Hoe moet NTLM-verificatie eruit zien op pakketniveau?

Downloadopties

  • PDF     (234.5 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (80.5 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (65.5 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:9 februari 2017
Document-id:117931

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft de verificatie van NT LAN Manager (NTLM) op pakketniveau. 

Hoe moet NTLM-verificatie eruit zien op pakketniveau?

Een pakketopname om dit artikel te volgen kan hier worden gedownload: https://supportforums.cisco.com/sites/default/files/attachments/document/ntlm_auth.zip

IP-telefoon van client: 10.12.142.190

WAE IP-telefoon 10.122.144.182

Packet nummer en details

#4 De client stuurt een GET-verzoek naar de proxy.

#7 De proxy stuurt een 407 terug. Dit betekent dat de proxy geen verkeer toestaat vanwege een gebrek aan juiste authenticatie. Als u in deze reactie kijkt naar de HTTP-headers, ziet u een "Proxy-authenticate: NTLM". Dit vertelt de client dat NTLM een acceptabele verificatiemethode is. Op dezelfde manier, als de kop "Proxy-authenticate: Basic" aanwezig is, vertelt de proxy de client dat basisreferenties acceptabel zijn. Als beide headers aanwezig zijn (gemeenschappelijk), beslist de client welke verificatiemethode zal worden gebruikt.

Een ding om op te merken is dat de authenticatieheader "Proxy-authenticate:" is. Dit komt doordat de verbinding in Capture expliciete voorwaartse proxy gebruikt. Als dit een transparante proxyimplementatie was, zou de responscode 401 zijn in plaats van 407 en zouden de kopregels "www-authenticate:" zijn in plaats van "proxy-authenticate:".

#8 De proxy FIN's deze TCP socket. Dit is juist en normaal.

#15 Op een nieuwe TCP socket voert de client nog een GET request uit. Dit keer merkt op dat de GET de HTTP header "proxy-autorisatie:" bevat. Dit bevat een gecodeerde string die details bevat betreffende de gebruiker / domein.

Als u de Proxy-autorisatie > NTLMSSP uitbreidt, ziet u de gedecodeerde informatie die in de NTLM-gegevens wordt verzonden. In het "NTLM Message Type", zult u opmerken dat het "NTLMSSP_ONDERHANDELING" is. Dit is de eerste stap in de drieweg NTLM handdruk.

#17 De proxy reageert met nog eens 407. Er is een andere header "proxy-authenticate" aanwezig. Dit keer bevat het een NTLM challenge string. Als u het verder uitbreidt, ziet u dat het NTLM Message Type "NTLMSSP_UITDAGGE" is. Dit is de tweede stap in de drieweg NTLM handdruk.

Bij NTLM-verificatie stuurt de Windows-domeincontroller een provocatietekenreeks naar de client. De client past dan een algoritme toe op de NTLM-uitdaging die in het wachtwoord van de gebruiker in het proces factoren. Dit stelt de domeincontroller in staat om te verifiëren dat de client het juiste wachtwoord kent zonder ooit het wachtwoord over de lijn te verzenden. Dit is veel veiliger dan basisreferenties, waarin het wachtwoord wordt verzonden in onbewerkte tekst voor alle snuffelapparaten om te zien.

#18 De client stuurt een laatste GET. Merk op dat dit GET zich op dezelfde TCP socket bevindt als de NTLM Negotiate en NTLM Challenge zijn opgetreden. Dit is essentieel voor het NTLM-proces. De gehele handdruk moet op dezelfde TCP socket staan, anders is de verificatie ongeldig.

In dit verzoek stuurt de client de gewijzigde NTLM Challenge (NTLM Response) naar de proxy. Dit is de laatste stap in de drieweg NTLM handdruk.

#21 De proxy stuurt een HTTP-antwoord terug. Dit betekent dat de proxy de referenties heeft geaccepteerd en heeft besloten om de inhoud op te dienen.

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
14-Jul-2014
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Josh Wolfer
    Cisco TAC Engineer
  • Jeff Richmond
    Cisco TAC Engineer

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten