Введение в технологии удаленного доступа Microsoft и их краткий обзор

Введение в технологии удаленного доступа Microsoft и их лаконичный обзор

Размещено: 18 марта 2002 г.

Инструкция

Система удаленного доступа позволяет юзерам удаленных компов создавать логические подключения к сети организации либо Вебу. Операционные системы компании Microsoft содержат в себе клиентские и серверные приложения, поддерживающие как подключения удаленного доступа (Dial-Up), так и подключения к виртуальным личным сетям (Virtual Private Network, VPN). Операционные системы компании Microsoft содержат широкий набор многофункциональных способностей, позволяющих создавать гибкие и неопасные решения на базе удаленного доступа.

На этой страничке

Введение

Дополнительные способности удаленного доступа

Средства защиты системы удаленного доступа Microsoft

Настройка сервера удаленного доступа Windows 2000

Настройка клиента удаленного доступа Windows XP

Диспетчер подключений и управление подключениями удаленного доступа

Заключение

Связанные ресурсы

Введение

Система удаленного доступа – это ряд технологий, обеспечивающих прозрачное подключение к сети удаленных клиентов, обычно, расположенных за пределами локальной сети организации. Обычно организации употребляют удаленный доступ, чтоб подключить к сети организации переносные либо домашние компы собственных служащих (для чтения электрической почты либо доступа к общим файлам). Также при помощи удаленного доступа поставщики услуг Веба подключают к сети Веб собственных клиентов.

Запуская клиентские приложения для удаленного доступа, юзеры инициируют подключение к серверу удаленного доступа. Сервер в свою очередь делает проверку подлинности юзеров и обслуживает сеанс связи в протяжении всего времени подключения, пока оно не будет завершено юзером либо сетевым админом. Все службы, которые обычно доступны юзерам локальной сети (включая общие файлы и принтеры, доступ к веб-серверу и службы обмена сообщениями), также доступны и через подключение удаленного доступа.

Для доступа к ресурсам клиенты удаленного доступа употребляют стандартные средства. К примеру, удаленный клиент, работающий на компьютере под управлением Windows 2000, может подключиться к сетевому диску либо принтеру при помощи проводника Windows. Подключения являются неизменными – это значит, что во время удаленного сеанса юзерам не придется поновой подключаться к сетевым ресурсам. Так как при удаленном доступе на сто процентов поддерживаются буковкы дисков и универсальные имена UNC (Universal naming convention), большая часть коммерческих и пользовательских приложений работают без каких-то дополнительных модификаций.

На Рисунке 1 представлен логический эквивалент подключения удаленного клиента к серверу удаленного доступа.

Введение в технологии удаленного доступа Microsoft и их лаконичный обзор
Прирастить набросок

Набросок 1 – Логический эквивалент подключения удаленного доступа

Windows 2000 поддерживает два разных типа соединений удаленного доступа:

1.

Удаленный доступ. При использовании удаленного доступа клиент употребляет инфраструктуру телекоммуникаций (обычно, аналоговая телефонная линия), создавая временный физический либо виртуальный канал к порту сервера удаленного доступа. После сотворения физического либо виртуального канала могут быть согласованы другие характеристики подключения.

2.

Доступ к виртуальной личной сети (VPN). При удаленном доступе к виртуальной личной сети VPN-клиент употребляет IP-сеть для сотворения виртуального подключения «точка-точка» к серверу удаленного доступа, выступающего в роли VPN-сервера. После установления виртуального подключения «точка-точка» могут быть согласованы другие характеристики подключения.

Удаленный доступ и удаленное управление

Следует отличать удаленный доступ от удаленного управления. Сервер удаленного доступа – это программный маршрутизатор, поддерживающий несколько протоколов; решения для удаленного управления основаны на функциях совместного использования экрана, клавиатуры и мыши через удаленное соединение. Удаленный доступ и удаленное управление имеют последующие отличия:

При удаленном доступе приложения производятся на компьютере удаленного клиента. Примером сервера удаленного доступа является компьютер под управлением Windows 2000 Server с запущенной службой маршрутизации и удаленного доступа (Routing and Remote Access service). Примером клиента удаленного доступа является компьютер под управлением Windows 2000 Professional.

При удаленном управлении юзеры употребляют микропроцессор (либо несколько микропроцессоров) сервера, и приложения производятся также на сервере. Микропроцессор удаленного сервера употребляется для поддержания взаимодействия меж клиентами удаленного доступа и сетевыми ресурсами, но не меж клиентами и работающими приложениями. Примером сервера удаленного управления является компьютер с установленной ОС Windows 2000 Server, на котором запущены службы терминалов (Terminal Services). Примером клиента удаленного управления является компьютер с установленной ОС Windows 2000 Professional, на котором запущен клиент служб терминалов.

Составляющие подключения удаленного доступа

Подключение удаленного доступа, изображенное на Рисунке 2, состоит из клиента удаленного доступа, сервера удаленного доступа и инфраструктуры глобальной сети (Wide area network, WAN).

Введение в технологии удаленного доступа Microsoft и их лаконичный обзор
Прирастить набросок

Набросок 2 – Составляющие подключения удаленного доступа

Клиент удаленного доступа

Клиенты удаленного доступа операционных систем Windows XP, Windows 2000, Microsoft Windows NT 4.0, Microsoft Windows Millennium Edition и Microsoft Windows 98 могут подключаться к серверу удаленного доступа под управлением Windows 2000, также к большинству других серверов удаленного доступа. Практически все посторонние клиенты удаленного доступа на базе протокола PPP (Point-to-Point Protocol – протокол «точка-точка»), включая клиентов UNIX и Apple Macintosh, также могут подключаться к серверу удаленного доступа под управлением Windows 2000.

Сервер удаленного доступа

Сервер удаленного доступа под управлением Windows 2000 воспринимает подключения удаленного доступа и пересылает пакеты меж клиентами удаленного доступа и сетью, к которой он подключен.

Оборудование для удаленного доступа и инфраструктура глобальной сети (WAN)

Физическое либо логическое подключение меж сервером и клиентом удаленного доступа поддерживается при помощи оборудования, установленного на сервере и клиенте удаленного доступа, также при помощи инфраструктуры телекоммуникаций. Тип оборудования для удаленного доступа и инфраструктура телекоммуникаций различаются зависимо от типа устанавливаемого подключения.

Протоколы удаленного доступа

Протоколы удаленного доступа управляют процессом установления подключения и передачей данных через соединения глобальной сети. Операционная система и протоколы локальных сетей (LAN), использующиеся клиентами и серверами удаленного доступа, определяют, какие из протоколов удаленного доступа могут употребляться клиентами.

Главным протоколом удаленного доступа, поддерживаемым современными операционными системами компании Microsoft (включая Windows XP, Windows 2000 и Windows Millennium Edition), является PPP – стек протоколов, основанный на промышленных эталонах, обеспечивающий безопасность, сопоставимость и поддержку нескольких протоколов.

Протоколы локальных сетей

Протоколы локальных сетей (LAN) – это протоколы, применяемые удаленными клиентами для доступа к ресурсам сети, к которой подключен сервер удаленного доступа. Система удаленного доступа Microsoft поддерживает протоколы TCP/IP, IPX и AppleTalk.

В Таблице 1 перечислены протоколы локальных сетей, применяемые при удаленном доступе.

Таблица 1 – Протоколы локальных сетей и их внедрение

Протоколы LAN

Клиенты удаленного доступа под управлением Windows XP и Windows 2000

Сервер удаленного доступа под управлением Windows 2000

TCP/IP

X

X

IPX

X

X

AppleTalk

X

Составляющие VPN-подключения удаленного доступа

VPN-подключение удаленного доступа, изображенное на Рисунке 3, состоит из клиента удаленного доступа, сервера удаленного доступа и сети Веб.

Введение в технологии удаленного доступа Microsoft и их лаконичный обзор
Прирастить набросок

Набросок 3 – Составляющие VPN-подключения удаленного доступа

VPN-клиент удаленного доступа

VPN-клиентами являются или отдельные юзеры, устанавливающие подключения удаленного доступа, или маршрутизаторы, устанавливающие VPN-подключения «маршрутизатор-маршрутизатор». VPN-клиенты под управлением операционных систем Windows XP, Windows 2000, Windows NT 4.0, Windows Millennium Edition и Windows 98 могут создавать VPN-подключения удаленного доступа к серверу удаленного доступа под управлением Windows 2000, выступающему в роли VPN-сервера, также к большинству других VPN-серверов. VPN-клиентом может также являться хоть какой клиент на базе протокола PPTP (Point-to-Point Tunneling Protocol) либо L2TP (Layer Two Tunneling Protocol), использующий IP-безопасность (IPSec). Компы под управлением ОС Windows 2000 Server либо Windows NT Server 4.0 (с установленной службой маршрутизации и удаленного доступа (Routing and Remote Access Service, RRAS) для Windows NT 4.0 Server) могут создавать VPN-подключения «маршрутизатор-маршрутизатор».

VPN-сервер удаленного доступа

Сервер удаленного доступа под управлением Windows 2000 воспринимает VPN-подключения на базе протоколов PPTP и L2TP/IPSec и пересылает пакеты меж клиентами удаленного доступа и сетью, к которой он подключен.

VPN-протоколы

Сервер удаленного доступа под управлением Windows 2000, также клиенты удаленного доступа поддерживают два протокола для VPN-подключений удаленного доступа:

Протокол PPTP (Point-to-Point Tunneling Protocol – туннельный протокол «точка-точка»)

Протокол L2TP (Layer Two Tunneling Protocol – протокол туннелирования второго уровня)

Протокол PPTP (Point-to-Point Tunneling Protocol)

Туннельный протокол PPTP, поддержка которого в первый раз была реализована в операционной системе Windows NT 4.0, является расширением протокола PPP (Point-to-Point Protocol) и имеет усовершенствованные механизмы проверки подлинности, сжатия и шифрования. Протокол PPTP устанавливается автоматом вкупе с протоколом TCP/IP. Главными функциями протокола PPTP и способа MPPE (Microsoft Point-to-Point Encryption) при работе с VPN являются инкапсуляция и шифрование личных данных.

Кадр PPP (IP- либо IPX-датаграмма) заключается в оболочку с заголовком GRE (Generic Routing Encapsulation) и заголовком IP. IP-заголовок содержит Айпишники источника и приемника, которые соответствуют VPN-клиенту и VPN-серверу.

Кадр PPP зашифрован по способу MPPE с внедрением ключей шифрования, сделанных в процессе проверки подлинности по протоколу MS-CHAP, MS-CHAP v2 либо EAP-TLS. Клиенты виртуальных личных сетей должны использовать для шифрования нужных данных PPP протокол проверки подлинности MS-CHAP, MS-CHAP v2 либо EAP-TLS. PPTP не предоставляет средств шифрования, а употребляет средства, предоставляемые протоколом PPP, и инкапсулирует за ранее зашифрованный кадр PPP.

На Рисунке 4 показано шифрование кадра PPP и его инкапсуляция протоколом PPTP.

Введение в технологии удаленного доступа Microsoft и их лаконичный обзор
Прирастить набросок

Набросок 4 – Шифрование и инкапсуляция кадра PPP протоколом PPTP

Протокол L2TP (Layer Two Tunneling Protocol)

Протокол L2TP является фабричным туннельным протоколом Веба эталона EITF (Internet Engineering Task Force – рабочая группа по эталонам для сети Internet). В отличие от протокола PPTP, L2TP не употребляет способа MPPE для шифрования кадров PPP. L2TP употребляет средства шифрования, предоставляемые способом IPSec (Internet Protocol security – IP-безопасность). Композиция L2TP и IPSec известна как L2TP/IPSec. Протоколы L2TP и IPSec должны поддерживаться как VPN-сервером, так и VPN-клиентом. Протокол L2TP устанавливается автоматом совместно со службой маршрутизации и удаленного доступа (Routing and Remote Access service).

Главными функциями L2TP/IPSec при работе с VPN являются инкапсуляция и шифрование личных данных.

Инкапсуляция пакетов L2TP поверх IPSec производится в два шага.

Инкапсуляция L2TP. Кадр PPP (IP- либо IPX-датаграмма) заключается в оболочку с заголовком L2TP и заголовком UDP.

Инкапсуляция IPSec. Приобретенное L2TP-сообщение заключается в оболочку с заголовком и трейлером IPSec ESP (Encapsulating Security Payload – модуль неопасной инкапсуляции содержимого), трейлером проверки подлинности IPSec, обеспечивающим целостность сообщения и проверку подлинности, и заголовком IP. IP-заголовок содержит Айпишники источника и приемника, которые соответствуют VPN-клиенту и VPN-серверу. L2TP-сообщение зашифровано при помощи устройств шифрования IPSec с внедрением ключей шифрования, сделанных в процессе проверки подлинности по способу IPSec.

На Рисунке 5 показано шифрование и инкапсуляция кадра PPP протоколом L2TP/IPSec.

Введение в технологии удаленного доступа Microsoft и их лаконичный обзор
Прирастить набросок

Набросок 5 – Шифрование и инкапсуляция кадра PPP протоколом L2TP/IPSec

Веб

В качестве среды передачи данных меж VPN-клиентом и VPN-сервером удаленного доступа может выступать неважно какая сеть на базе протокола TCP/IP, но, обычно, этой средой в большинстве случаев является сеть Веб. VPN-клиенты нередко подключаются к Вебу через поставщика услуг Веба при помощи соединений удаленного доступа, после этого устанавливают VPN-подключение к сети собственной организации.

Наверх странички

Дополнительные способности удаленного доступа

Текущие операционные системы Microsoft поддерживают последующие дополнительные способности для подключений удаленного доступа:

Поддержка клиентов RADIUS
Поддержка многоадресного перенаправления
Поддержка протокола DHCP
Многоканальные подключения и протокол рассредотачивания пропускной возможности (Bandwidth Allocation Protocol, BAP)
Ответный вызов

Поддержка клиентов RADIUS

Служба маршрутизации и удаленного доступа (Routing and Remote Access service) Windows 2000 может использовать средства ОС Windows либо протокол службы удаленной проверки подлинности RADIUS (Remote Authentication Dial-In User Service) в качестве поставщиков служб проверки подлинности и учета

Если в качестве поставщика служб проверки подлинности и учета употребляется Windows 2000, то для проверки учетных данных безопасности клиента удаленного доступа (обычно, это имя юзера и пароль), также для доступа к свойствам удаленного подключения его учетной записи сервер удаленного доступа употребляет интегрированные функции операционной системы. Подключение удаленного доступа авторизуется локально настроенными политиками удаленного доступа, а информация учета подключений записывается в локальные файлы журнальчика учета.

Если в качестве поставщика служб проверки подлинности и учета употребляется RADIUS, то сервер удаленного доступа выступает в качестве клиента RADIUS, посылая учетные данные юзера и другие характеристики подключения RADIUS-серверу. RADIUS-сервер инспектирует приобретенные данные юзера удаленного доступа, авторизует попытку подключения и хранит информацию учета подключений.

RADIUS-сервер заходит в состав операционной системы Windows 2000 Server в качестве дополнительного сетевого компонента – службы проверки подлинности в Вебе (Internet Authentication Service, IAS). Если в качестве RADIUS-сервера употребляется служба IAS, то для проверки учетных данных безопасности клиента удаленного доступа и для доступа к свойствам удаленного подключения его учетной записи IAS-сервер употребляет интегрированные функции операционной системы. Авторизация подключений удаленного доступа происходит на базе политик удаленного доступа, настроенных на IAS-сервере, а информация учета подключений записывается в файлы журнальчика учета, хранящиеся на IAS-сервере.

Поддержка многоадресного перенаправления

Если Ваша сеть поддерживает многоадресную IP-рассылку, сервер удаленного доступа Windows 2000 может выступать в качестве многоадресного шлюза меж клиентами удаленного доступа и таковой сетью. Извещения от клиентов удаленного доступа о готовности получения многоадресного IP-трафика передаются маршрутизатору с многоадресной поддержкой, присоединенному к тому же сектору сети, что и сервер удаленного доступа. Когда многоадресный трафик, созданный для клиента удаленного доступа, перенаправляется в сектор сети, к которому подключен сервер удаленного доступа, последний перенаправляет многоадресный пакет тому клиенту удаленного доступа, для которого предназначен этот пакет. Клиенты удаленного доступа могут обмениваться многоадресным IP-трафиком вместе. Поддержка многоадресного перенаправления врубается по дефлоту при запуске мастера установки сервера маршрутизации и удаленного доступа (Routing and Remote Access Server Setup Wizard). Для получения дополнительной инфы обратитесь к разделу «Настройка сервера удаленного доступа Windows 2000» данного документа.

Поддержка протокола DHCP

Протокол динамической конфигурации узла (Dynamic Host Configuration Protocol, DHCP) предназначен для автоматического предназначения Айпишников и сетевых опций TCP/IP и нередко употребляется в сетевой инфраструктуре организаций. Поддержка операционной системой Windows 2000 протокола DHCP для удаленного доступа может осуществляться последующими методами:

Сервер удаленного доступа Windows 2000 может быть настроен на внедрение DHCP для получения Айпишников, которые назначаются клиентам удаленного доступа во время процесса установления PPP-подключения. Для получения Айпишников клиенты удаленного доступа не употребляют DHCP, а получают адреса от сервера удаленного доступа при помощи согласования PPP. Для предназначения удаленным клиентам Айпишников при помощи DHCP может употребляться существующая инфраструктура управления TCP/IP. Внедрение DHCP-адресов упрощает маршрутизацию трафика, созданного для клиентов удаленного доступа.

После установления PPP-соединения клиенты удаленного доступа под управлением Windows 2000 и Windows XP отправляют серверу удаленного доступа особое DHCP-сообщение, известное как сообщение DHCPInform. В сообщении DHCPInform содержится запрос определенного набора конфигурационных характеристик. На сервере удаленного доступа Windows 2000 может быть настроено перенаправление сообщений DHCPInform к DHCP-серверу в сети организации, также оборотное перенаправление ответов от DHCP-сервера к клиенту удаленного доступа. Конечным результатом будет являться то, что клиенты удаленного доступа под управлением Windows 2000 и Windows XP сумеют получить конфигурационные характеристики, которые не предоставляются во время согласования PPP-подключения (к примеру, DNS-имя домена клиента удаленного доступа).

Многоканальные подключения и протокол рассредотачивания пропускной возможности

Для физических каналов связи удаленных подключений система удаленного доступа Windows 2000 поддерживает многоканальные подключения и протокол рассредотачивания пропускной возможности (Bandwidth Allocation Protocol, BAP). При использовании многоканальных подключений несколько физических каналов связи соединяются воединыжды в один логический канал, по которому отправляются и принимаются данные. Неплохим примером служит объединение 2-ух B-каналов ISDN-подключения с интерфейсом BRI (Basic Rate Interface). Многоканальные подключения — это рекомендуемый метод объединения B-каналов ISDN-подключения с интерфейсом BRI, потому что адаптеры ISDN аппаратно поддерживают такую возможность. Многоканальные подключения можно использовать с хоть каким адаптером ISDN. Многоканальные подключения должны поддерживаться обеими сторонами подключения.

Возможность многоканального подключения позволяет соединять воединыжды несколько физических каналов связи, но не предугадывает механизма учета изменяющихся требований к полосе пропускания, который по мере надобности мог бы подключать и отключать дополнительные полосы связи. Таковой механизм предоставляет протокол BAP (Bandwidth Allocation Protocol). BAP употребляет многоканальное подключение для динамического управления каналами связи.

