ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 

  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: Inet-Admins
Inet-Admins mailing list archive (inet-admins@info.east.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [inet-admins] Auth по CHAP через Radius || Tacacs ...



> Что касается безопасности, я бы вообще не советовал внедрять CHAP.
> В лучшем случае (при хорошей реализации), будут передаваться хеши,
> причем подверженные гораздо более быстрому подбору по ним пароля,
			^^^^^^^^^^^^^^^^^^
> чем получаемые от crypt(3). Но это ценой хранения паролей открытым

Даже в случае использования CHAP (type 0x05) ?

> текстом на сервере. Если паролей так мало что их все в случае чего
> можно поменять, вообще не понятно ради чего такие заботы. Если же их
> не так мало, то открытым текстом хранить нельзя (ибо поменять будет
> нелегко и больно). К этому можно добавить, что пользователи имеют
> обыкновение еще и использовать те же самые пароли на другие сервисы
> (где их своевременно найти и поменять еще сложнее или невозможно).
> (Последнюю проблему можно решать в случае CRAM-MD5, но мы про CHAP.)

Заботы эти связаны с тем, что вся PPP auth будет бегать через мою сетку.
Где между NAS и сервером TACACS/RADIUS - trusted network, а между NAS
и клиентом - нет. И первостепенной задачей - является защита от "слухачей". 

То что при этом пароли будут находиться на серваке в открытом 
виде - это конечно большой минус, но  других вариантов я не вижу. :(


-- 
Yury V. Yaroshevsky     | Donetsk State Technical University
YY18-RIPE    		| (380 62) 3356455  yk@dgtu.donetsk.ua
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on http://info.east.ru/rus/inetadm.html



 




Copyright © Lexa Software, 1996-2009.