серверу. Proxy-сервер сравнивает два значения W, полученных от хоста и от ААА-сервера: если они совпадают, то хосту посылается сообщение об успешной аутентификации.
После успешной аутентификации пользователя proxy-сервер на основании списка управления доступом производит авторизацию, т.е. определяет к каким серверам DB1 и DB2 группового использования может обращаться пользователь, а сервера DB1 и DB2 определяют какие операции (только чтение или чтение/запись) он может осуществлять.
Процедура учета состоит в ведении записей истории соединений пользователей для последующего возможного анализа успешных и неуспешных соединений.
На рис. 2 приведена процедура авторизации пользователя со следующими исходными данными: имя пользователя (Name) Ivanov, пароль (Password = K1m), случайное число (V) 123456. Процедура перемешивания состоит в последовательном перемешивании полубайтов пароля и случайного числа. Вычисление дайджеста состоит в вычислении остатка перемешенного числа по модулю Password .
Рассмотрим вычисление полей протокола аутентификации подробно.
В первом сообщении proxy-сервер запрашивает (code=01) по протоколу аутентификации CHAP (Protocol = 0xc223) у удаленного пользователя ответ на случайное число V = 123456 = 0x1E240. Хост удаленного пользователя производит следующие операции.
Подставляет имя пользователя, используя таблицу кодов ASCII (табл. 3).
Табл. 3
|
(0) 000 |
(1) 001 |
(2) 010 |
(3) 011 |
(4) 100 |
(5) 101 |
(6)110 |
(7) 111 |
(0) 0000 |
NUL |
DLE |
SP |
0 |
@ |
P |
' |
p |
(1) 0001 |
SOH |
DC1 |
! |
1 |
A |
Q |
a |
q |
(2) 0010 |
STX |
DC2 |
“ |
2 |
B |
R |
b |
r |
(3) 0011 |
ETX |
DC3 |
# |
3 |
C |
S |
c |
s |
(4) 0100 |
EOT |
DC4 |
$ |
4 |
D |
T |
d |
t |
(5) 0101 |
ENQ |
NAK |
% |
5 |
E |
U |
e |
u |
(6) 0110 |
ACK |
SYN |
& |
6 |
F |
V |
f |
v |
(7) 0111 |
BEL |
ETB |
' |
7 |
G |
W |
g |
w |
(8) 1000 |
BS |
CAN |
( |
8 |
H |
X |
h |
x |
(9) 1001 |
HT |
EM |
) |
9 |
I |
Y |
i |
y |
(a) 1010 |
LF |
SUB |
* |
: |
J |
Z |
j |
z |
(b) 1011 |
VT |
ESC |
+ |
; |
K |
[ |
k |
{ |
(c) 1100 |
FF |
IS4 |
, |
< |
L |
\ |
l |
| |
(d) 1101 |
CR |
IS3 |
- |
= |
M |
] |
m |
} |
(e) 1110 |
SO |
IS2 |
. |
> |
N |
^ |
n |
~ |
(f) 1111 |
S1 |
IS1 |
/ |
? |
O |
_ |
o |
DEL |
Для определения двоичного кода символа следует к коду колонки приписать код строки, а для определения шестнадцатеричного – к значению кода колонки приписать значение кода строки. В соответствии с табл.3 имя пользователя Ivanov представляется как 0x4976616e6f76, а пароль K1m – как 0х4b316d.
Перемешивает байты пароля 0х4b316d и случайного числа 0х01e240, получая перемешенное число F=0x40b13e1264d0.
Вычисляет ответ как W = mod Password F = mod0х4b316d 40b13e1264d0 = mod 4927853 71129994781904 = 4493476 = 0x448cbc.
Во втором сообщении хост возвращает ответ в виде Name=0x4976616e6f76 и W = 0x448cbc.
В третьем сообщении proxy-сервер запрашивает истинное значение W у ААА-сервера, посылая ему те же значения Name и V.
В четвертом сообщении proxy-сервер получает от ААА-сервера истинное значение W, соответствующее Name=0x4976616e6f76 и V=0x1E240.
В пятом сообщении proxy-сервер подтверждает (code=03) легитимность пользователя.
Задание 4.
В виде рис.2 представить процедуру аутентификации при следующих исходных данных:
Имя пользователя (Name) – фамилия студента,
Пароль (Password) - Y1Y2,
Случайное число (V=Challenge) - Y3Y4.