Особенности реализации протоколов аутентификации удаленного доступа

      Комментарии к записи Особенности реализации протоколов аутентификации удаленного доступа отключены

В программных продуктах, обеспечивающих связь по протоколу РРР и аутентификацию по протоколам РАР и CHAP, в случае неуспешной аутентификации звено передачи данных может не разрываться. В этом случае происходит переход к фазе “Обмен данными” (см. рис. 2.2), но передача данных осуществляется с жесткой фильтрацией пакетов, позволяя системе, не прошедшей проверку, выполнять лишь ограниченный набор операций.

Так как протоколы РАР и CHAP не устанавливают последовательность действий, необходимых для повторной попытки аутентификации, то протокол LCP в принципе может возобновить фазу аутентификации.

В стандартах не устанавливается, должна ли быть аутентификация односторонней или взаимной. В последнем случае каждая сторона может использовать свой протокол для аутентификации.

Если пара идентификатор-пароль используется для аутентификации не только по протоколу CHAP, но и по протоколу РАР, то пароль становится более уязвимым, так как он может быть перехвачен, и даже использование протокола CHAP не помешает злоумышленнику успешно пройти аутентификацию. Поэтому стандарт рекомендует, чтобы для каждого из протоколов аутентификации использовалась отдельная пара идентификатор-пароль.

Для того, чтобы обеспечить конфиденциальность локально хранимых паролей, доступ к ним должен быть ограничен (например, с помощью соответствующих прав доступа к файлу, содержащему пароли).

Как правило, эти два протокола поддерживаются в первую очередь. Но следует иметь в виду, что это не всегда так. Иногда фирмы-разработчики либо не обеспечивают в своих продуктах поддержку протоколов аутентификации, либо реализуют только протокол РАР как более простой (как, например, в ПО удаленного доступа LAN Express версии 3.0 фирмы Microcom). Другие фирмы реализуют свои собственные протоколы аутентификации удаленного доступа работающие вместе с протоколом РРР. Эти фирменные протоколы обычно являются модификациями двух стандартных, обладая вместе с тем некоторыми усовершенствованиями. Поэтому некоторые программные продукты вместо стандартных протоколов аутентификации представляют сходные по возможностям фирменные протоколы. Например, служба RAS OC WindowsNT фирмы Microsoft использует собственный вариант протокола аутентификации CHAP с методом MD4 (так называемый MS-CHAP). Стандартный для протокола CHAP метод МD5 не поддерживается. Клиентское и серверное ПО фирмы Shiva в дополнение к стандартным методам аутентификации обеспечивает поддержку фирменного метода SPAP (Shiva Password Authentication Protocol – протокол аутентификации по паролю фирмы Shiva).

Все эти особенности необходимо иметь в виду, выбирая сервер удаленного доступа, реализованный в виде специализированного устройства или программного пакета, и программное обеспечение клиента удаленного доступа. Даже при условии использования одного и того же протокола удаленного доступа и распознавания обеими сторонами дополнительных функций (типа сжатия заголовков пакетов) существует опасность того, что из-за отсутствия поддержки какого-либо метода аутентификации удаленного доступа и запрета перехода на другие методы удаленный компьютер и сервер удаленного доступа вообще не смогут установить соединение.

2.3.4. Протоколы аутентификации удаленного доступа в программныхсредствах фирмы Microsoft

Служба RAS, которая входит в состав операционных систем семейства Windows NT, обеспечивает поддержку протоколов РАР и CHAP.

Так как протокол РАР передает пароли в незашифрованном виде по линии передачи данных, то он поддерживается сервером удаленного доступа Windows NT RAS только для обеспечения совместимости с клиентами удаленного доступа других фирм, такими как NetManage Chameleon и Trumpet Winsock.

Реализация протокола CHAP в сервере удаленного доступа Windows NT RAS использует ряд методов аутентификации.

RSA MD4 (или MS-CHAP) – это реализованный фирмой Microsoft алгоритм вычисления хэш-функции, описанный в стандарте RSA MD4. Это наиболее устойчивый из методов, поддерживаемых в Windows NT. Клиенты удаленного доступа, которые входят в состав Windows NT и Windows 95 и устанавливают соединение РРР с сервером удаленного доступа Windows NT RAS, используют MS-CHAP в качестве метода аутентификации.

DES (Data Encryption Standard – стандарт шифрования данных). Это алгоритм вычисления хэш-функции, который использовался ранними версиями клиентов удаленного доступа фирмы Microsoft, такими как Windows for Workgroups 3.11 RAS и RAS 1.1а. Метод DES поддерживается Windows NT для обратной совместимости с этими клиентами.

SPAP (Shiva Password Authentication Protocol – протокол аутентификации по паролю фирмы Shiva). Сервер удаленного доступа Windows NT RAS поддерживает метод SPAP для того, чтобы обеспечить взаимодействие с клиентами удаленного доступа фирмы Shiva. В отличие от PAP, SPAP посылает пароли через линию передачи данных только в зашифрованном виде.

