Средства безопасности сервиса удаленного доступа RAS

Для обеспечения безопасности RAS использует как средства Windows NT, так и собственные механизмы. Защита предусматривается на всех стадиях процесса удаленного доступа: аутентификации пользователей, передачи данных, доступа к ресурсам, выхода из системы и контроля событий, относящихся к защите данных (аудит). Для аутентификации абонентов RAS использует протокол Challenge Handshake Authentification Protocol (CHAP). Суть его состоит в том, что одна из сторон посылает некое проверочное слово, которое другая сторона должна зашифровать с помощью известного обеим сторонам секретного ключа. Зашифрованное слово возвращается в качестве ответа вызывающей стороне, которая локально также выполнила шифрование этого проверочного слова с помощью такого же ключа. Если результаты шифрования совпадают, то значит аутентификация прошла успешно. Здесь важно, что аутентификация осуществляется без передачи по сети секретного пароля. CHAP может использовать разные алгоритмы шифрования, а конкретно в RAS применяются DES и MD5. Существует несколько вариантов аутентификации, в которых могут быть использованы разные алгоритмы шифрации.

• DES используется сервером RAS, если клиентом также является RAS.
• При коммуникациях со сторонними клиентами сервер RAS может использовать протокол SPAP, менее защищенный, чем CHAP, или вообще не использовать никаких алгоритмов шифрации.
• Если же клиент RAS взаимодействует с серверами удаленного доступа сторонних производителей, то он может использовать алгоритм MD5, часто реализуемый различными поставщиками РРР для зашифрованной аутентификации. Сервер RAS алгоритма MD5 не поддерживает.

Для обеспечения секретности передаваемых данных в сервисе RAS имеется встроенный механизм шифрации данных, основанный на алгоритме открытого ключа RC4 компании RSA Data Security. В принципе пользователи RAS могут сами выбрать степень безопасности при обмене данными с удаленными компьютерами. Но администратор имеет возможность принудительным образом устанавливать высокий уровень безопасности. На рисунке 7.1 приведены различные варианты аутентификации удаленных пользователей для случая, когда сервер RAS взаимодействует с клиентом RAS, а также для тех случаев, когда эти компоненты взаимодействуют с продуктами третьих фирм.

Рис. 7.1. Различные варианты аутентификации пользователей при использовании сервера и клиента RAS В качестве дополнительной меры безопасности RAS предлагает процедуру обратного вызова (call-back). Защита основана на том, что администратор заранее зная номера телефонов с которых могут выполняться "разрешенные" звонки, вносит их в специальный список. Процедура call-back предусматривает следующую последовательность:

• инициирование соединения со стороны удаленного пользователя;
• установление соединения;
• обрыв только что установленного соединения по инициативе сервера;
• инициирование соединения со стороны сервера по разрешенному номеру, заданному пользователем для обратного вызова.

Очевидно, что если был назван неразрешенный номер или номер не соответствующий месту нахождения звонившего абонента, то соединение не будет разрешено. Права на удаленный доступ могут быть предоставлены пользователям только явным образом. Все остальные права на доступ к ресурсам сети и выполнение привилегированных действий определяются средствами авторизации Windows NT.

RAS как многопротокольный маршрутизатор Сервер RAS маршрутизирует протоколы IP и IPX, а при использовании для связи с клиентом протокола NetBEUI работает в режиме шлюза. При использовании в канале между сервером и клиентом протокола IP основной режим работы сервера RAS - это режим proxy ARP, когда клиентам назначаются адреса с номером сети, равным номеру внутренней локальной сети, к которой подключен сервер. Сервер поддерживает несколько способов назначения IP-адресов клиентам:

• жесткое присваивание IP-адреса клиенту при его конфигурировании;
• назначение адреса сервером, причем адрес выбирается из пула адресов, выделенных клиентам при конфигурировании сервера;
• назначение адреса сервером, причем адрес для клиента запрашивается сервером RAS у сервера DHCP локальной сети.

