Pap или chap что лучше
Протокол аутентификации по паролю (PAP)
Из этих двух протоколов аутентификации PAP менее защищен, поскольку пароль отправляется в виде открытого текста и выполняется только при первоначальном установлении соединения.
Протокол аутентификации пароля (PAP) —
PAP — это протокол аутентификации пароля, используемый PPP-ссылками для проверки пользователей. PAP-аутентификация требует от вызывающего устройства ввода имени пользователя и пароля. Если учетные данные совпадают с локальной базой данных вызываемого устройства или в удаленной базе данных AAA, то в этом случае разрешается доступ.
Характеристики —
Некоторые из особенностей PAP:
Существует небольшая топология, в которой есть 2 маршрутизатора, а именно R1 и R2. R1 имеет ip-адрес 10.1.1.1/30 на s0 / 0, а R2 имеет ip-адрес 10.1.1.2/30 на s0 / 0.
Сначала мы создадим локальную базу данных на R1, указав имя пользователя и пароль:
Настройка локальной базы данных на R2:
Помните, по умолчанию HDLC настроен на маршрутизаторах Cisco, поэтому сначала мы должны изменить инкапсуляцию на PPP и включить PAP.
Включение PAP на R2:
Здесь обратите внимание, что имя пользователя и пароль чувствительны к регистру. Также на роутере R1 мы должны указать имя пользователя и пароль.
Заметка —
Эта команда также может использоваться на маршрутизаторе, который хочет аутентифицироваться (вызывающий маршрутизатор) в случае односторонней аутентификации, то есть только вызывающий маршрутизатор будет аутентифицироваться.
Если работает двусторонняя аутентификация, то есть клиент и удаленное устройство будут аутентифицироваться друг с другом, то нам нужно создать локальную базу данных и использовать эту команду на обоих устройствах.
Кроме того, если мы хотим сначала использовать CHAP и PAP в качестве резервной копии при сбое CHAP, мы можем настроить его с помощью команды.
Также, если мы хотим использовать CHAP в качестве резервной копии, используйте команду.
Когда использовать PAP —
PAP обычно используется в следующих сценариях:
Преимущество CHAP над PAP —
Некоторые из преимуществ:
Преимущество PAP над CHAP —
Единственное преимущество PAP по сравнению с CHAP состоит в том, что он поддерживается всеми поставщиками сетевых операционных систем, поэтому можно сказать, что PAP используется там, где CHAP не поддерживается. Но если CHAP поддерживается, то рекомендуется использовать CHAP, поскольку он более защищен.
Pap или chap что лучше
До сих пор наш скрипт сам выполнял аутентификацию, то есть, вводил имя и пароль в ответ на запросы удалённой стороны. Но PPP предусматривает и свои способы аутентификации PAP (Password Authentication Protocol) и CHAP (Challenge Handshake Authentication Protocol) и мы можем ими воспользоваться, если удалённая сторона достаточна сообразительна, чтобы не только выдать «login:«, но и провести PAP или CHAP аутентификацию.
Так как наш скрипт дозвонки больше не будет заниматься аутентификацией, нужно убрать из него имя пользователя «igor«, его пароль «1234567» и ошибку аутентификации
Теперь скрипт заканчивает работу сразу же, как получит строку «login:«. Отметим, что приглашение «login:» не имеет никакого отношения к PAP и CHAP, и pppd воспринимает его не более, как шум в линии, поэтому вместо этой строки может быть любое другое приглашение провайдера, в крайнем случае, «>«.
Формат этой строки таков наше имя, имя удалённой стороны и пароль. В PAP используется только наше имя и пароль, а имя удалённой стороны «cool» может быть произвольным. В принципе, оно нужно только для того, чтобы pppd мог определить, какой пароль нужно использовать в случае, когда Вы используете одно и то же имя у разных провайдеров, например:
Теперь мы можем звонить провайдеру:
CHAP аутентификация происходит следующим образом при установлении PPP-соединения удалённая сторона предлагает нам аутентификацию CHAP. Мы соглашаемся, и удалённая сторона высылает нам ключ (challenge), состоящий из случайной последовательности символов, и своё имя. Мы берём наш пароль и присланный ключ и прогоняем их через алгоритм MD5. Получившийся результат высылаем вместе со своим именем. Удалённая сторона, зная наш пароль и высланный её ключ, в свою очередь, проделывает то же самое у себя, и если её результат совпадает с присланным нами, то аутентификация считается успешной. Таким образом, пароль не передаётся в открытом виде, но удалённая сторона должна хранить наш пароль в открытом виде.
Теперь наша строка для звонка провайдеру выглядит так:
Кроме того, можно указать pppd, чтобы он не соглашался проводить аутентификацию тем или иным способом или же требовал какого-то одного способа с помощью различных комбинаций параметров refuse-pap, refuse-chap, require-pap и require-chap. Раньше эти параметры назывались соответственно -pap, -chap, +pap и +chap.
