Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
Iceсream Screen Recorder – это программа для захвата видео с аудио и микрофоном и создания скриншотов с помощью ряда доп...
SlimDrivers — бесплатная программа для обнаружения присутствующих на компьютере драйверов, определение их версий, поиска...
Многофункциональный, кроссплатформенный текстовый редактор с функциями подсветки синтаксиса, авто-подстановкой выражений...
Программа позволяет быстро обнаруживать на раннем этапе возможные отказы в работе сети или веб-сайта. PRTG Network Monit...
Программа для создания презентаций и интерактивных обучающих видеоуроков. Camtasia Studio может осуществлять захват изоб...
OSzone.net Microsoft Windows 2000/NT Другое Введение в технологии удаленного доступа Microsoft и их краткий обзор RSS

Введение в технологии удаленного доступа Microsoft и их краткий обзор

Текущий рейтинг: 4.11 (проголосовало 19)
 Посетителей: 27504 | Просмотров: 37337 (сегодня 1)  Шрифт: - +
Club logo

Опубликовано: 18 марта 2002 г.

Аннотация

Система удаленного доступа позволяет пользователям удаленных компьютеров создавать логические подключения к сети организации или Интернету. Операционные системы корпорации Microsoft включают в себя клиентские и серверные приложения, поддерживающие как подключения удаленного доступа (Dial-Up), так и подключения к виртуальным частным сетям (Virtual Private Network, VPN). Операционные системы корпорации Microsoft содержат широкий набор функциональных возможностей, позволяющих создавать гибкие и безопасные решения на основе удаленного доступа.

На этой странице

Введение

Дополнительные возможности удаленного доступа

Средства защиты системы удаленного доступа Microsoft

Настройка сервера удаленного доступа Windows 2000

Настройка клиента удаленного доступа Windows XP

Диспетчер подключений и управление подключениями удаленного доступа

Заключение

Связанные ресурсы

Введение

Система удаленного доступа – это ряд технологий, обеспечивающих прозрачное подключение к сети удаленных клиентов, как правило, расположенных за пределами локальной сети организации. Обычно организации используют удаленный доступ, чтобы подключить к сети организации переносные или домашние компьютеры своих сотрудников (для чтения электронной почты или доступа к общим файлам). Также с помощью удаленного доступа поставщики услуг Интернета подключают к сети Интернет своих клиентов.

Запуская клиентские приложения для удаленного доступа, пользователи инициируют подключение к серверу удаленного доступа. Сервер в свою очередь выполняет проверку подлинности пользователей и обслуживает сеанс связи на протяжении всего времени подключения, пока оно не будет завершено пользователем или сетевым администратором. Все службы, которые обычно доступны пользователям локальной сети (включая общие файлы и принтеры, доступ к веб-серверу и службы обмена сообщениями), также доступны и через подключение удаленного доступа.

Для доступа к ресурсам клиенты удаленного доступа используют стандартные средства. Например, удаленный клиент, работающий на компьютере под управлением Windows 2000, может подключиться к сетевому диску или принтеру с помощью проводника Windows. Подключения являются постоянными – это означает, что во время удаленного сеанса пользователям не придется заново подключаться к сетевым ресурсам. Поскольку при удаленном доступе полностью поддерживаются буквы дисков и универсальные имена UNC (Universal naming convention), большинство коммерческих и пользовательских приложений работают без каких-либо дополнительных модификаций.

На Рисунке 1 представлен логический эквивалент подключения удаленного клиента к серверу удаленного доступа.


Увеличить рисунок

Рисунок 1 – Логический эквивалент подключения удаленного доступа

Windows 2000 поддерживает два различных типа соединений удаленного доступа:

1.

Удаленный доступ. При использовании удаленного доступа клиент использует инфраструктуру телекоммуникаций (как правило, аналоговая телефонная линия), создавая временный физический или виртуальный канал к порту сервера удаленного доступа. После создания физического или виртуального канала могут быть согласованы остальные параметры подключения.

2.

Доступ к виртуальной частной сети (VPN). При удаленном доступе к виртуальной частной сети VPN-клиент использует IP-сеть для создания виртуального подключения «точка-точка» к серверу удаленного доступа, выступающего в роли VPN-сервера. После установления виртуального подключения «точка-точка» могут быть согласованы остальные параметры подключения.

Удаленный доступ и удаленное управление

Следует отличать удаленный доступ от удаленного управления. Сервер удаленного доступа – это программный маршрутизатор, поддерживающий несколько протоколов; решения для удаленного управления основаны на функциях совместного использования экрана, клавиатуры и мыши через удаленное соединение. Удаленный доступ и удаленное управление имеют следующие отличия:

При удаленном доступе приложения выполняются на компьютере удаленного клиента. Примером сервера удаленного доступа является компьютер под управлением Windows 2000 Server с запущенной службой маршрутизации и удаленного доступа (Routing and Remote Access service). Примером клиента удаленного доступа является компьютер под управлением Windows 2000 Professional.

