КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Защита сообщений в протоколе RADIUS
|
|
|
|
Атаки на протокол RADIUS
Многие из атак на сообщения между агентом и сервером могут представлять угрозу аутентификации.
Рассмотрим следующий пример: команда злоумышленников из двух человек пытается получить доступ к сетевым ресурсам. Злоумышленник 1 находится вне организации и пытается войти в систему. Злоумышленник 2 подключается к системе внутри организации и использует свое положение, чтобы помочь первому выдать себя за авторизованного пользователя. Какие атаки могут быть предприняты?
1. Для начала, злоумышленник 2 может разместиться между агентом и сервером аутентификации. Когда злоумышленник 1 попытается зарегистрироваться, второй может перехватить запрос на аутентификацию к серверу и послать поддельный аутентификационный ответ, который верифицирует попытку злоумышленника 1 войти в систему. Если агент не сможет распознать подделку, то он будет успешно зарегистрирован.
2. Существует несколько способов защиты от атак подделки статуса. Но даже если протокол включает в себя такую защиту, могут быть и другие пути достижения того же результата. Например, злоумышленник 2 может перехватить пакеты в пути их следования между сервером и агентом, модифицировать их на лету и послать дальше по назначению. В частности, он может перехватить сообщение «В доступе отказано», посланное в ответ на сообщение первого злоумышленника «Запрос на доступ», и преобразовать его в
сообщение «Доступ разрешен». Сделать это можно, изменив в сообщении «В доступе отказано» всего один бит.
3. Даже если протокол имеет защиту от подделок и модификаций, все равно существует еще одна опасность. Так злоумышленник 2 может перехватить законные сообщения, курсирующие между агентом и сервером, и попытаться их воспроизвести, чтобы обманным путем заставить агента принять попытку первого злоумышленника войти в систему. Если сервер аутентификации посылает «консервированный» набор ответов на законные запросы о входе в систему, то злоумышленник 2 может просто отобрать нужный ему и послать его агенту. Механизм защиты криптографической целостности не обнаружит воспроизведенное сообщение без наличия дополнительной защиты от воспроизведения.
|
|
|
Итак, имеется три основных типа атак, с которыми должен уметь справляться протокол RADIUS:
- воспроизведение сообщений, посылаемых в любом из направлений;
- подделка сообщений, особенно тех, что посылаются от сервера агенту;
- модификация сообщений от сервера к агенту.
Для надежного использования протокола RADIUS аутентификация выполняется дважды. Сначала надо аутентифицировать сервер, чтобы потом безопасно аутентифицировать пользователя. Когда агент принимает сообщение «Доступ разрешен», он должен быть уверен, что сообщение приходит от сервера, которому он доверяет. Нельзя позволить кому-либо обмануть агента.
Основой аутентификации является базовый секрет. В случае протокола RADIUS секрет – это парольное слово или парольная фраза, которая известна серверу и агенту. Секрет используется для шифрования пароля перед его отсылкой, а также для вычисления правильного хеша аутентификатора ответа в сообщении «Доступ разрешен» или «В доступе отказано».
В сообщении «Доступ разрешен» имеется два средства защиты от атак.
Первым средством является 128-разрядное случайное число однократного использования, называемое аутентификатором ответа. Агент выбирает новое значение однократно используемого числа случайным образом для каждого запроса на вход в систему, который он обрабатывает. При правильной процедуре выбора шансы на то, что злоумышленник сможет спрогнозировать значение случайного числа чрезвычайно малы. На рис. показано, как сервер использует случайное число для построения хешированного значения аутентификатора ответа, которое он посылает агенту.
|
|
|
Случайное однократно используемое число помогает агенту обнаруживать попытки воспроизведения более раннего законного ответа, посланного сервером аутентификации. Если злоумышленник воспроизводит более раннее сообщение, например корректное сообщение «Доступ разрешен» с согласующимся восьмибитовым идентификатором запроса, то хеш аутентификатора ответа не будет выводиться из соответствующего случайного
числа. Агент способен обнаружить это, повторив процесс, показанный на рис.
Если хешированное значение, полученное в результате работы алгоритма MD5, не совпадет с хешем аутентификатора ответа, то агент отбросит сообщение как
недействительное.
Вторым и более очевидным средством защиты в сообщении «Запрос на доступ» является шифрование пароля пользователя. Это не дает злоумышленнику возможности перехватить пароли пользователей в момент их прохождения между агентом и сервером аутентификации. Перед отсылкой сообщения «Запрос на доступ» агент шифрует пароль пользователя. В отличие от шифрования пароля в ОС UNIX, сервер аутентификации может провести обратную процедуру по получении сообщения «Запрос на доступ».
На рис. показаны основные операции процедуры шифрования. На первом этапе строится 128-разрядный ключ шифрования, для чего хешируется поле данных, содержащее базовый секрет протокола RADIUS, и случайное одноразовое число этого запроса. Чтобы получить зашифрованное значение, биты пароля объединяются с битами ключа с помощью логической операции «исключающее или». Если пароль короче 128 бит, то он дополняется нулями. Если же он длиннее, то генерируются дополнительные ключи шифрования, что делается с помощью процедуры формирования цепочек, описанной в спецификации протокола RADIUS.
Получив сообщение, сервер аутентификации дешифрирует пароль, используя для этого ключ протокола RADIUS, которым он пользуется вместе с агентом. Сервер извлекает из сообщения «Запрос на доступ» случайное одноразовое число и объединяет его ключом протокола RADIUS, строя такой же ключ, которым пользовался агент. Процедура дешифровки аналогична процедуре шифрования: выполнение процедуры «исключающее или» над зашифрованным паролем и ключом, что в результате дает открытое значение пароля.
|
|
|
Может возникнуть вопрос, зачем конструировать другой ключ, объединяя его со случайным одноразовым числом, если уже имеется совместный базовый секрет в виде ключа протокола RADIUS? Во-первых, этим устраняется одно из слабых мест, связанное с использованием для шифрования операции «исключающее или». Если злоумышленникам удастся получить два или более сообщений, зашифрованных с использованием «исключающего или» с одним и тем же ключом, то они смогут легко определить зашифрованные данные. Хешируя секретный ключ и случайное однократно используемое число, получаем новый ключ всякий раз.
Во-вторых, эта комбинация предотвращает выполнение сложной атаки с воспроизведением. Если для шифрования пароля всегда используется один и тот же ключ, возможно, с более сильным алгоритмом шифрования, то злоумышленники могут просто скопировать зашифрованный пароль в поддельное сообщение «Запрос на доступ». И если у злоумышленников есть возможность воспроизводить пароли подобным образом, они могут обмануть сервер аутентификации и получить разрешение на вход в систему чужого пользователя. При включении в процедуру шифрования пароля случайного одноразового числа злоумышленники уже не могут повторно воспользоваться зашифрованным паролем, перехваченным из предыдущих сообщений «Запрос на доступ».
Для защиты агента от подделок и модификаций сообщений в протоколе RADIUS используется получаемое по ключу хешированное число, называемое аутентификатором ответа. Хеш вычисляется на основе содержимого ответного
сообщения сервера, исключая значение аутентификатора ответа (так как это значение еще не известно), дополненного случайным одноразовым числом и ключом протокола RADIUS.
Как в случае хеширования по ключу, так и в случае хеширования аутентификатора ответа в протоколе RADIUS, значение хеша зависит от содержания сообщения и секретных данных, которые недоступны злоумышленнику. Если он каким-либо образом изменит сообщение, то получатель (т.е. агент протокола RADIUS) сможет увидеть, что значение хеша больше не соответствует содержанию сообщения. Поскольку атакующей стороне не известно значение совместно используемого секретного ключа протокола RADIUS, у нее нет возможности построить корректное значение хеша для сообщения. Как отмечалось ранее, случайное однократно используемое число предотвращает совпадение воспроизводимого сообщения с любым другим ответом сервера, посланным RADIUS-агенту.
|
|
|
Для максимальной безопасности каждый агент протокола RADIUS должен иметь в коллективном пользовании с сервером аутентификации уникальное значение ключа. Это позволяет владельцу системы отменять ключ протокола RADIUS того агента, на который была совершена атака и который, возможно, он был взломан, без необходимости смены ключей, используемых другими агентами. Однако, вполне обычное дело, когда на одной рабочей площадке все агенты работают с одним значением ключа протокола RADIUS, что достаточно удобно, но до тех пор, пока в агента не было совершено проникновение, и ключ не был украден.
|
|
|
Дата добавления: 2014-01-14; Просмотров: 626; Нарушение авторских прав?; Мы поможем в написании вашей работы!