PAP (англ. Password Authentication Protocol ) — протокол простой проверки подлинности, предусматривающий отправку имени пользователя и пароля на сервер удалённого доступа открытым текстом (без шифрования).
Протокол аутентификации PAP используется в протоколе PPP (англ. Point-to-Point Protocol ), для предоставления пользователям доступа к серверным ресурсам. Почти все сетевые операционные системы поддерживают протокол PAP.
PAP передает незашифрованные ASCII коды по сети и поэтому крайне небезопасен, поскольку пересылаемые пароли можно легко читать в пакетах, которыми обмениваются стороны в ходе проверки подлинности. Обычно PAP используется только при подключении к старым серверам удалённого доступа на базе UNIX, которые не поддерживают никакие другие протоколы проверки подлинности.
Читайте также:
- Аутентификация
- Аутентификация глобального имени пользователя
- Аутентификация на основе биометрических характеристик пользователя
- Аутентификация на основе внешнего носителя ключевой информации.
- Аутентификация на основе паролей, методы подбора паролей
- Идентификация и аутентификация
Аутентификация по имени и паролю
Это наиболее часто используемый метод аутентификации. Варианты:
– Отсутствие проверки имен пользователей и паролей. Некоторые администраторы разрешают доступ к сетям и ресурсам без проверки имен пользователей и паролей.
– Статические имена пользователей и пароли. Остаются неизменными до тех пор, пока не будут изменены администратором системы или пользователем.
– Имена пользователей и пароли, меняющиеся со временем. Становятся недействительными по истечении определенного времени, после которого без смены пароля доступ не возможен.
– Одноразовые пароли. Для каждого пользователя генерируется секретная парольная фраза. При каждом сеансе аутентификации из секретной фразы и данных полученных с сервера формируется уникальный хэш-код, который передается на сервер. На основе полученного хэша сервер принимает решение о предоставлении доступа. Алгоритм построен так, что сгенерировать правильный хэш-код, на основании передаваемых по сети или хранящихся на сервере данных невозможно.
PAP (Password Authentication Protocol) – протокол аутентификации пароля
CHAP (Challenge Handshake Authentication Protocol) – протокол аутентификации с предварительным согласованием вызова
Данные протоколы наиболее часто применяются для авторизации при использовании протокола PPP.
Протокол PPP используется для удаленного подключения через телефонную сеть и каналы ISDN. Является стандартным протоколом инкапсуляции для транспортировки протоколов сетевого уровня. Пришло на смену протоколу SLIP, допускает шифрование, динамическую IP-адресацию и аутентификацию соединений.
Аутентификация PAP для PPP:
Процесс установления соединения:
1. Удаленный клиент устанавливает связь.
2. Удаленный клиент сообщает серверу доступа о том, что используется протокол PPP.
3. Сервер доступа извещает клиента о применении PAP в ходе этого сеанса связи.
4. Удаленный клиент посылает имя пользователя и пароль в формате PAP.
5. Сервер доступа сравнивает имя пользователя и пароль с сохраненными в базе данными и принимает или отвергает их.
– Имя пользователя/пароль передаются в открытом виде.
Аутентификация CHAP для PPP:
Протокол CHAP предлагает более надежный метод аутентификации, чем PAP поскольку не предполагает передачу реального пароля по каналу связи.
Процесс установления соединения:
1. Удаленный клиент устанавливает связь по протоколу PPP.
2. Сервер доступа предлагает удаленному клиенту использовать CHAP.
3. Производится процедура трехходового квитирования, которая состоит из следующих шагов:
– сервер доступа посылает сообщение запроса удаленному клиенту;
– удаленный клиент возвращает значение однонаправленной хэш-функции;
– сервер доступа обрабатывает полученное значение хэширования, и если оно совпадает со значением вычисленном сервером, аутентификация считается успешной.
CHAP предполагает периодический контроль аутентичности клиента с помощью повторного использования процедуры трехходового квитирования.
MS-CHAP – измененная фирмой Microsoft версия, используемая в системах Windows NT.
Средства авторизации требуют определить множество атрибутов, описывающих права пользователя. Значения атрибутов сохраняются в локальной или удаленной базе данных. Когда пользователь пытается получить удаленный доступ к системе, сервер доступа определяет права пользователя и ограничивает его возможности.
Когда средства аудита активизированы, сервер доступа создает контрольные записи действий пользователей, которые сохраняются на сервере доступа или в удаленной базе данных.
Запись аудита состоит из пар атрибут/значение обычно содержащих: имя пользователя, IP адрес пользователя, имя сервиса, время начала и окончания доступа, объем переданных данных, имя сервера доступа.
Серверы управления доступом
| | | следующая лекция ==> | |
| Защита удаленного доступа | | | Локальная и удаленная базы данных управления доступом |
Дата добавления: 2014-01-07 ; Просмотров: 5061 ; Нарушение авторских прав? ;
Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет
PAP и CHAP – протоколы аутентификации, использующиеся в протоколе PPP. PAP расшифровывается банально – Password Authentication Protocol. Возможно такая простая расшифровка связана с тем, что протокол был одним из первых. CHAP расшифровывается как Challenge Handshake Authentication Protocol. В курсе CCNA затрагиваются оба этих протокола.
Как работает PAP?
Клиент хочет подключиться к серверу, он отправляет серверу пароль, сервер отвечает либо «Да», либо «Нет». Казалось бы, всё просто – зачем добавлять что-то ещё? Однако, всё становится сложнее, в случае если мы в силу каких-то обстоятельств обратились не к серверу, к, которому собирались, а к устройству злоумышленника. В этом случае получается, что спрашивая его, нравится ли ему наш пароль, мы по сути просто передаём ему пароль, с которым он в дальнейшем может делать всё что угодно. Чтобы избежать такой ситуации был придуман CHAP.
Как работает CHAP?
Клиент хочет обратиться к серверу, сервер передаёт клиенту случайную строку, клиент берёт пароль и эту строку и вычисляет от неё MD5 хеш, который возвращает серверу. Сервер проделывает те же операции (если он сам, конечно, знает правильный пароль). Если хеши слвпадают – клиент авторизован. Что мы получаем? Если клиент не знает пароль – хеши не совпадут, если вместо сервера злоумышленник – он получит только хеш, из которого ничего не выудить.
Таким образом, в реальных ситуациях лучше использовать протокол CHAP.