При удаленном управлении пользователи используют процессор (или несколько процессоров) сервера, и приложения выполняются также на сервере. Процессор удаленного сервера используется для поддержания взаимодействия между клиентами удаленного доступа и сетевыми ресурсами, но не между клиентами и работающими приложениями. Примером сервера удаленного управления является компьютер с установленной ОС Windows 2000 Server, на котором запущены службы терминалов (Terminal Services). Примером клиента удаленного управления является компьютер с установленной ОС Windows 2000 Professional, на котором запущен клиент служб терминалов.

Компоненты подключения удаленного доступа

Подключение удаленного доступа, изображенное на Рисунке 2, состоит из клиента удаленного доступа, сервера удаленного доступа и инфраструктуры глобальной сети (Wide area network, WAN).


Увеличить рисунок

Рисунок 2 – Компоненты подключения удаленного доступа

Клиент удаленного доступа

Клиенты удаленного доступа операционных систем Windows XP, Windows 2000, Microsoft Windows NT 4.0, Microsoft Windows Millennium Edition и Microsoft Windows 98 могут подключаться к серверу удаленного доступа под управлением Windows 2000, а также к большинству других серверов удаленного доступа. Почти все сторонние клиенты удаленного доступа на основе протокола PPP (Point-to-Point Protocol – протокол «точка-точка»), включая клиентов UNIX и Apple Macintosh, также могут подключаться к серверу удаленного доступа под управлением Windows 2000.

Сервер удаленного доступа

Сервер удаленного доступа под управлением Windows 2000 принимает подключения удаленного доступа и пересылает пакеты между клиентами удаленного доступа и сетью, к которой он подключен.

Оборудование для удаленного доступа и инфраструктура глобальной сети (WAN)

Физическое или логическое подключение между сервером и клиентом удаленного доступа поддерживается с помощью оборудования, установленного на сервере и клиенте удаленного доступа, а также с помощью инфраструктуры телекоммуникаций. Тип оборудования для удаленного доступа и инфраструктура телекоммуникаций различаются в зависимости от типа устанавливаемого подключения.

Протоколы удаленного доступа

Протоколы удаленного доступа управляют процессом установления подключения и передачей данных через соединения глобальной сети. Операционная система и протоколы локальных сетей (LAN), использующиеся клиентами и серверами удаленного доступа, определяют, какие из протоколов удаленного доступа могут использоваться клиентами.

Основным протоколом удаленного доступа, поддерживаемым современными операционными системами корпорации Microsoft (включая Windows XP, Windows 2000 и Windows Millennium Edition), является PPP – стек протоколов, основанный на промышленных стандартах, обеспечивающий безопасность, совместимость и поддержку нескольких протоколов.

Протоколы локальных сетей

Протоколы локальных сетей (LAN) – это протоколы, используемые удаленными клиентами для доступа к ресурсам сети, к которой подключен сервер удаленного доступа. Система удаленного доступа Microsoft поддерживает протоколы TCP/IP, IPX и AppleTalk.

В Таблице 1 перечислены протоколы локальных сетей, используемые при удаленном доступе.

Таблица 1 – Протоколы локальных сетей и их использование

Протоколы LAN

Клиенты удаленного доступа под управлением Windows XP и Windows 2000

Сервер удаленного доступа под управлением Windows 2000

TCP/IP

X

X

IPX

X

X

AppleTalk

 

X

Компоненты VPN-подключения удаленного доступа

VPN-подключение удаленного доступа, изображенное на Рисунке 3, состоит из клиента удаленного доступа, сервера удаленного доступа и сети Интернет.


Увеличить рисунок

Рисунок 3 – Компоненты VPN-подключения удаленного доступа

VPN-клиент удаленного доступа

VPN-клиентами являются либо отдельные пользователи, устанавливающие подключения удаленного доступа, либо маршрутизаторы, устанавливающие VPN-подключения «маршрутизатор-маршрутизатор». VPN-клиенты под управлением операционных систем Windows XP, Windows 2000, Windows NT 4.0, Windows Millennium Edition и Windows 98 могут создавать VPN-подключения удаленного доступа к серверу удаленного доступа под управлением Windows 2000, выступающему в роли VPN-сервера, а также к большинству других VPN-серверов. VPN-клиентом может также являться любой клиент на основе протокола PPTP (Point-to-Point Tunneling Protocol) или L2TP (Layer Two Tunneling Protocol), использующий IP-безопасность (IPSec). Компьютеры под управлением ОС Windows 2000 Server или Windows NT Server 4.0 (с установленной службой маршрутизации и удаленного доступа (Routing and Remote Access Service, RRAS) для Windows NT 4.0 Server) могут создавать VPN-подключения «маршрутизатор-маршрутизатор».

VPN-сервер удаленного доступа

Сервер удаленного доступа под управлением Windows 2000 принимает VPN-подключения на основе протоколов PPTP и L2TP/IPSec и пересылает пакеты между клиентами удаленного доступа и сетью, к которой он подключен.

VPN-протоколы

Сервер удаленного доступа под управлением Windows 2000, а также клиенты удаленного доступа поддерживают два протокола для VPN-подключений удаленного доступа:

Протокол PPTP (Point-to-Point Tunneling Protocol – туннельный протокол «точка-точка»)

Протокол L2TP (Layer Two Tunneling Protocol – протокол туннелирования второго уровня)

Протокол PPTP (Point-to-Point Tunneling Protocol)

Туннельный протокол PPTP, поддержка которого впервые была реализована в операционной системе Windows NT 4.0, является расширением протокола PPP (Point-to-Point Protocol) и имеет улучшенные механизмы проверки подлинности, сжатия и шифрования. Протокол PPTP устанавливается автоматически вместе с протоколом TCP/IP. Главными функциями протокола PPTP и метода MPPE (Microsoft Point-to-Point Encryption) при работе с VPN являются инкапсуляция и шифрование личных данных.

Кадр PPP (IP- или IPX-датаграмма) заключается в оболочку с заголовком GRE (Generic Routing Encapsulation) и заголовком IP. IP-заголовок содержит IP-адреса источника и приемника, которые соответствуют VPN-клиенту и VPN-серверу.

Кадр PPP зашифрован по методу MPPE с использованием ключей шифрования, созданных в процессе проверки подлинности по протоколу MS-CHAP, MS-CHAP v2 или EAP-TLS. Клиенты виртуальных частных сетей должны использовать для шифрования полезных данных PPP протокол проверки подлинности MS-CHAP, MS-CHAP v2 или EAP-TLS. PPTP не предоставляет средств шифрования, а использует средства, предоставляемые протоколом PPP, и инкапсулирует предварительно зашифрованный кадр PPP.

На Рисунке 4 показано шифрование кадра PPP и его инкапсуляция протоколом PPTP.


Увеличить рисунок

Рисунок 4 - Шифрование и инкапсуляция кадра PPP протоколом PPTP

Протокол L2TP (Layer Two Tunneling Protocol)

Протокол L2TP является промышленным туннельным протоколом Интернета стандарта EITF (Internet Engineering Task Force – рабочая группа по стандартам для сети Internet). В отличие от протокола PPTP, L2TP не использует метода MPPE для шифрования кадров PPP. L2TP использует средства шифрования, предоставляемые методом IPSec (Internet Protocol security – IP-безопасность). Комбинация L2TP и IPSec известна как L2TP/IPSec. Протоколы L2TP и IPSec должны поддерживаться как VPN-сервером, так и VPN-клиентом. Протокол L2TP устанавливается автоматически вместе со службой маршрутизации и удаленного доступа (Routing and Remote Access service).

Главными функциями L2TP/IPSec при работе с VPN являются инкапсуляция и шифрование личных данных.

Инкапсуляция пакетов L2TP поверх IPSec выполняется в два этапа.

Инкапсуляция L2TP. Кадр PPP (IP- или IPX-датаграмма) заключается в оболочку с заголовком L2TP и заголовком UDP.

Инкапсуляция IPSec. Полученное L2TP-сообщение заключается в оболочку с заголовком и трейлером IPSec ESP (Encapsulating Security Payload – модуль безопасной инкапсуляции содержимого), трейлером проверки подлинности IPSec, обеспечивающим целостность сообщения и проверку подлинности, и заголовком IP. IP-заголовок содержит IP-адреса источника и приемника, которые соответствуют VPN-клиенту и VPN-серверу. L2TP-сообщение зашифровано с помощью механизмов шифрования IPSec с использованием ключей шифрования, созданных в процессе проверки подлинности по методу IPSec.

На Рисунке 5 показано шифрование и инкапсуляция кадра PPP протоколом L2TP/IPSec.


Увеличить рисунок

Рисунок 5 - Шифрование и инкапсуляция кадра PPP протоколом L2TP/IPSec

Интернет

В качестве среды передачи данных между VPN-клиентом и VPN-сервером удаленного доступа может выступать любая сеть на основе протокола TCP/IP, но, как правило, этой средой чаще всего является сеть Интернет. VPN-клиенты часто подключаются к Интернету через поставщика услуг Интернета с помощью соединений удаленного доступа, после чего устанавливают VPN-подключение к сети своей организации.

Наверх страницы

Дополнительные возможности удаленного доступа

Текущие операционные системы Microsoft поддерживают следующие дополнительные возможности для подключений удаленного доступа:

  • Поддержка клиентов RADIUS
  • Поддержка многоадресного перенаправления
  • Поддержка протокола DHCP
  • Многоканальные подключения и протокол распределения пропускной способности (Bandwidth Allocation Protocol, BAP)
  • Ответный вызов

Поддержка клиентов RADIUS

Служба маршрутизации и удаленного доступа (Routing and Remote Access service) Windows 2000 может использовать средства ОС Windows или протокол службы удаленной проверки подлинности RADIUS (Remote Authentication Dial-In User Service) в качестве поставщиков служб проверки подлинности и учета

Если в качестве поставщика служб проверки подлинности и учета используется Windows 2000, то для проверки учетных данных безопасности клиента удаленного доступа (как правило, это имя пользователя и пароль), а также для доступа к свойствам удаленного подключения его учетной записи сервер удаленного доступа использует встроенные функции операционной системы. Подключение удаленного доступа авторизуется локально настроенными политиками удаленного доступа, а информация учета подключений записывается в локальные файлы журнала учета.

Если в качестве поставщика служб проверки подлинности и учета используется RADIUS, то сервер удаленного доступа выступает в качестве клиента RADIUS, посылая учетные данные пользователя и другие параметры подключения RADIUS-серверу. RADIUS-сервер проверяет полученные данные пользователя удаленного доступа, авторизует попытку подключения и хранит информацию учета подключений.

RADIUS-сервер входит в состав операционной системы Windows 2000 Server в качестве дополнительного сетевого компонента – службы проверки подлинности в Интернете (Internet Authentication Service, IAS). Если в качестве RADIUS-сервера используется служба IAS, то для проверки учетных данных безопасности клиента удаленного доступа и для доступа к свойствам удаленного подключения его учетной записи IAS-сервер использует встроенные функции операционной системы. Авторизация подключений удаленного доступа происходит на основе политик удаленного доступа, настроенных на IAS-сервере, а информация учета подключений записывается в файлы журнала учета, хранящиеся на IAS-сервере.

Поддержка многоадресного перенаправления

Если Ваша сеть поддерживает многоадресную IP-рассылку, сервер удаленного доступа Windows 2000 может выступать в качестве многоадресного шлюза между клиентами удаленного доступа и такой сетью. Уведомления от клиентов удаленного доступа о готовности получения многоадресного IP-трафика передаются маршрутизатору с многоадресной поддержкой, подключенному к тому же сегменту сети, что и сервер удаленного доступа. Когда многоадресный трафик, предназначенный для клиента удаленного доступа, перенаправляется в сегмент сети, к которому подключен сервер удаленного доступа, последний перенаправляет многоадресный пакет тому клиенту удаленного доступа, для которого предназначен этот пакет. Клиенты удаленного доступа могут обмениваться многоадресным IP-трафиком друг с другом. Поддержка многоадресного перенаправления включается по умолчанию при запуске мастера установки сервера маршрутизации и удаленного доступа (Routing and Remote Access Server Setup Wizard). Для получения дополнительной информации обратитесь к разделу «Настройка сервера удаленного доступа Windows 2000» данного документа.

Поддержка протокола DHCP

Протокол динамической конфигурации узла (Dynamic Host Configuration Protocol, DHCP) предназначен для автоматического назначения IP-адресов и сетевых настроек TCP/IP и часто используется в сетевой инфраструктуре организаций. Поддержка операционной системой Windows 2000 протокола DHCP для удаленного доступа может осуществляться следующими способами:

Сервер удаленного доступа Windows 2000 может быть настроен на использование DHCP для получения IP-адресов, которые назначаются клиентам удаленного доступа во время процесса установления PPP-подключения. Для получения IP-адресов клиенты удаленного доступа не используют DHCP, а получают адреса от сервера удаленного доступа с помощью согласования PPP. Для назначения удаленным клиентам IP-адресов с помощью DHCP может использоваться существующая инфраструктура управления TCP/IP. Использование DHCP-адресов упрощает маршрутизацию трафика, предназначенного для клиентов удаленного доступа.

После установления PPP-соединения клиенты удаленного доступа под управлением Windows 2000 и Windows XP посылают серверу удаленного доступа специальное DHCP-сообщение, известное как сообщение DHCPInform. В сообщении DHCPInform содержится запрос определенного набора конфигурационных параметров. На сервере удаленного доступа Windows 2000 может быть настроено перенаправление сообщений DHCPInform к DHCP-серверу в сети организации, а также обратное перенаправление ответов от DHCP-сервера к клиенту удаленного доступа. Конечным результатом будет являться то, что клиенты удаленного доступа под управлением Windows 2000 и Windows XP смогут получить конфигурационные параметры, которые не предоставляются во время согласования PPP-подключения (например, DNS-имя домена клиента удаленного доступа).

Многоканальные подключения и протокол распределения пропускной способности

Для физических каналов связи удаленных подключений система удаленного доступа Windows 2000 поддерживает многоканальные подключения и протокол распределения пропускной способности (Bandwidth Allocation Protocol, BAP). При использовании многоканальных подключений несколько физических каналов связи объединяются в один логический канал, по которому отправляются и принимаются данные. Хорошим примером служит объединение двух B-каналов ISDN-подключения с интерфейсом BRI (Basic Rate Interface). Многоканальные подключения — это рекомендуемый способ объединения B-каналов ISDN-подключения с интерфейсом BRI, так как адаптеры ISDN аппаратно поддерживают такую возможность. Многоканальные подключения можно использовать с любым адаптером ISDN. Многоканальные подключения должны поддерживаться обеими сторонами подключения.

Возможность многоканального подключения позволяет объединять несколько физических каналов связи, но не предусматривает механизма учета изменяющихся требований к полосе пропускания, который при необходимости мог бы подключать и отключать дополнительные линии связи. Такой механизм предоставляет протокол BAP (Bandwidth Allocation Protocol). BAP использует многоканальное подключение для динамического управления каналами связи.

Например, клиент и сервер удаленного доступа, поддерживающие многоканальные подключения и протокол BAP, вначале создают многоканальное подключение по одному физическому каналу. Когда загруженность этого канала повышается до определенного уровня, клиент удаленного доступа с помощью запроса BAP запрашивает дополнительный канал связи. Запрос BAP указывает тип требуемого канала (например, аналоговая телефонная линия, ISDN или X.25). Сервер удаленного доступа отправляет ответ BAP, содержащий номер телефона доступного порта сервера удаленного доступа; этот порт имеет тот тип, который запрашивал клиент удаленного доступа.

Ответный вызов

При использовании ответного вызова сервер удаленного доступа производит проверку учетных данных клиента удаленного доступа, после чего выполняет ответный вызов. Сервер может выполнять ответный вызов, используя телефонный номер, указанный клиентом удаленного доступа во время совершения входящего звонка. Это позволяет мобильному пользователю получать ответные звонки по месту его нахождения и, тем самым, снижать затраты на оплату телефонных услуг. Также сервер может выполнять ответный вызов, используя постоянный, заранее заданный телефонный номер. Такой способ является безопасной формой ответного вызова.

Наверх страницы

Средства защиты системы удаленного доступа Microsoft

Поскольку система удаленного доступа разработана для обеспечения прозрачного подключения удаленных клиентов к сети и для предоставления доступа к данным, потенциально содержащим конфиденциальную информацию, защита подключений удаленного доступа является очень важной составляющей. Система удаленного доступа Microsoft располагает широким набором средств обеспечения безопасности, в который входят:

Проверка подлинности и авторизация

Безопасная проверка подлинности пользователя

Протокол расширенной проверки подлинности EAP (Extensible Authentication Protocol)

Шифрование данных

Код вызова

Блокировка учетной записи при удаленном доступе

Фильтрация пакетов для VPN-подключений удаленного доступа

Фильтры пакетов в профиле политики удаленного доступа

Проверка подлинности и авторизация

Чтобы понять, почему попытки подключения могут приниматься или отклоняться, важно понимать различия между проверкой подлинности и авторизацией.

Проверка подлинности – это проверка учетных данных попытки подключения. В процессе проверки подлинности клиент удаленного доступа посылает свои учетные данные серверу удаленного доступа, используя протокол проверки подлинности.

Авторизация – это подтверждение того, что попытка подключения разрешена. Авторизация происходит после успешной проверки подлинности.

Для того чтобы попытка подключения была принята, она должна пройти проверку подлинности и авторизацию. Попытка подключения с правильными учетными данными может пройти проверку подлинности, но, тем не менее, не быть авторизована. В этом случае попытка подключения отклоняется.

Если для проверки подлинности сервер удаленного доступа использует встроенные средства Windows, то для проверки учетных данных, а также для доступа к свойствам удаленного подключения учетной записи пользователя используются средства безопасности Windows 2000, а локальные политики удаленного доступа производят авторизацию подключения. Если попытка подключения прошла проверку подлинности и авторизацию, она принимается.

Политики удаленного доступа представляют собой упорядоченный набор правил, определяющих то, каким образом происходит авторизация подключений. Политики удаленного доступа также задают ограничения для подключений, прошедших авторизацию. Попытки подключений поочередно оцениваются политиками удаленного доступа; при этом проверяется, удовлетворяет ли попытка подключения всем условиям каждой политики. Если попытка подключения не удовлетворяет всем условиям какой либо из политик, она отклоняется.

Если подключение удовлетворяет всем условиям политики удаленного доступа и ему предоставлено право удаленного доступа, профиль политики задает для подключения ряд дополнительных ограничений. Свойства удаленного подключения учетной записи пользователя также задают ряд ограничений. Если применяются ограничения учетной записи пользователя, они будут перекрывать ограничения политики удаленного доступа.

Одно из самых полезных условий, которое можно задать в политике удаленного доступа – это принадлежность к определенной группе Windows. С помощью этого условия Вы можете задавать ограничения относительно авторизации и подключения, основанные на принадлежности учетной записи удаленного пользователя к определенной группе. Например, Вы можете:

Для членов группы Операторы запретить подключения в нерабочие часы.

Для членов группы Сотрудники задать максимальное время сеанса подключения, равное 10 минутам, и время простоя, равное 5 минутам.

Для членов группы Руководители задать неограниченное время сеанса подключения и неограниченное время простоя.

Если для проверки подлинности сервер удаленного доступа использует RADIUS, учетные попытки подключения передаются RADIUS-серверу для проверки подлинности и авторизации. Если попытка подключения успешно прошла проверку подлинности и авторизацию, RADIUS-сервер посылает серверу удаленного доступа сообщение предоставления доступа, и попытка подключения принимается. Если попытка подключения не прошла проверку подлинности или авторизацию, RADIUS-сервер посылает в ответ сообщение отказа в доступе, и попытка подключения отклоняется.

Если в качестве RADIUS-сервера выступает компьютер под управлением Windows 2000 Server с запущенной службой IAS, IAS-сервер выполняет проверку подлинности, используя средства безопасности Windows 2000, а также выполняет авторизацию на основании свойств удаленного подключения учетной записи пользователя и политик удаленного доступа, настроенных на IAS-сервере.

Безопасная проверка подлинности пользователя

Безопасная проверка подлинности пользователя достигается путем шифрованного обмена учетными данными. Для PPP-подключений возможно использование следующих протоколов проверки подлинности:

Протокол EAP (Extensible Authentication Protocol)

Протокол MS-CHAP (Microsoft Challenge Handshake Authentication Protocol)

Протокол MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol версии 2)

Протокол CHAP (Challenge Handshake Authentication Protocol)

Протокол SPAP (Shiva Password Authentication Protocol)

Можно настроить сервер удаленного доступа таким образом, чтобы он требовал использования определенных методов безопасной проверки подлинности. Если клиент удаленного доступа не может использовать требуемые методы проверки подлинности, подключение отклоняется.

Протокол EAP (Extensible Authentication Protocol)

Протокол EAP является новым стандартом, позволяющим использовать для проверки PPP-подключений дополнительные механизмы проверки подлинности. При использовании таких протоколов проверки подлинности, как MS-CHAP и SPAP, на этапе установления соединения выбирается определенный механизм проверки подлинности. Затем на этапе проверки подлинности подключения используется протокол согласованной проверки подлинности. Протокол проверки подлинности представляет собой серию сообщений, посылаемых в определенном порядке.

Если используется протокол EAP, то механизм проверки подлинности на этапе установления соединения не выбирается. Вместо этого каждый PPP-узел согласовывает использование протокола EAP, осуществляемое на этапе проверки подлинности подключения. На этапе проверки подлинности каждый PPP-узел должен сначала согласовать использование определенной схемы проверки подлинности, которая называется типом EAP. Как только тип EAP согласован, протокол EAP позволяет вести свободный диалог между сервером и клиентом удаленного доступа. Этот диалог может сильно различаться в зависимости от параметров подключения и состоит из запросов на необходимую информацию проверки подлинности и ответов клиента. Продолжительность и содержание диалога проверки подлинности зависит от типа EAP.

Например, при использовании EAP совместно с токенами безопасности сервер удаленного доступа может по отдельности запросить у клиента имя, PIN-код и информацию токена. После получения сервером проверки подлинности ответа на очередной запрос пользователь переходит на следующий уровень проверки. После того, как были получены ответы на все запросы проверки подлинности, происходит авторизация пользователя и ему выдается разрешение на доступ в сеть.

В протоколе EAP реализована архитектурная поддержка компонентов проверки подлинности, выполненных в виде подключаемых модулей, устанавливаемых на обеих сторонах подключения – на стороне сервера и на стороне клиента. Установив один и тот же модуль проверки подлинности на сервере и на клиенте удаленного доступа, можно организовать поддержку нового типа EAP. Это позволяет производителям в любое время представлять новые схемы проверки подлинности. EAP обеспечивает высочайшую гибкость и поддержку множества уникальных методов проверки подлинности.

Windows 2000 и Windows XP поддерживают два типа EAP для клиентов удаленного доступа – EAP-MD5 и EAP-TLS. Служба маршрутизации и удаленного доступа (Routing and Remote Access service) для Windows 2000 Server обеспечивает поддержку EAP-MD5, EAP-TLS и отправку EAP-сообщений RADIUS-серверу.

EAP-MD5 (EAP-Message Digest 5)

Протокол EAP-MD5 – это механизм проверки подлинности протокола CHAP (Challenge Handshake Authentication Protocol), использующийся в среде EAP. EAP-MD5 является обязательным типом EAP и может использоваться для проверки работы EAP. Также как и CHAP, EAP-MD5 сложно использовать из-за того, что он требует наличия сервера для выполнения проверки подлинности и хранения паролей пользователей в доступной для обратимого шифрования форме.

EAP-TLS (EAP-Transport Level Security)

Протокол EAP-TLS, основанный на протоколе SSL (Secure Sockets Layer), обеспечивает безопасный обмен данными между приложениями. При использовании EAP-TLS взаимная аутентификации между PPP-клиентом и сервером проверка подлинности основана на использовании сертификатов. При взаимной проверке подлинности клиент, устанавливающий подключение, отправляет для проверки серверу аутентификации сертификат пользователя, а сервер отправляет клиенту сертификат компьютера.

Протокол EAP-TLS является самым надежным способом проверки подлинности и поддерживается удаленными клиентами под управлением ОС Windows XP иWindows 2000.

EAP-RADIUS

EAP-RADIUS – это не тип EAP, а способ передачи сообщений EAP любого типа EAP сервером проверки подлинности RADIUS-серверу для проверки подлинности. Сообщения EAP, пересылаемые между клиентом и сервером удаленного доступа, инкапсулируются и форматируются в виде сообщений RADIUS между сервером удаленного доступа и RADIUS-сервером. Сервер удаленного доступа выступает в роли посредника, передавая сообщения EAP между клиентом удаленного доступа и RADIUS-сервером. Вся обработка сообщений EAP выполняется клиентом удаленного доступа и RADIUS-сервером.

