Протоколы аутентификации удаленного доступа
Протоколы аутентификации удаленного доступа имеют ряд особедностей, рассмотренных ниже.
Возможность аутентификации удаленного компьютера до конфигурирования и начала работы протоколов сетевого и транспортного уровней. Эта особенность не позволяет злоумышленнику обмениваться данными с компьютерами локальной сети до завершения фазы аутентификации и устраняет риск обхода этой фазы.
Возможность аутентификации сервера удаленного доступа удаленным компьютером (так называемая взаимная аутентификация). Эта возможность позволяет удаленному компьютеру убедиться в том, что он установил соединение с подлинным, а не подложным сервером удаленного доступа, и исключить риск использования злоумышленником полученной от удаленного компьютера секретной информации (пароля), которая может быть использована злоумышленником при обращении к подлинному серверу удаленного доступа. Таким образом устраняется риск, возникающий при получении злоумышленником доступа к линии передачи данных (подсоединенное к линии устройства злоумышленника может имитировать работу оборудования автоматической телефонной станции и тем самым ввести в заблуждение модем удаленного компьютера).
Возможность проведения аутентификации в процессе работы соединения. Эта функция устраняет риск перехвата установленного звена передачи данных устройством злоумышленника после проведения аутентификации между удаленным компьютером и сервером удаленного доступа.
Применение схемы аутентификации, исключающей необходимость обмена незашифрованной секретной информацией (паролями) по линии передачи данных. Такая особенность не позволит злоумышленнику перехватить следующие через линию передачи данных пароли.
Защита от повторного использования перехваченных данных для подложной аутентификации. Данная особенность гарантирует, что однажды использованные в ходе аутентификации пакеты данных являются уникальными и не могут быть использованы для успешной аутентификации повторно.
Возможность переключения на другие протоколы аутентификации удаленного доступа. Это свойство позволяет провести аутентификацию в том случае, если удаленный компьютер или cepвер удаленного доступа не поддерживают данный протокол аутентификации удаленного доступа, либо у них отсутствует информация для проведения аутентификации (имена и пароли).
В настоящее время только семейство протоколов РРР включает в свой состав протоколы аутентификации, удовлетворяющие всем этим требованиям или их большинству. Это один из факторов, ставших причиной широкой популярности РРР и обеспечивший широкую поддержку протоколов аутентификации из семейства РРР. Поэтому далее описываются механизмы, лежащие в основе именно этих протоколов.
В процессе конфигурирования, поддержки и разрыва звена связи протокол РРР проходит через последовательность фаз. Эта последовательность приведена на рис. 2.2, где в скобках указаны английские названия фаз работы протокола РРР.
Для того, чтобы передавать данные через линию передачи данных, системы на обеих сторонах линии должны произвести обмен пакетами LCP. На этом этапе происходит настройка параметров, которые не зависят от отдельного протокола сетевого уровня. В тех случаях, когда перед настройкой параметров протоколов сетевого уровня требуется провести аутентификацию системы на противоположной стороне звена передачи данных, протокол РРР переходит в фазу аутентификации. Аутентификация должна начинаться сразу после установления звена передачи данных, однако определение качества звена может продолжаться параллельно.
Фаза аутентификации не является обязательной и в общем случае может отсутствовать. Это означает, что в тех случаях, когда такая аутентификация все же требуется, программное обеспечение удаленного доступа на этапе установления звена передачи данных должно явно указать это. Такое указание может быть сделано любой из сторон, участвующих в соединении (как вызывающей, так и вызываемой). Если другая сторона не поддерживает предложенный протокол аутентификации, то программное обеспечение в зависимости от реализации или от его настройки может либо отказаться от установления соединения, разорвав только что установленное звено передачи данных, либо предложить аутентификацию с использованием другого протокола (из используемых запрашивающей стороной). Если ни один из протоколов, подходящих запрашивающей стороне, не поддерживается запрашиваемой, то звено передачи данных разрывается. Переход к фазе настройки протоколов сетевого уровня может произойти только после успешного завершения фазы аутентификации.
Протокол PPP предусматривает, что в процессе установления соединения по требованию любой из взаимодействующих систем может быть использован один из двух стандартных протоколов аутентификации. Это протокол аутентификации по паролю PAP (Password Authentication Protocol) и протокол аутентификации “вызов-отклик” CHAP (Challenge Handshake Authentication Protocol). Выбор одного из этих протоколов зависит от их поддержки клиентом и сервером и от того, какую политику аутентификации выберет каждый из них.