IDC资讯中心
随着越来越多的小型机构使用广域网连接各分支机构。由于专线(普通租用线和ddn)在价格、灵活性等方面的缺陷,所以可采用各类交换网络,如电话拨号、isdn等。
不过拨号接入方式存在安全问题。在因特网上普遍采用的拨号访问服务器中,一般采用各类口令认证来解决。通常使用的有pap和chap。
安全认证机制
pap认证主要的工作原理是当a机欲通过ppp协议连接b机,而b机设置了pap认证时,当a机拨通b后,将自己的名字与口令一起发给b机,b从自己的用户数据库中查到该口令与名字相符后,a和b可继续进行ip地址协商,否则b将切断线路。
pap协议仅在连接建立阶段进行,在数据传输阶段不进行pap认证。
chap认证主要原理是当a机欲通过ppp协议连接b机,而b机设置了chap认证,则当a机拨通b后,由b机将一段随机数据和自身的名字发给a,a根据此名字查到口令,用它对收到的随机数据通过md5算法进行加密,得到16字节的加密结果,然后a将该结果和b自身的名字一起发送给b。b收到该报后,首先查到a的口令,同样用此口令对以前发送的随机数据,通过md5算法进行加密并将自己算出的加密结果与从a中收到的加密结果相比较,如果一致,a与b可继续进行协商,否则b将切断线路。
chap协议不仅仅在连接建立阶段进行,在之后的数据传输阶段,也将在随机的间隔周期里进行,如果发现结果不一致,b也将切断线路。
由于安全级别高与连接速度成反比,因特网的很多接入都采用pap协议认证。一般来说,进入拨号访问服务器后,远程访问者还要通过主机口令的检查,故安全不会成问题,而国内远程访问的接入速率较低,用pap可提高一些效率。
路由器内部认证
使用专用路由器时,一般采用其他的服务器做安全认证服务器,所以安装、使用、维护都较麻烦。如果仅有几个用户使用,或在专用软件中共同使用一个拨号口令,那就更不值得了。在这种情况下可采用路由器内部认证的方式,以cisco路由器为例,配置如下:
hostname 2509 (路由器的名称)
!
enable password cisco (路由器global状态口令)
!
username cisco password 0 cisco (远程用户名称、口令)
!
interface ethernet0
ip address 202.100.99.5 255.255.255.0
no shut
!
interface group-async1
ip unnumbered ethernet0
encapsulation ppp
async dynamic routing
async mode interactive (此模式可在终端方式和ppp方式切换)
peer default ip address pool default
ppp authentication pap
group-range 1 8
!
ip local pool default 202.100.99.2 202.100.99.254
ip classless
!
line con 0
line 1 8
autoselect ppp
login local (本机认证方式)
modem inout
autocommand ppp
transport input all
stopbits 1
speed 115200
flowcontrol hardware
line vty 0 4
password cisco
login
!
end
此配置可以作为一个内部通信用的拨号访问服务器的配置,它也是标准的intranet配置,可以用各种拨号软件如windows 95的拨号网络功能,连接内部的www等服务器。
