پروتکل های احراز هویت

پروتکل های احراز هویت

• PAP یا Password Authentication Protocol یک پروتکل احراز هویت ساده است که در آن نام کاربری و پسورد در قالب متن رمزگذاری نشده (unencrypted) به سروری که به آن ریموت زده ایم ارسال می شود .PAP در واقع شمایی است که بیشتر به منظور احراز هویت برای پروتکلPPP به کاربرده می شودو پروتکلی امنی نیست و به راحتی توسط هکر ها مورد حمله قرار می گیرد زیرا که بهنگام ارسال و یا دریافت packet ها در طی فرایند احراز هویت ، پسورد به راحتی خوانده می شود. در اصطلاح می توان گفت که PAP از یک فرایند hand shake متقابل تبعیت می کند و پس از برقرای ارتباط،user name و پسورد را برای سرور مقابل که قصد ریموت زدن به آن را داریم ارسال می کند اگر این رمز کاربری و پسورد برای سرور مقابل معتبر باشد تائیدیه خود را برای ما ارسال می کند (acknowledge می دهد ) در غیر اینصورت به ارتباط خاتمه داده و در انتظار فرصتی دیگر برای برقراری ارتباط می ماند.

  

• SPAP یا Secure Password Authentication Protocol یک الگوریتم رمز گذاری دو طرفه برای امنیت پسورد و برای احراز هویت به هنگام برقرای ارتباط به صورت ریموت ارائه می دهد. این پروتکل به پروتکل شیوا معروف است واز یک encryption ساده بهره می گیرد که به راحتی شکسته می شود که در این الگوریتم کلاینت پسورد خود را به صورت Encrypt و رمزگذاری شده برای سروری که به آن ریموت زده ارسال می کند و سرور این پسورد را decrypt کرده و از پسورد در یک قالب متنی برای ارتباط ریموت با کلاینت استفاده می کند .SPAP نسبت به PAP ایمن تر است اما باز هم پسورد ،به دلیل اینکه SPAP بهنگام برقراری هر ارتباطی، مجددا از همان رمز عبور کاربر که بصورت برگشت پذیر رمز گذاری کرده ، بهره می گیرد به آسانی قابل دستیابی است. برای استفاده از پروتکل شیوا باید نکات زیر را در نظر داشت ، اول اینکه اگر پسورد کلاینت منقضی شود SPAP قادر به تغییر پسورد در طی پروسه احراز هویت نخواهد بود و دومین نکته این است که قبل از اینکه network policy های مربوط به SPAP را روی NPS فعال کنیم باید مطمئن شویم که Network Access Server یا (NAS) این پروتکل را پشتیبانی می کند.

• CHAP: یا Challenge Handshake Authentication Protocol این پروتکل یک رشته (string) را به مقصد مورد نظر ارسال می کند هنگامی که یک ارتباط ریموت میان کلاینت و سرور با استفاده از CHAP برقرار می شود ، در واقع سرور یک challenge میان خود و کلاینت ایجاد می کند . کلاینت بهنگام ارتباط ریموت از یک تابع و یا الگوریتم hash استفاده می کند که بر اساس challenge ایجاد شده میان کاربر و سرور و در نتیجه هش محاسبه شده از رمز عبور کاربر ، به محاسبه ی message digest-5 یا (MD5)که یک تابع هش رمزنگاری شناخته شده با مقدار 128 بیت است می پردازد .متقابلا سرور نیز با همین روش به هش مربوط به پسورد کابر دست یافته و آن را با اطلاعاتی که از سوی کاربر دریافت کرده مقایسه می کند و در صورت تشابه هش ها ارتباط را برقرار کرده در غیر اینصورت برقراری ارتباط منتفی خواهد شد.واین مفهوم handshake authentication Challenge می باشد.

