> > > Что касается безопасности, я бы вообще не советовал внедрять CHAP.
> > > В лучшем случае (при хорошей реализации), будут передаваться хеши,
> > > причем подверженные гораздо более быстрому подбору по ним пароля,
> > ^^^^^^^^^^^^^^^^^^
> > > чем получаемые от crypt(3). Но это ценой хранения паролей открытым
> >
> > Даже в случае использования CHAP (type 0x05) ?
>
> Что за type 0x05 не знаю (может все-таки 0x03?), но а так мы о CHAP
> ведь и говорим? Да, в его случае, по той причине что никакого password
> stretching там нет (есть поле "algorithm", но у него пока только одно
> допустимое значение, и я не считаю что это есть смысл менять не меняя
> и остальной протокол). Даже в традиционном crypt(3) было 25 итераций,
> здесь же нет и этого.
Sorry, не туда посмотрел. Действительно type=0x03.
Я имел ввиду поле Algorithm, т.е. MD5 Digest Algorithm.
> > Заботы эти связаны с тем, что вся PPP auth будет бегать через мою сетку.
> > Где между NAS и сервером TACACS/RADIUS - trusted network, а между NAS
> > и клиентом - нет. И первостепенной задачей - является защита от "слухачей".
>
> Понятно. А что примерно между NAS и клиентом? Будет получаться PPP
> over IP или что-то подобное? Тогда да, буду вынужден согласиться.
Yes, PPP over IP :) А если быть точнее - VPN родными средствами MS.
> > То что при этом пароли будут находиться на серваке в открытом
> > виде - это конечно большой минус, но других вариантов я не вижу. :(
>
> Если без дополнительных требований к софту у клиентов, да, все так.
Какой софт тогда можно использовать на стороне клиента?
Мне нужно защитить сессию между клиентом и сервером.
В принципе - тогда мне и CHAP тогда не нужен будет.
--
Yury V. Yaroshevsky | Donetsk State Technical University
YY18-RIPE | (380 62) 3356455 yk@dgtu.donetsk.ua
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on
