路由器内的安全认证
随着越来越多的小型机构使用广域网连接各分支机构。由于专线(普通租用线和DDN)在价格、灵活性等方面的缺陷,所以可采用各类交换网络,如电话拨号、ISDN等。
不过拨号接入方式存在安全问题。在因特网上普遍采用的拨号访问服务器中,一般采用各类口令认证来解决。通常使用的有PAP和CHAP。
安全认证机制
PAP认证主要的工作原理是当A机欲通过PPP协议连接B机,而B机设置了PAP认证时,当A机拨通B后,将自己的名字与口令一起发给B机,B从自己的用户数据库中查到该口令与名字相符后,A和B可继续进行IP地址协商,否则B将切断线路。
PAP协议仅在连接建立阶段进行,在数据传输阶段不进行PAP认证。
CHAP认证主要原理是当A机欲通过PPP协议连接B机,而B机设置了CHAP认证,则当A机拨通B后,由B机将一段随机数据和自身的名字发给A,A根据此名字查到口令,用它对收到的随机数据通过MD5算法进行加密,得到16字节的加密结果,然后A将该结果和B自身的名字一起发送给B。B收到该报后,首先查到A的口令,同样用此口令对以前发送的随机数据,通过MD5算法进行加密并将自己算出的加密结果与从A中收到的加密结果相比较,如果一致,A与B可继续进行协商,否则B将切断线路。
CHAP协议不仅仅在连接建立阶段进行,在之后的数据传输阶段,也将在随机的间隔周期里进行,如果发现结果不一致,B也将切断线路。
由于安全级别高与连接速度成反比,因特网的很多接入都采用PAP协议认证。一般来说,进入拨号访问服务器后,远程访问者还要通过主机口令的检查,故安全不会成问题,而国内远程访问的接入速率较低,用PAP可提高一些效率。
路由器内部认证
使用专用路由器时,一般采用其他的服务器做安全认证服务器,所以安装、使用、维护都较麻烦。如果仅有几个用户使用,或在专用软件中共同使用一个拨号口令,那就更不值得了。在这种情况下可采用路由器内部认证的方式,以Cisco路由器为例,配置如下:
hostname 2509 (路由器的名称)
!
enable password cisco (路由器GLOBAL状态口令)
!
username cisco password 0 cisco (远程用户名称、口令)
!
interface Ethernet0
ip address 202.100.99.5 255.255.255.0
no shut
!
interface Group-Async1
ip unnumbered Ethernet0
encapsulation ppp
async dynamic routing
async mode interactive (此模式可在终端方式和PPP方式切换)
peer default ip address pool default
ppp authentication pap
group-range 1 8
!
ip local pool default 202.100.99.2 202.100.99.254
ip classless
!
line con 0
line 1 8
autoselect ppp
login local (本机认证方式)
modem InOut
autocommand ppp
transport input all
stopbits 1
speed 115200
flowcontrol hardware
line vty 0 4
password cisco
login
!
end
此配置可以作为一个内部通信用的拨号访问服务器的配置,它也是标准的Intranet配置,可以用各种拨号软件如Windows 95的拨号网络功能,连接内部的WWW等服务器。
文章录入:csh 责任编辑:csh