К примеру, клиент и сервер удаленного доступа, поддерживающие многоканальные подключения и протокол BAP, сначала делают многоканальное подключение по одному физическому каналу. Когда загруженность этого канала увеличивается до определенного уровня, клиент удаленного доступа при помощи запроса BAP запрашивает дополнительный канал связи. Запрос BAP показывает тип требуемого канала (к примеру, аналоговая телефонная линия, ISDN либо X.25). Сервер удаленного доступа посылает ответ BAP, содержащий номер телефона доступного порта сервера удаленного доступа; этот порт имеет тот тип, который запрашивал клиент удаленного доступа.

Ответный вызов

При использовании ответного вызова сервер удаленного доступа производит проверку учетных данных клиента удаленного доступа, после этого делает ответный вызов. Сервер может делать ответный вызов, используя телефонный номер, обозначенный клиентом удаленного доступа во время совершения входящего звонка. Это позволяет мобильному юзеру получать ответные звонки по месту его нахождения и, тем, снижать издержки на оплату телефонных услуг. Также сервер может делать ответный вызов, используя неизменный, заблаговременно данный телефонный номер. Таковой метод является неопасной формой ответного вызова.

Наверх странички

Средства защиты системы удаленного доступа Microsoft

Так как система удаленного доступа разработана для обеспечения прозрачного подключения удаленных клиентов к сети и для предоставления доступа к данным, потенциально содержащим секретную информацию, защита подключений удаленного доступа является очень принципиальной составляющей. Система удаленного доступа Microsoft располагает широким набором средств обеспечения безопасности, в который входят:

Проверка подлинности и авторизация

Неопасная проверка подлинности юзера

Протокол расширенной проверки подлинности EAP (Extensible Authentication Protocol)

Шифрование данных

Код вызова

Блокировка учетной записи при удаленном доступе

Фильтрация пакетов для VPN-подключений удаленного доступа

Фильтры пакетов в профиле политики удаленного доступа

Проверка подлинности и авторизация

Чтоб осознать, почему пробы подключения могут приниматься либо отклоняться, принципиально осознавать различия меж проверкой подлинности и авторизацией.

Проверка подлинности – это проверка учетных данных пробы подключения. В процессе проверки подлинности клиент удаленного доступа отправляет свои учетные данные серверу удаленного доступа, используя протокол проверки подлинности.

Авторизация – это доказательство того, что попытка подключения разрешена. Авторизация происходит после удачной проверки подлинности.

Для того чтоб попытка подключения была принята, она должна пройти проверку подлинности и авторизацию. Попытка подключения с правильными учетными данными может пройти проверку подлинности, но, все же, не быть авторизована. В данном случае попытка подключения отклоняется.

Если для проверки подлинности сервер удаленного доступа употребляет интегрированные средства Windows, то для проверки учетных данных, также для доступа к свойствам удаленного подключения учетной записи юзера употребляются средства безопасности Windows 2000, а локальные политики удаленного доступа создают авторизацию подключения. Если попытка подключения прошла проверку подлинности и авторизацию, она принимается.

Политики удаленного доступа представляют собой упорядоченный набор правил, определяющих то, каким образом происходит авторизация подключений. Политики удаленного доступа также задают ограничения для подключений, прошедших авторизацию. Пробы подключений попеременно оцениваются политиками удаленного доступа; при всем этом проверяется, удовлетворяет ли попытка подключения всем условиям каждой политики. Если попытка подключения не удовлетворяет всем условиям какой или из политик, она отклоняется.

Если подключение удовлетворяет всем условиям политики удаленного доступа и ему предоставлено право удаленного доступа, профиль политики задает для подключения ряд дополнительных ограничений. Характеристики удаленного подключения учетной записи юзера также задают ряд ограничений. Если используются ограничения учетной записи юзера, они будут перекрывать ограничения политики удаленного доступа.

Одно из самых нужных критерий, которое можно задать в политике удаленного доступа – это принадлежность к определенной группе Windows. При помощи этого условия Вы сможете задавать ограничения относительно авторизации и подключения, основанные на принадлежности учетной записи удаленного юзера к определенной группе. К примеру, Вы сможете:

Для членов группы Операторы запретить подключения в нерабочие часы.

Для членов группы Сотрудники задать наибольшее время сеанса подключения, равное 10 минуткам, и время простоя, равное 5 минуткам.

Для членов группы Руководители задать неограниченное время сеанса подключения и неограниченное время простоя.

Если для проверки подлинности сервер удаленного доступа употребляет RADIUS, учетные пробы подключения передаются RADIUS-серверу для проверки подлинности и авторизации. Если попытка подключения удачно прошла проверку подлинности и авторизацию, RADIUS-сервер отправляет серверу удаленного доступа сообщение предоставления доступа, и попытка подключения принимается. Если попытка подключения не прошла проверку подлинности либо авторизацию, RADIUS-сервер отправляет в ответ сообщение отказа в доступе, и попытка подключения отклоняется.

Если в качестве RADIUS-сервера выступает компьютер под управлением Windows 2000 Server с запущенной службой IAS, IAS-сервер делает проверку подлинности, используя средства безопасности Windows 2000, также делает авторизацию на основании параметров удаленного подключения учетной записи юзера и политик удаленного доступа, настроенных на IAS-сервере.

