Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Протокол PPP и безопасность

Арт Уитман

Что может беспокоить сетевого администратора больше, чем ситуация, связанная с доступом пользователей к сети по телефонным линиям? Кажется, он делает все возможное для обеспечения безопасности сети, но удаленные пользователи все равно остаются причиной его бессонных ночей. С помощью простейшего пароля или, что еще хуже, вообще без пароля злоумышленник может получить доступ к хранящейся на сетевых устройствах информации. Однако, если для работы по коммутируемым линиям используется протокол Point-to-Point Protocol (PPP), то вы получаете дополнительные методы и средства, позволяющие защитить информацию в сети от несанкционированного доступа.

Протокол PPP определен документом RFC 1334, в котором описаны два протокола аутентификации. Простейший из них — протокол аутентификации по паролю (Password Authentication Protocol, PAP), более сложный и обеспечивающий боўльшую безопасность — протокол аутентификации по методу “вызов—приветствие” (Challenge-Handshake Authentication Protocol, CHAP). Эти два протокола реализуются почти всеми фирмами-производителями, заявляющими о поддержке своими продуктами PPP. Однако иногда поддерживается только протокол PAP. В ряде случаев упомянутые протоколы аутентификации реализуются, но называются по-другому. Поэтому следует быть осторожным при выборе продуктов, поддерживающих PPP.

Процедура аутентификации в PPP происходит после обмена кадрами протокола Link Control Protocol (LCP), но до конфигурирования параметров, относящихся к протоколам сетевого уровня (IP или IPX), и передачи трафика этих протоколов1. Поэтому PPP может ограничить доступ к сетевым протоколам, основываясь на информации о пользователе. Эта возможность полезна, когда нежелательно, чтобы внешние пользователи имели доступ ко всем применяемым в сети протоколам.

Шифровать ли пароль?

Пересылка незашифрованного пароля через сети общего пользования представляет собой значительную угрозу безопасности вашей сети. Поэтому если вы не контролируете линии связи, по которым передается информация (скажем, линии связи телефонной компании), и вам действительно важно обеспечить безопасность, не пересылайте незашифрованной никакую важную информацию, в том числе и пароли.

Но и зашифрованный пароль вряд ли защитит важные данные от несанкционированного доступа, если вы посылаете их через сеть общего пользования, предварительно не зашифровав. Поэтому, хотя во многих ситуациях вполне допустимо использование протокола PAP, но иногда и применение CHAP не решает всех проблем.

Протокол PAP предусматривает пересылку незашифрованных пароля и идентификатора пользователя. Компьютер, инициирующий процесс аутентификации, посылает их до тех пор, пока система, проводящая аутентификацию, не подтвердит подлинность пользователя или не разорвет соединение.

Протокол CHAP определяет трехходовую схему “вызов—приветствие”. Кроме пароля и идентификатора пользователя, в ней также задействуется ключ для их шифрования. Отличительной особенностью ключа является то, что он никогда не передается между системой, подлинность которой проверяется, и системой, осуществляющей эту проверку. Ключ держится в секрете и устанавливается одинаковым для проверяемой и проверяющей систем. Обычно ключ задает администратор, а пользователь заботится лишь о своих идентификаторе и пароле.

В PPP используется аутентификация либо по протоколу PAP, либо по протоколу CHAP. Во многих случаях вначале запрашивается CHAP и только при отказе происходит переход на PAP. Метод аутентификации выбирается с помощью протокола LCP.

Проблемы неинтеллектуальных терминалов

Многие серверы удаленного доступа начинали свою жизнь как терминальные серверы, обеспечивающие доступ удаленных терминалов к многопользовательским системам. Если единственная телефонная линия используется и для соединения по протоколу PPP, и для подключения неинтеллектуальных терминалов, то на процедуру аутентификации следует обратить особое внимание. Для неинтеллектуальных терминалов аутентификация практически всегда осуществляется с помощью передачи незашифрованных идентификатора и пароля пользователя. Понятно, что это ненамного безопаснее аутентификации по протоколу PAP. В этой ситуации для работы по PPP целесообразно применять отдельную процедуру аутентификации по протоколу CHAP.

Дополнительные возможности

До сих пор говорилось только о возможностях, определяемых протоколом PPP. Эта информация важна, но еще важнее знать, как именно фирмы-производители реализуют механизмы аутентификации в конкретных продуктах. Конечно, разработкой системы аутентификации для пользователей, имеющих доступ к сети по коммутируемой линии, может заниматься и сетевой администратор, но это займет у него слишком много времени и отнимет много сил. Лучший вариант — найти продукт, обеспечивающий процедуру аутентификации в соответствии с вашими требованиями. Большинство систем для работы с коммутируемыми линиями не позволяют менять пароли, назначать их длины и проверять их на легкость угадывания. Но все эти возможности представлены в более сложных, решающих более широкий круг задач системах, на которые неплохо возложить и задачу аутентификации сотрудников, работающих по коммутируемым линиям.

Польза от применения уже существующих систем аутентификации состоит в том, что пользователю не надо отдельно запоминать пароли для удаленного доступа и для входа в сеть. Например, в системах, подобных Kerberos, процедура аутентификации пользователя производится только однажды, при входе в сеть, и больше пароль у него не запрашивается.

