X
تبلیغات
رایتل
موضوعات
نرم افزار (61)
سیستم عامل ویندوز (16)
نرم افزار مالتی مدیا (23)
نرم افزار پخش کننده (11)
نرم افزار مبدل (3)
ویرایشگر صوت و تصویر (9)
نرم افزار انیمیشن (1)
سایر نرم افزار ها (25)
. (47)
نرم افزار اینترنت (57)
نرم افزار مدیریت دانلود (7)
نرم افزار اف تی پی (4)
رم افزار مرورگر وب (17)
نرم افزار مسنجر (11)
ابزار اینترنت (22)
درایو انلاین (1)
نرم افزار کاربردی (68)
نرم افزار فشرده ساز (6)
کتاب الکترونیک (8)
نرم افزار برنامه نویسی (3)
نرم افزار آفیس (4)
نرم افزار مهندسی (2)
نرم افزار بازیابی اطلاعات (8)
نرم افزار فارسی (5)
سخت افزار (18)
نرم افزار دیکشنری (3)
رایت سی دی/دی وی دی (3)
نرم افزار مدیریت دسکتاپ (8)
نرم افزار تبدیل کننده (5)
نرم افزار پشتیبان گیری (2)
نرم افزار بهینه سازی (11)
نرم افزار آموزشی (1)
نرم افزار امنیتی (17)
نرم افزار آنتی ویروس (5)
نرم افزار دیوار آتش (3)
ابزار قفل گذاری و امنیتی (5)
آپدیت و کلید آنتی ویروسها (4)
نرم افزار گرافیک (22)
نرم افزار طراحی (12)
نرم افزار تبدیل کننده (3)
نرم افزار ویرایشگر (7)
ابزار فتوشاپ (5)
سایر (12)
فونت (4)
آیکون (1)
والپیپر (3)
عکس (4)
موبایل (78)
نرم افزار موبایل (9)
جاوا (25)
سونی اریکسون (5)
نوکیا سری ۶۰ (11)
نوکیا سری ۶۰ V3 (10)
آندروید (45)
آیفون (22)
نوکیا سیمبیان سری ^۳ (11)
بازی کامپیوتر (14)
بازی اکشن (6)
بازی ماجرایی (5)
بازی ماشین سواری (1)
بازی فلش (1)
بازی فکری (7)
بازی ورزشی (3)
بازی استراتژیک (5)
بازی کودکان (5)
بازی سیستم عامل لینوکس (1)
بازی سیستم عامل مک (1)
فانتزی (1)
اموزش وترفند (91)
نرم افزار (22)
ویندوز (28)
اینترنت (45)
موبایل (23)
اموزش سخت افزار (11)
فیلم ایرانی (3)
سریال (2)
سینمایی (1)
عکس (9)
تصاویر عاشقانه (1)
جالب وخنده دار (3)
چرا؟ (1)
بازیگر ایرانی (2)
بازیگر خارجی (2)
تصاویر سه بعدی (1)
ایکون (1)
مطالب خاندنی(طنز علمی سیاسی) (20)
وب مستر (8)
اموزشی (1)
ASP.NET (1)
امحصولات فروشگاه

تبلیغات
اخبار
آرشیو مطالب
امار
دوستان
آخرین مطالب ارسالی تورانسل
نظرات (0)                      Visit :

پروتکل های احراز هویت


  • PAP یا Password Authentication Protocol یک پروتکل احراز هویت ساده است که در آن نام کاربری و پسورد در قالب متن رمزگذاری نشده (unencrypted) به سروری که به آن ریموت زده ایم ارسال می شود .PAP در واقع شمایی است که بیشتر به منظور احراز هویت برای پروتکلPPP به کاربرده می شودو پروتکلی امنی نیست و به راحتی توسط هکر ها مورد حمله قرار می گیرد زیرا که بهنگام ارسال و یا دریافت packet ها در طی فرایند احراز هویت ، پسورد به راحتی خوانده می شود. در اصطلاح می توان گفت که PAP از یک فرایند hand shake متقابل تبعیت می کند و پس از برقرای ارتباط،user name و پسورد را برای سرور مقابل که قصد ریموت زدن به آن را داریم ارسال می کند اگر این رمز کاربری و پسورد برای سرور مقابل معتبر باشد تائیدیه خود را برای ما ارسال می کند (acknowledge می دهد ) در غیر اینصورت به ارتباط خاتمه داده و در انتظار فرصتی دیگر برای برقراری ارتباط می ماند.
  
  • SPAP یا Secure Password Authentication Protocol یک الگوریتم رمز گذاری دو طرفه برای امنیت پسورد و برای احراز هویت به هنگام برقرای ارتباط به صورت ریموت ارائه می دهد. این پروتکل به پروتکل شیوا معروف است واز یک encryption ساده بهره می گیرد که به راحتی شکسته می شود که در این الگوریتم کلاینت پسورد خود را به صورت Encrypt و رمزگذاری شده برای سروری که به آن ریموت زده ارسال می کند و سرور این پسورد را decrypt کرده و از پسورد در یک قالب متنی برای ارتباط ریموت با کلاینت استفاده می کند .SPAP نسبت به PAP ایمن تر است اما باز هم پسورد ،به دلیل اینکه SPAP بهنگام برقراری هر ارتباطی، مجددا از همان رمز عبور کاربر که بصورت برگشت پذیر رمز گذاری کرده ، بهره می گیرد به آسانی قابل دستیابی است. برای استفاده از پروتکل شیوا باید نکات زیر را در نظر داشت ، اول اینکه اگر پسورد کلاینت منقضی شود SPAP قادر به تغییر پسورد در طی پروسه احراز هویت نخواهد بود و دومین نکته این است که قبل از اینکه network policy های مربوط به SPAP را روی NPS فعال کنیم باید مطمئن شویم که Network Access Server یا (NAS) این پروتکل را پشتیبانی می کند.