МD5. Сервер удаленного доступа Windows NT RAS не поддерживает метод аутентификации RSA MD5-СНАР, так как этот метод требует наличия незашифрованных паролей на сервере. Пакет Service Pack 3 обеспечивает ограниченную поддержку протокола CHAP с алгоритмом вычисления хэш-функции MD5. Это может быть полезно в сетях с небольшим количеством удаленных пользователей, использующих клиенты удаленного доступа других фирм. Поддержка обеспечивается только для каждого сервера удаленного доступа в отдельности. Пароль бюджета пользователя, для которого обеспечивается удаленный доступ с использованием метода MD5, хранится в реестре сервера удаленного доступа и никак не связан с информацией, хранимой в базе данных SAM (Security Account Manager – диспетчер бюджетов безопасности). Полноценная поддержка (с использованием базы данных SAM) должна появиться в следующий версии службы удаленного доступа, после чего от временного способа поддержки можно будет отказаться. Пароли для аутентификации с использованием метода MD5 хранятся в значимых элементах с именем Pw, которые находятся в подключах, созданных для каждого бюджета пользователя. Эти подключи, в свою очередь, имеют названия в формате [:]и находятся в создаваемом вручную ключе (key) c именем MD5. Формат записи : применяется вместо обачного формата \ из-за огранчений на имена подключей (имена подключей не могут содержать символ “\”, который используется в качестве разделителя). Полене обязательно, и обычно опускается. Метод МР5 не будет задействован, если ключ MD5 отсутствует. Значимый элемент, который позволяет обеспечить поддержку метода аутентификации MD5 записывается в виде:

HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\CHAP\MD5

[:] (REG_SZ)Pw

В табл 2.1 показаны сравнительные характеристики методов аутентификации, применяемых в программных продуктах фирмы Microsoft.

Таблица 2.1. Сравнительные характеристики методов аутентификации

Для конфигурирования процедуры аутентификации на сервере удаленного доступа Windows NT RAS предназначена панель Network Configuration (рис. 2.4).

Рис. 2.4. Конфигурирование сервера удаленного доступа

Переключатели в поле Encryption settings (настройки шифрования) имеют следующие значения:

 переключатель “Allow any authentication including clear text” (“Разрешать любую аутентификацию, в том числе с пересылкой незашифрованных паролей) обеспечивает поддержку любого протокола аутентификации (из реализованных в сервере удаленного доступа Windows NT RAS), указанного клиентом;

 переключатель “Require encrypted authentication” (“Требовать аутентификацию с использованием шифрования) обеспечивает поддержку клиентов, которые используют для аутентификации протокол CHAP с методами MS-CHAP, DES или SPAP;

 переключатель “Require Microsoft encrypted authentication” (“Требовать аутентификацию с использованием алгоритма Microsoft”) в панели настройки сервера удаленного доступа Windows NT RAS соответствует методу аутентификации MS-CHAP.

Клиент удаленного доступа Windows NT RAS обеспечивает поддержку тех же методов аутентификации, что и сервер удаленного доступа Windows NT RAS, за исключением SPAP. Кроме того, клиент Windows NT RAS поддерживает алгоритм аутентификации MD5. Поэтому клиенты Windows NT RAS могут соединяться почти со всеми серверами удаленного доступа других фирм.

Для конфигурирования процедуры аутентификации на клиенте удаленного доступа Windows NT RAS предназначена закладка Security (рис. 2.5).

Рис. 2.5. Конфигурирование клиента удаленного доступа

Переключатель “Accept any authentication including clear text” (“Принимать любую аутентификацию, в том числе с пересылкой незашифрованных паролей”) позволяет использовать любой из реализованных в клиенте удаленного доступа Windows NT RAS методов аутентификации, указанный сервером удаленного доступа;

Переключатель “Accept only encirypted authentication” (“Принимать только аутентификацию с использованием шифрования”) соответствует такому же переключателю в настройках сервера удаленного доступа. Однако клиент может использовать метод аутентификации MD5, но не может использовать SPAP;

Переключатель “Accept only Microsoft encrypted authentication” (“Принимать только аутентификацию с использованием алгоритма Microsoft”) также соответствует такому же переключателю в настройках сервера и позволяет клиенту использовать только MS-CHAP.

2.4.Средства работы с базой данных учетных записей

Помимо поддержки протоколов аутентификации, средства удаленного доступа к сети должны обеспечивать следующие функции:

поддержку базы данных учетных записей с возможностью ее просмотра и модификации;

доступ к центральной базе данных или к ее тиражированной копии;

управление доступом.

Статьи к прочтению:

ARP-спуфинг в Kali Linux. Взлом, защита и описание технологии


Похожие статьи: