当前位置:Linux教程 - Linux - 在路由器内作安全认证

在路由器内作安全认证

  随着越来越多的小型机构使用广域网连接各分支机构。由于专线(普通租用线和DDN)在价格、灵活性等方面的缺陷,所以可采用各类交换网络,如电话拨号、ISDN等。

不过拨号接入方式存在安全问题。在因特网上普遍采用的拨号访问服务器中,一般采用各类口令认证来解决。通常使用的有PAP和CHAP。


安全认证机制


PAP认证主要的工作原理是当A机欲通过PPP协议连接B机,而B机设置了PAP认证时,当A机拨通B后,将自己的名字与口令一起发给B机,B从自己的用户数据库中查到该口令与名字相符后,A和B可继续进行IP地址协商,否则B将切断线路。

PAP协议仅在连接建立阶段进行,在数据传输阶段不进行PAP认证。

CHAP认证主要原理是当A机欲通过PPP协议连接B机,而B机设置了CHAP认证,则当A机拨通B后,由B机将一段随机数据和自身的名字发给A,A根据此名字查到口令,用它对收到的随机数据通过MD5算法进行加密,得到16字节的加密结果,然后A将该结果和B自身的名字一起发送给B。B收到该报后,首先查到A的口令,同样用此口令对以前发送的随机数据,通过MD5算法进行加密并将自己算出的加密结果与从A中收到的加密结果相比较,如果一致,A与B可继续进行协商,否则B将切断线路。

CHAP协议不仅仅在连接建立阶段进行,在之后的数据传输阶段,也将在随机的间隔周期里进行,如果发现结果不一致,B也将切断线路。

由于安全级别高与连接速度成反比,因特网的很多接入都采用PAP协议认证。一般来说,进入拨号访问服务器后,远程访问者还要通过主机口令的检查,故安全不会成问题,而国内远程访问的接入速率较低,用PAP可提高一些效率。


路由器内部认证


使用专用路由器时,一般采用其他的服务器做安全认证服务器,所以安装、使用、维护都较麻烦。如果仅有几个用户使用,或在专用软件中共同使用一个拨号口令,那就更不值得了。在这种情况下可采用路由器内部认证的方式,以Cisco路由器为例,配置如下:

hostname 2509 (路由器的名称)

!

enable password cisco (路由器GLOBAL状态口令)

!

username cisco password 0 cisco (远程用户名称、口令)

!

interface Ethernet0

ip address 202.100.99.5 255.255.255.0

no shut

!

interface Group-Async1

ip unnumbered Ethernet0

encapsulation ppp

async dynamic routing

async mode interactive (此模式可在终端方式和PPP方式切换)

peer default ip address pool default

ppp authentication pap

group-range 1 8

!

ip local pool default 202.100.99.2 202.100.99.254

ip classless

!

line con 0

line 1 8

autoselect ppp

login local (本机认证方式)

modem InOut

autocommand ppp

transport input all

stopbits 1

speed 115200

flowcontrol hardware

line vty 0 4

password cisco

login

!

end

此配置可以作为一个内部通信用的拨号访问服务器的配置,它也是标准的Intranet配置,可以用各种拨号软件如Windows 95的拨号网络功能,连接内部的WWW等服务器。