Протоколи віддаленої аутентифікації

При локальному доступі база даних знаходиться безпосередньо на сервері віддаленого доступу. Це не дозволяє організувати централізовану систему аутентифікації в тому випадку, якщо на підприємстві використовуються кілька серверів віддаленого доступу. Але завдяки тому, що паролі не передаються по мережі, безпека і швидкодія такої системи потенційно можуть бути найкращими.

Наявність центральної бази даних підприємства спрощує управління віддаленим доступом, тому що усуває необхідність створення та підтримки окремих баз даних облікових записів на кожному з серверів віддаленого доступу підприємства. При віддаленому доступі до бази даних облікових записів має місце так звана наскрізна, або віддалена аутентифікація. Для того, щоб справити аутентифікацію і надати віддаленому користувачу відповідні права доступу, сервер віддаленого доступу звертається до сервера аутентифікації, на якому зберігається база даних облікових записів. Застосовувані для цього протоколи називаються протоколами віддаленої аутентифікації.

Існують різні варіанти вирішення проблеми доступу до бази даних облікових записів, що містять пару ідентифікатор-пароль і, можливо, іншу інформацію. Реалізація тієї чи іншої схеми залежить від вимог, що пред'являються до системи віддаленого доступу на підприємстві. В якості протоколів для віддаленої аутентифікації в даний час найчастіше застосовуються два типи.

Протоколи аутентифікації мережевої операційної системи. Вони реалізовані в службі аутентифікації мережевої операційної системи (наприклад, в Microsoft Windows NT це служба Net-logon). При використанні цих протоколів відпадає необхідність в підтримці додаткових мережевих служб аутентифікації, проте уразливість такого способу аутентифікації повністю визначається захищеністю служби безпеки мережевої операційної системи. Так що, якщо в якийсь момент часу виявиться помилка в реалізації протоколу аутентифікації мережевої операційної системи і буде знайдено спосіб використання цієї помилки зловмисниками, то безпеку віддаленого доступу також буде поставлена ​​під загрозу. Крім того, відсутня можливість передачі специфічної для віддаленого доступу інформації.

Спеціалізовані протоколи аутентифікації. Вони орієнтовані на підтримку віддаленого доступу, і можуть бути фірмовими, хоча деякі з них описані в стандартах Internet. Такі протоколи є досить гнучкими і дозволяють передати на сервер віддаленого доступу всю інформацію, необхідну для організації сеансу віддаленого зв'язку. Найбільшого поширення набули протоколи віддаленої аутентифікації TACACS (Terminal Access Contfol Access System - система управління термінальним доступом), споріднені йому - XTACACS (Extended TACACS - розширений TACACS) і TACACS +, а також RADIUS (Remote Aythenticatron Dial In User Service - служба віддаленого аутентифікації користувачів комутованих з'єднань).

Протокол TACACS був першим спеціалізованим протоколом віддаленої аутентифікації. Його розширена версія XTACACS була розроблена і використана фірмою Cisco Systems для серверів віддаленого доступу (термінальних серверів). Саме ця версія була документована і прийнята як стандарт Internet. Надалі фірма Cisco Systems розробила версію протоколу TACACS, що відповідає сучасним вимогам, зокрема, запобігає перехоплення паролів. Сервер віддаленої аутентифікації по протоколу зазвичай реалізується у вигляді програми xtacacsd, вихідний код якої розроблений фірмою Cisco Systems. Як правило, програма працює під управлінням операційної системи сімейства UNIX і може входити до складу операційної системи, поставлятися в складі засобів віддаленого доступу або бути доступною безкоштовно.

Протокол RADIUS був розроблений фірмою Livingston Enterprises. Потім він був прийнятий як стандарт Internet. Він застосовується для підтримки роботи з єдиною базою даних, призначеної для аутентифікації віддалених користувачів і конфігурування послуг, що надаються віддаленого вузла.

Сервер віддаленого доступу функціонує в якості клієнта RADIUS. Клієнт, взаємодіючи з сервером RADIUS, надає за його запитом інформацію, необхідну для аутентифікації віддалених користувачів. Сервер RADIUS відповідає за прийом запитів від клієнта, проведення аутентифікації і передачу клієнту інформації, необхідної для конфігурування віддаленого вузла. Сервер RADIUS також може виконувати функції клієнта RADIUS, звертаючись до іншого сервера RADIUS.

Взаємна аутентифікація та обмін інформацією між клієнтом і сервером побудовані на використанні доступного обом сторонам пароля, який не передається через мережу. Крім того, всі паролі користувачів, що повідомляються клієнтом серверу, також передаються в зашифрованому вигляді, що виключає можливість визначення пароля зловмисником, який отримав фізичний доступ до локальної мережі.

Нарешті, сервер RADIUS може використовувати різні способи аутентифікації користувача. Зокрема, підтримуються протоколи РАР і CHAP, аутентифікація UNIX (передача імені користувача і пароля), та інші.

Одним з найбільш вдалих варіантів вирішення проблеми віддаленої аутентифікації є так звана трьохланкова модель. У цьому випадку сервер віддаленої аутентифікації, до якого звертається сервер віддаленого доступу, виконує роль шлюзу для зовнішньої універсальної системи аутентифікації. Так як сервери віддаленого доступу підтримують обмежений набір протоколів віддаленої аутентифікації (як правило, орієнтованих на віддалений доступ), то така модель дозволяє обійти це обмеження і використовувати будь-який протокол аутентифікації та авторизації для доступу до єдиної бази даних облікових записів підприємства (звичайно, за умови, що сервер-шлюз підтримує потрібний тип перетворення протоколів).