Сетевая безопасность в Windows 2000 за 15 минут в неделю:
 

Удаленная аутентификация и частные виртуальные сети в Windows 2000

от Leonard Loro

 

Замена традиционных деловых операций  электронными операциями через Интернет представляет большую степень риска для организаций. Необходимость защиты информационного канала между потребителем и организацией требует, чтобы компьютерные инструменты безопасности и программы были бы безупречными.

Windows 2000 обеспечивает поддержку частных виртуальных сетей (VPN) удаленной аутентификации. Виртуальные частные сети создаются организациями для поддержки конфиденциальности информации при передаче ее по публичным сетям. Windows 2000 может быть настроен на соединение и передачу шифрованных данных через безопасный канал при помощи протокола PPTP (Point-to-Point Tunneling Protocol) и L2TP (Layer Two Tunneling Protocol). Удаленная аутентификация предоставляет возможность убеждаться в подлинности пользователей и учетных записей для гарантирования безотказности и целостности.

Возможности соединения через VPN

Для безопасного соединения ресурсов по сети через Интернет или иные публичные сети, в Windows 2000 автоматически устанавливаются протоколы PPTP и L2TP. Оба эти протоколы имеют очень простую цель – более эффективный безопасный обмен данными и управление удаленными пользователями.

PPTP – это технология, которая поддерживается Microsoft и предоставляет безопасные транспортные механизмы для протоколов высокого уровня. IPX, IP или NetBEUI трафик может передаваться при помощи этого протокола между двумя связанными точками. Пользователи, которые нуждаются в поддержке некоторых специфических протоколов для запуска своих сетевых приложений, должны использовать PPTP.

В отличие от PPTP, L2TP не требует IP-соединения между двумя точками. L2TP является промышленным стандартом для безопасного транспортного протокола, который использует туннель для обеспечения целостности данных и предоставления возможности соединения. Проще говоря, рассматривайте L2TP как протокол более низкого уровня по сравнению с PPTP.

Для запуска Сервера RRAS (Routing and Remote Access Service – сервер маршрутизации и удаленного доступа):

  1. Нажмите кнопку Start, выберите папку Programs, затем Routing and Remote Access.
  2. Нажмите правой кнопкой мыши на значке сервера и выберите опцию Configure and Enable Routing and Remote Access.
  3. Для удаленного сервера щелкните правой кнопкой мыши на значке Server Status и нажмите Add Server.

Среда VPN имеет три основных компонента. Клиент VPN, Сервер VPN и VPN-соединение. Клиент VPN запускает безопасное соединение с сервером VPN. Клиентом VPN может быть компьютер, которому требуется VPN-соединение удаленного доступа или сервер, которому требуется VPN-соединение между двумя сетями. VPN-сервер Windows 2000 официально поддерживает клиентов с OS Windows NT 4.0, Windows 95-98 и Windows Me. VPN-соединение между двумя серверами тоже может быть создано, если это компьютеры с OS Windows 2000. Сервер с Windows NT 4.0 может создавать VPN-соединение с VPN-сервером на основе Windows 2000 для обеспечения полной сетевой функциональности.

Обеспечение распределенной удаленной аутентификации

Для проверки подлинности и предоставления удаленного доступа к сетям промышленный стандарт «Служба аутентификации пользователей удаленного доступа (RADIUS – Remote Authentication Dial-In User Service)» был усовершенствован для обеспечения безопасного подтверждения полномочий, идентификации, аутентификации и осуществления процесса учета пользовательских учетных записей. Клиент RADIUS, как правило, это сервер удаленного доступа поставщика услуг (Интернета, например), пересылает информацию об учетной записи пользователя (имя пользователя и пароль) серверу RADIUS. Сервер RADIUS аутентифицирует запрос клиента и подтверждает предоставленную информацию.

В Microsoft Windows 2000 сервер RADIUS реализован под именем Службы аутентификации Интернета (IAS – Internet Authentication Service). IAS предоставляет службы для получения запросов на индивидуальные соединения, аутентификации и авторизации (разрешения) попыток соединения, возвращая все необходимые данные на сервер-клиент RADIUS для обслуживания конечного пользователя. В средах ISP (Internet Service Provider – поставщиков услуг Интернета) обычно Сервер Сетевого доступа (NAS –Network Access Server) выступает в качестве клиента сервера IAS. Сервер NAS отвечает за прохождение информации о пользователе к соединенным в кластер IAS серверам и затем возвращение результата к конечному пользователю.

Сервером IAS поддерживаются различные протоколы аутентификации. Используемые протоколы определяются настройками устройств NAS. Правильно настроенный протокол аутентификации позволяет конечному пользователю осуществить соединение. В Windows применяются следующие протоколы аутентификации:

Password Authentication Protocol (PAP). Протокол аутентификации РАР пересылает пароль в виде текстовой строки от конечного пользователя к серверу NAS. Сервер NAS пересылает пароль серверу IAS, используя предварительно заданное секретное слово в качестве ключа для шифрования. Это наименее безопасный протокол аутентификации, поддерживаемый серверами IAS.

Shiva Password Authentication Protocol (SPAP). Этот протокол используется устройствами удаленного доступа Shiva (Шива). Этот протокол менее безопасен, чем CHAP или MS-CHAP, но более безопасен, чем РАР.

Challenge Handshake Authentication Protocol (CHAP). Этот протокол был разработан для решения проблем протокола РАР. СНАР использует алгоритм MD5 для шифрования вызова и пароля пользователя. Этот протокол используется большинством систем удаленного доступа.

Microsoft Challenge Handshake Authentication Protocol (MS-CHAP). Этот протокол является разработанной фирмой Microsoft версией протокола СНАР, которая использует алгоритм MD4 для шифрования вызова и пароля пользователя. Проконсультируйтесь у вашего провайдера услуг Интернета, прежде чем применять этот протокол.

Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAP v2). MS-CHAP v2 является усиленной версией протокола MS-CHAP поддерживаемой Windows 2000. Более сильный начальный ключ шифрования данных и различные ключи шифрования для посылаемых и принимаемых данных – вот только некоторые функции данного протокола.

Extensible Authentication Protocol (EAP). Этот протокол является расширением протокола РРР, который позволяет аутентификационными методами проверять достоверность РРР-соединения. ЕАР используется в средах, требующих высочайший уровень безопасности. Он поддерживает аутентификацию пользователей при помощи сертификатов открытого ключа и входа в систему при помощи смарт-карт.

Типичный пакет данных, передаваемых в ходе аутентификации:

IP: ID = 0xB18; Proto = UDP; Len: 248
UDP: Src Port: Unknown, (1812); Dst Port: Unknown (1327); Length = 228 (0xE4)
  RADIUS: Message Type: Access Accept(2)
      RADIUS: Message Type = Access Accept
      RADIUS: Identifier = 2 (0x2)
      RADIUS: Length = 220 (0xDC)
      RADIUS: Authenticator = 52 E2 19 98 2E F8 E2 D3 B7 3B E1 24 5B 72
                              55 9E
      RADIUS: Attribute Type: Framed Protocol(7)
          RADIUS: Attribute type = Framed Protocol
          RADIUS: Attribute length = 6 (0x6)
          RADIUS: Framed protocol = PPP
      RADIUS: Attribute Type: Service Type(6)
          RADIUS: Attribute type = Service Type
          RADIUS: Attribute length = 6 (0x6)
          RADIUS: Service type = Framed
      RADIUS: Attribute Type: Class(25)
          RADIUS: Attribute type = Class
          RADIUS: Attribute length = 32 (0x20)
          RADIUS: Class = XXXXXXXXXXXXXXXXX
      RADIUS: Attribute Type: Vendor Specific(26)
          RADIUS: Attribute type = Vendor Specific
          RADIUS: Attribute length = 42 (0x2A)
          RADIUS: Vendor ID = 311 (0x137)
          RADIUS: Vendor string = XXXXXXXXXXXXXXXXX
      RADIUS: Attribute Type: Vendor Specific(26)
          RADIUS: Attribute type = Vendor Specific
          RADIUS: Attribute length = 42 (0x2A)
          RADIUS: Vendor ID = 311 (0x137)
          RADIUS: Vendor string = XXXXXXXXXXXXXXXXX
      RADIUS: Attribute Type: Vendor Specific(26)
          RADIUS: Attribute type = Vendor Specific
          RADIUS: Attribute length = 51 (0x33)
          RADIUS: Vendor ID = 311 (0x137)
          RADIUS: Vendor string = XXXXXXXXXXXXXXXXX
      RADIUS: Attribute Type: Vendor Specific(26)
          RADIUS: Attribute type = Vendor Specific
          RADIUS: Attribute length = 21 (0x15)
          RADIUS: Vendor ID = 311 (0x137)

Для большинства реализаций сред удаленного доступа протокол СНАР – наиболее подходящий протокол аутентификации. Кроме того, что он обеспечивает достаточный уровень безопасности и загрузки компьютера, СНАР еще поддерживает обратную совместимость и используется различными производителями серверов и клиентов NAS.

 

Леонард Лоро, MCSE, MCSD, ISS, MCT, CCNA.