Аутентификация и безопасность сети

В традиционном сценарии удаленного доступа Internet-провайдер, использую­щий сервер NAS вместе с сервером безопасности выполняет аутентификацию за­прашивая у пользователя удаленного доступа его имя и пароль. Если удаленный пользователь проходит такую проверку, то начинается этап авторизации.

ПРИМЕЧАНИЕ

Функции Cisco-серверов сетевого доступа NAS обеспечивают поддержку как службы вирту­ального удаленного доступа, так и обычной службы.

Для службы виртуального удаленного доступа Internet-провайдер выполняет аутен­тификацию с целью выяснить идентификационные параметры пользователя (и, как следствие этого, желательный для пользователя корпоративный шлюз). На этом этапе соответствие паролей не проверяется. Сразу после того, как определен корпоративный шлюз, инициируется соединение с использованием собранной Internet-провайдером информации аутентификации. Корпоративный шлюз заканчивает процесс аутенти­фикации, принимая или отвергая это соединение. Например, в запросе протокола РАР соединение отвергается, если имя пользователя или его пароль оказываются непра­вильными. В случае. Когда соединение принято, корпоративный шлюз может выпол­нить следующую фазу аутентификации на уровне протокола РРР. Эти дополнительные операции аутентификации находятся вне сферы спецификации, но могут включать в себя фирменные расширения протокола РРР или текстуальные запросы, осуществ­ляемые в Telnet-ceaHce протокола TCP/IP.

Для каждого установленного туннеля протокола L2TP служба безопасности этого протокола генерирует уникальный случайный ключ, предназначенный для защиты от спуфинга. Внутри туннеля L2TP каждый мультиплексированный сеанс поддер­живает номер последовательности для предотвращения дублирования пакетов. Ап­паратное и программное обеспечение корпорации Cisco предоставляет значитель­ную гибкость, позволяя пользователю осуществлять сжатие данных на стороне кли­ента. Кроме того, шифрование в туннеле может осуществляться с использованием протокола IpSecurity (IPSec).