Сетевое железо - статьи


Сетевая аутентификация на практике


Александр Нежуренко,

Недавно принятый стандарт сетевой аутентификации IEEE 802.1x нашел широкую поддержку у производителей сетевого оборудования и ПО. Примеры реализации этой технологии в ЛВС, а также ее основные составляющие — протоколы EAP и RADIUS — в центре нашего внимания.

Говоря о технологии сетевой аутентификации пользователей, стоит упомянуть протокол PPP, который наиболее часто используется для подключения клиентов по коммутируемым линиям к интернет-провайдерам. Протокол PPP также используется некоторыми сервис-провайдерами для аутентификации пользователей, применяющих xDSL- или кабельные модемы. Кроме того, PPP является частью протокола L2TP, на котором основан безопасный удаленный доступ к системам на базе Windows 2000 и выше.

Итак, протокол PPP изначально использовался для подключения удаленных пользователей, и поэтому он должен был иметь механизмы аутентификации пользователей. Первоначально поддерживалась только передача имени пользователя или пароля в незашифрованном виде, что не соответствует современным требованиям сетевой безопасности.

В последнее время для протокола были разработаны новые механизмы аутентификации под общим названием EAP (Extensible Authentication Protocol). Протокол EAP был создан с целью упразднения частных механизмов аутентификации и распространения стандартизированных подходов – схем типа "запрос-ответ" (challenge-response) и инфраструктуры, основанной на публичных ключах и пользовательских сертификатах. Стандартизация механизмов EAP позволила сделать процедуру аутентификации прозрачной для серверов доступа различных производителей. Например, при подключении пользователя к серверу удаленного доступа и использовании механизма EAP протокола PPP для аутентификации сам сервер доступа не должен знать или поддерживать конкретные механизмы или алгоритмы аутентификации, его задача в этом случае – лишь передать пакеты EAP-сообщений RADIUS-серверу, на котором фактически производится аутентификация. В этом случае сервер доступа исполняет роль посредника между клиентом и RADIUSсервером, в задачи которого входит передача EAP-сообщений между ними.




Начало  Назад  Вперед