Pap или chap что лучше
Нужно заметить, что комбинация FreeBSD + getty до недавнего времения не была таким сообразительным прибором, но, начиная с getty распознает начальные LCP-кадры PPP-соединения и может вызывать, скажем, pppd, который и решает, что делать дальше. До этого getty умел только выдать этот самый «login:» и приходилось использовать mgetty.
Так как наш скрипт дозвонки больше не будет заниматся аутентификацией, нужно убрать из него имя пользователя «igor«, его пароль «1234567» и ошибку аутентификации
Теперь скрипт заканчивает работу сразу же, как получит строку «login:«. Отметим, что приглашние «login:» не имеет ни какого отношения к PAP и CHAP, и pppd воспринимает его не более как шум в линии, поэтому вместо этой строки может быть любое другое приглашение провайдера, в крайнем случае, «>«.
Теперь мы можем звонить провайдеру:
Параметры user igor и remotename cool позволяют однозначно определить, какой пароль использовать при аутентификации, в данном случае это «1234567«. Как уже говорилось, параметр remotename необходим только, если мы не можем однозначно выбрать пароль из файла /etc/ppp/pap-secrets. Имя нашей стороны можно также задать с помощью параметра name igor, но параметр user имеет больший приоритет. Заметим, что хотя пароль передается в открытом виде, удалённая сторона может хранить пароль в виде результата какой-либо хэш-функции, например, MD5, в качестве параметра которой, выступает пароль.
Имена и пароли для CHAP хранятся в файле /etc/ppp/chap-secrets, права доступа у него должны быть такие же, как для PAP: и формат строк тоже совпадает:
Теперь наша строка для звонка провайдеру выглядит так:
Обратите внимание, что она отличается от PAP только отсутствием параметра remotename. Это объяснятеся тем, что удалённая сторона сама говорит своё имя, поэтому её имя, записаное в файле /etc/ppp/chap-secrets, не может быть произвольным, как это было в случае с PAP. Даже если Вы зададите параметр remotename, имя, сообщённое удалённой стороной, имеет больший приоритет. Что касается имени нашей стороны, то оно может быть также задано с помощью параметра
Кроме того, можно указать pppd, чтобы он не соглашался проводить аутентификацию тем или иным способом или же требовал какого-то одного способа с помощью различных комбинаций параметров refuse-pap, refuse-chap, require-pap и require-chap. Раньше эти параметры назывались соответственно -pap, -chap, +pap и +chap.
Аутентификация PAP и CHAP
Аутентификация по имени и паролю
Это наиболее часто используемый метод аутентификации. Варианты:
— Отсутствие проверки имен пользователей и паролей. Некоторые администраторы разрешают доступ к сетям и ресурсам без проверки имен пользователей и паролей.
— Статические имена пользователей и пароли. Остаются неизменными до тех пор, пока не будут изменены администратором системы или пользователем.
— Имена пользователей и пароли, меняющиеся со временем. Становятся недействительными по истечении определенного времени, после которого без смены пароля доступ не возможен.
— Одноразовые пароли. Для каждого пользователя генерируется секретная парольная фраза. При каждом сеансе аутентификации из секретной фразы и данных полученных с сервера формируется уникальный хэш-код, который передается на сервер. На основе полученного хэша сервер принимает решение о предоставлении доступа. Алгоритм построен так, что сгенерировать правильный хэш-код, на основании передаваемых по сети или хранящихся на сервере данных невозможно.
PAP (Password Authentication Protocol) – протокол аутентификации пароля
CHAP (Challenge Handshake Authentication Protocol) – протокол аутентификации с предварительным согласованием вызова
Данные протоколы наиболее часто применяются для авторизации при использовании протокола PPP.
Протокол PPP используется для удаленного подключения через телефонную сеть и каналы ISDN. Является стандартным протоколом инкапсуляции для транспортировки протоколов сетевого уровня. Пришло на смену протоколу SLIP, допускает шифрование, динамическую IP-адресацию и аутентификацию соединений.
Аутентификация PAP для PPP:
Процесс установления соединения:
1. Удаленный клиент устанавливает связь.
2. Удаленный клиент сообщает серверу доступа о том, что используется протокол PPP.
3. Сервер доступа извещает клиента о применении PAP в ходе этого сеанса связи.
4. Удаленный клиент посылает имя пользователя и пароль в формате PAP.
5. Сервер доступа сравнивает имя пользователя и пароль с сохраненными в базе данными и принимает или отвергает их.
— Имя пользователя/пароль передаются в открытом виде.
Аутентификация CHAP для PPP:
Протокол CHAP предлагает более надежный метод аутентификации, чем PAP поскольку не предполагает передачу реального пароля по каналу связи.
Процесс установления соединения:
1. Удаленный клиент устанавливает связь по протоколу PPP.
2. Сервер доступа предлагает удаленному клиенту использовать CHAP.
3. Производится процедура трехходового квитирования, которая состоит из следующих шагов:
— сервер доступа посылает сообщение запроса удаленному клиенту;
— удаленный клиент возвращает значение однонаправленной хэш-функции;
— сервер доступа обрабатывает полученное значение хэширования, и если оно совпадает со значением вычисленном сервером, аутентификация считается успешной.