Некоторые продукты позволяют определять способ проведения аутентификации PPP. Обычно через специальные гнезда TCP/IP сервер PPP собирает информацию о паролях и идентификаторах пользователя и передает их программе-посреднику, создаваемой администратором. Эта программа проверяет пароли и выполняет другие функции, определенные администратором. Даже если сервер PPP не поддерживает подобную возможность, имеет смысл обратиться к его фирме-производителю. Может быть, фирма предоставит модули, которые позволят задействовать уже существующую у вас систему аутентификации или передать выполнение задачи аутентификации созданной вами программе-посреднику.

Два подхода

Два различных подхода к аутентификации пользователя реализованы в серверах удаленного доступа Annex фирмы Xylogics (входит в состав фирмы Bay Networks) и NetBlazer фирмы Telebit.

Annex предусматривает аутентификацию с использованием локального (т.е. находящегося на самом сервере. — Прим. ред.) файла с паролями или аутентификацию с помощью выделенного компьютера (сервер аутентификации). В фирме Xylogics понимают, что нельзя предвидеть все возможные требования пользователей к процессу аутентификации. Поэтому в Annex реализована возможность передачи запроса на аутентификацию выделенному компьютеру, на который и возлагается выполнение задач по аутентификации и воплощению в жизнь административной политики.

При аутентификации с помощью выделенного компьютера Annex получает идентификатор и пароль пользователя, а затем через известное гнездо TCP/IP посылает их на этот компьютер. Причем, фирма Xylogics предусмотрела возможность шифрования передаваемой информации. Ну а процедура обеспечения безопасности, которая может быть создана на выделенном компьютере, — личное дело администратора сети.

К серверу Annex прилагается пример программы на языке Си, позволяющей проводить аутентификацию в системе Unix. Для того чтобы заставить ее работать, потребуется совсем небольшой опыт программирования на Cи. Процедура, с помощью которой проверяется подлинность пользователей, может быть написана и на другом языке программирования. Правда, для этого надо приложить некоторые усилия.

Замечательная особенность Annex состоит в том, что он предоставляет поистине безграничные возможности для создания правил аутентификации. Время дня, продолжительность соединения, номера абонента и используемой линии связи — это только часть параметров, которые могут учитываться системой безопасности. Кроме того, программа-посредник, работающая на выделенном компьютере, может предоставлять сведения о том, что сервер Annex позволяет делать пользователям, успешно прошедшим процедуру аутентификации.

Сервер NetBlazer, в отличие от Annex, содержит в себе некоторое число механизмов аутентификации и обеспечения безопасности и не требует какого-либо дополнительного программирования. Поэтому если предложенные механизмы удовлетворяют вашим требованиям, то использование продукта фирмы Telebit не вызывает никаких проблем.

Кроме стандартной аутентификации с помощью файла, содержащего пароли, NetBlazer поддерживает методы Kerberos и SecurID.

Kerberos была разработана в Массачусетсском технологическом институте в рамках проекта Athena и является базовой схемой аутентификации среды распределенных вычислений (Distributed Computing Environment, DCE). Если пользователь успешно прошел процедуру аутентификации Kerberos, он может работать со всеми службами сети (от почтовых серверов до принтеров), доступ к которым ему позволен. Недостаток схемы Kerberos — необходимость использования протоколов TCP/IP. Если ваша сеть не ориентирована на TCP/IP, то маловероятно, что вы будете реализовывать Kerberos как схему аутентификации для работы с NetBlazer.

Рынок продуктов, обеспечивающих безопасность доступа по PPP, не ограничивается двумя упомянутыми системами. Просто на их примере были представлены две модели аутентификации при удаленном доступе. К другому типу продуктов, обеспечивающих безопасность при удаленном доступе, относится продукт SecurID фирмы Security Dynamics. Он предусматривает использование интеллектуальной карточки, с помощью которой формируется одноразовый пароль для аутентификации2.

Другие фирмы, такие как 3Com и Cisco, также выпускают работающие по коммутируемым линиям серверы удаленного доступа, которые обладают схожими возможностями, позволяющими вам обеспечить безопасное соединение по протоколу PPP.


распечатать статью




  
8 '1996
СОДЕРЖАНИЕ

колонка редактора

• Вся сеть в кармане

локальные сети

• Выбор сетевой операционной системы

• Недорогие серверы

• В любви и согласии... со своим делом

корпоративные сети

• Блокнотные компьютеры

• Клиентское ПО протокола DHCP

• Разные решения одной проблемы

• I-PNNI — интегрированный протокол маршрутизации

• Незаконченная картина RMON

услуги сетей связи

• Терминология сетей Синхронной Цифровой Иерархии

• Несколько слов о любви... и заметки о создании пейджинговой системы

• Компьютерная телефония. Пути развития

• Беспроводная передача данных: CDPD

• Блюзы говорящих модемов

интернет и интрасети

• Серверы Internet под ключ

• Семь смертных грехов Web

• Стройте Intranet!

• Радио по запросу

• Давайте познакомимся

• Программирование Web-сервера: последний рубеж

приложения клиент-сервер

• Информационные системы для крупных индустриальных объектов

• Intranet и Lotus Notes: новый взгляд

защита данных

• Дебаты о шифровании

• Протокол PPP и безопасность

новые продукты

• Маршрутизаторы 7200 фирмы Cisco, FTP Software поднимает ставки в игре TCP/IP, Оптимизаторы MAXcess, Kraftway выпускает новый сервер

только на сервере

• Обзор Web-браузеров

• Методика интерпретации результатов измерения производительности адаптеров Fast Ethernet



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх