Ноу Інти, лекція, служба rras (routing and remote access service)

Захист з'єднань RRAS

методи аутентифікації

Є кілька методів аутентифікації, які ви можете використовувати з дистанційними сполуками. За замовчуванням RRAS використовує аутентифікацію MS- CHAP і MS-CHAPv2. Обрані методи аутентифікації застосовуються в наступному порядку.

  1. EAP (Extensible Authentication Protocol - Розширюваний протокол аутентифікації).
  2. MS-CHAPv2 (Microsoft Challenge Handshake Authentication Protocol version 2 - Протокол аутентифікації з попереднім узгодженням виклику версії 2 компанії Microsoft).
  3. MS- CHAP (Microsoft Challenge Handshake Authentication Protocol).
  4. CHAP (Challenge Handshake Authentication Protocol).
  5. SPAP (Shiva Password Authentication Protocol - Протокол аутентифікації пароля для клієнтів Shiva).
  6. PAP (Password Authentication Protocol).
  7. Нерозпізнаних доступ.

Ці методи аутентифікації, показані на малюнку 4.9. можна знайти в консолі управління RRAS, вибравши відповідний сервер в правій панелі і вибравши пункт Properties (Властивості). Потім у вкладці Security (Безпека) клацніть на кнопці Authentication Methods (Методи аутентифікації). Щоб використовувати потрібні методи аутентифікації, встановіть прапорці поруч з назвами відповідних методів.

Ноу Інти, лекція, служба rras (routing and remote access service)


Мал. 4.9. Методи аутентифікації дистанційного доступу

Як випливає з назви EAP (Розширюваний протокол аутентифікації), будь-яку кількість типів (методів) EAP може бути додано в будь-який момент. Щоб побачити, які методи EAP ви використовуєте на даний момент, виконайте наступні кроки.

  1. Відкрийте консоль управління RRAS, вибравши Start / Programs / Administrative Tools (Пуск / Програми / Адміністрування).
  2. У правій консолі клацніть на потрібному сервері RRAS і виберіть пункт Properties.
  3. У вкладці Security клацніть на кнопці Authentication Methods. після чого з'явиться вікно Authentication Methods.
  4. Клацніть на кнопці EAP Methods (Методи EAP), після чого ви побачите методи EAP. встановлені на даний момент (див. рис. 4.10).

Ноу Інти, лекція, служба rras (routing and remote access service)


Мал. 4.10. Наявні методи EAP

PAP (Протокол аутентифікації пароля) не відповідає своїй назві, оскільки це найменш захищений з доступних в даний час методів аутентифікації. Ім'я користувача і пароль передаються через канал зв'язку у вигляді нешифрованих тексту. Будь зловмисник, що перехопив дане з'єднання, може отримати і використовувати цю інформацію для отримання доступу до вашої мережі. Тому використання PAP для аутентифікації не рекомендується.

нерозпізнаних доступ

Цей варіант цілком очевидний, і тому він не вимагає обговорення. Ясно, що вам ніколи не слід використовувати цей варіант, якщо ви зацікавлені в захисті вашої мережі. Фактично цей варіант надає відкритий доступ будь-кому, хто хоче приєднатися дистанційним чином.

Повторний виклик (Callback)

Сенс цього терміна випливає з його назви. Віддалений клієнт набирає номер сервера RRAS, після чого відбувається перевірка розпізнавальних даних цього клієнта (для користувача ім'я та пароль). Після перевірки розпізнавальних даних з'єднання переривається, що дозволяє серверу RRAS зробити у відповідь виклик віддаленого клієнта. Номер, за яким робить у відповідь виклик сервер RRAS, може бути зазначений під час початкового виклику, або може знадобитися, щоб сервер RRAS виконав виклик за певним номером. Другий варіант є найбільш захищеним способом, оскільки він дозволяє обмежити можливі джерела віддалених з'єднань. Ще однією перевагою зворотного виклику є те, що він дозволяє економити витрати на з'єднання клієнта.

Ідентифікація виклику (Caller ID)

Основи віртуальних приватних мереж (VPN)

VPN надають безпеку і надійність з'єднання, яке інакше було б незахищеним з'єднанням через відкриту мережу. VPN формується на основі трьох технологій, які при спільному використанні утворюють захищене з'єднання. Це аутентифікація, туннелирование і шифрування.

аутентифікація

Основною причиною аутентифікації для VPN є необхідність методу, що дозволяє гарантувати до початку сеансу VPN, що клієнт і сервер відповідають даним, за допомогою яких вони себе ідентифікують. Це не обов'язково передбачає обов'язковість взаємної аутентифікації. Успішна аутентифікація повинна бути проведена до того, як буде створюватися тунель і передаватися дані, але використовуваний тип аутентифікації залежить від типів клієнтів у вашому оточенні і вибраних вами методів аутентифікації.

Можна використовувати будь-який з методів аутентифікації, описаних вище в розділі "Захист з'єднань RRAS". Єдиним недоліком є ​​те, що якщо віддалені клієнти є клієнтами більш ранніх версій Windows, то вони, можливо, не підтримують протокол EAP. І дійсно, клієнти Windows NT і Windows 9x не підтримують цей протокол. Приймаючи рішення, який протокол використовувати, пам'ятайте, що важливо забезпечити максимально можливий рівень аутентифікації. Це означає, що потрібно використовувати такі протоколи аутентифікації, як EAP. MS- CHAP або MS-CHAPv2.

туннелирование

Туннелирование використовується для інкапсуляції мережевих протоколів (TCP / IP, AppleTalk і NetBEUI) в пакеті IP, який може переміщатися через інтернет. TCP / IP може переміщатися через інтернет і сам по собі, але тоді він не буде частиною тунелю або VPN. Тунель можна уявити собі як шлях, який прокладає в землі кріт для переміщення з одного місця в інше.

шифрування

Третім основним компонентом VPN є шифрування. Шифрування це додаткове превентивний засіб, яке захищає дані, що відправляються через тунель. Дані шифруються перед инкапсуляцией, щоб знизити ризик їх підробки в разі перехоплення тунелю.

Ноу Інти, лекція, служба rras (routing and remote access service)


Мал. 4.11. туннелирование VPN

Таблиця 4.4. Клієнти і протоколи тунелювання, які вони підтримують

Підтримувані протоколи тунелювання