Установка и администрирование служб маршрутизации и удаленного доступа. [Занятие 14]
Развертывание и администрирование сети с выделенным сервером на базе Windows Server 2003 на Thursday 23 November 2006 от в Сетевые Операционные Системы ОС > ОС Windows
Безопасность удаленного доступа.
Чтобы понять, почему попытки подключения принимаются или отклоняются, необходимо представлять себе различие между проверкой подлинности и авторизацией.
Проверка подлинности - это проверка учетных данных, представленных при попытке подключения. Этот процесс включает отправку учетных данных клиентом удаленного доступа серверу удаленного доступа либо в виде обычного текста, либо зашифрованных с помощью протокола проверки подлинности.
Авторизация - это проверка того, разрешена ли попытка подключения. Авторизация выполняется после успешной проверки подлинности.
Чтобы попытка подключения была принята, она должна успешно пройти как проверку подлинности, так и авторизацию. Бывает так, что попытка подключения успешно проходит проверку подлинности с помощью допустимых учетных данных, но не авторизуется. В таком случае подключение не разрешается.
Если сервер удаленного доступа настроен на проверку подлинности Windows, то проверку подлинности учетных данных выполняет система безопасности Windows Server 2003, а для авторизации используются свойства входящих звонков учетной записи пользователя и локальная политика удаленного доступа.
Если сервер удаленного доступа настроен на проверку подлинности RADIUS, учетные данные попытки подключения передаются серверу RADIUS для проверки подлинности и авторизации. Сервер RADIUS сообщает серверу удаленного доступа о принятии или отклонении данной попытки.
Если сервером RADIUS является компьютер с Windows Server 2003 и службой проверки подлинности в Интернете (IAS), то сервер IAS выполняет проверку подлинности с помощью системы безопасности Windows Server 2003, а для авторизации использует параметры входящих звонков учетной записи пользователя и политику удаленного доступа, хранящуюся на сервере IAS.
Шифрование данных.
Для защиты данных, пересылаемых между клиентом удаленного доступа и сервером удаленного доступа, можно использовать шифрование данных. Это защищает данные от перехвата или подделки во время передачи по открытым каналам связи. Для использования шифрования необходимо настроить сервер удаленного доступа на требование защищенных подключений. Пользователи, подключающиеся к такому серверу, должны шифровать свои данные - в противном случае запрос на подключение отклоняется. Для подключений удаленного доступа к сети Windows Server 2003 использует шифрование MPPE (Microsoft Point-to-Point Encryption).
Для виртуальных частных подключений защита данных обеспечивается их шифрованием между конечными точками виртуальной частной сети (VPN). Следует всегда использовать шифрование для виртуальных частных подключений при пересылке конфиденциальных данных по открытым сетям, таким как Интернет, где всегда существует опасность их перехвата. Для VPN-подключений Windows Server 2003 использует шифрование по методу MPPE с протоколом PPTP и шифрование по методу IPSec с протоколом L2TP. Так как данные шифруются между VPN-клиентом и VPN-сервером, нет необходимости в шифровании данных в канале связи между клиентом удаленного доступа к сети и провайдером.
Шифрование данных для PPP- или PPTP-подключений доступно только при использовании протоколов проверки подлинности MS-CHAP (v1 или v2) или EAP-TLS. Шифрование данных для L2TP-подключений выполняется по методу IPSec, который не требует использования каких-либо конкретных протоколов проверки подлинности.
Шифрование данных при удаленном доступе не обеспечивает шифрования на всем пути данных. Шифрование на всем пути данных - это шифрование данных между клиентским приложением и сервером, на котором находится ресурс или служба, к которым обращается клиентское приложение. Чтобы обеспечить шифрование на всем пути данных, используйте IPSec для создания безопасного подключения после установления подключения удаленного доступа.
Разрешения для входящих подключений удаленного доступа.
После установки сервера удаленного доступа необходимо указать пользователей, от которых сервер удаленного доступа может принимать входящие вызовы. В Windows Server 2003 авторизация выполняется на основании параметров входящих звонков учетной записи пользователя и политики удаленного доступа.
Не требуется создавать учетные записи пользователей специально для клиентов удаленного доступа. Серверы удаленного доступа используют учетные записи пользователей из доступных баз данных системы безопасности Windows Server 2003.
Безопасность после подключения
После прохождения проверки подлинности и подключения к локальной сети клиенты удаленного доступа входят в домен Windows Server 2003. После успешного входа в домен для управления доступом к ресурсам домена используются учетные данные пользователя домена. Клиенты удаленного доступа обрабатываются системой безопасности в Windows Server 2003 так же, как если бы они были подключены к локальной сети.
Можно предоставить клиентам удаленного доступа доступ лишь к общим ресурсам, расположенным на сервере удаленного доступа, а не ко всей сети, к которой подключен этот сервер. Таким образом можно обеспечить более строгий контроль за тем, какая информация доступна клиентам удаленного доступа, и повысить безопасность системы в целом.
Идентификация звонящего и ответный вызов.
В качестве дополнительной меры безопасности система удаленного доступа предлагает возможности идентификации звонящего и ответного вызова, которые позволяют подключаться к серверу удаленного доступа только пользователям, находящимся в определенном месте. Эти возможности также снижают расходы пользователей на оплату услуг телефонной компании.
Идентификация звонящего
При использовании идентификации звонящего задается номер телефона, с которого пользователь может подключаться к серверу удаленного доступа. Если пользователь будет подключаться с другого номера телефона, попытка подключения будет отклонена сервером удаленного доступа.
Возможность идентификации звонящего должна поддерживаться клиентом, выполняющим вызов, телефонной системой между звонящим и сервером удаленного доступа, и самим сервером удаленного доступа. Система идентификации звонящего на сервере удаленного доступа состоит из оборудования, поддерживающего передачу информации о вызывающем клиенте, и соответствующего драйвера Windows Server 2003, передающего эту информацию службе маршрутизации и удаленного доступа.
Если задан номер телефона для идентификации звонящего, а передача информации о вызывающем клиенте от клиента службе маршрутизации и удаленного доступа не поддерживается, то выполнить подключение не удастся.
Для виртуальных частных подключений в качестве идентификатора звонящего выступает IP-адрес VPN-клиента.
Ответный вызов
При использовании ответного вызова пользователь инициирует вызов и подключается к серверу удаленного доступа. После проверки подлинности и авторизации сервер удаленного доступа разрывает соединение и выполняет ответный вызов по согласованному или заранее заданному номеру телефона.
Привилегии на использование ответного вызова настраиваются для каждого пользователя при предоставлении разрешения на удаленный доступ.
Службы проверки подлинности и учета.
Службы проверки подлинности и учета представляют собой набор программных компонентов, обеспечивающих функционирование определенной группы протоколов проверки подлинности. Эти же компоненты осуществляют регистрацию всех событий, связанных с проверкой подлинности в журналах учета службы удаленного доступа.
Домен Windows Server 2003 или Active Directory
Сервер удаленного доступа на основе Windows Server 2003 поддерживает использование системы безопасности основного контроллера домена (PDC) Windows NT (Windows NT Server 4.0 и более ранних версий) или системы безопасности Windows Server 2003 Active Directory (Windows Server 2003) в качестве службы проверки подлинности клиентов удаленного доступа.
Сервер удаленного доступа на основе Windows Server 2003 поддерживает также занесение в локальный журнал информации о проверке подлинности и учетной информации для подключений удаленного доступа, если используется служба учета Windows.
RADIUS
Протокол RADIUS - это стандартный протокол (описанный в стандартах RFC 2138 и 2139), предоставляющий службы проверки подлинности, авторизации и учета для подключений удаленного доступа к сети. Клиент RADIUS (обычно им является сервер для подключений удаленного доступа к сети) отправляет информацию о пользователе и о подключении серверу RADIUS. Сервер RADIUS выполняет проверку подлинности и авторизацию запроса клиента RADIUS.
В состав сервера удаленного доступа Windows Server 2003 входит клиент RADIUS, что позволяет использовать сервер удаленного доступа поставщикам услуг Интернета или организациям, которые применяют RADIUS для проверки подлинности и учета.
Службу проверки подлинности и службу учета для сервера удаленного доступа на основе Windows Server 2003 можно настроить отдельно друг от друга. Таким образом, сервер удаленного доступа может использовать службу проверки подлинности Windows Server 2003 и службу учета RADIUS. Можно настроить использование нескольких серверов RADIUS, чтобы в случае недоступности основного сервера RADIUS были автоматически задействованы дополнительные.
В Windows Server 2003 также входит сервер RADIUS, называемый сервером службы проверки подлинности в Интернете (IAS), который сервер удаленного доступа может использовать в качестве службы проверки подлинности или учета.
