город Сердобск

CHAP при идентификации обычно использует MD5. RADIUS и DIAMETER являются значительным шагом вперед в протоколах коммутируемых соединений и обеспечивают использование серверов доступа к сети (NAS).

Архитектура IPSec Вэтой главе описывается архитектура IPSec, базового интернет протокола защищенной передачи данных через внешние (untrusted) каналы связи и сети. Будут обсуждены две базы данных IPSec: база данных правил безопасности (Security Policy Database — SPD) и база данных ассоциаций безопасности (Security Association Database — SAD), являющиеся реализациями ассоциации безопасности (Security Association — SA), понятия, введенного в главе 1. Объясняются транспортные и туннельные режимы IPSec, а также обсуждаются правила IPSec в отношении туннелей и SA.

Когда передаваемый по туннелю пакет прибывает в конечный пункт, его значения полей SPI, Адрес Получателя и Протокол используются для поиска в SAD соответствующего этому пакету SA. Адрес Получателя извлекается из вложенного IP заголовка.

После того как пакет был обработан в соответствии с SA его туннеля и оказался вне этого туннеля, его селекторы ищутся во Входящей SPD. Во Входящей SPD имеется селектор под названием Адрес Получателя. Это тот самый IP адрес из внутреннего (вложенного) ГР заголовка.

Если проверка пройдена, то сервер посылает клиенту сообщение о разрешении доступа. Надо сказать, что область применения RADIUS гораздо шире, чем просто проверка прав доступа. Сообщение о разрешении доступа содержит настройки конфигурации, например РРР, имя пользователя и т. д.

Идея заключается в использовании RADIUS так, чтобы дать пользователю всю информацию, необходимую для настройки сеанса связи с сетью. Примером такой информации может быть IP-адрес сеанса связи, используется ли сжатие, максимальный размер передаваемого блока данных (Maximum Transmission Unit Size — MTU) и др.

RFC 2138 дает определение некоторым из этих атрибутов, а идентификаторы атрибутов можно найти в разделе «Выделенные номера», RFC 17001. В этом разделе рассматриваются некоторые из наиболее важных атрибутов. Другие, такие как адрес, имя, номер порта и т. д., не будут обсуждаться, поскольку их предназначение или очевидно, или ясно из названия (так назначение атрибута Пароль-Пользователя — хранить пароль пользователя).

Атрибут Тип-Сервиса. Этот атрибут задает тип запрошенного пользователем сервиса. Существуют следующие виды сервисов:
О Начало сеанса: Пользователь должен быть соединен с узлом.
О Фреймовый: Фреймовый протокол должен быть использован для работы с пользователем, например асинхронные фреймы РРР.

Приглашение NAS с обратным вызовом: Сервер должен отсоединиться от пользователя и позвонить самому, а затем пользователь должен получить доступ к командной строке NAS, с которой могут быть выполнены непривилегированные команды.

Фреймовый-MTU. Определяет максимальный размер передаваемого блока (MTU), используемого с данным пользователем. Может быть опущен, если для настройки MTU применяется РРР.
1Р-Адрес-Узла-Доступа. Используется для передачи адреса предпочтительного узла доступа. Сервер не обязан его использовать.
Способ-Доступа. Определяет, каким способом пользователь соединяется с сервером. Примерами могут быть TELNET, rlogin и LAT.

NAS извещает сервер RADIUS при помощи атрибутов Тип-Сервера и Фрейиовый-Протокол, что пользователь использует РРР. RADIUS проверяет «улисс» и посылает пакет Разрешение-Доступа NAS-клиенту с тем, чтобы он начал обмен данными по протоколу РРР и назначил IP-адрес пользователю. Обратите внимание на тот факт, что сервер также возвращает дополнительные атрибуты касательно фреймового протокола.

Проблемы RADIUS Возможности RADIUS в некоторой степени ограниченны из-за его структуры команд и атрибутов, что в результате и привело к созданию новой системы. RADIUS работает поверх протокола UDP, который не имеет таймеров и механизмов пересылки потерянных данных, поэтому производители программ разрабатывали свои собственные реализации таких функций. Кроме того, в RADIUS предполагается, что сервер не посылает клиенту сообщений по своей инициативе, что еще более ограничивает его гибкость. Преемник RADIUS — DIAMETER — разрешил все эти проблемы.

RADIUS-сервер проверяет это сообщение и посылает NAS пакет Разрешение Доступа с тем, чтобы он перенаправил по TELNET пользователя «улисс» к узлу 192.168.1.3. РЧА в данном пакете является контрольной суммой кода, идентификатора, длины, идентифицирующего числа из пакета Запрос Доступа, атрибутов ответа и общего секретного кода (Shared Secret — SS).

Второй пример, показанный на 7.8, приведен для иллюстрации случая, когда пользователь использует фреймовый протокол (РРР), а для идентификации использует CHAP (на 7.5 показан обмен данных на стороне пользователя). NAS с адресом 192.168.1.16 посылает UDP-пакет Запрос-Доступа серверу RADIUS о том, что пользователь «улисс» соединяется с портом 20 по протоколу РРР и идентификацией по протоколу CHAP.

IPSec нуждается в изрядном количестве информации для обеспечения безопасности пользователей. Проще говоря, он должен знать об ассоциации безопасности пользователя. Как вы, наверно, помните, SA определяет, какие услуги по обеспечению безопасности предоставляются пользователю.

Эти требования к безопасности хранятся в двух базах данных. Их собирательно называют базами данных ассоциаций безопасности. Они являются хранилищами информации для IPSec, и их содержимое (то, как оно сконфигурировано администратором безопасности управляет, «поведением» IPSec. Я только знакомлю вас с ними в нашем начальном обсуждении IPSec. В дальнейшем мы более подробно поговорим об этих базах данных.

В случае большой организации обеспечение безопасности является сложной задачей. И одна из забот — это возможность подвергнуть организацию опасности из-за распыления усилий по обеспечению безопасности, что может привести к фрагментации защиты.

Еще более усложняет картину то обстоятельство, что работники компании, консультанты и ее клиенты нуждаются в доступе к информации, поэтому они могут подсоединяться к компьютерам организации практически отовсюду. Для администрирования множества коммутируемых каналов и модемного пула необходимо прилагать значительные усилия.

PAP — это простая процедура, позволяющая другой стороне (обычно узлу или маршрутизатору) удостоверить себя, используя двухстороннее подтверждение. Эта операция выполняется после начального этапа установления соединения.

Как только фаза установления соединения завершена, пара имя/пароль многократно посылается отвечающему за выполнение авторизации узлу, до тех пор пока не подтверждается идентификация или разрывается соединение.