ередачі даних, доступу до ресурсів, виходу із системи і контролю подій, що відносяться до захисту даних (аудит). p> Для аутентифікації абонентів RAS використовує протокол Challenge Handshake Authentification Protocol (CHAP). Суть його полягає в тому, що одна з сторін посилає якесь перевірочне слово, яке інша сторона повинна зашифрувати за допомогою відомого обом сторонам секретного ключа. Зашифроване слово повертається в якості відповіді викликає стороні, яка локально також виконала шифрування цього перевірочного слова за допомогою такого ж ключа. Якщо результати шифрування збігаються, то значить аутентифікація пройшла успішно. Тут важливо, що аутентифікація здійснюється без передачі по мережі секретного пароля. p> CHAP може використовувати різні алгоритми шифрування, а конкретно в RAS застосовуються DES і MD5. Існує кілька варіантів аутентифікації, в яких можуть бути використані різні алгоритми шифрування. ul type=disc>
DES використовується сервером RAS, якщо клієнтом також є RAS.
При комунікаціях зі сторонніми клієнтами сервер RAS може використовувати протокол SPAP, менш захищений, ніж CHAP, або взагалі не використовувати ніяких алгоритмів шифрування.
Якщо ж клієнт RAS взаємодіє з серверами віддаленого доступу сторонніх виробників, то він може використовувати алгоритм MD5, часто реалізований різними постачальниками РРР для зашифрованої аутентифікації. Сервер RAS алгоритму MD5 НЕ підтримує.
Для забезпечення секретності переданих даних в сервісі RAS є вбудований механізм шифрування даних, заснований на алгоритмі відкритого ключа RC4 компанії RSA Data Security. В принципі користувачі RAS можуть самі вибрати ступінь безпеки при обміні даними з віддаленими комп'ютерами. Але адміністратор має можливість примусовим чином встановлювати високий рівень безпеки. p> На малюнку 7.1 наведені різні варіанти аутентифікації віддалених користувачів для випадку, коли сервер RAS взаємодіє з клієнтом RAS, а також для тих випадків, коли ці компоненти взаємодіють з продуктами третіх фірм. <В
Рис. 7.1. Різні варіанти аутентифікації користувачів при використанні сервера і клієнта RAS
В якості додаткової міри безпеки RAS пропонує процедуру зворотного виклику (call-back). Захист заснована на тому, що адміністратор заздалегідь знаючи номери телефонів з яких можуть виконуватися "Дозволені" дзвінки, вносить їх до спеціального списку. Процедура call-back передбачає наступну послідовність:
ініціювання з'єднання з боку віддаленого користувача;
встановлення з'єднання;
обрив щойно встановленого з'єднання з ініціативи сервера;
ініціювання з'єднання з боку сервера за дозволеним номером, заданому користувачем для зворотного виклику.
Очевидно, що якщо був названий недозволений номер або номер не відповідний місцем знаходження абонента, що дзвонив, то з'єднання не буде дозволено. p> Права...