  • CHAP: یا Challenge Handshake Authentication Protocol این پروتکل یک رشته (string) را به مقصد مورد نظر ارسال می کند هنگامی که یک ارتباط ریموت میان کلاینت و سرور با استفاده از CHAP برقرار می شود ، در واقع سرور یک challenge میان خود و کلاینت ایجاد می کند . کلاینت بهنگام ارتباط ریموت از یک تابع و یا الگوریتم hash استفاده می کند که بر اساس challenge ایجاد شده میان کاربر و سرور و در نتیجه هش محاسبه شده از رمز عبور کاربر ، به محاسبه ی message digest-5 یا (MD5)که یک تابع هش رمزنگاری شناخته شده با مقدار 128 بیت است می پردازد .متقابلا سرور نیز با همین روش به هش مربوط به پسورد کابر دست یافته و آن را با اطلاعاتی که از سوی کاربر دریافت کرده مقایسه می کند و در صورت تشابه هش ها ارتباط را برقرار کرده در غیر اینصورت برقراری ارتباط منتفی خواهد شد.واین مفهوم handshake authentication Challenge می باشد.

  • MSCHAP: یا Microsoft Challenge Handshake Authentication Protocol نسخه ی از CHAP است که مایکروسافت منحصرا برای احراز هویت در ارتباطات ریموت سیستم عامل های ویندوزی با یکدیگر ارائه داده است .MS-CHAP نیز همانند CHAP از مکانیزم پاسخ به یک challenge و بدون ارسال پسورد، فرایند احراز هویت را انجام می دهد. و برای ایجاد این challenge از الگوریتم hashing بنام MD4 و الگوریتم استاندارد رمزگذاری داده ها (DES) استفاده می کند و همچنین مکانیزمی را برای ارائه گزارش از خطاهای هنگام اتصال و نیز تغییر رمز عبور کاربران در نظر گرفته است.

  • MS-CHAPv2: در MS-CHAPv1 احراز هویت تنها به عهده سرور بود اما در این نسخه این ضعف برطرف شده و احراز هویت به صورت متقابل (هم از سوی سرور و هم کلاینت ) صورت می گیرد. به این حالت در اصطلاح Mutual Authentication یا احراز هویت دو طرفه هم می گویند.

  • EAP: یا Extensible Authentication Protocl قویترین ، منعطف ترین و متنوع ترین پروتکل احراز هویت می باشد و علاوه بر احراز هویت براساس پسورد ،با ترکیبی از پروتکل های مختلف کار می کند به عنوان مثال از TLS یا SSL بهره می گیرد .قوی ترین حالت ممکن برای این پروتکل EAP-TLS است و یک EAP حفاظت شده محسوب می شود و از TLS برای رمزگذاری و احراز هویت بر اساس Certificate استفاده می کند.این پروتکل برای کارت های هوشمند ، کارت احراز هویت، مودم های بی سیم ،VPN واستاندارد 802.1x برای تکنولوژی های سیمی با استفاده از NPS کاربرد دارد.

روش های حفظ امنیت در شبکه های VPN در مقاله خانم مهندس زهرا مرشدی توضیح داده شده است.

حال از اطلاعات ذکر شده ی فوق به یک جمع بندی کلی می رسیم که کلاینت باید یک connection ایجاد کند و اعتبارUser name و پسورد کاربرباید طی فرایند Authentication و به کمک پروتکل های احراز هویت تایید شود و در نهایت طی فرایند Authorization برای کاربری که احراز هویت شده و ارتباط آن با شبکه برقرار شده است ، سطح دسترسی به منابع تعیین می شود. بعنوان مثال اینکه از چه لینکی در ISP اینترنت را دریافت کند.

نکته: در ویندوز می توان Policy هایی همچون ساعت استفاده ی یک کاربر را مشخص کرد اما فرایند مهمی تحت عنوان Accounting وجود دارد که ویندوز به درستی قادر به انجام آن نیست که بواسطه آن می توان برای یک کلاینت مقدار حجم دانلود ، مدت زمان و ساعت connect شدن ، انقضای حساب کاربری و مواردی از این قبیل را تعیین کرد، به همین دلیل از نرم افزارهای جانبی Accounting مثل NT TACACS و IBSng و سیب و ... برای تعیین چنین محدودیت هایی برای کلاینت ،استفاده می کنیم .که به آنها نرم افزارهای RADIUS SERVER می گویند.
  • RADIUS SERVER: نقش NPS یا (Network Policy Server) موجود در ویندوز سرور می تواند از یک RADIUS سرور برای پیاده سازی فرایند های احراز هویت (Authentication) و واگذاری اختیارات (Authorization)و مدیریت حسابها و دسترسی های کاربران (Accounting) که در اصطلاح به آنها AAA گویند استفاده کند . RADIUS مخفف عبارت ( Remote Authentication Dial-In User Service) می باشد.

در این مقاله سعی بر آن شد که نگاهی بر پروتکل ها و فرایند ی که باید طی شود تا بواسطه آنها عمل VPN صورت گیرد داشته باشیم . حال با شناختی که از موارد عنوان شده بدست آورده ایم می توانیم با دیدی باز به پیاده سازی VPN بپردازیم .در قسمت دوم این مقاله به شرح شیوه ی برقراری ارتباط یک کلاینت دور کار با یک شبکه داخلی (remote Access Client ) با بهره گیری از VPN سرور موجود در ویندوز سرور 2008 خواهیم پرداخت .


نویسنده : ن ع
دوشنبه 5 اسفند‌ماه سال 1392

پیوندهای روزانه
امکانات وبلاگ