Лекции по "Администрированию сетей"

• "Проверять код звонящего" (Caller ID) — если оператор телефонной связи передает модему номер телефона, с которого был произведен звонок, то сервер будет разрешать подключение только при вызове с данного номера (это еще один уровень защиты от злоумышленников);
• "Статический IP-адрес пользователя" — при установлении соединения пользователю назначается фиксированный IP-адрес;
• "Использовать статическую маршрутизацию" — при установлении соединения пользователю пересылается указанный список маршрутизаторов.

Настройка Свойств сервера

Снова выберем в окне консоли  имя сервера, щелкнем правой кнопкой  мыши и выберем пункт меню " Свойства ".

1. На закладке " Общие " можно изменить сценарии использования службы:
• только как маршрутизатор (либо только для локальной сети, либо для локальной сети и удаленных сетей, подключенный через средства удаленных коммуникаций);
• только как сервер удаленного доступа;
• комбинация обоих вариантов.
2. На закладке " Безопасность " настраиваются используемые методы проверки подлинности (аутентификации) пользователей, подключающихся к службе удаленного доступа. Служба RRAS системы Windows Server поддерживает следующие методы аутентификации (по степени возрастания защищенности данной процедуры):
• без проверки подлинности — при данном варианте вообще не проверяются имя и пароль пользователя, а также права доступа пользователя к службе RRAS (ни в коем случае не рекомендуем использовать на практике данный метод, т.к. открывает возможность подключения к корпоративной сети любому желающему, имеющему информацию о точке подключения, например, номера телефонов на модемном пуле);
• протокол PAP (Password Authentication Protocol) — самый простой протокол, унаследованный от старых версий служб удаленного доступа (реализованных не только в системе Windows), при данном протоколе имя и пароль пользователя передаются через средства коммуникаций открытым текстом, по умолчанию данный метод аутентификации отключен;
• протокол SPAP (Shiva Password Authentication Protocol) — использует протокол шифрования паролей, разработанный компанией Shiva (в прошлом — один из разработчиков средств удаленного доступа), алгоритм шифрования паролей слабее, чем в методах CHAP и MS CHAP, по умолчанию этот метод также отключен;
• протокол CHAP (Challenge Handshake Authentication Protocol) — для шифрования пароля используется метод хэширования MD-5 (по сети передается значение хэш-функции пароля), данный протокол является одним из отраслевых стандартов и реализован во многих системах удаленного доступа, его рекомендуется использовать при подключении клиентов, работающих не на платформе Windows, по умолчанию также отключен;
• протокол MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) — версия протокола CHAP, реализованная корпорацией Microsoft с хэш-функцией MD-4;
• протокол MS-CHAP версии 2 (Microsoft Challenge Handshake Authentication Protocol version 2) — усиленная версия MS CHAP (более длинный ключ шифрования при передаче пароля, вычисление нового ключа при каждом новом сеансе подключения, взаимная аутентификация пользователя и сервера удаленного доступа);
• протокол расширенной проверки подлинности ЕАР (Extensible Authentication Protocol) — позволяет использование смарт-карт при аутентификации пользователя (требуются сертификаты как для сервера RRAS, так и для пользователей).

Клиенты удаленного доступа, имеющиеся в системах Windows, при  подключении к серверу удаленного доступа всегда начинают использовать самый защищенный метод аутентификации. Если на сервере не реализован запрашиваемый  протокол аутентификации, клиент пробует  менее защищенный протокол. И так  до тех пор, пока не будет подобран протокол, поддерживаемый обеими сторонами.

Кроме указанных протоколов можно осуществлять подключение  к службе RRAS с помощью службы RADIUS (рассмотрим ниже).

На этой же закладке настраивается  использование службы учета сеансов  пользователей (служба учета Windows, служба учета RADIUS, либо отсутствие службы учета), по умолчанию — служба учета Windows.

И здесь же задается общий  секрет при использовании протокола L2TP для организации виртуальных  частный сетей ( VPN ). Возможность  использования общего секрета для VPN на базе протокола L2TP имеется только в Windows Server 2003, в версии Windows 2000 протокол L2TP можно было использовать только при наличии сертификатов для  обеих сторон частной сети.

3. На закладке " IP " настраивается разрешение маршрутизации IP-пакетов между компьютером клиента и корпоративной сетью (по умолчанию) и задается способ формирования пула IP-адресов, выдаваемых RRAS-сервером подключаемым к нему клиентам.

Есть два способа формирования пула — использование сервера DHCP, установленного в корпоративной  сети, и задание пула IP-адресов  на самом сервере удаленного доступа (при этом способе 1-й IP-адрес из пула будет назначен интерфейсу " Внутренний " на самом сервере RRAS, а оставшиеся в пуле адреса будут назначаться RRAS-клиентам)

4. Закладка " PPP ". Здесь разрешается или запрещается использование многоканальных подключений протокола PPP ( multilink PPP ). Протокол PPP позволяет использовать несколько коммуникационных каналов (например, несколько коммутируемых телефонных линий и, соответственно, одновременное использование нескольких модемов на серверной и на клиентской стороне) как одно подключение с соответствующим увеличением пропускной способности и назначением по одному IP-адресу на стороне клиента и сервера. При этом возможно использование динамического управления пропускной способностью (с помощью протоколов BAP / BACP, Bandwidth Allocation Protocol / Bandwidth Allocation Control Protocol ), которые позволяют при возрастании трафика активизировать дополнительные телефонные линии из имеющегося пула телефонных линий, а при уменьшении трафика — отключать телефонные линии.
5. Закладка " Ведение журнала ". На этой закладке настраивается уровень протоколирования событий, связанных с сеансами работы удаленных пользователей.

Использование службы RADIUS

Служба RADIUS ( Remote Authentication Dial-in User Service ) является промежуточным звеном между сервером удаленного доступа (который в данном случае называют клиентом RADIUS) и службой каталогов  корпоративной сети. Сервер RADIUS позволяет  решить две основные задачи:

• интеграция в единую систему серверов удаленного доступа от различных производителей;
• централизованное управление доступом в корпоративную сеть (служба RRAS в системе Windows Server настраивается индивидуально для каждого сервера RRAS).

Служба RADIUS работает по следующей  схеме:

• вначале устанавливается телефонное (или иное) соединение между клиентом и сервером удаленного доступа;
• пользователь пересылает серверу RAS запрос на аутентификацию (свои имя и пароль);
• сервер удаленного доступа (являющийся клиентом сервера RADIUS) пересылает данный запрос серверу RADIUS;
• сервер RADIUS проверяет запрос на аутентификацию в службе каталогов (например, в службе Active Directory) и посылает в ответ RAS-серверу разрешение или запрещение данному пользователю на подключение к серверу удаленного доступа;
• сервер удаленного доступа либо подключает пользователя к корпоративной сети, либо выдает отказ в подключении.

Реализация службы RADIUS в системе Windows Server. Служба IAS (Internet Authentication Service).

Раздел "Интерфейсы сети " консоли "Маршрутизация и  удаленный доступ"

В данном разделе консоли  перечисляются все сетевые интерфейсы, установленные на сервере (сетевые  адаптеры, модемы). Напомним, что интерфейс " Внутренний " — это интерфейс, к которому подключаются все клиенты  удаленного доступа, независимо от типа подключения (по коммутируемым телефонным линиям, через виртуальную частную  сеть и т.д.).

Раздел "Клиенты удаленного доступа " консоли " Маршрутизация и удаленный доступ"

В данном разделе осуществляется мониторинг в реальном времени клиентов, подключившихся к серверу удаленного доступа.

Раздел "Порты" консоли "Маршрутизация и удаленный доступ"

В разделе " Порты " перечисляются  все доступные точки подключения  к службе удаленного доступа:

• параллельный порт (для прямого соединения двух компьютеров через порт LPT);
• модемы, доступные для службы удаленного доступа;
• порты, доступные для подключений с помощью виртуальных частных сетей (если администратор при настройке сервера указал, что будут использоваться виртуальные частные сети, то на сервер автоматически добавляются по 128 портов для каждого из протоколов PPTP и L2TP, в дальнейшем администратор может изменить количество портов, доступных для того или иного протокола).

Раздел "IP-маршрутизация" консоли "Маршрутизация и удаленный доступ"

В этом разделе добавляются, удаляются и настраиваются как  статические маршруты, так и необходимые  динамические протоколы маршрутизации:

• Агент ретрансляции DHCP-запросов (DHCP Relay Agent) — использование агента ретрансляции запросов DHCP подробно обсуждалось в пункте, посвященном службе DHCP, настройка данного агента производится именно в данном разделе службы RRAS;
• Протокол IGMP — данный протокол предназначен для маршрутизации multicast-пакетов протокола TCP/IP (данный вид пакетов и адресов используется в основном при передаче мультимедиа-информации);
• Служба трансляции сетевых адресов (NAT, Network Address Translation) — данная служба позволяет обмениваться информацией между сетями с внутренними IP-адресами и сетями с адресами, зарегистрированными в сети Интернет (упрощенный вариант прокси-сервера);
• Протокол RIP версии 2 для IP — протокол динамической маршрутизации IP-пакетов;
• Протокол OSPF (Open Shortest Path First) — также протокол динамической маршрутизации IP-пакетов, более сложный в настройке по сравнению с RIP, но более эффективный в больших сетях.

Виртуальные частные  сети

Виртуальные частные сети (Virtual Private Networks) — технология создания защищенных подключений между компьютерами, подключенными к публичным сетям (например, к сети Интернет).

Пример. Допустим, некий мобильный  пользователь желает подключиться к  корпоративной сети. Он может это  сделать, подключившись к корпоративному серверу удаленного доступа по коммутируемой  телефонной линии. Однако, если пользователь находится в другом городе или  даже другой стране, такой звонок может  обойтись очень дорого. Может оказаться  значительно дешевле подключиться к сети Интернет через местного Интернет-провайдера. Корпоративная сеть, в свою очередь, тоже имеет свое подключение к  Интернет. В этом случае нужно решить две задачи:

• как получить доступ в корпоративную сеть (в данном примере IP-адреса корпоративной сети принадлежат к диапазону внутренних адресов и пакеты от мобильного пользователя не смогут попасть в эту сеть);
• как защитить данные, передаваемые через Интернет (все сетевые пакеты, передаваемые через Интернет, содержат информацию в открытом тексте, и грамотный злоумышленник может перехватить пакеты и извлечь из них информацию).

Обе эти задачи решаются созданием VPN-подключений между удаленным  пользователем и сервером удаленного доступа. В данном примере пользователю необходимо создать еще одно подключение, но не через модем, а через " Подключение  к виртуальной частной сети ". При этом в качестве "телефонного  номера" выступит IP-адрес внешнего интерфейса сервера удаленного доступа.

Технологии виртуальных  частных сетей

Для создания виртуальных  частных сетей в системах семейства Windows используются два различных  протокола — PPTP разработки корпорации Microsoft (Point-to-Point Tunneling Protocol) и L2TP, объединивший лучшие черты протоколов PPTP и L2F компании Cisco (Level 2 Tunneling Protocol). Основной принцип  работы обоих протоколов заключается  в том, что они создают защищенный " туннель " между пользователем  и корпоративной сетью или  между двумя подсетями. Туннелирование состоит в том, что пакеты, передаваемые в защищенной сети, снабжаются специальными заголовками (у обоих протоколов свои заголовки), содержимое данных в  этих пакетах шифруется (в PPTP — алгоритмом MPPE компании Microsoft, в L2TP — технологией IPSec), а затем пакет, предназначенный  для защищенной корпоративной сети и имеющий заголовок с IP-адресами внутренней корпоративной сети, инкапсулируется  в пакет, передаваемый по сети Интернет и имеющий соответствующий заголовок  и IP- адреса отправителя и получателя.

Отличия между двумя протоколами  следующие:

• алгоритмы шифрования (MPPE для PPTP, IPSec для L2TP);
• транспортная среда (PPTP работает только поверх протокола TCP/IP, L2TP может работать также поверх протоколов X.25, Frame Relay, ATM, хотя реализация L2TP в системе Windows работает только поверх TCP/IP);
• L2TP осуществляет взаимную аутентификацию обеих сторон, участвующих в создании защищенной сети, для этого используются сертификаты X.509 или общий секрет (preshared key). Общий секрет (предварительный ключ) реализован начиная с версии Windows 2003, устанавливается в Свойствах службы RRAS на закладке "Безопасность"

Политики удаленного доступа

В основном режиме домена Windows 2000/2003 разрешениями на подключения  к службе удаленного доступа можно  управлять с помощью политик  удаленного доступа. Напомним, что политики удаленного доступа применяются  к учетной записи пользователя при  его попытке подключиться к службе удаленного доступа только в том  случае, если в Свойствах этой учетной  записи указано " Управление на основе политики удаленного доступа ". Если в явном виде указано разрешение или запрет подключения, то политики не проверяются.

Каждая политика состоит из трех компонент:

• Условия (Conditions) — определяются условия подключения пользователя (в сетях на базе MS Windows Server наиболее интересные условия — день недели и время, а также членство в определенной группе );
• Профиль (Profile) — определяются некие параметры подключения (например, тип аутентификации или вид коммуникаций);
• Разрешения (Permissions) — разрешить или запретить подключение.