home *** CD-ROM | disk | FTP | other *** search
/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / rfcs / rfc1412.txt < prev    next >
Text File  |  1996-05-07  |  7KB  |  140 lines
  1.  
  2.  
  3.  
  4.  
  5.  
  6.  
  7. Network Working Group                                       K. Alagappan Request for Comments: 1412                 Digital Equipment Corporation                                                             January 1993 
  8.  
  9.                         Telnet Authentication: SPX 
  10.  
  11. Status of this Memo 
  12.  
  13.    This memo defines an Experimental Protocol for the Internet    community.  Discussion and suggestions for improvement are requested.    Please refer to the current edition of the "IAB Official Protocol    Standards" for the standardization state and status of this protocol.    Distribution of this memo is unlimited. 
  14.  
  15. 1. Command Names and Codes 
  16.  
  17.    Authentication Types 
  18.  
  19.       SPX          3 
  20.  
  21.    Suboption Commands 
  22.  
  23.       AUTH         0       REJECT       1       ACCEPT       2 
  24.  
  25. 2.  Command Meanings 
  26.  
  27.    IAC SB AUTHENTICATION IS <authentication-type-pair> AUTH    <SPX authentication token> IAC SE 
  28.  
  29.       This is used to pass the SPX authentication token to the remote       side of the connection.  (A document which describes the       authentication token syntax is forthcoming.)  The first octet of       the <authentication-type-pair> value is SPX.  The second octet is       a modifier to the SPX authentication type. 
  30.  
  31.    IAC SB AUTHENTICATION REPLY <authentication-type-pair> ACCEPT    <mutual response> IAC SE 
  32.  
  33.       This command indicates that the authentication was successful.       After an SPX authentication exchange, both sides have securely       established a random 8-byte key to be used as the default key for       the ENCRYPTION option.  If the AUTH_HOW_MUTUAL bit is set in the       second octet of the authentication-type-pair, the sender includes       the mutual response bytes.  The receiver of the ACCEPT command       compares the "mutual response" with its expected mutual response. 
  34.  
  35.  
  36.  
  37. Telnet Working Group                                            [Page 1] 
  38.  RFC 1412                     SPX for Telnet                 January 1993 
  39.  
  40.        (A document which describes the mutual response syntax is forth       coming.)  If the AUTH_HOW_ONE_WAY bit is set in the second octet       of the authentication-type-pair, the sender includes zero bytes of       mutual response. 
  41.  
  42.    IAC SB AUTHENTICATION REPLY <authentication-type-pair> REJECT    <optional reason for rejection> IAC SE 
  43.  
  44.       This command indicates that the authentication was not successful,       and if there is any more data in the sub-option, it is an ASCII       text message of the reason for the rejection. 
  45.  
  46. 3.  Implementation Rules 
  47.  
  48.    Every command after the first AUTHENTICATION IS must carry the same    set of modifiers (e.g., CLIENT|MUTUAL) for subsequent AUTHENTICATION    IS and AUTHENTICATION REPLY commands. 
  49.  
  50.    If the second octet of the authentication-type-pair has the AUTH_WHO    bit set to AUTH_WHO_CLIENT, then the client sends the initial AUTH    command, and the server responds with either ACCEPT or REJECT. 
  51.  
  52.    If the second octet of the authentication-type-pair has the AUTH_WHO    bit set to AUTH_WHO_SERVER, then the server sends the initial AUTH    command, and the client responds with either ACCEPT or REJECT. 
  53.  
  54. 4.  Examples 
  55.  
  56.    User "joe" may wish to log in as user "pete" on machine "foo".  If    "pete" has set things up on "foo" to allow "joe" access to his    account, then the client would send IAC SB AUTHENTICATION NAME "pete"    IAC SE IAC SB AUTHENTICATION IS SPX AUTH <joe's spx authentication    token> IAC SE.  The server would then authenticate the user as "joe"    from the token information, and the server would send back either    ACCEPT or REJECT.  If mutual authentication is being used, the server    would include in the ACCEPT message, a mutual response.  The    authorization check to see if "pete" is allowing "joe" to use his    account is made after the authentication exchange is complete.    Therefore, it is possible for the client to receive an ACCEPT    response (based on the authentication token), but for joe to be    denied access to log in to pete's account. 
  57.  
  58.  
  59.  
  60.  
  61.  
  62.  
  63.  
  64.  
  65.  
  66.  Telnet Working Group                                            [Page 2] 
  67.  RFC 1412                     SPX for Telnet                 January 1993 
  68.  
  69.         Client                           Server                                         IAC DO AUTHENTICATION        IAC WILL AUTHENTICATION 
  70.  
  71.        [ The server is now free to request authentication information.          ] 
  72.  
  73.                                         IAC SB AUTHENTICATION SEND SPX                                         CLIENT|MUTUAL SPX CLIENT|ONE_WAY                                         IAC SE 
  74.  
  75.        [ The server has requested mutual SPX authentication.  If mutual          authentication is not supported, then the server is willing to          do one-way SPX authentication.  ] 
  76.  
  77.        [ The client will now respond with the name of the user that it          wants to log in as, and the SPX authentication token.  ] 
  78.  
  79.        IAC SB AUTHENTICATION NAME        "pete" IAC SE        IAC SB AUTHENTICATION IS SPX        CLIENT|MUTUAL AUTH <spx        authentication token        information> IAC SE 
  80.  
  81.        [ The server responds with an ACCEPT command to state that the          authentication was successful.  ] 
  82.  
  83.        [ If AUTH_HOW_MUTUAL, the server responds with the mutual          response so the client can verify that it is really talking to          the right server.  ] 
  84.  
  85.        [ If AUTH_HOW_ONE_WAY, the server responds with a NULL mutual          response, since the client is willing to trust the server          already.  ] 
  86.  
  87.                                         IAC SB AUTHENTICATION REPLY SPX                                         CLIENT|MUTUAL ACCEPT <mutual                                         response> IAC SE 
  88.  
  89.  
  90.  
  91.  
  92.  
  93.  
  94.  
  95.  
  96.  
  97.  
  98.  
  99.  Telnet Working Group                                            [Page 3] 
  100.  RFC 1412                     SPX for Telnet                 January 1993 
  101.  
  102.  Security Considerations 
  103.  
  104.    The ability to negotiate a common authentication mechanism between    client and server is a feature of the authentication option that    should be used with caution.  When the negotiation is performed, no    authentication has yet occurred.  Therefore, each system has no way    of knowing whether or not it is talking to the system it intends.  An    intruder could attempt to negotiate the use of an authentication    system which is either weak, or already compromised by the intruder. 
  105.  
  106. Author's Address 
  107.  
  108.    Kannan Alagappan    Digital Equipment Corporation    550 King Street, LKG1-2/A19    Littleton, MA 01460 
  109.  
  110.    EMail: kannan@sejour.lkg.dec.com 
  111.  
  112.    Mailing List: telnet-ietf@CRAY.COM 
  113.  
  114.     The working group can be contacted via the current chair: 
  115.  
  116.    Steve Alexander    INTERACTIVE Systems Corporation    1901 North Naper Boulevard    Naperville, IL 60563-8895 
  117.  
  118.    Phone: (708) 505-9100 x256    EMail: stevea@isc.com 
  119.  
  120.  
  121.  
  122.  
  123.  
  124.  
  125.  
  126.  
  127.  
  128.  
  129.  
  130.  
  131.  
  132.  
  133.  
  134.  
  135.  
  136.  
  137.  
  138.  Telnet Working Group                                            [Page 4] 
  139.  
  140.