Безопасность сетевых протоколов

ЗАРАЗА

Спецвыпуск: Хакер, номер #058, стр. 058-084-5

Данный сервер поддерживает аутентификацию по методу LOGIN (открытым паролем), NTLM и GSSAPI.

Протокол HTTP (действующий стандарт RFC 2616) определяет возможность аутентификации пользователя, но не дает каких-либо конкретных механизмов. RFC 2617 определяет возможность аутентификации паролем в открытом тексте, называемую в HTTP Basic или по методу запрос-ответ (challenge/response), который в HTTP называется Digest. Однако аутентификация паролем в открытом виде на сегодня является единственным методом, поддерживаемым во всех распространенных браузерах и web-серверах. Поддерживаемые сервером методы аутентификации видны из заголовка WWW-Authenticate, который сервер дает при запросе на аутентификацию:

Content-Length: 1037

Content-Type: text/html

Server: Microsoft-IIS/6.0

WWW-Authenticate: Basic www.domain.example

WWW-Authenticate: Negotiate

WWW-Authenticate: NTLM

X-Powered-By: ASP.NET

Date: Wed, 13 Jul 2005 20:33:28 GMT

Видно, что сервер поддерживает аутентификацию Basic, Negotiate и NTLM.

Протокол FTP поддерживает исключительно аутентификацию в открытом тексте, хотя и для него есть расширения, аналогичные AUTH в SMTP для аутентификации методом запрос-ответ.

Протокол POP3 (RFC 1939) поддерживает два метода аутентификации: аутентификацию в открытом тексте и аутентификацию APOP по методу запрос-ответ. Кроме того, опять же имеются расширения, аналогичные AUTH в SMTP. Отличить сервер, поддерживающий APOP, достаточно легко по баннеру сервера.

+OK Microsoft Exchange Server 2003 POP3 server version 6.5.7226.0 (pop3-1.domain.example) ready.

Этот сервер не поддерживает APOP.

+OK 3APA3A/POP3-2.0-RC5.1 <3707.1121287575@ pop3-2.domain.example >

А этот сервер поддерживает APOP, что видно по части приветствия, заключенной в угловые скобки. Эта часть приветствия используется в APOP в качестве запроса (challenge).

Несколько сложнее с поддержкой расширенной аутентификации по методам AUTH. Ее наличие и разрешенные методы иногда можно проверить с помощью команд CAPA или команды AUTH без параметров.

Аутентификация в открытом тексте (plain text, он же USER/PASS в FTP и POP3, он же AUTH LOGIN в SMTP и IMAP, он же Basic в HTTP)

Что представляет собой каждый метод парольной аутентификации и какие недостатки он имеет?

Недостатки метода очевидны: пароль передается "по проводам" открытым текстом и может быть перехвачен в случае прослушиваемой разделяемой сети с помощью ARP poisoning, DNS poisoning, при компрометации сервера или другими методами, обсуждение которых выходит за рамки статьи. При использовании SMTP и HTTP логин и пароль передаются в кодировке base64.