3.5. SASL-интерфейс
Интерфейс для прямой аутентификации и обеспечения безопасности (Simple Authentication and Security Layer — SASL, RFC-2222) представляет собой программное средство (способ) для согласования процедуры аутентификации и алгоритма шифрования, которые будут использоваться для защиты ТСР-трафика. По существу, это параметры уровня защищенности, которые определяются согласованным способом обеспечения ИБ. В частности, до тех пор, пока согласованный способ обеспечения ИБ не будет аутентифицировать все последующие сообщения или не будет использоваться, лежащий в его основе, протокол безопасности, такой как TLS-протокол, все ТСР-сеансы связи уязвимы к атакам типа «вторжение в сеанс связи».
Если возникает необходимость использования TLS-протокол (или IPsec-протоколов) совместно с SASL-интерфейсом, то тогда возникают вопросы: «Почему надо в первую очередь беспокоиться о SASL-интерфейсе?» и «Почему просто не попытаться использовать функциональные возможности TLS-протокола по осуществлению процедуры аутентификации и применить их на практике?».
Ответ весьма прост. TLS-протокол позволяет более широко использовать электронные сертификаты в интересах аутентификации. Но с другой стороны, проблемы распространения сертификатов, так как только серверы имеют такие сертификаты, в то время как пользователи функционируют не аутентифицированными (по крайней мере с помощью самого TLS-протокола).
SASL-интерфейс позволяет применять пользователю более традиционные способы аутентификации, например, парольные системы (одноразовые или другие). В таких случаях, было бы полезнее рассматривать комбинацию способов, которая весьма эффективна, то есть TLS-протокол обеспечивает основную защиту и аутентификацию сервера, а система аутентификации на основе SASL-интерфейс обеспечивает проверку пользователей. Самое серьезное внимание должно быть уделено снижению уязвимости к атакам типа «человек в середине соединения», особенно в тех случаях, когда в разных направлениях дуплексного соединения используются различные способы аутентификации.