Неопасная проверка подлинности юзера

Неопасная проверка подлинности юзера достигается методом шифрованного обмена учетными данными. Для PPP-подключений может быть внедрение последующих протоколов проверки подлинности:

Протокол EAP (Extensible Authentication Protocol)

Протокол MS-CHAP (Microsoft Challenge Handshake Authentication Protocol)

Протокол MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol версии 2)

Протокол CHAP (Challenge Handshake Authentication Protocol)

Протокол SPAP (Shiva Password Authentication Protocol)

Можно настроить сервер удаленного доступа таким макаром, чтоб он добивался использования определенных способов неопасной проверки подлинности. Если клиент удаленного доступа не может использовать требуемые способы проверки подлинности, подключение отклоняется.

Протокол EAP (Extensible Authentication Protocol)

Протокол EAP является новым эталоном, позволяющим использовать для проверки PPP-подключений дополнительные механизмы проверки подлинности. При использовании таких протоколов проверки подлинности, как MS-CHAP и SPAP, на шаге установления соединения выбирается определенный механизм проверки подлинности. Потом на шаге проверки подлинности подключения употребляется протокол согласованной проверки подлинности. Протокол проверки подлинности представляет собой серию сообщений, посылаемых в определенном порядке.

Если употребляется протокол EAP, то механизм проверки подлинности на шаге установления соединения не выбирается. Заместо этого каждый PPP-узел согласовывает внедрение протокола EAP, осуществляемое на шаге проверки подлинности подключения. На шаге проверки подлинности каждый PPP-узел должен поначалу согласовать внедрение определенной схемы проверки подлинности, которая именуется типом EAP. Как тип EAP согласован, протокол EAP позволяет вести свободный диалог меж сервером и клиентом удаленного доступа. Этот диалог может очень различаться зависимо от характеристик подключения и состоит из запросов на нужную информацию проверки подлинности и ответов клиента. Длительность и содержание диалога проверки подлинности находится в зависимости от типа EAP.

К примеру, при использовании EAP вместе с токенами безопасности сервер удаленного доступа может по отдельности запросить у клиента имя, PIN-код и информацию токена. После получения сервером проверки подлинности ответа на очередной запрос юзер перебегает на последующий уровень проверки. После того, как были получены ответы на все запросы проверки подлинности, происходит авторизация юзера и ему выдается разрешение на доступ в сеть.

В протоколе EAP реализована строительная поддержка компонент проверки подлинности, выполненных в виде подключаемых модулей, устанавливаемых на обеих сторонах подключения – на стороне сервера и на стороне клиента. Установив один и тот же модуль проверки подлинности на сервере и на клиенте удаленного доступа, можно организовать поддержку нового типа EAP. Это позволяет производителям в хоть какое время представлять новые схемы проверки подлинности. EAP обеспечивает высочайшую упругость и поддержку огромного количества уникальных способов проверки подлинности.

Windows 2000 и Windows XP поддерживают два типа EAP для клиентов удаленного доступа – EAP-MD5 и EAP-TLS. Служба маршрутизации и удаленного доступа (Routing and Remote Access service) для Windows 2000 Server обеспечивает поддержку EAP-MD5, EAP-TLS и отправку EAP-сообщений RADIUS-серверу.

EAP-MD5 (EAP-Message Digest 5)

Протокол EAP-MD5 – это механизм проверки подлинности протокола CHAP (Challenge Handshake Authentication Protocol), использующийся в среде EAP. EAP-MD5 является неотклонимым типом EAP и может употребляться для проверки работы EAP. Также как и CHAP, EAP-MD5 трудно использовать из-за того, что он просит наличия сервера для выполнения проверки подлинности и хранения паролей юзеров в доступной для обратимого шифрования форме.

EAP-TLS (EAP-Transport Level Security)

Протокол EAP-TLS, основанный на протоколе SSL (Secure Sockets Layer), обеспечивает неопасный обмен данными меж приложениями. При использовании EAP-TLS обоюдная аутентификации меж PPP-клиентом и сервером проверка подлинности базирована на использовании сертификатов. При обоюдной проверке подлинности клиент, устанавливающий подключение, посылает для проверки серверу аутентификации сертификат юзера, а сервер посылает клиенту сертификат компьютера.

Протокол EAP-TLS является самым надежным методом проверки подлинности и поддерживается удаленными клиентами под управлением ОС Windows XP иWindows 2000.

EAP-RADIUS

EAP-RADIUS – это не тип EAP, а метод передачи сообщений EAP хоть какого типа EAP сервером проверки подлинности RADIUS-серверу для проверки подлинности. Сообщения EAP, пересылаемые меж клиентом и сервером удаленного доступа, инкапсулируются и форматируются в виде сообщений RADIUS меж сервером удаленного доступа и RADIUS-сервером. Сервер удаленного доступа выступает в роли посредника, передавая сообщения EAP меж клиентом удаленного доступа и RADIUS-сервером. Вся обработка сообщений EAP производится клиентом удаленного доступа и RADIUS-сервером.

EAP-RADIUS применяется в системах, в каких в качестве поставщика службы проверки подлинности употребляется RADIUS. Преимущество EAP-RADIUS заключается в том, что типы EAP должны быть установлены лишь на RADIUS-сервере, а не на каждом сервере удаленного доступа.

Обычно при использовании EAP-RADIUS сервер удаленного доступа Windows 2000 настроен на проверку подлинности при помощи протокола EAP и RADIUS-сервера, выступающего в роли поставщика службы проверки подлинности. В процессе подключения клиент удаленного доступа согласовывает внедрение протокола EAP с сервером удаленного доступа. Когда клиент посылает серверу удаленного доступа сообщение EAP, сервер удаленного доступа инкапсулирует это сообщение в виде сообщения RADIUS и посылает его обозначенному RADIUS-серверу. RADIUS-сервер обрабатывает сообщение EAP и посылает серверу удаленного доступа ответное сообщение EAP, инкапсулированное в виде сообщения RADIUS. Потом сервер удаленного доступа перенаправляет сообщение EAP клиенту удаленного доступа.

Обоюдная проверка подлинности

Обоюдная проверка подлинности достигается методом проверки подлинности обеих сторон подключения, выполняющих шифрованный обмен учетными данными. Для PPP-подключений может быть внедрение протоколов проверки подлинности EAP-TLS либо MS-CHAP v2. В процессе обоюдной проверки подлинности клиент удаленного доступа предоставляет свои учетные данные серверу удаленного доступа для проверки, и напротив.

Сервер удаленного доступа может и не предоставлять доказательств собственной подлинности клиенту удаленного доступа. Но, в случае, если клиент удаленного доступа под управлением Windows 2000 употребляет MS-CHAP v2 либо EAP-TLS в качестве единственного метода проверки подлинности, он будет добиваться неотклонимого выполнения обоюдной проверки подлинности. Если сервер удаленного доступа не отвечает на запрос проверки подлинности, клиент разрывает соединение.

Шифрование данных

Механизмы шифрования обеспечивают шифрование данных, передаваемых меж клиентом и сервером удаленного доступа. При помощи этих устройств шифруются только данные в канале меж клиентом и сервером удаленного доступа. Если требуется обеспечить шифрование для конечных точек, используйте IPSec: после того, как подключение удаленного доступа установлено, IPSec обеспечивает канальное шифрование.

Шифрование данных подключения удаленного доступа основано на использовании скрытых ключей шифрования, узнаваемых клиенту и серверу удаленного доступа. Ключ шифрования генерируется во время процесса проверки подлинности подключения. Сервер удаленного доступа может добиваться неотклонимого использования шифрования данных. Если клиент удаленного доступа не может выполнить требуемое шифрование данных, попытка подключения отклоняется.

Существует две технологии шифрования данных подключений удаленного доступа:

Шифрование MPPE (Microsoft Point-to-Point Encryption)

Шифрование по способу MPPE употребляет метод RSA (Rivest-Shamir-Adleman) и представляет собой поточный шифр (шифрование с открытым ключом) RC4 с 40-, 56- или 128-разрядными ключами шифрования. MPPE поддерживается клиентами удаленного доступа на базе протокола PPP и VPN-клиентами и VPN-серверами удаленного доступа на базе протокола PPTP под управлением ОС Windows XP, Windows 2000, Windows NT 4.0, Windows Millennium Edition и Windows 98. Ключи шифрования MPPE генерируются в процессе проверки подлинности по протоколу MS-CHAP, MS-CHAP v2 либо EAP-TLS.

Шифрование DES (Data Encryption Standard) и 3DES (Triple DES)

Шифрование DES и 3DES представляет собой блочный шифр (шифрование с закрытым ключом) с одним (DES) или 3-мя (3DES) 56-разрядными ключами шифрования. Этот способ шифрования поддерживается VPN-клиентами и VPN-серверами на базе протокола L2TP/IPSec под управлением ОС Windows XP и Windows 2000. Ключи шифрования DES генерируются в процессе проверки подлинности по протоколу IPSec.

Код вызова

Код вызова (Caller-ID) может употребляться для проверки того, что входящий вызов поступил с определенного телефонного номера. Код вызова является одним из характеристик параметров удаленного подключения учетной записи юзера. Если код (ID) вызова входящего подключения, производимого определенным юзером, не совпадает с обозначенным для этого юзера кодом вызова, попытка подключения отклоняется.

Для использования функции Caller-ID нужно, чтоб телефонные полосы вызывающей и принимающей сторон, телефонная система и драйвер операционной системы Windows 2000 для оборудования удаленного доступа поддерживали эту функцию. Если для учетной записи юзера задан код (ID) вызова входящего подключения, и он не передается вызывающим абонентом службе маршрутизации и удаленного доступа (Routing and Remote Access service), подключение отклоняется.