• MSCHAP: یا Microsoft Challenge Handshake Authentication Protocol نسخه ی از CHAP است که مایکروسافت منحصرا برای احراز هویت در ارتباطات ریموت سیستم عامل های ویندوزی با یکدیگر ارائه داده است .MS-CHAP نیز همانند CHAP از مکانیزم پاسخ به یک challenge و بدون ارسال پسورد، فرایند احراز هویت را انجام می دهد. و برای ایجاد این challenge از الگوریتم hashing بنام MD4 و الگوریتم استاندارد رمزگذاری داده ها (DES) استفاده می کند و همچنین مکانیزمی را برای ارائه گزارش از خطاهای هنگام اتصال و نیز تغییر رمز عبور کاربران در نظر گرفته است.

• MS-CHAPv2: در MS-CHAPv1 احراز هویت تنها به عهده سرور بود اما در این نسخه این ضعف برطرف شده و احراز هویت به صورت متقابل (هم از سوی سرور و هم کلاینت ) صورت می گیرد. به این حالت در اصطلاح Mutual Authentication یا احراز هویت دو طرفه هم می گویند.

• EAP: یا Extensible Authentication Protocl قویترین ، منعطف ترین و متنوع ترین پروتکل احراز هویت می باشد و علاوه بر احراز هویت براساس پسورد ،با ترکیبی از پروتکل های مختلف کار می کند به عنوان مثال از TLS یا SSL بهره می گیرد .قوی ترین حالت ممکن برای این پروتکل EAP-TLS است و یک EAP حفاظت شده محسوب می شود و از TLS برای رمزگذاری و احراز هویت بر اساس Certificate استفاده می کند.این پروتکل برای کارت های هوشمند ، کارت احراز هویت، مودم های بی سیم ،VPN واستاندارد 802.1x برای تکنولوژی های سیمی با استفاده از NPS کاربرد دارد.

روش های حفظ امنیت در شبکه های VPN در مقاله خانم مهندس زهرا مرشدی توضیح داده شده است.

حال از اطلاعات ذکر شده ی فوق به یک جمع بندی کلی می رسیم که کلاینت باید یک connection ایجاد کند و اعتبارUser name و پسورد کاربرباید طی فرایند Authentication و به کمک پروتکل های احراز هویت تایید شود و در نهایت طی فرایند Authorization برای کاربری که احراز هویت شده و ارتباط آن با شبکه برقرار شده است ، سطح دسترسی به منابع تعیین می شود. بعنوان مثال اینکه از چه لینکی در ISP اینترنت را دریافت کند.

نکته: در ویندوز می توان Policy هایی همچون ساعت استفاده ی یک کاربر را مشخص کرد اما فرایند مهمی تحت عنوان Accounting وجود دارد که ویندوز به درستی قادر به انجام آن نیست که بواسطه آن می توان برای یک کلاینت مقدار حجم دانلود ، مدت زمان و ساعت connect شدن ، انقضای حساب کاربری و مواردی از این قبیل را تعیین کرد، به همین دلیل از نرم افزارهای جانبی Accounting مثل NT TACACS و IBSng و سیب و ... برای تعیین چنین محدودیت هایی برای کلاینت ،استفاده می کنیم .که به آنها نرم افزارهای RADIUS SERVER می گویند.

• RADIUS SERVER: نقش NPS یا (Network Policy Server) موجود در ویندوز سرور می تواند از یک RADIUS سرور برای پیاده سازی فرایند های احراز هویت (Authentication) و واگذاری اختیارات (Authorization)و مدیریت حسابها و دسترسی های کاربران (Accounting) که در اصطلاح به آنها AAA گویند استفاده کند . RADIUS مخفف عبارت ( Remote Authentication Dial-In User Service) می باشد.

در این مقاله سعی بر آن شد که نگاهی بر پروتکل ها و فرایند ی که باید طی شود تا بواسطه آنها عمل VPN صورت گیرد داشته باشیم . حال با شناختی که از موارد عنوان شده بدست آورده ایم می توانیم با دیدی باز به پیاده سازی VPN بپردازیم .در قسمت دوم این مقاله به شرح شیوه ی برقراری ارتباط یک کلاینت دور کار با یک شبکه داخلی (remote Access Client ) با بهره گیری از VPN سرور موجود در ویندوز سرور 2008 خواهیم پرداخت .