Похожие презентации:
Криптопротоколы_ПР3
1. Протоколы аутентификации
Теоретическая часть:Методы аутентификации (по паролю, биометрии, токенам)
Однофакторная и многофакторная аутентификация
Обзор протоколов: CHAP, PAP, Kerberos, RADIUS, TACACS+
Практическое занятие:
Настройка и анализ работы протокола Kerberos
Практическое применение двухфакторной аутентификации
2. Методы аутентификации (по паролю, биометрии, токенам)
Аутентификация — процедура проверки подлинности пользователя или устройства.Фактор
Вопрос
Примеры
Знание
То, что знает пользователь
Пароль, PIN-код
То, что у пользователя есть
Токен, смарт-карта,
телефон
То, чем пользователь является
Биометрия (отпечаток,
лицо)
Владение
Наследование
3. Однофакторная и многофакторная аутентификация
Однофакторная аутентификацияИспользуется только один фактор (обычно пароль)
Пример: вход по логину и паролю на сайте
Риск: компрометация пароля = полный доступ
Двухфакторная (2FA) / Многофакторная (MFA)
Используются два или более разных факторов
Пример: пароль + SMS-код + отпечаток пальца
Преимущество: компрометация одного фактора недостаточна
4. Методы аутентификации
МетодПримеры
Особенности
Парольные
Статические пароли, одноразовые
пароли (S/Key)
Простота, но уязвимость к перехвату
Биометрические
Отпечатки пальцев, сканер радужки,
лицо
Высокая надежность, но сложность
отзыва
Токены
USB-токены, смарт-карты, RFID
Физический носитель, сложно украсть
удаленно
Аппаратные
Калькуляторы OTP, устройства с
синхронизацией времени
Работают по схеме "запрос-ответ"
5. Обзор протоколов: CHAP, PAP, Kerberos, RADIUS, TACACS+
6. CHAP (Challenge-Handshake Authentication Protocol)
Преимущества: пароль не передается по сети, защита от повтора7. PAP (Password Authentication Protocol)
Принцип работы:Клиент передает серверу логин и пароль в открытом виде
Сервер сверяет с базой данных
Характеристики:
❌ Крайне низкая безопасность
❌ Пароли передаются в открытом виде (plaintext)
✅ Простота реализации
Используется только в legacy-системах или внутри защищенных туннелей
8. Kerberos
Kerberos — протокол аутентификации на основе "билетов", обеспечивающий единый вход(SSO) .
Компоненты :
KDC (Key Distribution Center) — центр распространения ключей
◦ AS (Authentication Service) — служба аутентификации
◦ TGS (Ticket-Granting Service) — служба выдачи билетов
Принципал (Principal) — учетная запись пользователя или сервиса
Realm — область действия Kerberos (аналог домена)
Где используется:
Microsoft Active Directory
Linux-реализации: MIT Kerberos, Heimdal
9. Kerberos: Схема работы
10. RADIUS (Remote Authentication Dial-In User Service)
RADIUS — протокол AAA для централизованной аутентификации .Особенности :
•Транспорт: UDP
•Поддерживает: PAP, CHAP, EAP
•Компоненты:
•Supplicant — устройство, пытающееся подключиться
•NAS (Network Access Server) — клиент RADIUS (коммутатор, точка доступа)
•RADIUS Server — центральный сервер аутентификации
Ответы сервера RADIUS :
•Access-Reject — доступ запрещен
•Access-Challenge — запрос дополнительной информации
•Access-Accept — доступ разрешен
11. TACACS+ (Terminal Access Controller Access-Control System Plus)
TACACS+ — протокол AAA от Cisco .Сравнение с RADIUS :
Характеристика
RADIUS
TACACS+
Транспорт
UDP
TCP
Шифрование
Только пароль
Весь пакет
AAA
Объединены
Разделены
Применение
Сетевой доступ
Управление устройствами
Преимущество TACACS+: разделение аутентификации, авторизации и учета позволяет гибко
настраивать права доступа.
12. EAP (Extensible Authentication Protocol)
EAP — фреймворк, а не протокол. Поддерживает множество методов .Основные методы EAP
Метод
Особенности
Безопасность
EAP-MD5
Простой запрос-ответ, только хэш
Слабая
EAP-TLS
Взаимные сертификаты (клиент и сервер)
Высокая
EAP-TTLS
Туннель, сертификат только на сервере
Средняя
PEAP
Туннель EAP внутри TLS
Высокая
EAP-FAST
Использует PAC вместо сертификатов
Средняя
Применение: IEEE 802.1X (проводные и беспроводные сети)
13. Решение задач
Задача 1 (CHAP): Вычисление отклика по протоколу CHAPЗадача 2 (Kerberos): Расчет времени жизни билета
Задача 3 (2FA): Классификация факторов аутентификации
Задача 4 (RADIUS vs TACACS+): Сравнительный анализ
Задача 5 (EAP): Выбор метода для конкретного сценария
14.
Задача 1. Протокол CHAPКлиент устанавливает соединение с сервером, используя протокол CHAP. Известны
следующие параметры:
•Пароль пользователя: "SecurePass123"
•Сервер отправил challenge (случайное число): 0x3A7F
•CHAP ID: 0x05
•Используется хэш-функция MD5
Требуется:
1.Объясните, почему CHAP безопаснее PAP .
2.Зная, что отклик вычисляется по формуле:
Response = MD5(CHAP ID + Password + Challenge)
определите, что будет передано клиентом на сервер в качестве отклика.
*Подсказка: используйте любой онлайн-калькулятор MD5 для вычисления хэша от
строки, составленной из ID, пароля и challenge в шестнадцатеричном виде.*
3.Объясните, как сервер проверит правильность отклика.
15.
Задача 2. Kerberos: время жизни билетовВ домене ASTRA.RU настроен сервер Kerberos. Администратор установил следующие
параметры в файле /etc/krb5kdc/kdc.conf :
text
max_life = 8h 0m 0s max_renewable_life = 7d 0h 0m 0s
Пользователь ivanov запросил билет в понедельник в 10:00 утра.
Требуется:
1.До какого момента действителен билет пользователя без продления?
2.Если пользователь регулярно продлевает билет (renew), до какого максимального срока
он может использовать свою сессию?
3.Объясните, зачем в Kerberos используются два параметра времени жизни (max_life и
max_renewable_life) .
4.Что произойдет, если часы клиента и сервера Kerberos будут рассинхронизированы
более чем на 5 минут?
16.
Задача 3. Классификация факторов аутентификацииДля каждого из следующих сценариев определите:
Какие факторы аутентификации используются (знание, владение, наследование)
Является ли система однофакторной или многофакторной
Сценарий
А) Вход на сайт по логину и
паролю
Б) Снятие наличных в банкомате:
карта + PIN-код
В) Доступ в офис: отпечаток
пальца + смарт-карта
Г) Разблокировка смартфона по
лицу (Face ID)
Д) Вход в CRM: пароль + SMS-код
на телефон
Используемые факторы
Тип (1FA/2FA/MFA)
17.
Задача 4. RADIUS vs TACACS+Компания модернизирует свою сетевую инфраструктуру и выбирает протокол для централизованного
управления доступом.
Дано:
В сети используются коммутаторы Cisco и точки доступа Wi-Fi.
Необходимо разделить права: разные уровни доступа для администраторов и обычных пользователей.
Требуется детальный учет (биллинг) использования ресурсов.
Важно шифрование всего трафика аутентификации.
Критерий
Транспортный протокол
Шифрование
Разделение AAA
Основное применение
RADIUS
TACACS+
18.
Задача 5. Выбор метода EAPДля каждого сценария выберите наиболее подходящий метод EAP и обоснуйте выбор .
Сценарий А: Корпоративная беспроводная сеть в банке. Требуется максимальная безопасность, есть
инфраструктура PKI (Public Key Infrastructure), на каждом компьютере установлены сертификаты.
Сценарий Б: Гостиничная Wi-Fi сеть для постояльцев. У гостей нет сертификатов, но нужна простая
аутентификация по паролю. Администратор не хочет настраивать сертификаты на каждом устройстве.
Сценарий В: Университетский Wi-Fi (eduroam). Студенты подключаются с личных устройств (ноутбуки,
смартфоны). Есть центральный сервер аутентификации.
Варианты методов:
EAP-MD5
EAP-TLS
EAP-TTLS
PEAP
EAP-FAST
Информатика