Autentificare cu ppp

Internet marketing este de 100%

Autentificare cu ppp
Prima lucrare la domiciliu, care dezvăluie toate aspectele principale ale prezenței companiei pe Internet. Din aceasta vei afla cum:

- crearea unui site web care să sprijine cel mai bine activitatea cu clienții;

- îmbunătățirea clasamentului site-ului în motoarele de căutare;

- utilizarea internetului pentru marketingul personal;

- pentru a forma un birou virtual, care oferă specialistului de marketing toate instrumentele necesare.

Cartea este pregătită de experți de top Runet, fiecare dintre ele specializată în domeniul său de activitate și poate spune despre acest lucru cât mai competent posibil. Publicația este destinată directorilor și managerilor de marketing, specialiștilor responsabili cu susținerea proiectelor web ale companiei.

Cu PPP, fiecare sistem poate cere ca celălalt capăt al liniei să se identifice folosind unul dintre cele două protocoale de autentificare. Acesta este Protocolul de autentificare a parolei (PAP) și Protocolul de autentificare a provocărilor (CHAP). Când se stabilește conexiunea, oricine poate cere celuilalt capăt al liniei să se identifice, indiferent dacă sună sau sună. Mai jos voi vorbi despre "client" și "server" când vreau să fac o diferență între sistemul de autentificare și autentificatorul. Daemonul PPP poate cere autentificarea prin trimiterea unei cereri LCP pentru o configurație care identifică protocolul dorit.

PAP funcționează practic ca o procedură normală de autentificare. Clientul se identifică prin trimiterea unui nume de utilizator și a unei parole la server care le compară cu baza de date. Această metodă este ușor vulnerabilă la observatorii din afara care pot încerca să obțină o parolă prin ascultarea unei linii de serie.

CHAP nu are aceste dezavantaje. Cu CHAP, autentificatorul (serverul) trimite un șir "provocare" generat la întâmplare către client, împreună cu numele gazdei. Clientul utilizează numele de gazdă (hostname) pentru a căuta cifrul corespunzător, îl combină cu provocarea și criptează șirul utilizând o funcție hash unidirecțională. Rezultatul va fi returnat serverului împreună cu numele de gazdă al clientului. Serverul efectuează aceleași calcule și identifică clientul.

Pachetul pppd stochează cheile private pentru CHAP și PAP în două fișiere separate, respectiv / etc / ppp / pap-secrets și / etc / ppp / chap-secrets. Prin scrierea unei gazde la distanță pentru unul sau altul, aveți un control bun asupra CHAP sau PAP.

În mod implicit, pppd nu necesită autentificarea mașinii la distanță, dar este de acord să se identifice atunci când solicită autentificarea. Deoarece CHAP este mult mai avansat decât PAP, pppd încearcă să o folosească ori de câte ori este posibil. Dacă aparatul de la distanță nu acceptă acest lucru sau dacă pppd nu poate găsi codul CHAP pentru sistemul la distanță în fișierul secrete-capcane. se întoarce la PAP. Dacă nu are de asemenea un cifru PAP, legătura se va închide.

Acest comportament poate fi schimbat. De exemplu, atunci când cuvântul cheie de autor este dat. pppd cere ca celălalt capăt al liniei să se identifice. pppd va fi de acord să utilizeze CHAP sau PAP pentru acest lucru de îndată ce are cifrul corespunzător în baza de date CHAP sau PAP, respectiv. Există și alte opțiuni pentru activarea sau dezactivarea protocolului privat de autentificare, dar nu le voi descrie aici.

Dacă toate sistemele pe care îl aveți PPP sunt de acord să se identifice, ar trebui să pună opțiunea de autorizare în fișierul / etc / ppp / opțiunile globale și să definească parole pentru fiecare sistem în fișierul chap-secrete. Dacă sistemul nu acceptă CHAP, adăugați o intrare în fișierul pap-secrete. Astfel, vă puteți asigura că nici un sistem neidentificat nu se conectează la gazda dvs.

Atunci când este necesar să se identifice cu unele server folosind CHAP, pppd caută fișierul chap-secrets pentru o intrare cu numele clientului, numele de gazdă egal locale, iar numele serverului, numele de gazdă distanță egală, a trimis în CHAP Challenge. Atunci când se solicită recunoașterea însuși roluri doar interschimba: pppd va căuta intrare în numele clientului, egal cu numele gazdei de la distanță (trimis în CHAP-răspuns la client) și numele serverului, echivalate gazda locală.

Un fișier tipic secret-secrete pentru vlager:

La stabilirea unei conexiuni PPP cu c3po. c3po cere asistentului vlager să se identifice folosind CHAP și să trimită o provocare CHAP. Apoi pppd se uită prin fișierul chap-secrets pentru înregistrarea cu zona clientului, echivalat cu vlager.vbrew.com și zona serverului egală cu c3po.lucas.com. și găsește prima linie de mai sus. Apoi, un răspuns CHAP este realizat din șir de șir și chei de provocare (Utilizați sursa Luke) la mașina c3po.

În același timp, pppd este o provocare CHAP pentru c3po. care conține un șir de provocări unic și un nume de domeniu complet calificat vlager.vbrew.com. Ca răspuns, c3po creează un răspuns CHAP în modul pe care tocmai l-am discutat și îl întoarce la vlager. Acum, pppd extrage numele de gazdă al clientului (c3po.vbrew.com) din răspuns și arată în fișierul chap-secrets pentru linia corespunzătoare c3po ca client și vlager ca server. A doua linie specifică pppd pentru a îmbina provocarea CHAP cu parola (arttoo! Arttoo!), Criptați rezultatul și comparați răspunsul CHAP c3po.

Este necesar să menționăm modul în care pppd găsește numele mașinilor: le caută într-un fișier de cipuri. După cum sa explicat mai sus, numele de la distanță este întotdeauna trecut la provocarea CHAP sau la pachetul de răspuns. Numele de gazdă local va fi obținut dacă sunați la gethostname (2). Dacă setați numele sistemului la numele de gazdă necalificat, trebuie să setați opțiunea pppd la domeniu.

Fișierul cu cifru PAP este foarte asemănător cu cel folosit de CHAP. Primele două câmpuri conțin întotdeauna numele utilizatorului și serverului, al treilea câmp stochează cifrul PAP. Atunci când aparatul corespondent transmite cererea de identificare, pppd utilizează intrarea care are un câmp egal cu numele de gazdă server local, și un câmp de utilizator egal cu numele de utilizator trimis în cerere. Atunci când are loc o recunoaștere, pppd va alege codul, care va fi trimis cu utilizatorul câmp, asimilat cu un nume de utilizator local și câmpul Server egal cu numele de gazdă de la distanță.

Un fișier cu cifru de eșantionare pentru PAP:

Prima linie este utilizată pentru a ne identifica când ne conectăm la c3po. Cel de-al doilea descrie modul în care utilizatorul c3po trebuie să se recunoască atunci când se conectează la noi.

Numele vlager-pap din coloana cu numele de utilizator este trimis la c3po. În mod implicit, pppd va selecta numele de gazdă local ca nume de utilizator, dar puteți defini și alte denumiri, oferind opțiunea utilizatorului. însoțită de acest nume.

Rețineți că PAP este o metodă de autentificare destul de slabă și este mai bine să folosiți CHAP dacă este posibil. Nu voi descrie detaliat PAP: dacă sunteți interesat să utilizați PAP, veți găsi mai multe informații pe pagina man pppd (8).