Введення в технології віддаленого доступу microsoft і їх короткий огляд
Система віддаленого доступу - це ряд технологій, що забезпечують прозоре підключення до мережі віддалених клієнтів, як правило, розташованих за межами локальної мережі організації. Зазвичай організації використовують віддалений доступ, щоб підключити до мережі організації переносні або домашні комп'ютери своїх співробітників (для читання електронної пошти або доступу до загальних файлів). Також за допомогою віддаленого доступу постачальники послуг Інтернету підключають до мережі Інтернет своїх клієнтів.
Запускаючи клієнтські програми для віддаленого доступу, користувачі ініціюють підключення до сервера віддаленого доступу. Сервер в свою чергу виконує перевірку автентичності користувачів і обслуговує сеанс зв'язку протягом усього часу підключення, поки вона не буде завершена користувачем або адміністратором мережі. Всі служби, які зазвичай доступні користувачам локальної мережі (включаючи спільні файли і принтери, доступ до веб-сервера і служби обміну повідомленнями), також доступні і через підключення віддаленого доступу.
На рисунку 1 представлено логічний еквівалент підключення віддаленого клієнта до сервера віддаленого доступу.
Малюнок 1 - Логічний еквівалент підключення віддаленого доступу
Доступ до віртуальної приватної мережі (VPN). При віддаленому доступі до віртуальної приватної мережі VPN-клієнт використовує IP-мережу для створення віртуального підключення «точка-точка» до сервера віддаленого доступу, який виступає в ролі VPN-сервера. Після встановлення віртуального підключення «точка-точка» можуть бути узгоджені інші параметри підключення.
Віддалений доступ і дистанційне керування
Слід відрізняти віддалений доступ від віддаленого управління. Сервер віддаленого доступу - це програмний маршрутизатор, який підтримує декілька протоколів; рішення для віддаленого управління засновані на функціях спільного використання екрану, клавіатури і миші через віддалене з'єднання. Віддалений доступ і дистанційне керування мають наступні відмінності:
Компоненти підключення віддаленого доступу
Підключення віддаленого доступу, зображене на рисунку 2, складається з клієнта віддаленого доступу, сервера віддаленого доступу та інфраструктури глобальної мережі (Wide area network, WAN).
Малюнок 2 - Компоненти підключення віддаленого доступу
Клієнт віддаленого доступу
Сервер віддаленого доступу
Устаткування для віддаленого доступу та інфраструктура глобальної мережі (WAN)
Фізична або логічне підключення між сервером і клієнтом віддаленого доступу підтримується за допомогою обладнання, встановленого на сервері і клієнті віддаленого доступу, а також за допомогою інфраструктури телекомунікацій. Тип обладнання для віддаленого доступу та інфраструктура телекомунікацій розрізняються залежно від типу встановлюваного підключення.
Протоколи віддаленого доступу
Протоколи віддаленого доступу керують процесом встановлення підключення і передачею даних через з'єднання глобальної мережі. Операційна система і протоколи локальних мереж (LAN), що використовуються клієнтами і серверами віддаленого доступу, визначають, які з протоколів віддаленого доступу можуть використовуватися клієнтами.
Протоколи локальних мереж
Протоколи локальних мереж (LAN) - це протоколи, використовувані віддаленими клієнтами для доступу до ресурсів мережі, до якої підключений сервер віддаленого доступу. Система віддаленого доступу Microsoft підтримує протоколи TCP / IP, IPX і AppleTalk.
В Таблиці 1 перераховані протоколи локальних мереж, що використовуються при віддаленому доступі.
Таблиця 1 - Протоколи локальних мереж і їх використання
Компоненти VPN-підключення віддаленого доступу
VPN-підключення віддаленого доступу, зображене на рисунку 3, складається з клієнта віддаленого доступу, сервера віддаленого доступу та мережі Інтернет.
Малюнок 3 - Компоненти VPN-підключення віддаленого доступу
VPN-клієнт віддаленого доступу
VPN-сервер віддаленого доступу
Протокол PPTP (Point-to-Point Tunneling Protocol - тунельний протокол «точка-точка»)
Протокол L2TP (Layer Two Tunneling Protocol - протокол тунелювання другого рівня)
Протокол PPTP (Point-to-Point Tunneling Protocol)
Тунельний протокол PPTP, підтримка якого вперше була реалізована в операційній системі Windows NT 4.0, є розширенням протоколу PPP (Point-to-Point Protocol) і має поліпшені механізми перевірки автентичності, стиснення і шифрування. Протокол PPTP встановлюється автоматично разом з протоколом TCP / IP. Головними функціями протоколу PPTP і методу MPPE (Microsoft Point-to-Point Encryption) при роботі з VPN є інкапсуляція і шифрування особистих даних.
Кадр PPP зашифрований за методом MPPE з використанням ключів шифрування, створених в процесі перевірки автентичності по протоколу MS-CHAP, MS-CHAP v2 або EAP-TLS. Клієнти віртуальних приватних мереж повинні використовувати для шифрування корисних даних PPP протокол перевірки автентичності MS-CHAP, MS-CHAP v2 або EAP-TLS. PPTP не надає коштів шифрування, а використовує кошти, що надаються протоколом PPP, і інкапсулює попередньо зашифрований кадр PPP.
На рисунку 4 показано шифрування кадру PPP і його інкапсуляція протоколом PPTP.
Малюнок 4 - Шифрування і інкапсуляція кадру PPP протоколом PPTP
Протокол L2TP (Layer Two Tunneling Protocol)
Протокол L2TP є промисловим тунельним протоколом Інтернету стандарту EITF (Internet Engineering Task Force - робоча група по стандартам для мережі Internet). На відміну від протоколу PPTP, L2TP не використовує методу MPPE для шифрування кадрів PPP. L2TP використовує засоби шифрування, що надаються методом IPSec (Internet Protocol security - IP-безпека). Комбінація L2TP і IPSec відома як L2TP / IPSec. Протоколи L2TP і IPSec повинні підтримуватися як VPN-сервером, так і VPN-клієнтом. Протокол L2TP встановлюється автоматично разом зі службою маршрутизації та віддаленого доступу (Routing and Remote Access service).
Головними функціями L2TP / IPSec при роботі з VPN є інкапсуляція і шифрування особистих даних.
Інкапсуляція пакетів L2TP поверх IPSec виконується в два етапи.
Інкапсуляція L2TP. Кадр PPP (IP- або IPX-датаграмма) полягає в оболонку з заголовком L2TP і заголовком UDP.
Якщо підключення задовольняє всім умовам політики віддаленого доступу і йому надано право віддаленого доступу, профіль політики задає для підключення ряд додаткових обмежень. Властивості віддаленого підключення облікового запису користувача також задають ряд обмежень. Якщо застосовуються обмеження облікового запису користувача, вони будуть перекривати обмеження політики віддаленого доступу.
Для членів групи Оператори заборонити підключення в неробочі години.
Можна налаштувати сервер віддаленого доступу таким чином, щоб він вимагав використання певних методів безпечної перевірки автентичності. Якщо клієнт віддаленого доступу не може використовувати необхідні методи перевірки автентичності, підключення відхиляється.
Протокол EAP (Extensible Authentication Protocol)
Протокол EAP є новим стандартом, що дозволяє використовувати для перевірки PPP-підключень додаткові механізми перевірки автентичності. При використанні таких протоколів перевірки автентичності, як MS-CHAP і SPAP, на етапі встановлення з'єднання вибирається певний механізм перевірки автентичності. Потім на етапі перевірки автентичності підключення використовується протокол узгодженої перевірки автентичності. Протокол перевірки справжності являє собою серію повідомлень, що посилаються в певному порядку.
У протоколі EAP реалізована архітектурна підтримка компонентів перевірки автентичності, виконаних у вигляді модулів, що встановлюються на обох сторонах підключення - на стороні сервера і на стороні клієнта. Встановивши один і той же модуль перевірки автентичності на сервері і на клієнті віддаленого доступу, можна організувати підтримку нового типу EAP. Це дозволяє виробникам в будь-який час представляти нові схеми перевірки автентичності. EAP забезпечує найвищу гнучкість і підтримку безлічі унікальних методів перевірки автентичності.
EAP-MD5 (EAP-Message Digest 5)
Протокол EAP-MD5 - це механізм перевірки автентичності протоколу CHAP (Challenge Handshake Authentication Protocol), що використовується в середовищі EAP. EAP-MD5 є обов'язковим типом EAP і може використовуватися для перевірки роботи EAP. Також як і CHAP, EAP-MD5 складно використовувати через те, що він вимагає наявності сервера, щоб здійснювати і зберігання паролів користувачів в доступній для оборотного шифрування формі.
EAP-TLS (EAP-Transport Level Security)
Протокол EAP-TLS, заснований на протоколі SSL (Secure Sockets Layer), забезпечує безпечний обмін даними між додатками. При використанні EAP-TLS взаємна аутентифікації між PPP-клієнтом і сервером перевірка справжності заснована на використанні сертифікатів. При взаємної перевірки автентичності клієнт, який встановлює підключення, відправляє для перевірки сервера аутентифікації сертифікат користувача, а сервер відправляє клієнту сертифікат комп'ютера.
EAP-RADIUS - це не тип EAP, а спосіб передачі повідомлень EAP будь-якого типу EAP сервером перевірки автентичності RADIUS-сервера для перевірки автентичності. Повідомлення EAP, що пересилаються між клієнтом і сервером віддаленого доступу, инкапсулируются і форматуються у вигляді повідомлень RADIUS між сервером віддаленого доступу і RADIUS-сервером. Сервер віддаленого доступу виступає в ролі посередника, передаючи повідомлення EAP між клієнтом віддаленого доступу і RADIUS-сервером. Вся обробка повідомлень EAP виконується клієнтом віддаленого доступу і RADIUS-сервером.
EAP-RADIUS застосовується в системах, в яких в якості постачальника служби перевірки автентичності використовується RADIUS. Перевага EAP-RADIUS полягає в тому, що типи EAP повинні бути встановлені тільки на RADIUS-сервері, а не на кожному сервері віддаленого доступу.
Взаємна перевірка справжності
Взаємна перевірка справжності досягається шляхом перевірки автентичності обох сторін підключення, виконують зашифровані обмін обліковими даними. Для PPP-підключень можливе використання протоколів перевірки автентичності EAP-TLS або MS-CHAP v2. В процесі взаємної перевірки автентичності клієнт віддаленого доступу надає свої облікові дані сервера віддаленого доступу для перевірки, і навпаки.
шифрування даних
Механізми шифрування забезпечують шифрування даних, переданих між клієнтом і сервером віддаленого доступу. За допомогою цих механізмів шифруються тільки дані в каналі між клієнтом і сервером віддаленого доступу. Якщо потрібно забезпечити шифрування для кінцевих точок, використовуйте IPSec: після того, як підключення віддаленого доступу встановлено, IPSec забезпечує канальне шифрування.
Шифрування даних підключення віддаленого доступу засноване на використанні секретних ключів шифрування, відомих клієнту і серверу віддаленого доступу. Ключ шифрування генерується під час процесу перевірки справжності підключення. Сервер віддаленого доступу може вимагати обов'язкового використання шифрування даних. Якщо клієнт віддаленого доступу не може виконати необхідну шифрування даних, спроба підключення відхиляється.
Існує дві технології шифрування даних підключень віддаленого доступу:
Шифрування MPPE (Microsoft Point-to-Point Encryption)
Шифрування DES (Data Encryption Standard) і 3DES (Triple DES)
код виклику
Блокування облікового запису при віддаленому доступі
Функція блокування облікового запису при віддаленому доступі використовується для того, щоб задати кількість невдалих спроб підключення, які не пройшли перевірку автентичності, після яких користувачеві буде відмовлено у віддаленому доступі. Ця функція найбільш важлива при роботі з підключеннями до віртуальної приватної мережі через Інтернет. Зловмисники можуть спробувати отримати доступ з Інтернету до внутрішньої мережі організації, відправляючи облікові дані (ім'я користувача і передбачуваний пароль) під час процесу перевірки справжності VPN-підключення. При атаці з підбором паролів по словнику зловмисник посилає тисячі варіантів облікових даних, використовуючи список паролів на основі поширених слів або фраз. При використанні функції блокування облікового запису при віддаленому доступі така атака буде припинена після певного числа невдалих спроб підключення.
Функція блокування облікового запису не розрізняє зловмисників, які намагаються отримати доступ до локальної мережі, і довірених користувачів, які просто забули свій поточний пароль. Користувачі, які забули свій поточний пароль, зазвичай намагаються використовувати старі паролі, які вони зможуть згадати. Це може привести до блокування їх облікових записів.
Якщо Ви включите функцію блокування облікового запису при віддаленому доступі, зловмисник може навмисно заблокувати обліковий запис користувача шляхом багаторазових спроб підключення з використанням цього облікового запису. Це призведе до того, що довірений користувач не зможе підключитися.
Адміністратор може налаштувати два параметри блокування облікового запису при віддаленому доступі:
Число невдалих спроб підключення, після якого відбувається блокування.
Після кожної невдалої спроби підключення збільшується значення лічильника блокування. Якщо це значення досягає заданого максимуму, подальші спроби підключення відхиляються.
Лічильник блокування обнуляється після успішної перевірки автентичності, якщо його значення не досягло заданого максимуму.