2. Аутентификация, авторизация и учет

Типовая структура корпоративной сети приведена на рис. 1. На ней изображены

• вспомогательный (Proxy) сервер, основными функциями которого является коммутация трафика между интерфейсами Int-1, Int-2 и Int-3 в соответствии со списками доступа администратора;

• хосты локального и удаленного пользователя;

• Серверы

DHCP для конфигурирования хостов,

AAA для аутентификации, авторизации и учета,

е-mail для обработки почтовых сообщений,

DB1и DB2 для хранения документации группового использования.

Хост

Хост

Хост

Proxy

Удаленный хост

Публичная IP-сеть

1nt-1

1nt-3

DHCPХост

e-mail

DB1

DB2

Сервер AAA

1nt-2

Корпоративная IP-сеть

Рис. 1. Типовая схема корпоративной сети

В корпоративной сети последовательно осуществляются три административные процедуры: аутентификация, авторизация и учет.

Аутентификация – установление легитимности абонента посредством запроса его имени и пароля. При попытке подключения пользователя к корпоративной сети proxy-сервер запрашивает его имя и пароль. Полученный ответ сравнивается с записью в списке доступа вида: имя пользователя (Name или User ID) – пароль (Password), которая внесена администратором сети и хранится на ААА-сервере. Аутентификация может осуществляться при помощи двух протоколов – Password Authentication Protocol (PAP) и Challenge Handshake Authentication Protocol (CHAP), являющимися составными частями протокола PPP.

В протоколе PAP имя пользователя и пароль передаются в одном сообщении и в открытом виде. Они могут быть легко перехвачены злоумышленником, поэтому протокол PAP используется только для аутентификации локальных пользователей и не может быть использован для аутентификации удаленных пользователей.

При использовании протокола CHAP proxy-сервер посылает удаленному хосту пользователя некоторое случайное число V, а хост возвращает другое число W, вычисленное по заранее известной функции с использованием имени (Name) и пароля (Password). Иначе говоря, W=f(V, Name, Password). Предполагается, что злоумышленник в состоянии перехватить пересылаемые по сети значения V, Name и W, и ему известен алгоритм вычисления функции f. Существо формирования W состоит в том, что исходное элементы (биты) случайного числа V различным образом “перемешиваются” с неизвестным злоумышленнику элементами пароля Password. Затем полученный зашифрованный текст подвергается сжатию. Такое преобразование называется дайджест-функцией (digest function) или хэш-функцией, а результат – дайджестом. Точная процедура формирования дайджеста определена алгоритмом MD5 и описана в [RFC 1321, PS]. Proxy-сервер запрашивает у ААА-сервера истинное значение W, пересылая ему значения Name и Challenge=V. Сервер AAA на основании полученных от proxy-сервера значений V и Name и имеющегося у него в базе данных пароля Password по тому же алгоритму вычисляет W и возвращает его proxy-серверу. Proxy-сервер сравнивает два значения W, полученных от хоста и от ААА-сервера: если они совпадают, то хосту посылается сообщение об успешной аутентификации.

После успешной аутентификации пользователя proxy-сервер на основании списка управления доступом производит авторизацию, т.е. определяет к каким серверам DB1 и DB2 группового использования может обращаться пользователь, а сервера DB1 и DB2 определяют какие операции (только чтение или чтение/запись) он может осуществлять.

Процедура учета состоит в ведении записей истории соединений пользователей для последующего возможного анализа успешных и неуспешных соединений.

На рис. 2 приведена процедура авторизации пользователя со следующими исходными данными: имя пользователя (Name) Ivanov, пароль (Password = K1m), случайное число (V) 123456. Процедура перемешивания состоит в последовательном перемешивании полубайтов пароля и случайного числа. Вычисление дайджеста состоит в вычислении остатка перемешенного числа по модулю Password .

Рассмотрим вычисление полей протокола аутентификации подробно.

• В первом сообщении proxy-сервер запрашивает (code=01) по протоколу аутентификации CHAP (Protocol = 0xc223) у удаленного пользователя ответ на случайное число V = 123456 = 0x1E240. Хост удаленного пользователя производит следующие операции.

1. Подставляет имя пользователя, используя таблицу кодов ASCII (табл. 3).

Табл. 3

	(0) 000	(1) 001	(2) 010	(3) 011	(4) 100	(5) 101	(6)110	(7) 111
(0) 0000	NUL	DLE	SP	0	@	P	'	p
(1) 0001	SOH	DC1	!	1	A	Q	a	q
(2) 0010	STX	DC2	“	2	B	R	b	r
(3) 0011	ETX	DC3	#	3	C	S	c	s
(4) 0100	EOT	DC4	$	4	D	T	d	t
(5) 0101	ENQ	NAK	%	5	E	U	e	u
(6) 0110	ACK	SYN	&	6	F	V	f	v
(7) 0111	BEL	ETB	'	7	G	W	g	w
(8) 1000	BS	CAN	(	8	H	X	h	x
(9) 1001	HT	EM	)	9	I	Y	i	y
(a) 1010	LF	SUB	*	:	J	Z	j	z
(b) 1011	VT	ESC	+	;	K	[	k	{
(c) 1100	FF	IS4	,	<	L	\	l	|
(d) 1101	CR	IS3	-	=	M	]	m	}
(e) 1110	SO	IS2	.	>	N	^	n	~
(f) 1111	S1	IS1	/	?	O	_	o	DEL

Для определения двоичного кода символа следует к коду колонки приписать код строки, а для определения шестнадцатеричного – к значению кода колонки приписать значение кода строки. В соответствии с табл.3 имя пользователя Ivanov представляется как 0x4976616e6f76, а пароль K1m – как 0х4b316d.

2. Перемешивает байты пароля 0х4b316d и случайного числа 0х01e240, получая перемешенное число F=0x40b13e1264d0.

3. Вычисляет ответ как W = mod _Password F = mod_0х4b316d 40b13e1264d0 = mod _4927853 71129994781904 = 4493476 = 0x448cbc.

   • Во втором сообщении хост возвращает ответ в виде Name=0x4976616e6f76 и W = 0x448cbc.

   • В третьем сообщении proxy-сервер запрашивает истинное значение W у ААА-сервера, посылая ему те же значения Name и V.

   • В четвертом сообщении proxy-сервер получает от ААА-сервера истинное значение W, соответствующее Name=0x4976616e6f76 и V=0x1E240.

   • В пятом сообщении proxy-сервер подтверждает (code=03) легитимность пользователя.

Задание 4.

В виде рис.2 представить процедуру аутентификации при следующих исходных данных:

Имя пользователя (Name) – фамилия студента,

Пароль (Password) - Y1Y2,

Случайное число (V=Challenge) - Y3Y4.