Skip to content

Instantly share code, notes, and snippets.

/Network authentication перевод.md

Created September 25, 2017 23:45
Show Gist options
  • Star 0 You must be signed in to star a gist
  • Fork 0 You must be signed in to fork a gist
  • Save anonymous/c3c80aa7ab1a54a8835a7752fa434f7b to your computer and use it in GitHub Desktop.
Save anonymous/c3c80aa7ab1a54a8835a7752fa434f7b to your computer and use it in GitHub Desktop.
Download ZIP
Network authentication перевод
Raw
Network authentication перевод.md

Network authentication перевод



Ссылка на файл: >>>>>> http://file-portal.ru/Network authentication перевод/


НАСТРОЙКА ШИФРОВАНИЯ WL-169GE
Выбираем и настраиваем сетевую аутентификацию
Перевод "authenticate the user" на русский
























Сетевая аутентификация на практике Александр Нежуренко, СЕТИ и Телекоммуникации Недавно принятый стандарт сетевой аутентификации IEEE Примеры реализации этой технологии в ЛВС, а также ее основные составляющие — протоколы EAP и RADIUS — в центре нашего внимания. Говоря о технологии сетевой аутентификации пользователей, стоит упомянуть протокол PPP, который наиболее часто используется для подключения клиентов по коммутируемым линиям к интернет-провайдерам. Протокол PPP также используется некоторыми сервис-провайдерами для аутентификации пользователей, применяющих xDSL- или кабельные модемы. Кроме того, PPP является частью протокола L2TP, на котором основан безопасный удаленный доступ к системам на базе Windows и выше. Итак, протокол PPP изначально использовался для подключения удаленных пользователей, и поэтому он должен был иметь механизмы аутентификации пользователей. Первоначально поддерживалась только передача имени пользователя или пароля в незашифрованном виде, что не соответствует современным требованиям сетевой безопасности. В последнее время для протокола были разработаны новые механизмы аутентификации под общим названием EAP Extensible Authentication Protocol. Протокол EAP был создан с целью упразднения частных механизмов аутентификации и распространения стандартизированных подходов — схем типа "запрос-ответ" challenge-response и инфраструктуры, основанной на публичных ключах и пользовательских сертификатах. Стандартизация механизмов EAP позволила сделать процедуру аутентификации прозрачной для серверов доступа различных производителей. Например, при подключении пользователя к серверу удаленного доступа и использовании механизма EAP протокола PPP для аутентификации сам сервер доступа не должен знать или поддерживать конкретные механизмы или алгоритмы аутентификации, его задача в этом случае — лишь передать пакеты EAP-сообщений RADIUS-серверу, на котором фактически производится аутентификация. В этом случае сервер доступа исполняет роль посредника между клиентом и RADIUSсервером, в задачи которого входит передача EAP-сообщений между ними. При этом стандарт Ключевым моментом здесь является то, что сетевые устройства — аутентификаторы — могут быть достаточно простыми, поскольку для реализации функций Такая схема имеет дополнительные выгоды и позволяет организовать тесную интеграцию управления сетевым оборудованием и сетевым ПО, что значительно облегчает управление информационной системой большого предприятия в целом. Протокол передачи EAP-сообщений в стандарте Схема работы протокола EAPOL достаточно проста. При этом можно выделить следующие основные режимы работы: Таким образом, если отключить клиентскую станцию, которая уже прошла аутентификацию, и снова подключить к сетевому порту, то потребуется пройти аутентификацию еще раз. Сервер аутентификации в ответ отсылает пакет-запрос challenge аутентификатору, который затем переупаковывает его из IP-транспорта в EAPOL и передает аппликанту. В различных схемах аутентификации число таких сообщений может изменяться. В EAP поддерживается как аутентификация клиентской стороны, так и взаимная "сильная" аутентификация клиента и сервера, но только последний вариант считается приемлемым для использования в беспроводных сетях. Аппликант отвечает на запрос соответственно выбранному алгоритму и передает его аутентификатору, который пересылает его на сервер аутентификации. В случае, если аппликант предоставляет правильный ответ на запрос, сервер посылает сообщение об успешной аутентификации аппликанту. В этой ситуации аутентификатор открывает клиенту доступ к ЛВС, который может зависеть от дополнительных параметров, передаваемых ему RADIUS-сервером, например, от