登录 用户中心() [退出] 后台管理 注册
   
您的位置: 首页 >> 程序员学前班[不再更新,只读] >> 主题: ISA Server实现HTTP Proxy中基本身份验证、Windows集成身份验证及其安全性 [转]     [回主站]     [分站链接]
标题
ISA Server实现HTTP Proxy中基本身份验证、Windows集成身份验证及其安全性 [转]
clq
浏览(0) + 2008-01-04 13:55:26 发表 编辑

关键字:

转自:http://bbs.51cto.com/thread-1480-1-1.html

-------------------------------------------------------------------------


ISA防火墙支持多种身份验证方法,使用最多的就是基本身份验证和Windows集成身份验证这两种。大家对这两种方法肯定是有所了解,但是具体的内部认证机制及过程,可能了解的人不多,今天,我就给大家详细的阐述一下。
实验环境:
ISA Server 2004防火墙的IP地址为10.118.89.12/255.255.255.0,拨号上网
客户机的IP地址为10.118.89.98/255.255.255.0,Windows 98操作系统,配置为Web代理客户
嗅探器: Ethereal
首先,在isa2004上新建一用户,如下图:
clq
2008-1-4 13:55:57 发表 编辑

[图片]


图一
然后在isa2004上建立一条策略,只允许经过身份验证的用户出网,如下图:
clq
2008-1-4 13:56:24 发表 编辑

[图片]


图二
clq
2008-1-4 13:56:33 发表 编辑

试验
一:使用基本身份验证

基本身份验证的优势在于它是 HTTP 规范的一部分,并且受到大多数浏览器的支持,它将用户信息作为可读的文本字符进行发送和接收。让我们先看看它是如何工作的。
在客户机上打开IE,随便输入一个网址,如
http://www.isacn.org
。运行Ethereal进行观察。
1、首先客户向ISA防火墙请求资源 GET http://www.isacn.org,如下图:
clq
2008-1-4 13:56:52 发表 编辑

[图片]



图三
clq
2008-1-4 13:57:09 发表 编辑

2、ISA防火墙返回一个访问拒绝消息,该消息包含一个WWW-Authenticate头标,后面紧跟着一个Basic值,说明ISA防火墙要求基本身份认证。如下图:
clq
2008-1-4 13:57:27 发表 编辑

[图片]



图四
clq
2008-1-4 13:57:53 发表 编辑

[图片]


图五


此时在客户机上弹出输入网络密码对话框,输入isa服务器上的用户名tt和密码123,如图:



clq
2008-1-4 13:58:35 发表 编辑

[图片]


图六

3、客户浏览器重发请求,不过这次带有验证信息:
clq
2008-1-4 13:59:46 发表 编辑

[图片]

图七


请注意这一行:
Proxy-Authorization: Basic dHQ6MTIz,其中dHQ6MTIz就是经过base64编码后的用户名和密码,我们将其解码看看:

可以看出,Base64编码是很容易破解的,所以,当采用基本身份验证时,很容易被Sniffer嗅探到用户名和密码。
clq
2008-1-4 14:00:40 发表 编辑

[图片]


图八


4、用户顺利通过验证,ISA防火墙向客户返回200 OK消息;


至此,客户和ISA防火墙间的身份验证工作就 此结束,接下来是的客户所请求的数据的传输。
 
综上所述,基本身份认证提供了一个非常方便的认证机制,但是该认证身份信息基本上是以明文发送的,很容易遭到窃听。或许有人说,现在大都是交换网络环境,在自己的机器上安装一个嗅探器只能抓到流经自己机器上的数据包,根本嗅探不到别人机器上发出的认证信息。要知道,现在Arp欺骗技术已非常成熟,将别人的数据包引到自己机器上再进行转发是一件非常容易的事 ;并且目前的主流Sniffer均支持远程嗅探代理。正因为如此,ISA防火墙默认 是采用Hash加密的Windows集成身份验证 机制,但是你也不要高兴的太早,老版本的NTLM算法对于窃听 解密同样是很脆弱的

总数:20 页次:1/2 首页 下一页  >>  尾页  
总数:20 页次:1/2 首页 下一页  >>  尾页  


所在合集/目录



发表评论:
文本/html模式切换 插入图片 文本/html模式切换


附件:



NEWBT官方QQ群1: 276678893
可求档连环画,漫画;询问文本处理大师等软件使用技巧;求档softhub软件下载及使用技巧.
但不可"开车",严禁国家敏感话题,不可求档涉及版权的文档软件.
验证问题说明申请入群原因即可.

Copyright © 2005-2020 clq, All Rights Reserved
版权所有
桂ICP备15002303号-1