Удаленная аутентификация: разные типы и использование

Опубликовано: 12 Апреля, 2023


Удаленная аутентификация


Корпоративные сети с годами не только выросли в размерах, но и усложнились. С годами появлялись и внедрялись новые услуги, чтобы удовлетворить растущий спрос на простые в использовании программы. Эта движущая сила, направленная на удовлетворение потребностей конечных пользователей, неустанно работает и составляет большую часть сегодняшних инноваций. Одним из наиболее желанных преимуществ для некоторых работников была возможность работать из дома. Эти удаленные сотрудники являются одним из недавних изменений, которые повлияли на рабочую силу и во многом пошли на пользу работнику. Эта возможность работать удаленно сильно повлияла на моральный дух сотрудников в лучшую сторону. Проблема в том, что эти работники также должны иметь возможность удаленно и безопасно общаться с корпоративной сетью. Неудивительно, что эти проблемы были решены с помощью множества решений, которые работают достаточно хорошо.


RADIUS не только для алгебры


Одним из решений, разработанных для удаленных сотрудников, является RADIUS. Служба удаленной аутентификации пользователей с телефонным подключением — это то, что на самом деле означает эта аббревиатура. Это на самом деле довольно описательно, поскольку это в значительной степени то, для чего оно используется. Рабочий будет удаленно аутентифицироваться для доступа к этой удаленной сети. Ранее я упоминал, что мне нравится сопоставлять протоколы с эталонной моделью OSI. Это помогает визуализировать, какие протоколы относятся к какой части общей схемы вещей. В модели OSI RADIUS соответствует прикладному уровню. Этот протокол не является исключением и для модели клиент/сервер. Клиент войдет на сервер RADIUS и предоставит необходимые учетные данные. Также RADIUS использует UDP в качестве транспортного протокола для передачи своей информации.


Как и многие известные протоколы, RADIUS имеет несколько хорошо известных портов, которые обычно настроены для прослушивания. Это порт 1812 и порт 1813, причем порт 1813 используется для учета RADIUS. Эти порты также совместимы с RFC, но что на самом деле означает соответствие RFC? Что ж, когда разработчики RADIUS сидели и обсуждали проектные спецификации RADIUS, они решили сделать так, чтобы RADIUS использовал порты 1812 и 1813. В конечном итоге все различные соображения по проектированию были объединены в то, что называется RFC. Через некоторое время RFC был принят, и, таким образом, порты 1812 и 1813 были названы совместимыми с RFC, поскольку они были включены в его первоначальный дизайн.


Я хочу подробностей!


Дьявол всегда кроется в деталях, и если вам нужны подробности, всегда лучше обратиться к окончательному источнику. В нашем случае это будет RFC 2138, который касается самого RADIUS и содержит все подробности о нем. Поскольку у большинства людей начинается крапивница, если они думают о чтении RFC, я подытожу для вас несколько важных деталей. Одна из самых важных вещей, которые нужно понять о RADIUS, это то, что он будет поддерживать различные методы аутентификации. Примечательно, что вы можете использовать PPP, PAP и CHAP, чтобы назвать большинство из них. Если вы знакомы с оборудованием Cisco или отвечаете за поддержку маршрутизаторов и коммутаторов от них, то вы, несомненно, знакомы с различными методами аутентификации, предлагаемыми RADIUS.


Теперь, когда пользователь ввел требуемую комбинацию имени пользователя и пароля и сервер RADIUS получил ее, он выполнит одно из нескольких действий. Сервер RADIUS проверит свою базу данных на наличие полученных учетных данных и на основании этого либо отклонит сеанс, либо разрешит его. В дополнение к комбинации имени пользователя и пароля сервер RADIUS также может проверять правильность по номеру порта. Обычно RADIUS работает следующим образом;



  • Access-Request: когда пользователь отправляет свои учетные данные на сервер.
  • Acess-Challenge: когда сервер отправляет вызов, а пользователь должен ответить

На основе вышеуказанного контроля доступа пользователь либо аутентифицируется, либо отклоняется. Сам RADIUS, как упоминалось ранее, использует UDP в качестве транспортного протокола, и это было решено при первоначальном рассмотрении проекта RADIUS. Использование UDP имеет свои преимущества, в частности, меньшие накладные расходы и скорость. Эта и другие причины послужили движущей силой выбора этого транспортного протокола вместо TCP и его конструкции, ориентированной на соединение. Наконец, мы также должны понимать, что, как и многие протоколы прикладного уровня, RADIUS имеет коды, встроенные в его основные функции. Эти коды относятся к доступу, учету и статусу RADIUS, будь то клиент или сервер. Для дальнейшего чтения этого протокола я бы предложил прочитать указанную выше гиперссылку для RFC 2138.


ТАКАКС и ТАКАКС+


Система управления доступом к контроллеру доступа к терминалу или TACACS похожа на RADIUS и используется для регулирования доступа к сети. Одно из самых больших различий между TACACS и RADIUS заключается в том, что TACACS в основном использует TCP для своих транспортных протоколов, а не UDP, который будет использовать RADIUS. Также существует три версии TACACS, самая последняя из которых — TACACS+. Важно отметить, что TACACS+ не имеет обратной совместимости с другими более ранними версиями. Этот протокол также является протоколом прикладного уровня и соблюдает модель клиент/сервер. Поскольку TACACS+ также является хорошо известным протоколом, само собой разумеется, что существует также хорошо известный порт, связанный с этой активностью, который является TCP-портом 49. При этом XTACACS действительно использует UDP. Всегда есть исключение из правил!


Другие заметные различия между RADIUS и TACACS+ заключаются в том, что RADIUS шифрует только пароль в пакете запроса доступа, отправляемом на сервер RADIUS. TACACS+, с другой стороны, зашифрует все тело пакета, но оставит нетронутым заголовок TACACS+. Однако у TACACS+ есть недостатки, которыми может воспользоваться решительный злоумышленник. Он уязвим для «атак дня рождения», в которых два сообщения используют одну и ту же хеш-функцию и перехват пакетов, и это лишь некоторые из них.


Заворачивать


Хотя упомянутые выше два способа использования методов аутентификации, они не единственные. Каждая сеть имеет свои особенности и различные архитектуры. С учетом сказанного вам лучше всего принять во внимание различные детали вашей сети и оттуда принять наилучшее решение относительно того, какой метод аутентификации лучше всего соответствует вашим потребностям. Некоторые из этих методов, в свою очередь, могут использовать и другие, такие как TACACS+ и Kerberos. Суть в том, что каждый раз, когда вы включаете в свою сеть еще один слой или программу, вы вводите еще один возможный вектор атаки. Вам рекомендуется использовать зрелую технологию для решения удаленной аутентификации.


Наконец, также имеет смысл, прежде чем покупать такое средство, убедиться, что вы можете легко интегрировать его в существующую производственную среду. Несмотря на то, что эта статья представляла собой обзор некоторых методов на высоком уровне, в Интернете и Google доступно огромное количество информации об этом. Время, потраченное на их изучение, принесет дивиденды позже. Я искренне надеюсь, что вам понравилась эта статья, и, как всегда, буду рад вашим отзывам. До следующего раза!

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023