Служба Routing and Remote Access Server, удаленный доступ модема к серверу
Страница 3
Средства безопасности сервиса удаленного доступа RAS
Для обеспечения безопасности RAS использует как средства Windows NT, так и собственные механизмы. Защита предусматривается на всех стадиях процесса удаленного доступа: аутентификации пользователей, передачи данных, доступа к ресурсам, выхода из системы и контроля событий, относящихся к защите данных (аудит). Для аутентификации абонентов RAS использует протокол Challenge Handshake Authentification Protocol (CHAP). Суть его состоит в том, что одна из сторон посылает некое проверочное слово, которое другая сторона должна зашифровать с помощью известного обеим сторонам секретного ключа. Зашифрованное слово возвращается в качестве ответа вызывающей стороне, которая локально также выполнила шифрование этого проверочного слова с помощью такого же ключа. Если результаты шифрования совпадают, то значит аутентификация прошла успешно. Здесь важно, что аутентификация осуществляется без передачи по сети секретного пароля. CHAP может использовать разные алгоритмы шифрования, а конкретно в RAS применяются DES и MD5. Существует несколько вариантов аутентификации, в которых могут быть использованы разные алгоритмы шифрации.
- DES используется сервером RAS, если клиентом также является RAS.
- При коммуникациях со сторонними клиентами сервер RAS может использовать протокол SPAP, менее защищенный, чем CHAP, или вообще не использовать никаких алгоритмов шифрации.
- Если же клиент RAS взаимодействует с серверами удаленного доступа сторонних производителей, то он может использовать алгоритм MD5, часто реализуемый различными поставщиками РРР для зашифрованной аутентификации. Сервер RAS алгоритма MD5 не поддерживает.
Для обеспечения секретности передаваемых данных в сервисе RAS имеется встроенный механизм шифрации данных, основанный на алгоритме открытого ключа RC4 компании RSA Data Security. В принципе пользователи RAS могут сами выбрать степень безопасности при обмене данными с удаленными компьютерами. Но администратор имеет возможность принудительным образом устанавливать высокий уровень безопасности. На рисунке 7.1 приведены различные варианты аутентификации удаленных пользователей для случая, когда сервер RAS взаимодействует с клиентом RAS, а также для тех случаев, когда эти компоненты взаимодействуют с продуктами третьих фирм.
Рис. 7.1. Различные варианты аутентификации пользователей при использовании сервера и клиента RAS В качестве дополнительной меры безопасности RAS предлагает процедуру обратного вызова (call-back). Защита основана на том, что администратор заранее зная номера телефонов с которых могут выполняться "разрешенные" звонки, вносит их в специальный список. Процедура call-back предусматривает следующую последовательность:
- инициирование соединения со стороны удаленного пользователя;
- установление соединения;
- обрыв только что установленного соединения по инициативе сервера;
- инициирование соединения со стороны сервера по разрешенному номеру, заданному пользователем для обратного вызова.
Очевидно, что если был назван неразрешенный номер или номер не соответствующий месту нахождения звонившего абонента, то соединение не будет разрешено. Права на удаленный доступ могут быть предоставлены пользователям только явным образом. Все остальные права на доступ к ресурсам сети и выполнение привилегированных действий определяются средствами авторизации Windows NT.
RAS как многопротокольный маршрутизатор Сервер RAS маршрутизирует протоколы IP и IPX, а при использовании для связи с клиентом протокола NetBEUI работает в режиме шлюза. При использовании в канале между сервером и клиентом протокола IP основной режим работы сервера RAS - это режим proxy ARP, когда клиентам назначаются адреса с номером сети, равным номеру внутренней локальной сети, к которой подключен сервер. Сервер поддерживает несколько способов назначения IP-адресов клиентам:
- жесткое присваивание IP-адреса клиенту при его конфигурировании;
- назначение адреса сервером, причем адрес выбирается из пула адресов, выделенных клиентам при конфигурировании сервера;
- назначение адреса сервером, причем адрес для клиента запрашивается сервером RAS у сервера DHCP локальной сети.
Сервер RAS может работать и как маршрутизатор "сеть-сеть", что может понадобиться при подключении к Internet сети небольшого офиса (рисунок 7.2). В этом случае он может заменить аппаратный маршрутизатор, но компания Microsoft не советует использовать RAS в качестве маршрутизатора при соединении больших сетей.