Microsoft Bevezetés a távoli hozzáférési technológiák és áttekintést
távfelügyeleti rendszer - egy sor technológiákat, amelyek átlátható kapcsolat a távoli ügyfél, általában kívül található a helyi hálózaton. Jellemzően szervezet használja a távoli hozzáférést csatlakozni a vállalati hálózathoz, vagy otthoni számítógépek, hordozható, az alkalmazottak (az olvasó e-mailben vagy a megosztott fájlok). Továbbá, a távoli hozzáférés internetszolgáltatók csatlakozni az internethez ügyfeleiknek.
Indított a kliens alkalmazás távoli hozzáférést, a felhasználó elindít egy kapcsolatot a távoli hozzáférési szerver. A szerver viszont végrehajtja a felhasználó hitelesítését, és fenntartja a kommunikációs esemény során a teljes kapcsolódási időt, amíg befejeződik a felhasználó vagy a hálózati rendszergazda. Minden szolgáltatások, amelyek jellemzően elérhető a felhasználók számára a helyi hálózaton (például a megosztott fájlok és nyomtatók, a hozzáférést egy webszerver és egy üzenetküldő szolgáltatás) is elérhetők dial-up kapcsolatot.
Az 1. ábra a logikai megfelelője egy távoli kliens kapcsolódni a távoli hozzáférési szerver.
1. ábra - A logikai egyenértékű egy távoli hozzáférési kapcsolatot
Hozzáférés a virtuális magánhálózat (VPN). Távoli hozzáférés a VPN-kliens virtuális magánhálózati az IP-alapú hálózati hozzon létre egy virtuális kapcsolat „pont-pont” a távoli hozzáférés működő szerveren a VPN-szerver. Miután a létesítmény egy virtuális összeköttetés a többi kapcsolati paraméterek is tárgyalt „pont-pont”.
Távoli hozzáférés és a távoli menedzsment
Meg kell különböztetni a távoli hozzáférést egy távirányító. Remote Access Server - szoftver router, amely támogatja a több protokollt; megoldások távirányító alapuló funkcióit képernyőmegosztáshoz, billentyűzet és egér, mint egy távoli kapcsolatot. Távoli hozzáférés és a távoli menedzsment a következő eltérésekkel:
Az alkatrészek egy távoli hozzáférési kapcsolatot
távoli hozzáférési csatlakozások 2. ábrán látható, tartalmaz egy távelérési ügyfél, a távoli hozzáférési szerver és a nagy kiterjedésű hálózati infrastruktúra (Wide Area Network, WAN).
2. ábra - összetevői a távoli hozzáférési kapcsolatot
Remote Access Client
távoli elérés kiszolgáló
távoli hozzáférés berendezéseket és infrastruktúrát a globális hálózat (WAN)
A fizikai vagy logikai kapcsolat a szerver és a távoli hozzáférés kliens támogatja a telepített berendezések a szerver és a kliens a távoli hozzáférést, valamint keresztül a távközlési infrastruktúra. A berendezés típusa a távoli hozzáférés és távközlési infrastruktúra függően változik, hogy milyen típusú kapcsolat jön létre.
Remote Access protokollok
Távoli hozzáférési protokollok szabályozzák a folyamatot, amelynek célja a kapcsolatot és adatátvitelt WAN kapcsolatokat. Az operációs rendszer és a helyi hálózati protokollok (LAN), amelyet az ügyfél és a távoli hozzáférési szerver, megállapítjuk, hogy melyik a távoli hozzáférési protokollok használhatók az ügyfelek.
LAN protokollok
LAN protokollok (LAN) - egy protokoll távoli ügyfeleik számára a hálózati erőforrások, amelyek a távoli hozzáférést biztosító kiszolgáló. Microsoft távoli hozzáférési rendszer támogatja a protokollok TCP / IP, IPX és az AppleTalk.
1. táblázat felsorolja a LAN használt protokollok távoli hozzáférést.
1. táblázat - a jegyzőkönyvet a helyi hálózatok és azok használatáról
Components VPN-dial-up kapcsolat
VPN-dial-up kapcsolat, mint a 3. ábrán látható, amely egy távoli hozzáférés kliens a távoli hozzáférési kiszolgáló és az internet.
3. ábra - A komponensek VPN-dial-up kapcsolatot
VPN-kliens távoli hozzáférést
Remote Access VPN-szerver
PPTP protokollt (PPTP - alagút protokoll „pont-pont”)
L2TP protokoll (Layer Two protokollbújtatás - a második szintű alagút protokoll)
PPTP protokollt (PPTP)
PPTP alagút protokoll támogatása, amely először végre a Windows NT 4.0 operációs rendszer, egy kiterjesztése a PPP (Point-to-Point Protocol) és a továbbfejlesztett hitelesítési mechanizmusokat, tömörítés és titkosítás. PPTP automatikusan telepítésre kerül a TCP / IP protokollt. A fő funkciója a PPTP protokoll és módszer MPPE (Microsoft Point-to-Point Encryption) használata VPN vannak tokozás és titkosítása személyes adatok.
PPP keret módszerével MPPE titkosított titkosítási generált kulcsokat a hitelesítési folyamatban az MS-CHAP protokoll, az MS-CHAP v2 vagy az EAP-TLS. Az ügyfelek a virtuális magánhálózatok kell titkosításához használt hasznos MS-CHAP PPP hitelesítési protokoll, az MS-CHAP v2 vagy EAP-TLS. PPTP nem biztosít titkosítást, és használja a biztosított eszközök PPP protokoll és körülveszi a PPP-keret előre kódolt.
A 4. ábra a titkosítási egy PPP keret és PPTP kapszulázáshoz protokollt.
4. ábra - a titkosítás és a beágyazás PPP keret PPTP protokoll
L2TP protokoll (Layer Two Tunneling Protocol)
L2TP protokoll egy ipari szabvány EITF alagút protokoll az interneten keresztül (Internet Engineering Task Force - munkacsoport Szabványok az Interneten). Ellentétben PPTP protokoll, L2TP nem használ MPPE titkosítási módszert a PPP keretében. L2TP titkosítást használ IPSec nyújtotta (Internet Protocol biztonsága - IP-biztonság). A kombináció a L2TP és IPSec ismert L2TP / IPSec. L2TP és az IPSec támogatni kell a VPN-szerver, és a VPN-kliens. L2TP automatikusan telepítésre együtt Routing and Remote Access (Routing and Remote Access szolgáltatás).
A fő funkciók L2TP / IPSec VPN dolgozik a tokozás és titkosítása személyes adatok.
Kapszulázása L2TP over IPSec csomagokat két szakaszból áll.
Körülzárása L2TP. Még PPP (IP vagy IPX-datagram) van bevonva L2TP fejléc és UDP fejlécet.
Ha a kapcsolat megfelel minden körülmények között a távoli hozzáférési politika és megadták a távoli hozzáférési engedélyt, a politika profile beállítja csatlakozni számos további korlátozásokat. Az ingatlan a távoli kapcsolat a felhasználói fiók is egy sor korlátozást. Ha szükséges, a felhasználói fiók korlátok, ezek felülírják határok távoli hozzáférési jogok.
A csoport tagjai szolgáltatók tiltják kapcsolatok ezeken az órákon kívül.
Itt lehet beállítani a távoli hozzáférést szervert, hogy szükséges a használata bizonyos módszerek biztonságos hitelesítést. Ha a távoli hozzáférés kliens nem használhatja a szükséges hitelesítési módszer, a kapcsolat utasítani.
Jegyzőkönyv EAP (Extensible Authentication Protocol)
Az EAP protokoll egy új szabvány, amely lehetővé teszi, hogy használja, hogy teszteljék a PPP-kapcsolatok további hitelesítési mechanizmusokat. Ha ilyen hitelesítési protokollok, mint például az MS-CHAP és SPAP, a kapcsolat létesítésekor a kiválasztott specifikus hitelesítési mechanizmus. Ezután egy kapcsolat hitelesítési protokollt használják koherens hitelesítést. Authentication Protocol egy sor üzenetet küldött egy meghatározott sorrendben.
Az EAP protokoll végrehajtása architektúrától- hitelesítés készült alkatrészek formájában telepített bővítmények mindkét oldalán a kapcsolat - szerver oldali és a kliens oldali. Telepítésével azonos modul hitelesítési kiszolgáló és a távoli hozzáférés ügyfél, akkor lehet szervezni támogatást egy új típusú EAP. Ez lehetővé teszi a gyártók számára, hogy bármikor benyújtani minden új hitelesítési rendszert. EAP biztosítja a legnagyobb rugalmasságot és támogatásával számos egyedi hitelesítési módszereket.
EAP-MD5 (EAP-Message Digest 5)
Jegyzőkönyv EAP-MD5 - ez hitelesítési mechanizmus CHAP protokoll (Challenge Handshake Authentication Protocol), használt EAP környezetben. EAP-MD5 egy kötelező EAP-típus, és lehet használni, hogy teszteljék EAP átjárhatóság. Csakúgy, mint a CHAP, EAP-MD5 nehéz használni annak a ténynek köszönhető, hogy előírja a szerver a hitelesítéshez és tárolására felhasználói jelszavakat könnyen visszafordítható titkosított formátumban.
EAP-TLS (EAP-Transport Level Security)
Jegyzőkönyv EAP-TLS alapján az SSL protokoll (Secure Sockets Layer), amely biztonságos adatcserét az alkalmazások között. Ha EAP-TLS közötti kölcsönös hitelesítés A PPP-kliens és a szerver hitelesítés alapján a tanúsítványok használata. Ha a kölcsönös ellenőrzés ügyfél kapcsolatot hoz létre a hitelesítési szerver küld, hogy ellenőrizze a felhasználói hitelesítés igazolást, és a szerver küld a kliens számítógép tanúsítványt.
EAP-RADIUS - ez nem az a fajta EAP, mint egy módja annak, hogy át EAP üzeneteket bármely EAP típusú hitelesítési szerver RADIUS-kiszolgáló hitelesítést. EAP üzeneteket a kliens és a távoli hozzáférést biztosító kiszolgáló vannak beágyazva és formázott RADIUS közötti üzenetek távoli hozzáférési kiszolgáló és a RADIUS-szerver. A távoli hozzáférési kiszolgáló közvetítőként jár el, átadva EAP üzeneteket a távoli hozzáférés kliens és a RADIUS-szerver. Minden feldolgozása EAP üzeneteket fordul elő a távoli hozzáférés kliens és a RADIUS-szerver.
EAP-RADIUS olyan környezetben használják, ahol a hitelesítés szolgáltató használ RADIUS. Az előnye, hogy EAP-RADIUS, hogy az EAP típusok telepítését csak a RADIUS-szerver helyett, minden távoli hozzáférést biztosító kiszolgáló.
kölcsönös hitelesítés
Kölcsönös hitelesítés érjük hitelesítésére mindkét oldalán a kapcsolatot, teljesítő titkosított cseréjét adatokat. A PPP-kapcsolatot lehet használni egy hitelesítési protokoll EAP-TLS vagy MS-CHAP v2. A folyamat során a kölcsönös hitelesítés, a távoli hozzáférés kliens a hitelesítő szerver távoli hozzáférést ellenőrizni, és fordítva.
adattitkosítás
titkosítási mechanizmusok biztosítják az adatok titkosítását át a kliens és a szerver távoli hozzáférést. Ezekkel mechanizmusok, csak az adatok a titkosított csatornán a kliens és a szerver távoli hozzáférést. Ha azt szeretnénk, hogy a titkosítás végpontok használó IPSec: a telefonos kapcsolat jön létre, IPSec titkosítást csatornát.
Encryption telefonos kapcsolat adatok alapján a titkos titkosítási kulcsok ismert a kliens és a szerver távoli hozzáférést. A titkosítási kulcs generálása során a kapcsolat hitelesítési folyamat. A távoli hozzáférési kiszolgáló előírhatja a kötelező használatának adattitkosítás. Ha a távoli hozzáférés kliens nem tudja elvégezni a szükséges titkosítást, a csatlakozási kísérlet utasítani.
Két adat titkosítási technológia távoli hozzáférést kapcsolatok:
Encryption MPPE (Microsoft Point-to-Point Encryption)
Titkosítás DES (Data Encryption Standard) és 3DES (Triple DES)
hívó kód
Lock távoli hozzáférési fiókot
Funkció fiókzárolás távoli hozzáférés segítségével beállítható a sok sikertelen kapcsolódási kísérletek a nem hitelesített, amely után a felhasználó nem kap a távoli hozzáférést. Ez a funkció a legfontosabb, ha foglalkozik a virtuális magánhálózat az interneten keresztül. Támadók megpróbál hozzáférni az interneten, hogy a belső hálózat küldésével hitelesítő adatait (felhasználói név és jelszó állítólagos), miközben ellenőrzi a VPN-kapcsolat azonosítási eljárást. Amikor a támadó a szótár jelszavak támadó küld több ezer lehetőségek hitelesítő segítségével jelszólisták alapuló gyakori szavakat vagy kifejezéseket. Ha a fiókzárolás funkció a távoli hozzáférést, egy ilyen támadás után leállítják bizonyos számú sikertelen bejelentkezési kísérlet.
fiókzárolás funkció nem tesz különbséget a rosszindulatú felhasználók próbál hozzáférni az intranet és megbízható felhasználói egyszerűen elfelejtette a jelenlegi jelszavát. Azon felhasználók, akik elfelejtették a jelenlegi jelszót jellemzően megpróbálja használni a régi jelszavak tudnak emlékezni. Ez ahhoz vezethet, hogy a felfüggesztés a számlákat.
Ha engedélyezi fiókzárolás funkció a távoli hozzáférés, a támadó szándékosan zár a felhasználói fiók ismételt csatlakozási kísérletek segítségével ezt a számlát. Ez vezet az a tény, hogy egy megbízható felhasználó nem tud csatlakozni.
A hálózati rendszergazda beállíthatja a két paraméter funkció fiókzárolás táveléréshez:
A számú csatlakozási kísérlet, amely után egy kizárás történik.
Miután minden egyes sikertelen kapcsolódási kísérletek ellen növeli a zárat. Ha ez az érték eléri egy előre meghatározott maximális, a jövő megpróbál csatlakozni megtagadják.
A számláló nullázódik zár sikeres azonosítás után, ha annak értéke nem éri el egy előre meghatározott maximális.