14:53 Протокол аутентификации | |
| Протокол аутентификации представляет собой тип компьютерного протокола связи или криптографического протокола , специально предназначенные для передачи аутентификационных данных между двумя объектами. Это позволяет принимающему объекту аутентифицировать подключающийся объект (например, Клиент, подключающийся к Серверу), а также аутентифицировать себя к подключающему объекту (Сервер к клиенту), декларируя тип информации, необходимой для аутентификации, а также синтаксис. Это самый важный уровень защиты, необходимый для безопасной связи в компьютерных сетях.
С ростом объема достоверной информации, доступной по сети, возникла необходимость не допускать несанкционированного доступа к этим данным. Кража чьей-то личности в компьютерном мире проста - нужно было придумать специальные методы проверки, чтобы выяснить, действительно ли человек / компьютер, запрашивающий данные, является тем, кем он себя называет. Задача протокола аутентификации - указать точную последовательность шагов, необходимых для выполнения аутентификации. Он должен соответствовать основным принципам протокола: Протокол должен включать две или более сторон, и каждый, кто участвует в протоколе, должен знать протокол заранее. Все включенные стороны должны следовать протоколу. Протокол должен быть однозначным - каждый шаг должен быть точно определен. Протокол должен быть завершен - должен включать определенное действие для каждой возможной ситуации. Иллюстрация аутентификации на основе пароля с использованием простого протокола аутентификации: Алиса (сущность, желающая быть проверенной) и Боб (сущность, проверяющая личность Алисы) оба знают о протоколе, который они договорились использовать. Боб хранит пароль Алисы в базе данных для сравнения. Алиса отправляет Бобу свой пароль в пакете, соответствующем правилам протокола. Боб сверяет полученный пароль с паролем, хранящимся в его базе данных. Затем он отправляет пакет с надписью «Аутентификация прошла успешно» или «Аутентификация не пройдена» на основе результата. Это пример очень простого протокола аутентификации, уязвимого для многих угроз, таких как прослушивание , повторная атака , атака " человек посередине" , словарные атаки или атаки методом "грубой силы". Большинство протоколов аутентификации более сложны, чтобы быть устойчивыми к этим атакам Протоколы аутентификации, разработанные для протокола PPP « точка-точка» Протоколы используются главным образом серверами протокола PPP для проверки личности удаленных клиентов перед предоставлением им доступа к данным сервера. Большинство из них используют пароль в качестве краеугольного камня аутентификации. В большинстве случаев пароль должен быть разделен между связывающимися объектами заранее PAP - протокол аутентификации по паролю Протокол аутентификации по паролю является одним из самых старых протоколов аутентификации. Аутентификация инициализируется клиентом, отправляющим пакет с учетными данными (имя пользователя и пароль) в начале соединения, при этом клиент повторяет запрос аутентификации до получения подтверждения. Это крайне небезопасно, потому что учетные данные отправляются « в открытом виде » и многократно, что делает его уязвимым даже для самых простых атак, таких как подслушивание и атаки по принципу « человек посередине» . Несмотря на широкую поддержку, указывается, что если реализация предлагает более сильный метод аутентификации, этот метод долженбыть предложенным до PAP. Смешанная аутентификация (например, один и тот же клиент поочередно с использованием как PAP, так и CHAP) также не ожидается, так как аутентификация CHAP будет скомпрометирована отправкой PAP пароля в виде простого текста. CHAP - Протокол аутентификации при вызове рукопожатия Процесс аутентификации в этом протоколе всегда инициализируется сервером / хостом и может выполняться в любое время в течение сеанса, даже многократно. Сервер отправляет случайную строку (обычно длиной 128B). Клиент использует пароль и полученную строку в качестве параметров для хэш-функции MD5, а затем отправляет результат вместе с именем пользователя в виде простого текста. Сервер использует имя пользователя для применения той же функции и сравнивает вычисленный и полученный хеш. Аутентификация успешна или неудачна. EAP - расширяемый протокол аутентификации Изначально EAP был разработан для PPP (двухточечного протокола), но сегодня широко используется в IEEE 802.3 , IEEE 802.11 (WiFi) или IEEE 802.16 как часть инфраструктуры аутентификации IEEE 802.1x . Последняя версия стандартизирована в RFC 5247 . Преимущество EAP состоит в том, что это только общая структура аутентификации для аутентификации клиент-сервер - конкретный способ аутентификации определяется во многих его версиях, называемых EAP-методами. Существует более 40 EAP-методов, наиболее распространенными из которых являются: EAP-MD5 EAP-TLS EAP-TTLS EAP-FAST EAP- PEAP Протоколы архитектуры AAA (аутентификация, авторизация, учет) Сложные протоколы, используемые в больших сетях для проверки пользователя (аутентификация), контроля доступа к данным сервера (авторизация) и мониторинга сетевых ресурсов и информации, необходимой для выставления счетов за услуги (учет). TACACS , XTACACS и TACACS + Самый старый протокол AAA, использующий аутентификацию на основе IP без какого-либо шифрования (имена пользователей и пароли передавались в виде простого текста). В более поздней версии XTACACS (Extended TACACS) добавлена авторизация и учет. Оба этих протокола были позже заменены на TACACS +. TACACS + разделяет компоненты AAA, поэтому их можно разделять и обрабатывать на отдельных серверах (он может даже использовать другой протокол, например, для авторизации). Он использует TCP (протокол управления передачей) для транспорта и шифрует весь пакет. TACACS + является собственностью Cisco RADIUS Служба удаленной аутентификации (RADIUS) - это полноценный протокол AAA, обычно используемый провайдером . Учетные данные в основном основаны на комбинации имени пользователя и пароля, для передачи используются протоколы NAS и UDP . ДИАМЕТР Diameter (протокол) произошел от RADIUS и включает в себя множество улучшений, таких как использование более надежного транспортного протокола TCP или SCTP и более высокий уровень безопасности благодаря TLS Kerberos (протокол) Kerberos - это централизованная система сетевой аутентификации, разработанная в MIT и доступная как бесплатная реализация от MIT, но также и во многих коммерческих продуктах. Это метод проверки подлинности по умолчанию в Windows 2000 и более поздних версиях. Сам процесс аутентификации намного сложнее, чем в предыдущих протоколах - Kerberos использует криптографию с симметричным ключом , требует доверенного третьего лица и может использовать криптографию с открытым ключом на определенных этапах аутентификации, если это необходимо | |
|
| |
| Всього коментарів: 0 | |