> >
> > Заботы эти связаны с тем, что вся PPP auth будет бегать через мою сетку.
> > Где между NAS и сервером TACACS/RADIUS - trusted network, а между NAS
> > и клиентом - нет. И первостепенной задачей - является защита от "слухачей".
>
> А чем тебе легче-то от CHAP тут будет? Кому надо заснифитть будут
> просто хэши тырить и их предъявлять (да, для этого придется звонилку
> поправить. ну и что?).
При хорошей реализации CHAP (со своей стороны), совпадающих challenge
не будет.
Вот что правда могут делать, так это быстро подбирать по ним пароли.
Придется пароли только генерировать, загоняя в них не менее 48 бит
(что подбирается, но пока стоит дороже оплаты дайлапа). По этой же
причине challenge'ы должны не повторяться _вообще_, а не только для
каждого пользователя отдельно (ибо они выполняют еще и роль salt'ов
при подборе).
Возможность и активных атак здесь, думаю, на более дальнем месте.
Signed,
Solar Designer
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on
