Протоколы аутентификации
Методы аутентификации (по паролю, биометрии, токенам)
Однофакторная и многофакторная аутентификация
Методы аутентификации
Обзор протоколов: CHAP, PAP, Kerberos, RADIUS, TACACS+
CHAP (Challenge-Handshake Authentication Protocol)
PAP (Password Authentication Protocol)
Kerberos
Kerberos: Схема работы
RADIUS (Remote Authentication Dial-In User Service)
TACACS+ (Terminal Access Controller Access-Control System Plus)
EAP (Extensible Authentication Protocol)
Решение задач
179.27K
Категория: ИнформатикаИнформатика

Криптопротоколы_ПР3

1. Протоколы аутентификации

Теоретическая часть:
Методы аутентификации (по паролю, биометрии, токенам)
Однофакторная и многофакторная аутентификация
Обзор протоколов: CHAP, PAP, Kerberos, RADIUS, TACACS+
Практическое занятие:
Настройка и анализ работы протокола Kerberos
Практическое применение двухфакторной аутентификации

2. Методы аутентификации (по паролю, биометрии, токенам)

Аутентификация — процедура проверки подлинности пользователя или устройства.
Фактор
Вопрос
Примеры
Знание
То, что знает пользователь
Пароль, PIN-код
То, что у пользователя есть
Токен, смарт-карта,
телефон
То, чем пользователь является
Биометрия (отпечаток,
лицо)
Владение
Наследование

3. Однофакторная и многофакторная аутентификация

Однофакторная аутентификация
Используется только один фактор (обычно пароль)
Пример: вход по логину и паролю на сайте
Риск: компрометация пароля = полный доступ
Двухфакторная (2FA) / Многофакторная (MFA)
Используются два или более разных факторов
Пример: пароль + SMS-код + отпечаток пальца
Преимущество: компрометация одного фактора недостаточна

4. Методы аутентификации

Метод
Примеры
Особенности
Парольные
Статические пароли, одноразовые
пароли (S/Key)
Простота, но уязвимость к перехвату
Биометрические
Отпечатки пальцев, сканер радужки,
лицо
Высокая надежность, но сложность
отзыва
Токены
USB-токены, смарт-карты, RFID
Физический носитель, сложно украсть
удаленно
Аппаратные
Калькуляторы OTP, устройства с
синхронизацией времени
Работают по схеме "запрос-ответ"

5. Обзор протоколов: CHAP, PAP, Kerberos, RADIUS, TACACS+

6. CHAP (Challenge-Handshake Authentication Protocol)

Преимущества: пароль не передается по сети, защита от повтора

7. PAP (Password Authentication Protocol)

Принцип работы:
Клиент передает серверу логин и пароль в открытом виде
Сервер сверяет с базой данных
Характеристики:
❌ Крайне низкая безопасность
❌ Пароли передаются в открытом виде (plaintext)
✅ Простота реализации
Используется только в legacy-системах или внутри защищенных туннелей

8. Kerberos

Kerberos — протокол аутентификации на основе "билетов", обеспечивающий единый вход
(SSO) .
Компоненты :
KDC (Key Distribution Center) — центр распространения ключей
◦ AS (Authentication Service) — служба аутентификации
◦ TGS (Ticket-Granting Service) — служба выдачи билетов
Принципал (Principal) — учетная запись пользователя или сервиса
Realm — область действия Kerberos (аналог домена)
Где используется:
Microsoft Active Directory
Linux-реализации: MIT Kerberos, Heimdal

9. Kerberos: Схема работы

10. RADIUS (Remote Authentication Dial-In User Service)

RADIUS — протокол AAA для централизованной аутентификации .
Особенности :
•Транспорт: UDP
•Поддерживает: PAP, CHAP, EAP
•Компоненты:
•Supplicant — устройство, пытающееся подключиться
•NAS (Network Access Server) — клиент RADIUS (коммутатор, точка доступа)
•RADIUS Server — центральный сервер аутентификации
Ответы сервера RADIUS :
•Access-Reject — доступ запрещен
•Access-Challenge — запрос дополнительной информации
•Access-Accept — доступ разрешен

11. TACACS+ (Terminal Access Controller Access-Control System Plus)

TACACS+ — протокол AAA от Cisco .
Сравнение с RADIUS :
Характеристика
RADIUS
TACACS+
Транспорт
UDP
TCP
Шифрование
Только пароль
Весь пакет
AAA
Объединены
Разделены
Применение
Сетевой доступ
Управление устройствами
Преимущество TACACS+: разделение аутентификации, авторизации и учета позволяет гибко
настраивать права доступа.

