63-64x

Вопрос №63
Компоненты службы удаленного доступа Ras
RAS (Remote Access Service — служба удалённого доступа) — это механизм включения удалённых компьютеров в
целевую локальную сеть. При подключении RAS все коммуникационные устройства выполняют функции сетевых
адаптеров, и клиент RAS-сервера может работать со всеми ресурсами, доступными обычному клиенту данной сети. RAS
может устанавливать соединение по коммутируемым телефонным линиям и цифровой связи с интегрированными
службами.
Компоненты подключений удаленного доступа к сети
Для удаленного подключения к сети необходимы следующие компоненты.
 Серверы для подключений удаленного доступа
Сервер удаленного доступа с работающей на нем службой маршрутизации и удаленного доступа можно настроить как
на предоставление удаленного доступа ко всей сети, так и на ограничение доступа совместным использованием ресурсов
сервера удаленного доступа.
 Клиенты подключений удаленного доступа к сети
К серверу, на котором работает служба маршрутизации и удаленного доступа, могут подключаться клиенты
удаленного доступа под управлением операционных систем семейства Windows Server 2003, Windows XP;, Windows
2000, Windows NT с работающей службой удаленного доступа (RAS) или службой маршрутизации и удаленного доступа
(RRAS), Windows Millennium Edition, Windows 98, Windows 95 или Mac OS.
 Протоколы локальных сетей и удаленного доступа
Прикладные программы используют протоколы локальных сетей для передачи информации. Протоколы удаленного
доступа служат для согласования подключений и упаковки кадров данных протоколов локальных сетей, пересылаемых
по глобальным каналам связи. Служба маршрутизации и удаленного доступа поддерживает такие протоколы локальных
сетей, как TCP/IP и AppleTalk, что обеспечивает доступ к ресурсам Интернета, UNIX, Apple Macintosh и Novell NetWare.
Служба маршрутизации и удаленного доступа поддерживает протокол удаленного доступа PPP.
 Компоненты глобальных сетей
Клиенты могут устанавливать связь через стандартные телефонные линии с использованием модема или группы
модемов. Более быстрая связь достигается при использовании линий ISDN. Клиенты подключений удаленного доступа
могут подключаться к серверам удаленного доступа также по сетям X.25 и ATM. Кроме того, поддерживаются прямые
подключения с помощью нуль-модемных кабелей RS-232C, подключений через параллельные порты и инфракрасную
связь.
 Параметры безопасности
Семейство Windows Server 2003 обеспечивает вход в систему и безопасность домена, поддерживает узлы защиты,
шифрование данных, службу проверки подлинности удаленных пользователей (RADIUS), смарт-карты, блокировку
учетных записей удаленного доступа, политики удаленного доступа и ответный вызов, что обеспечивает безопасный
доступ к сети клиентам удаленного подключения.
На следующем рисунке показаны компоненты, используемые подключениями удаленного доступа к сети. На практике
реализация и конфигурация удаленного доступа к сети могут быть иными.
Вопрос №64
Защита удаленного доступа к ресурсам сети
Средства безопасности сервиса удаленного доступа RAS
Для обеспечения безопасности RAS использует как средства Windows NT, так и собственные механизмы. Защита
предусматривается на всех стадиях процесса удаленного доступа: аутентификации пользователей, передачи данных,
доступа к ресурсам, выхода из системы и контроля событий, относящихся к защите данных (аудит).
Для аутентификации абонентов RAS использует протокол Challenge Handshake Authentification Protocol (CHAP). Суть
его состоит в том, что одна из сторон посылает некое проверочное слово, которое другая сторона должна зашифровать с
помощью известного обеим сторонам секретного ключа. Зашифрованное слово возвращается в качестве ответа
вызывающей стороне, которая локально также выполнила шифрование этого проверочного слова с помощью такого же
ключа. Если результаты шифрования совпадают, то значит аутентификация прошла успешно. Здесь важно, что
аутентификация осуществляется без передачи по сети секретного пароля.
CHAP может использовать разные алгоритмы шифрования, а конкретно в RAS применяются DES и MD5. Существует
несколько вариантов аутентификации, в которых могут быть использованы разные алгоритмы шифрации.
 DES используется сервером RAS, если клиентом также является RAS.
 При коммуникациях со сторонними клиентами сервер RAS может использовать протокол SPAP, менее
защищенный, чем CHAP, или вообще не использовать никаких алгоритмов шифрации.
 Если же клиент RAS взаимодействует с серверами удаленного доступа сторонних производителей, то он может
использовать алгоритм MD5, часто реализуемый различными поставщиками РРР для зашифрованной аутентификации.
Сервер RAS алгоритма MD5 не поддерживает.
Для обеспечения секретности передаваемых данных в сервисе RAS имеется встроенный механизм шифрации данных,
основанный на алгоритме открытого ключа RC4 компании RSA Data Security. В принципе пользователи RAS могут сами
выбрать степень безопасности при обмене данными с удаленными компьютерами. Но администратор имеет возможность
принудительным образом устанавливать высокий уровень безопасности.
На рисунке 7.1 приведены различные варианты аутентификации удаленных пользователей для случая, когда сервер
RAS взаимодействует с клиентом RAS, а также для тех случаев, когда эти компоненты взаимодействуют с продуктами
третьих фирм.
Рис. 7.1. Различные варианты аутентификации пользователей при использовании сервера и клиента RAS
В качестве дополнительной меры безопасности RAS предлагает процедуру обратного вызова (call-back). Защита
основана на том, что администратор заранее зная номера телефонов с которых могут выполняться "разрешенные" звонки,
вносит их в специальный список. Процедура call-back предусматривает следующую последовательность:
 инициирование соединения со стороны удаленного пользователя;
 установление соединения;
 обрыв только что установленного соединения по инициативе сервера;
 инициирование соединения со стороны сервера по разрешенному номеру, заданному пользователем для обратного
вызова.
Очевидно, что если был назван неразрешенный номер или номер не соответствующий месту нахождения звонившего
абонента, то соединение не будет разрешено.
Права на удаленный доступ могут быть предоставлены пользователям только явным образом. Все остальные права на
доступ к ресурсам сети и выполнение привилегированных действий определяются средствами авторизации Windows NT.