ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 

  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: Inet-Admins
Inet-Admins mailing list archive (inet-admins@info.east.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [inet-admins] Auth по CHAP через Radius || Tacacs ...



> 
> Посему два варианта -
> 1) pppd/ppp запрашивают у AAA сервера пароль в plain text и производят
> вычисления.
> 2) pppd/ppp посылают хэш (возможно, и салт), AAA сервер производит вычисления.

NAS посылает на AAA сервер сразу: username, challenge и response. При
этом challenge был до этого сгенерирован NAS'ом и послан на тот конец,
после чего и был получен response. От NAS'а до AAA достаточно одного
пакета. Обратно тоже (тем более), да/нет.

> Первый вариант - чудовищно небезопасен. Второй - надо смотреть, можно
> ли его сделать в такаксе и радиусе, и даже если можно - AAA-сервер придется
> патчить.

Radius'а не знаю, отвечу за TACACS+. Первый вариант (передача пароля
на NAS) была в minor_version 0 протокола, которая сейчас deprecated.
Второй поддерживается в minor_version 1, которая у всех нас (но не на
всех пакетах будет единичка, т.к. многие обмены не изменились). Так
что AAA сервер патчить не придется.

Что касается безопасности, я бы вообще не советовал внедрять CHAP.
В лучшем случае (при хорошей реализации), будут передаваться хеши,
причем подверженные гораздо более быстрому подбору по ним пароля,
чем получаемые от crypt(3). Но это ценой хранения паролей открытым
текстом на сервере. Если паролей так мало что их все в случае чего
можно поменять, вообще не понятно ради чего такие заботы. Если же их
не так мало, то открытым текстом хранить нельзя (ибо поменять будет
нелегко и больно). К этому можно добавить, что пользователи имеют
обыкновение еще и использовать те же самые пароли на другие сервисы
(где их своевременно найти и поменять еще сложнее или невозможно).
(Последнюю проблему можно решать в случае CRAM-MD5, но мы про CHAP.)

Signed,
Solar Designer
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on http://info.east.ru/rus/inetadm.html



 




Copyright © Lexa Software, 1996-2009.