Функция Caller-ID разработана для увеличения безопасности сетей с поддержкой дистанционных юзеров. Недочетом использования этой функции будет то, что юзер может создавать подключение только с одной заблаговременно определенной телефонной полосы.

Блокировка учетной записи при удаленном доступе

Функция блокировки учетной записи при удаленном доступе употребляется для того, чтоб задать количество неудачных попыток подключения, не прошедших проверку подлинности, после которых юзеру будет отказано в удаленном доступе. Эта функция более принципиальна при работе с подключениями к виртуальной личной сети через Веб. Злоумышленники могут попробовать получить доступ из Веба к внутренней сети организации, отправляя учетные данные (имя юзера и предполагаемый пароль) во время процесса проверки подлинности VPN-подключения. При атаке с подбором паролей по словарю злодей отправляет тыщи вариантов учетных данных, используя перечень паролей на базе всераспространенных слов либо фраз. При использовании функции блокировки учетной записи при удаленном доступе такая атака будет пресечена после определенного числа неудачных попыток подключения.

Функция блокировки учетной записи не различает злоумышленников, пытающихся получить доступ к интрасети, и доверенных юзеров, которые просто запамятовали собственный текущий пароль. Юзеры, которые запамятовали собственный текущий пароль, обычно пробуют использовать старенькые пароли, которые они сумеют вспомнить. Это может привести к блокировке их учетных записей.

Если Вы включите функцию блокировки учетной записи при удаленном доступе, злодей может преднамеренно заблокировать учетную запись юзера методом неоднократных попыток подключения с внедрением этой учетной записи. Это приведет к тому, что доверенный юзер не сумеет подключиться.

Сетевой админ может настроить два параметра функции блокировки учетной записи при удаленном доступе:

1.

Число неудачных попыток подключения, после которого происходит блокировка.

После каждой неудачной пробы подключения возрастает значение счетчика блокировки. Если это значение добивается данного максимума, последующие пробы подключения отклоняются.

Счетчик блокировки обнуляется после удачной проверки подлинности, если его значение не достигнуло данного максимума.

2.

Периодичность сброса значений счетчика блокировки.

Вы должны временами обнулять счетчик блокировки, чтоб предупредить блокировку учетной записи из-за невнимательности юзеров при наборе паролей.

Функция блокировки учетной записи при удаленном доступе настраивается методом конфигурации характеристик реестра Windows 2000 на компьютере, выполняющем проверку подлинности. Если сервер удаленного доступа употребляет для проверки подлинности интегрированные службы Windows, измените характеристики реестра на компьютере сервера удаленного доступа. Если сервер удаленного доступа употребляет для проверки подлинности RADIUS и службу IAS Windows 2000, измените характеристики реестра на компьютере IAS-сервера. Для получения дополнительной инфы обратитесь к справке Windows 2000 Server.

Примечание. Функция блокировки учетной записи при удаленном доступе не связана с параметром Заблокировать учетную запись (Account locked out) на вкладке Учетная запись (Account) параметров учетной записи юзера, также с администрированием политик блокировки учетной записи через групповые политики Windows 2000.

Фильтрация пакетов для VPN-подключений удаленного доступа

В случае удаленных подключений к виртуальной личной сети VPN-сервер может быть подключен или к Вебу, или к сектору сети меж Вашей сетью и Вебом, именуемому сетью периметра, также известному как демилитаризованная зона (Demilitarized zone, DMZ) либо экранированная сабсеть. В обеих конфигурациях VPN-сервер удаленного доступа оказывается уязвимым для атак из Веба, которые могут выполняться злодеями. Чтоб запретить на VPN-сервере удаленного доступа весь трафик, не считая трафика PPTP либо L2TP/IPSec, на интерфейсе подключения к Вебу либо на интерфейсе сети периметра VPN-сервера настраиваются фильтры IP-пакетов для трафика PPTP либо L2TP/IPSec.

Когда Вы запускаете мастер установки сервера маршрутизации и удаленного доступа (Routing and Remote Access Server Setup Wizard) и выбираете конфигурацию Сервер виртуальной личной сети (VPN) (Virtual private network (VPN) server), эти фильтры настраиваются автоматом. Для получения дополнительной инфы обратитесь к разделу «Настройка сервера удаленного доступа Windows 2000» этого документа.

Фильтры пакетов в профиле политики удаленного доступа

Политика удаленного доступа, задающая ограничения для подключений и проверки подлинности, может употребляться для опции фильтров IP-пакетов, которые будут применяться к подключениям удаленного доступа. После того, как подключение принято, фильтры пакетов определяют типы IP-трафика, которые может передавать и принимать клиент удаленного доступа.

Эта многофункциональная возможность может употребляться для подключений к экстрасети. Экстрасеть – это часть сети организации, доступная юзерам за пределами этой организации (к примеру, деловые партнеры и поставщики). Используя фильтрацию пакетов, настраиваемую в профиле политики удаленного доступа, Вы сможете сделать политику удаленного доступа, которая позволяет членам группы Партнеры получать доступ к веб-серверам только с определенных Айпишников либо же только из определенной сабсети.

Наверх странички

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.