Сервер RAS может работать и как маршрутизатор "сеть-сеть", что может понадобиться при подключении к Internet сети небольшого офиса (рисунок 7.2). В этом случае он может заменить аппаратный маршрутизатор, но компания Microsoft не советует использовать RAS в качестве маршрутизатора при соединении больших сетей.

Рис. 7.2. Использование сервера RAS для подключения небольшой сети к Internet Для того, чтобы сервер RAS мог маршрутизировать трафик между двумя IP-сетями, в Registry - конфигурационную базу Windows NT - нужно добавить две переменные, которые изначально там отсутствуют. Эти переменные запрещают серверу отправлять IP-пакеты удаленным пользователям от своего IP-адреса (режим, который используется по умолчанию), а также заставляют при маршрутизации принимать во внимание маски. Для маршрутизации между сетями IPX никакие дополнительные установки в сервере RAS не нужны. Сервер позволяет назначать всем удаленным клиентам как один и тот же номер IPX-сети, так и различные. Номер узла клиент может задать себе сам, а может предоставить эту работу серверу. Пакеты протокола NetBEUI передаются между сервером и клиентом RAS по протоколу РРР, как и пакеты протокола IP/IPX, но это является нестандартным режимом работы РРР. Компания Microsoft передала свое предложение о стандартизации такого режима в соответствующий комитет IETF, однако стандартом он пока не стал. Поддержка прикладных программных интерфейсов RAS позволяет пользователям разрабатывать собственные приложения, обладающие возможностями удаленного доступа. Сервер и клиент RAS легко устанавливаются, что не удивительно ввиду их тесной интеграции с ОС Windows NT. К недостаткам процедуры инсталляции можно отнести неочевидность последовательности действий при установке и конфигурировании протокола PPTP. Подсказки HELP-системы по этому разделу слишком бедны и не дают ясного представления о назначении этого протокола и о способе его использования. При тестировании серверов удаленного доступа, проведенном журналом Network Computing (данные этого тестирования имеются и на русском языке в журнале "Сети и системы связи", 9/96), сервер Microsoft RAS показал средние результаты в отношении производительности обмена файлами, не очень хорошие результаты по критерию простоты и удобства инсталляции.

Подключение компьютеров к Internet c использованием RAS Еще одним вариантом удаленного доступа является доступ по коммерческим сервисам реального времени или по сети Internet. Все сервисы реального времени и практически все провайдеры Internet'а поддерживают электронную почту и некоторые формы передачи файлов. Для подключения к таким сервисам в этом варианте, как правило, достаточно местных телефонных звонков (в отличие от первых трех схем удаленного доступа, для которых в общем случае необходимы более дорогостоящие междугородние вызовы). Сервисы реального времени имеют свое собственное программное обеспечение для доступа, хотя к ним можно получить доступ и с помощью обычных программ эмуляции терминала. Сегодня, когда Mac OS, OS/2, Windows 95, Windows NT Workstation и практически любой вариант Unix'а включают стек TCP/IP, несколько популярных программ для доступа в Internet и программу электронной почты, технические барьеры на пути к Internet'у значительно снизились. Windows NT, RAS и Internet Explorer обеспечивают пользователя функционально полным набором средств выхода в Internet. Существует несколько сценариев установления соединения с Internet через сервис удаленного доступа RAS.

• Соединение с хостом Internet через IP поверх РРР.
• Прямое соединение с Internet через маршрутизатор. Такое соединение требует особых мер обеспечения безопасности, например, установки межсетевых экранов.
• Провайдер услуг Internet может создать сеть информационного обеспечения, в которой он будет предоставлять разделяемое соединение с Internet, плюс добавочные сервисные услуги, такие как почтовый ящик, заказные базы данных, факсшлюзы и т.д. Для такого сценария RAS оказывается особенно подходящим, так как может поддерживать до 256 соединений на достаточно высоких скоростях, при этом он обладает способностью поддерживать различные коммуникационные протоколы и разнообразное клиентское программное обеспечение.
• Windows NT и RAS могут выступить в роли шлюза-маршрутизатора в Internet для компьютеров небольшой локальной сети.