номера VLAN или определенного уровня качества обслуживания. Таким образом, использование сетевой аутентификации позволяет предоставлять пользователю определенный номер ВЛВС или уровень качества обслуживания вне зависимости от точки подключения в корпоративную ЛВС. Это обеспечивает как мобильность пользователей, так и постоянное соблюдение профиля безопасности сети — если даже сетевые кабели будут случайно перепутаны, пользователь не сможет войти в ВЛВС, доступ к которой ему запрещен. Коммутатор 3Com SuperStack 3 Switch использовался нами для построения ЛВС с сетевой аутентификацией по протоколу Радиус в центре Протокол RADIUS часто используется в различных сетевых устройствах маршрутизаторы, модемные стойки, коммутаторы и т. Основной причиной этого является то, что сетевые устройства имеют обычно очень ограниченные аппаратные ресурсы и не могут хранить в памяти информацию о большом числе пользователей. Протокол RADIUS обеспечивает централизованное управление пользователями, что очень важно в целом ряде случаев. Например, интернетпровайдеры могут иметь десятки и даже сотни тысяч пользователей, и разместить такой объем информации в памяти любого сетевого устройства просто невозможно. При этом число пользователей может постоянно варьироваться в течение суток, дня или часа. Именно поэтому необходимо иметь централизованную базу данных, где хранится информация обо всех пользователях. Следует отметить, что протокол RADIUS поддерживается практически всеми производителями сетевого оборудования, в то время как другие протоколы аутентификации удаленных пользователей не получили массовой поддержки со стороны производителей. Протокол RADIUS также имеет встроенные механизмы защиты от целого ряда сетевых атак, включая использование сетевых сниферов для получения паролей пользователей. RFC , а значения и расшифровка поля Сode — в таблице под рисунком. Поле Identifier длиной один байт устанавливается RADIUS-клиентом в ответ на запрос RADIUS-сервера. Поле атрибутов содержит имя пользователя и пароль и также позволяет передавать дополнительные данные о клиенте от RADIUS-сервера сетевым устройствам, к которым непосредственно подключены пользователи. А теперь поговорим об основных режимах функционирования протокола RADIUS: Далее для удобства будем называть стороны, участвующие в процессе аутентификации, "клиент" и "сервер". Сервер содержит базу данных пользователей и проводит их аутентификацию. Для прохождения аутентификации на сервере клиент создает запрос доступа Access-Request и передает его RADIUS-серверу, поле атрибутов данного сообщения должно включать как минимум имя пользователя и пароль. Поле идентификации запроса доступа также создается клиентом. Этот процесс не регламентируется в самом протоколе RADIUS, но обычно поле реализуется как простой счетчик, который увеличивается на 1 при каждом новом запросе. Запрос доступа содержит байтное поле запроса аутентификатора Request Authenticator , которое генерируется случайным образом. Данное сообщение в целом не защищено, шифруются только поля атрибутов, содержащие имя пользователя и пароль. Для этого клиент и сервер имеют общий секрет. Общий секрет совместно с полем запроса аутентификатора используется для вычисления байтного значения с помощью хэш-функции MD5 , которое затем благодаря логидиняется с паролем пользователя. После получения сообщения запроса доступа RADIUS-сервер проверяет, обладает ли он общим секретом с клиентом, и если нет, то сообщение просто сбрасывается без уведомления клиента. Поскольку сервер также обладает общим секретом с клиентом, он может вычислить незашифрованное имя и пароль клиента через процедуру, обратную описанной выше. Затем имя и пароль сверяются с пользовательской базой данных. В случае успешной проверки имени и пароля пользователя сервер создает сообщение разрешения доступа и передает его пользователю, в обратном случае он получает сообщение об отказе в доступе. Оба сообщения имеют одинаковые номера идентификаторов, равные номеру идентификатора в запросе доступа клиента. Поле ответа аутентификатора Response Authenticator вычисляется с помощью применения хэш-функции MD5 над полями запроса аутентификатора и полями пакета разрешения доступа. Добавляем пользователей в Active Directory Когда клиент получает сообщение-ответ от сервера, он проверяет, отсылал ли ранее запрос с номером идентификатора, который указан в сообщении, и если нет, то оно просто сбрасывается. Далее клиент декодирует поле ответа аутентификатора с помощью процедуры, обратной вышеописанной, и сравнивает полученный результат с полем аутентификатора в поле запроса. Это гарантирует взаимную проверку клиента и сервера и делает практически невозможными хакерские атаки, основанные на подмене сервера. А теперь стоит подробнее рассказать о практической реализации схемы сетевой аутентификации При установке сервера необходимо указать, что он будет являться контроллером домена, и установить службы DNS и Active Directory. В нашем случае был создан тестовый домен TEST. Следует обратить внимание на то, что протокол EAP-TLS для аутентификации пользователей не поддерживается в так называемом "смешанном режиме" Mixed mode , который обеспечивает работу как Windows , так и Windows NTклиентов. Поэтому необходимо перевести сервер в "родной" режим Native mode. Для этого в средствах администрирования Windows надо открыть ярлык Active Directory Users and Computers, а затем в появившемся окне выбрать правой кнопкой мыши домен demo. После того как пользователи будут созданы, необходимо установить, чтобы их пароли сохранялись с так называемым "реверсным шифрованием" reversible encryption. Для этого в свойствах пользователей надо выбрать закладку Account и установить поле Store password using reversible encryption. После этого необходимо обязательно повторно ввести пароль для данного пользователя. Теперь рассмотрим конфигурирование RADIUS-сервера. Также существует ряд альтернативных RADIUS-серверов для различных операционных систем от сторонних разработчиков, например, от компании Funk Software http: Установить и использовать IAS можно на системах Windows Server и NT Server 4. При этом IAS входит в состав Windows , а для NT 4. После установки IAS в разделе средств управления Windows станет доступным ярлык Internet Authentication Service, запустив который можно перейти к настройке данного сервиса. Первым этапом конфигурирования является добавление нового сервера доступа в папку клиентов в нашем случае это коммутатор 3Сom , при этом необходимо ввести имя клиента , его IP-адрес, имя производителя сетевого устройства 3Com и общий секрет shared secret. MD5 или Certificate Следует учитывать, что в RFC предписывается использование 16 символов в "общем ключе". При этом для достижения энтропии в теории информации энтропия отражает количество информации в последовательности символов , равной бит, каждый отдельный символ должен иметь энтропию 8 бит. Однако в случае, когда выбор символов ограничивается набором, вводимым на клавиатуре, энтропия 8-битного символа уменьшается до 5,8 бит. Поэтому чтобы добиться уровня энтропии в бит, необходимо использовать как минимум 22 символа. Настраиваем коммутатор 3Com для работы с Качественно улучшить результаты позволяют специальные программы для генерирования общего секрета. Следующим этапом является разработка политики удаленного доступа, для чего в разделе Remote Access Poliсy необходимо создать новый элемент, например, политики под именем VLAN1 и DEMO рис. Далее в них необходимо добавить Windows-группы пользователей из Active Directory и разрешить им удаленный доступ в сеть. Затем в созданных политиках следует выбрать команду Edit profile, а в появившемся окне — поле Authentication. В последнем можно выбрать два типа EAP-аутентификации — MD5-challenge или Smart Card or other Certificate рис. В последнем случае на сервере необходимо установить службу сертификатов CA , при этом она должна быть сконфигурирована как Enterprise root CA. Проверяем работу служб аутентификации на клиентском ПК Заключительным этапом является настройка коммутатора 3Сom для работы с RADIUSсервером. Здесь устанавливается максимальное количество попыток входа в сеть клиентов и промежутки времени между ними, а также действия на случай, если попытка войти в сеть оказалась неудачной, в нашей ситуации — отказ в доступе. Проверить установленную конфигурацию можно с помощью команды Summary, находящейся в этом же меню рис. О том, зачем это понадобилось, будет рассказано далее. Входим в сеть Для успешного входа в сеть Windows XP-клиента необходимо в свойствах сетевого соединения выбрать раздел Authentication и разрешить для этого интерфейса При этом необходимо выбрать тип EAP-аутентификации — MD5-challenge или Smart Card or other Certificate. В последнем случае для пользовательской машины необходимо получить сертификат с сервера, например, через вэб-браузер, введя адрес типа http: В нашем примере использовался режим MD5-challenge. Следует отметить, что при использовании Windows клиента с установленным сервис-паком 3 или 4 для успешной сетевой аутентификации необходимо убедиться в том, что запущена служба Wireless Configuration, отвечающая за Если все настройки прошли успешно, вводим логин и пароль для доступа в сеть Теперь, если вами не были допущены ошибки на каком-то из этапов, при попытке доступа к сетевым ресурсам на клиентской машине появится специальная заставка рис. Если эти параметры введены правильно, то пользователь получает доступ к сетевым ресурсам. Необходимо учитывать, что даже при краткосрочном отключении сетевого кабеля от порта коммутатора и подключении его снова пользователю придется повторно пройти сетевую аутентификацию. Если же система выдала какое-то сообщение об ошибке даже нам не удалось настроить все с первого раза , провести диагностику помогут стандартные средства Windows Server. Так, на нем видно, что пользователь с именем test успешно получил доступ к сети через сервер доступа NAS c именем и IP-адресом После того как пользователи успешно аутентифицируются в сети с помощью протокола Как уже упоминалось, было определено две политики — vlan1 и demo. Эти названия не случайны, так как мы хотим, чтобы пользователи, которые попадают под действие политики vlan1, автоматически оказывались в виртуальной ЛВС под номером 1. В этом случае в свойствах данной политики в разделе Advanced необходимо добавить следующие параметры и установить их значения, которые автоматически возвращаются коммутатору RADIUS-сервером при успешной аутентификации пользователя: Tunnel-Medium type — ; Tunnel-Pvt Group ID — 1 номер VLAN ; Tunnel-Type — VLAN. После этого пользователи, определенные в Active Directory и попадающие под действие политики vlan1, автоматически окажутся во VLAN под номером 1 и в профиле QoS demo при сетевой аутентификации. Для проверки работоспособности данного режима нами был запущен ftp-сервер Windows Server и ftp-клиент Windows XP. Далее в Active Directory надо создать пользователя, которому разрешен доступ к управлению устройством, например, admin, и определить для него в IAS политику, в которой необходимо установить, чтобы RADIUS-сервер возвращал коммутатору при успешной аутентификации параметр Vendor Specific Attribute. В свойствах данного поля необходимо установить код производителя 43 3Com , номер атрибута 1 и десятичное значение этого атрибута от 1 до 3: Monitor 1 позволяет пользователю производить мониторинг установок коммутатора; Manager 2 дает возможность производить изменение отдельных установок коммутатора; Administrator 3 дает пользователю полный доступ к установкам коммутатора. Теперь даже при подключении к коммутатору по консольному порту будет производиться аутентификация администратора по сети через RADIUS-сервер. В целом же можно констатировать тот факт, что с внедрением технологии При этом перевести пользователя из одной VLAN в другую можно одним движением мышки без необходимости изменения настроек сетевых устройств. И это кроме того, что протокол ПК с установленными ОС семейства Windows Server и службой IAS может исполнять функции RADIUS-сервера, который, в свою очередь, выполняет аутентификацию и авторизацию клиентов, использующих протоколы EAP-TLS, PEAP-MS-CHAP v2 или PEAP-EAP-TLS. Однако если у вас нет соглашения о поддержке такого уровня, а клиентское ПО Автор выражает благодарность за помощь при подготовке статьи Ярославу Калитину, ведущему инженеру компании "Энран Телеком". Изучайте английский в удобной для себя форме Прокси-серверы под любые нужды VPS и Dedicated сервера в Европе: PR-акции, размещение рекламы — adv citforum. Пресс-релизы — pr citforum. Обратная связь Информация для авторов. Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав.


Первая поликлиника бийск расписание
Взять в руки черного котенка
Где взять деньги без процентовна год
Англо-русский перевод AUTHENTICATION SERVER
Приказ о комиссии по награждению работников
Вязание спицами женских моделейс описанием
Толщина резка металла
�� П�п�авОлО �лО�кПЌ ЌМПгП зап�П�Пв, пП��ПЌ� ва� кПЌп���е� б�л заблПкО�ПваМ.
Galaxy star 2 характеристики
Статьи на литературную тему
сетевая Аутентификация
Расписание автобусов анжерская кемерово
Сборная россии по футболу 2007 года состав
Стратегии где ходить
"Authentication credentials required" - что это за ошибка?
Заболевания височно нижнечелюстного сустава
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment