Аутентификация PAP и CHAP

Аутентификация по имени и паролю

Это наиболее часто используемый метод аутентификации. Варианты:

- Отсутствие проверки имен пользователей и паролей. Некоторые администраторы разрешают доступ к сетям и ресурсам без проверки имен пользователей и паролей.

- Статические имена пользователей и пароли. Остаются неизменными до тех пор, пока не будут изменены администратором системы или пользователем.

- Имена пользователей и пароли, меняющиеся со временем. Становятся недействительными по истечении определенного времени, после которого без смены пароля доступ не возможен.

- Одноразовые пароли. Для каждого пользователя генерируется секретная парольная фраза. При каждом сеансе аутентификации из секретной фразы и данных полученных с сервера формируется уникальный хэш-код, который передается на сервер. На основе полученного хэша сервер принимает решение о предоставлении доступа. Алгоритм построен так, что сгенерировать правильный хэш-код, на основании передаваемых по сети или хранящихся на сервере данных невозможно.

PAP (Password Authentication Protocol) – протокол аутентификации пароля

CHAP (Challenge Handshake Authentication Protocol) – протокол аутентификации с предварительным согласованием вызова

Данные протоколы наиболее часто применяются для авторизации при использовании протокола PPP.

Протокол PPP используется для удаленного подключения через телефонную сеть и каналы ISDN. Является стандартным протоколом инкапсуляции для транспортировки протоколов сетевого уровня. Пришло на смену протоколу SLIP, допускает шифрование, динамическую IP-адресацию и аутентификацию соединений.

Аутентификация PAP для PPP:

Процесс установления соединения:

1. Удаленный клиент устанавливает связь.

2. Удаленный клиент сообщает серверу доступа о том, что используется протокол PPP.

3. Сервер доступа извещает клиента о применении PAP в ходе этого сеанса связи.

4. Удаленный клиент посылает имя пользователя и пароль в формате PAP.

5. Сервер доступа сравнивает имя пользователя и пароль с сохраненными в базе данными и принимает или отвергает их.

Недостаток PAP:

- Имя пользователя/пароль передаются в открытом виде.

Аутентификация CHAP для PPP:

Протокол CHAP предлагает более надежный метод аутентификации, чем PAP поскольку не предполагает передачу реального пароля по каналу связи.

Процесс установления соединения:

1. Удаленный клиент устанавливает связь по протоколу PPP.

2. Сервер доступа предлагает удаленному клиенту использовать CHAP.

3. Производится процедура трехходового квитирования, которая состоит из следующих шагов:

- сервер доступа посылает сообщение запроса удаленному клиенту;

- удаленный клиент возвращает значение однонаправленной хэш-функции;

- сервер доступа обрабатывает полученное значение хэширования, и если оно совпадает со значением вычисленном сервером, аутентификация считается успешной.

CHAP предполагает периодический контроль аутентичности клиента с помощью повторного использования процедуры трехходового квитирования.

MS-CHAP – измененная фирмой Microsoft версия, используемая в системах Windows NT.

Методы авторизации.

Средства авторизации требуют определить множество атрибутов, описывающих права пользователя. Значения атрибутов сохраняются в локальной или удаленной базе данных. Когда пользователь пытается получить удаленный доступ к системе, сервер доступа определяет права пользователя и ограничивает его возможности.

Методы аудита.

Когда средства аудита активизированы, сервер доступа создает контрольные записи действий пользователей, которые сохраняются на сервере доступа или в удаленной базе данных.

Запись аудита состоит из пар атрибут/значение обычно содержащих: имя пользователя, IP адрес пользователя, имя сервиса, время начала и окончания доступа, объем переданных данных, имя сервера доступа.

Серверы управления доступом

Дата добавления: 2014-01-07; Просмотров: 9229; Нарушение авторских прав?; Мы поможем в написании вашей работы!