EAP-RADIUS применяется в системах, в которых в качестве поставщика службы проверки подлинности используется RADIUS. Преимущество EAP-RADIUS состоит в том, что типы EAP должны быть установлены только на RADIUS-сервере, а не на каждом сервере удаленного доступа.

Обычно при использовании EAP-RADIUS сервер удаленного доступа Windows 2000 настроен на проверку подлинности с помощью протокола EAP и RADIUS-сервера, выступающего в роли поставщика службы проверки подлинности. В процессе подключения клиент удаленного доступа согласовывает использование протокола EAP с сервером удаленного доступа. Когда клиент отправляет серверу удаленного доступа сообщение EAP, сервер удаленного доступа инкапсулирует это сообщение в виде сообщения RADIUS и отправляет его указанному RADIUS-серверу. RADIUS-сервер обрабатывает сообщение EAP и отправляет серверу удаленного доступа ответное сообщение EAP, инкапсулированное в виде сообщения RADIUS. Затем сервер удаленного доступа перенаправляет сообщение EAP клиенту удаленного доступа.

Взаимная проверка подлинности

Взаимная проверка подлинности достигается путем проверки подлинности обеих сторон подключения, выполняющих шифрованный обмен учетными данными. Для PPP-подключений возможно использование протоколов проверки подлинности EAP-TLS или MS-CHAP v2. В процессе взаимной проверки подлинности клиент удаленного доступа предоставляет свои учетные данные серверу удаленного доступа для проверки, и наоборот.

Сервер удаленного доступа может и не предоставлять доказательств своей подлинности клиенту удаленного доступа. Однако, в случае, если клиент удаленного доступа под управлением Windows 2000 использует MS-CHAP v2 или EAP-TLS в качестве единственного способа проверки подлинности, он будет требовать обязательного выполнения взаимной проверки подлинности. Если сервер удаленного доступа не отвечает на запрос проверки подлинности, клиент разрывает соединение.

Шифрование данных

Механизмы шифрования обеспечивают шифрование данных, передаваемых между клиентом и сервером удаленного доступа. С помощью этих механизмов шифруются только данные в канале между клиентом и сервером удаленного доступа. Если требуется обеспечить шифрование для конечных точек, используйте IPSec: после того, как подключение удаленного доступа установлено, IPSec обеспечивает канальное шифрование.

Шифрование данных подключения удаленного доступа основано на использовании секретных ключей шифрования, известных клиенту и серверу удаленного доступа. Ключ шифрования генерируется во время процесса проверки подлинности подключения. Сервер удаленного доступа может требовать обязательного использования шифрования данных. Если клиент удаленного доступа не может выполнить требуемое шифрование данных, попытка подключения отклоняется.

Существует две технологии шифрования данных подключений удаленного доступа:

Шифрование MPPE (Microsoft Point-to-Point Encryption)

Шифрование по методу MPPE использует алгоритм RSA (Rivest-Shamir-Adleman) и представляет собой поточный шифр (шифрование с открытым ключом) RC4 с 40-, 56- либо 128-разрядными ключами шифрования. MPPE поддерживается клиентами удаленного доступа на базе протокола PPP и VPN-клиентами и VPN-серверами удаленного доступа на базе протокола PPTP под управлением ОС Windows XP, Windows 2000, Windows NT 4.0, Windows Millennium Edition и Windows 98. Ключи шифрования MPPE генерируются в процессе проверки подлинности по протоколу MS-CHAP, MS-CHAP v2 или EAP-TLS.

Шифрование DES (Data Encryption Standard) и 3DES (Triple DES)

Шифрование DES и 3DES представляет собой блочный шифр (шифрование с закрытым ключом) с одним (DES) либо тремя (3DES) 56-разрядными ключами шифрования. Этот метод шифрования поддерживается VPN-клиентами и VPN-серверами на базе протокола L2TP/IPSec под управлением ОС Windows XP и Windows 2000. Ключи шифрования DES генерируются в процессе проверки подлинности по протоколу IPSec.

Код вызова

Код вызова (Caller-ID) может использоваться для проверки того, что входящий вызов поступил с определенного телефонного номера. Код вызова является одним из параметров свойств удаленного подключения учетной записи пользователя. Если код (ID) вызова входящего подключения, производимого определенным пользователем, не совпадает с указанным для этого пользователя кодом вызова, попытка подключения отклоняется.

Для использования функции Caller-ID необходимо, чтобы телефонные линии вызывающей и принимающей сторон, телефонная система и драйвер операционной системы Windows 2000 для оборудования удаленного доступа поддерживали эту функцию. Если для учетной записи пользователя задан код (ID) вызова входящего подключения, и он не передается вызывающим абонентом службе маршрутизации и удаленного доступа (Routing and Remote Access service), подключение отклоняется.

Функция Caller-ID разработана для повышения безопасности сетей с поддержкой дистанционных пользователей. Недостатком использования этой функции является то, что пользователь может производить подключение только с одной заранее определенной телефонной линии.

Блокировка учетной записи при удаленном доступе

Функция блокировки учетной записи при удаленном доступе используется для того, чтобы задать количество неудачных попыток подключения, не прошедших проверку подлинности, после которых пользователю будет отказано в удаленном доступе. Эта функция наиболее важна при работе с подключениями к виртуальной частной сети через Интернет. Злоумышленники могут попытаться получить доступ из Интернета к внутренней сети организации, отправляя учетные данные (имя пользователя и предполагаемый пароль) во время процесса проверки подлинности VPN-подключения. При атаке с подбором паролей по словарю злоумышленник посылает тысячи вариантов учетных данных, используя список паролей на основе распространенных слов или фраз. При использовании функции блокировки учетной записи при удаленном доступе такая атака будет пресечена после определенного числа неудачных попыток подключения.

Функция блокировки учетной записи не различает злоумышленников, пытающихся получить доступ к интрасети, и доверенных пользователей, которые просто забыли свой текущий пароль. Пользователи, которые забыли свой текущий пароль, обычно пытаются использовать старые пароли, которые они смогут вспомнить. Это может привести к блокировке их учетных записей.

Если Вы включите функцию блокировки учетной записи при удаленном доступе, злоумышленник может намеренно заблокировать учетную запись пользователя путем многократных попыток подключения с использованием этой учетной записи. Это приведет к тому, что доверенный пользователь не сможет подключиться.

Сетевой администратор может настроить два параметра функции блокировки учетной записи при удаленном доступе:

1.

Число неудачных попыток подключения, после которого происходит блокировка.

После каждой неудачной попытки подключения увеличивается значение счетчика блокировки. Если это значение достигает заданного максимума, дальнейшие попытки подключения отклоняются.

Счетчик блокировки обнуляется после успешной проверки подлинности, если его значение не достигло заданного максимума.

2.

Периодичность сброса значений счетчика блокировки.

Вы должны периодически обнулять счетчик блокировки, чтобы предотвратить блокировку учетной записи из-за невнимательности пользователей при наборе паролей.

Функция блокировки учетной записи при удаленном доступе настраивается путем изменения параметров реестра Windows 2000 на компьютере, выполняющем проверку подлинности. Если сервер удаленного доступа использует для проверки подлинности встроенные службы Windows, измените параметры реестра на компьютере сервера удаленного доступа. Если сервер удаленного доступа использует для проверки подлинности RADIUS и службу IAS Windows 2000, измените параметры реестра на компьютере IAS-сервера. Для получения дополнительной информации обратитесь к справке Windows 2000 Server.

Примечание. Функция блокировки учетной записи при удаленном доступе не связана с параметром Заблокировать учетную запись (Account locked out) на вкладке Учетная запись (Account) свойств учетной записи пользователя, а также с администрированием политик блокировки учетной записи через групповые политики Windows 2000.

Фильтрация пакетов для VPN-подключений удаленного доступа

В случае удаленных подключений к виртуальной частной сети VPN-сервер может быть подключен либо к Интернету, либо к сегменту сети между Вашей сетью и Интернетом, называемому сетью периметра, также известному как демилитаризованная зона (Demilitarized zone, DMZ) или экранированная подсеть. В обеих конфигурациях VPN-сервер удаленного доступа оказывается уязвимым для атак из Интернета, которые могут производиться злоумышленниками. Чтобы запретить на VPN-сервере удаленного доступа весь трафик, кроме трафика PPTP или L2TP/IPSec, на интерфейсе подключения к Интернету или на интерфейсе сети периметра VPN-сервера настраиваются фильтры IP-пакетов для трафика PPTP или L2TP/IPSec.

Когда Вы запускаете мастер установки сервера маршрутизации и удаленного доступа (Routing and Remote Access Server Setup Wizard) и выбираете конфигурацию Сервер виртуальной частной сети (VPN) (Virtual private network (VPN) server), эти фильтры настраиваются автоматически. Для получения дополнительной информации обратитесь к разделу «Настройка сервера удаленного доступа Windows 2000» этого документа.

Фильтры пакетов в профиле политики удаленного доступа

Политика удаленного доступа, задающая ограничения для подключений и проверки подлинности, может использоваться для настройки фильтров IP-пакетов, которые будут применяться к подключениям удаленного доступа. После того, как подключение принято, фильтры пакетов определяют типы IP-трафика, которые может передавать и принимать клиент удаленного доступа.

Эта функциональная возможность может использоваться для подключений к экстрасети. Экстрасеть – это часть сети организации, доступная пользователям за пределами этой организации (например, деловые партнеры и поставщики). Используя фильтрацию пакетов, настраиваемую в профиле политики удаленного доступа, Вы можете создать политику удаленного доступа, которая позволяет членам группы Партнеры получать доступ к веб-серверам только с определенных IP-адресов или же только из определенной подсети.

Наверх страницы

Автор: Артем Жауров aka Borodunter  •  Иcточник: (переведено с англ.) Microsoft Technet  •  Опубликована: 25.09.2006
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:  


Оценить статью:
Вверх
Комментарии посетителей RSS

Чтобы оставить комментарий, зарегистрируйтесь или войдите с учетной записью социальной сети.