Почему DUN по умолчанию используют MSCHAP и не имеют опций для LM/NTLM/Kerberos?
Я говорю о любой версии Windows, новой или старой.
NTLM или kerberos лучше всего из того, что поддерживает Windows.
1
1 ответ
2
MS-CHAP - это совершенно другой тип протокола, нежели LM/NTLM/Kerberos, и предназначен для защиты совершенно другого набора вещей в совершенно другой среде. MS-CHAP - это протокол WAN, тогда как NTLM/Kerberos - это протоколы LAN. MS-CHAP не предоставляет функций авторизации, тогда как Kerberos предоставляет очень сложные возможности. Я также должен отметить, что MS в MS-CHAP означает Microsoft, поэтому MS-CHAP определенно "изначально поддерживается".
MS-CHAP и PAP являются механизмами аутентификации, разработанными для работы с протоколами туннельной линии, такими как SLIP, PPTP, PPPOE и т.д. Линейные протоколы в первую очередь связаны с мультиплексированием виртуального канала между двумя конечными точками на [аналоговой] несущей, такой как телефонная линия. Это протоколы очень низкого уровня, которые должны работать с минимальной полосой пропускания и вычислительными издержками. MS-CHAP применяется к линейному протоколу как механизм аутентификации RADIUS . Линейные протоколы обычно считаются протоколами глобальной сети, и ожидается, что они будут проходить через недружественные сети между конечными точками.
Протоколы линейной аутентификации, такие как MS-CHAP и PAP, предназначены для аутентификации терминала, который имеет не более чем временную связь с сетью, в которой выполняется аутентификация. Эти системы могут подключаться ко многим различным сетям и не должны включать настройку, кроме настройки аргументов подключения.
LM/NTLM/Kerberos - это протоколы аутентификации и авторизации на уровне сервиса, соединенные с сервисными протоколами, такими как NETBIOS/SMB/LDAP. Эти сложные протоколы предназначены для ситуаций, когда компьютер более или менее постоянно подключен к сети, с которой он связан, и требуют большой инфраструктуры, поэтому настройка компьютеров довольно инвазивна (например, присоединение к домену MS, настройка серверов WINS). [для LM/NTLM] и т. д.). Kerberos, в частности, требует пропускной способности для частого повторного авторизации трафика, и хотя он все еще тривиален в вычислительном отношении, он является гораздо более весомой схемой, чем протоколы аутентификации линии. Все эти служебные протоколы являются протоколами локальной сети и, как правило, не подвержены влиянию глобальной сети, где могут быть последствия для безопасности, производительности и надежности.
Возможно, вам следует задать вопрос, почему PPP/PPPOE/PPTP не были заменены такими протоколами, как IPSec или L2TP, которые являются современными протоколами WAN-Safe для туннельного шифрования, обычно используемыми в VPN (современный метод удаленного доступа). Вот список общих бэкэндов аутентификации для клиента Cisco VPN: http://www.cisco.com/c/en/us/tech/security-vpn/authentication-protocols/index.html
Причина, по которой MS-CHAP все еще существует, - это совместимость с прежними версиями. Я полагаю, что модернизация системы удаленного доступа крупного предприятия является дорогостоящей задачей.