2.2 Tarmoq autentifikatsiyasi protokollari Autentifikatsiya protokoli bu kompyuterning bir turi aloqa protokoli yoki kriptografik protokol o’tkazish uchun maxsus mo’ljallangan autentifikatsiya ikki shaxs o’rtasidagi ma’lumotlar. Bu qabul qiluvchi sub’ektga ulanuvchi ob’ektni (masalan, Serverga ulanadigan mijoz) autentifikatsiya qilish, shuningdek autentifikatsiya qilish uchun zarur bo’lgan ma’lumot turini va sintaksisini e’lon qilish orqali o’zini bog’laydigan ob’ektga (Serverni mijozga) tasdiqlash imkoniyatini beradi. Bu kompyuter tarmoqlarida xavfsiz aloqa uchun zarur bo’lgan eng muhim himoya qatlami. Tarmoq orqali ishonchli ma’lumotlarning ko’payib borishi bilan ruxsatsiz shaxslarni ushbu ma’lumotlarga kirish huquqini saqlab qolish zarurati paydo bo’ldi. Birovning shaxsini o’g’irlash hisoblash dunyosida oson kechadi - ma’lumotni so’ragan shaxs / kompyuter haqiqatan ham u o’zi kimligini aniqlash uchun maxsus tekshirish usullarini ixtiro qilish kerak edi. Autentifikatsiya protokolining vazifasi autentifikatsiyani amalga oshirish uchun zarur bo’lgan bosqichlarni aniq belgilashdir. U asosiy protokol printsiplariga muvofiq bo’lishi kerak: 1. Protokolga ikki yoki undan ortiq tomonlar jalb qilinishi kerak va protokolda qatnashgan har bir kishi protokolni oldindan bilishi shart. 2. Barcha kiritilgan partiyalar protokolga rioya qilishlari kerak. 3. Protokol aniq bo’lishi kerak - har bir qadam aniq belgilanishi kerak. 4. Protokol to’liq bo’lishi kerak - har qanday vaziyat uchun belgilangan harakatni o’z ichiga olishi kerak. Oddiy autentifikatsiya protokoli yordamida parolga asoslangan autentifikatsiyani tasvirlash: Elis (tasdiqlanmoqchi bo’lgan tashkilot) va Bob (Elisning shaxsini tasdiqlovchi tashkilot) ikkalasi ham foydalanishga kelishib olgan protokoldan xabardor. Bobda Elisning paroli taqqoslash uchun ma’lumotlar bazasida saqlangan. 1. Elis Bobga parolini protokol qoidalariga muvofiq paketda yuboradi. 2. Bob olingan parolni ma’lumotlar bazasida saqlangan parol bilan tekshiradi. Keyin u natijaga asoslanib "Autentifikatsiya muvaffaqiyatli" yoki "Autentifikatsiya amalga oshmadi" degan paketni yuboradi. Bu kabi ko’plab tahdidlarga qarshi juda sodda autentifikatsiya protokolining misoli tinglash, takroriy hujum, o’rtada odam hujumlar, lug’at hujumlari yoki qo’pol hujumlar. Ko’pgina autentifikatsiya protokollari ushbu hujumlarga qarshi turish uchun yanada murakkabroq. PPP uchun ishlab chiqilgan autentifikatsiya protokollari Nuqtadan nuqtaga protocol. Protokollar asosan tomonidan ishlatiladi Nuqtadan nuqtaga protokol (PPP) serverlari server ma’lumotlariga kirish huquqini berishdan oldin masofaviy mijozlarning shaxsini tasdiqlash uchun. Ularning aksariyati autentifikatsiya qilishning asosi sifatida paroldan foydalanadi. Ko’pgina hollarda, parolni aloqa qiluvchi sub’ektlar o’rtasida oldindan bo’lishish kerak. EAP - kengaytirilgan autentifikatsiya protokoli EAP dastlab PPP (Point-to-Point Protocol) uchun ishlab chiqilgan, ammo bugungi kunda keng qo’llanilmoqda IEEE 802.3, IEEE 802.11(WiFi) yoki IEEE 802.16 ning bir qismi sifatida IEEE 802.1x autentifikatsiya doirasi. Eng so’nggi versiyasi standartlashtirilgan RFC 5247. EAP-ning afzalligi shundaki, u faqat mijozserver autentifikatsiyasi uchun umumiy autentifikatsiya doirasidir - autentifikatsiyaning o’ziga xos usuli uning EAP-metodlari deb nomlangan ko’plab versiyalarida aniqlanadi. 40 dan ortiq EAP usullari mavjud, eng keng tarqalgan:
EAP-MD5
EAP-TLS
EAP-TTLS
EAP-FAST
EAP-PEAP AAA arxitektura protokollari (autentifikatsiya, avtorizatsiya, hisobga olish) Foydalanuvchini tekshirish (Autentifikatsiya), server ma’lumotlariga kirishni boshqarish (Avtorizatsiya) va tarmoq resurslari hamda xizmatlar uchun hisob-kitob qilish uchun zarur bo’lgan ma’lumotlarni nazorat qilish uchun (Buxgalteriya hisobi) katta tarmoqlarda ishlatiladigan murakkab protokollar. Hech qanday shifrlashsiz IP-ga asoslangan autentifikatsiyadan foydalanadigan eng qadimgi AAA protokoli (foydalanuvchi nomlari va parollar oddiy matn sifatida ko’chirilgan). Keyinchalik XTACACS (kengaytirilgan TACACS) versiyasi avtorizatsiya va buxgalteriya hisobini qo’shdi. Ushbu ikkala protokol keyinchalik TACACS + bilan almashtirildi. TACACS + AAA komponentlarini ajratib turadi, shuning uchun ularni ajratish va alohida serverlarda ishlash mumkin (Hatto boshqa protokoldan foydalanishi mumkin, masalan, Avtorizatsiya). U foydalanadi TCP (Transmission Control Protocol) tashish uchun va butun paketni shifrlaydi. TACACS + Cisco-ga tegishli. Masofaviy autentifikatsiyani terish uchun foydalanuvchi xizmati (RADIUS) to’liq AAA protokoli tomonidan odatda ishlatiladi Internet-provayder. Hisobga olish ma’lumotlari asosan foydalanuvchi nomi va parol birikmasidan iborat bo’lib, u foydalanadi NAS va UDP transport uchun protokol. Diametri (protokol) RADIUS-dan rivojlanib, yanada ishonchli TCP yoki SCTP transport protokollaridan foydalanish va yuqori darajadagi xavfsizlik tufayli ko’plab yaxshilanishlarni o’z ichiga oladi. TLS.