12. EAP (Extensible Authentication Protocol)

EAP — фреймворк, а не протокол. Поддерживает множество методов .
Основные методы EAP
Метод
Особенности
Безопасность
EAP-MD5
Простой запрос-ответ, только хэш
Слабая
EAP-TLS
Взаимные сертификаты (клиент и сервер)
Высокая
EAP-TTLS
Туннель, сертификат только на сервере
Средняя
PEAP
Туннель EAP внутри TLS
Высокая
EAP-FAST
Использует PAC вместо сертификатов
Средняя
Применение: IEEE 802.1X (проводные и беспроводные сети)

13. Решение задач

Задача 1 (CHAP): Вычисление отклика по протоколу CHAP
Задача 2 (Kerberos): Расчет времени жизни билета
Задача 3 (2FA): Классификация факторов аутентификации
Задача 4 (RADIUS vs TACACS+): Сравнительный анализ
Задача 5 (EAP): Выбор метода для конкретного сценария

14.

Задача 1. Протокол CHAP
Клиент устанавливает соединение с сервером, используя протокол CHAP. Известны
следующие параметры:
•Пароль пользователя: "SecurePass123"
•Сервер отправил challenge (случайное число): 0x3A7F
•CHAP ID: 0x05
•Используется хэш-функция MD5
Требуется:
1.Объясните, почему CHAP безопаснее PAP .
2.Зная, что отклик вычисляется по формуле:
Response = MD5(CHAP ID + Password + Challenge)
определите, что будет передано клиентом на сервер в качестве отклика.
*Подсказка: используйте любой онлайн-калькулятор MD5 для вычисления хэша от
строки, составленной из ID, пароля и challenge в шестнадцатеричном виде.*
3.Объясните, как сервер проверит правильность отклика.

15.

Задача 2. Kerberos: время жизни билетов
В домене ASTRA.RU настроен сервер Kerberos. Администратор установил следующие
параметры в файле /etc/krb5kdc/kdc.conf :
text
max_life = 8h 0m 0s max_renewable_life = 7d 0h 0m 0s
Пользователь ivanov запросил билет в понедельник в 10:00 утра.
Требуется:
1.До какого момента действителен билет пользователя без продления?
2.Если пользователь регулярно продлевает билет (renew), до какого максимального срока
он может использовать свою сессию?
3.Объясните, зачем в Kerberos используются два параметра времени жизни (max_life и
max_renewable_life) .
4.Что произойдет, если часы клиента и сервера Kerberos будут рассинхронизированы
более чем на 5 минут?

16.

Задача 3. Классификация факторов аутентификации
Для каждого из следующих сценариев определите:
Какие факторы аутентификации используются (знание, владение, наследование)
Является ли система однофакторной или многофакторной
Сценарий
А) Вход на сайт по логину и
паролю
Б) Снятие наличных в банкомате:
карта + PIN-код
В) Доступ в офис: отпечаток
пальца + смарт-карта
Г) Разблокировка смартфона по
лицу (Face ID)
Д) Вход в CRM: пароль + SMS-код
на телефон
Используемые факторы
Тип (1FA/2FA/MFA)

17.

Задача 4. RADIUS vs TACACS+
Компания модернизирует свою сетевую инфраструктуру и выбирает протокол для централизованного
управления доступом.
Дано:
В сети используются коммутаторы Cisco и точки доступа Wi-Fi.
Необходимо разделить права: разные уровни доступа для администраторов и обычных пользователей.
Требуется детальный учет (биллинг) использования ресурсов.
Важно шифрование всего трафика аутентификации.
Критерий
Транспортный протокол
Шифрование
Разделение AAA
Основное применение
RADIUS
TACACS+

18.

Задача 5. Выбор метода EAP
Для каждого сценария выберите наиболее подходящий метод EAP и обоснуйте выбор .
Сценарий А: Корпоративная беспроводная сеть в банке. Требуется максимальная безопасность, есть
инфраструктура PKI (Public Key Infrastructure), на каждом компьютере установлены сертификаты.
Сценарий Б: Гостиничная Wi-Fi сеть для постояльцев. У гостей нет сертификатов, но нужна простая
аутентификация по паролю. Администратор не хочет настраивать сертификаты на каждом устройстве.
Сценарий В: Университетский Wi-Fi (eduroam). Студенты подключаются с личных устройств (ноутбуки,
смартфоны). Есть центральный сервер аутентификации.
Варианты методов:
EAP-MD5
EAP-TLS
EAP-TTLS
PEAP
EAP-FAST
English     Русский Правила