CHAP предполагает периодический контроль аутентичности клиента с помощью повторного использования процедуры трехходового квитирования.
MS-CHAP – измененная фирмой Microsoft версия, используемая в системах Windows NT.
Средства авторизации требуют определить множество атрибутов, описывающих права пользователя. Значения атрибутов сохраняются в локальной или удаленной базе данных. Когда пользователь пытается получить удаленный доступ к системе, сервер доступа определяет права пользователя и ограничивает его возможности.
Когда средства аудита активизированы, сервер доступа создает контрольные записи действий пользователей, которые сохраняются на сервере доступа или в удаленной базе данных.
Запись аудита состоит из пар атрибут/значение обычно содержащих: имя пользователя, IP адрес пользователя, имя сервиса, время начала и окончания доступа, объем переданных данных, имя сервера доступа.
Серверы управления доступом
Дата добавления: 2014-01-07 ; Просмотров: 8719 ; Нарушение авторских прав? ;
Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет
Обзор возможностей защиты
В этом разделе описываются методы защиты, используемые для обеспечения безопасности сетей WiFi.
Защита сети WiFi
Если беспроводная сеть останется незащищенной, она будет уязвима для доступа из других компьютеров. Можно очень просто защитить домашнюю сеть и сеть малого бизнеса от почти любых форм несанкционированного доступа, используя для этого методы защиты, описываемые далее в этом разделе.
Аутентификация
Шифрование
Широковещание SSID
Методы персональной защиты
Открытая и общая сетевая аутентификации
Спецификация 802.11 поддерживает два метода сетевой аутентификации: открытую систему и с использованием общего ключа.
WEP-шифрование (Wired Equivalent Privacy) использует специальное преобразование данных для предотвращения несанкционированного доступа к данным беспроводной сети. WEP-шифрование использует ключ шифрования для кодирования данных перед их отправкой. Только компьютеры, использующие этот же ключ, могут получить доступ к сети и расшифровать переданные другими компьютерами данные. WEP-шифрование обеспечивает два уровня защиты, используя 64-битный ключ (иногда представляется как 40-битный) или 128-битный ключ (также известен как 104-битный). Используйте 128-битный ключ для лучшей защиты. Если вы используете шифрование, все устройства в беспроводной сети должны использовать одинаковые ключи шифрования.
С WEP-шифрованием данных станция беспроводной сети может иметь в конфигурации до четырех ключей (значения индекса ключа: 1, 2, 3 и 4). Когда точка доступа (ТД) или станция беспроводной сети передает шифрованное сообщение, использующее ключ, хранящийся в указанном индексе ключа, переданное сообщение будет указывать на индекс ключа, использованного для шифрования сообщения. Принимающая ТД или станция беспроводной сети может найти ключ, хранящийся в индексе и использовать его для дешифрования сообщения.
Поскольку алгоритм WEP-шифрования уязвим к атакам из сети, необходимо рассмотреть возможность использования защиты WPA-персональная или WPA2-персональная.
WPA-персональная
Режим персональной защиты WPA используется в домашних условиях или сетях малого бизнеса. Для персональной защиты WPA необходимо вручную сконфигурировать предварительно опубликованный общий ключ (PSK) в точке доступа или клиентах. Аутентификация в сервере не используется. Этот пароль, введенный в точке доступа, должен использоваться в этом компьютере и на всех беспроводных устройствах сети для подключения к этой точке доступа. Защита зависит от надежности и секретности пароля. Чем больше длина используемого пароля, тем надежнее защита беспроводной сети. Если ваша беспроводная точка доступа или маршрутизатор поддерживают WPA- и WPA2-персональную аутентификацию, тогда вы должны использовать ее в точке доступа, а также назначить длинный и надежный пароль. Для защиты WPA-персональная доступны алгоритмы шифрования данных TKIP и AES-CCMP.
WPA2-персональная
ПРИМЕЧАНИЕ. WPA- и WPA2-персональная совместимы друг с другом.
Аутентификация 802.1X (корпоративная защита)
В этом разделе описывается общая защита, используемая в большинстве компьютеров.
Обзор
Аутентификация стандарта 802.1x для беспроводных сетей имеет три главных компонента:
Защита аутентификации стандарта 802.1X инициирует запрос на аутентификацию от клиента беспроводной сети в точку доступа, которая устанавливает его подлинность через протокол EAP в соответствующем сервере RADIUS. Этот сервер RADIUS может выполнить аутентификацию пользователя (с помощью пароля или сертификата) или компьютера (с помощью адреса MAC). Теоретически, клиент беспроводной сети не может войти в сеть до завершения транзакции. (Не все методы аутентификации используют сервер RADIUS. WPA-персональная и WPA2-персональная используют общий пароль, который вводится в точке доступа и в устройствах, запрашивающих доступ к сети).
Что такое RADIUS?
Как работает аутентификация 802.1X
Далее представлено упрощенное определение работы аутентификации стандарта 802.1X:
Функции 802.1X
Поддерживаемые методы аутентификации Windows XP: