21. Протоколы удаленного доступа и интерактивного взаимодействия.

Служба удаленного доступа, входящая в состав Windows XP, позволяет удаленным или мобильным работникам подключаться к корпоративным вычислительным сетям, например по телефонной коммутируемой линии, и работать с ресурсами сети как обычно. Удаленный доступ также обеспечивает поддержку виртуальных частных сетей (Virtual Private Network, VPN), чтобы пользователи могли устанавливать безопасное соединение с корпоративной сетью через общественные сети, например через Интернет

Служба удаленного доступа в Windows XP является частью интегрированной службы Маршрутизация и удаленный доступ (раньше называющейся Routing and Remote Access Service, RRAS, а сейчас просто — Routing and Remote Access; имя — RemoteAccess, исполняемый файл svchost.exe, запускаемый с параметрами -k netsvcs). Пользователи устанавливают соединение с сервером удаленного доступа (так называется любой компьютер, обслуживающий входящие подключения) с помощью клиентского программного обеспечения удаленного доступа. Все службы, доступные пользователю, подключенному к LAN (включая совместное использование файлов и принтеров, доступ к веб-серверам и передачу сообщений по электронной почте), доступны и пользователю, подключенному удаленно. Сервер удаленного доступа под управлением Windows XP предоставляет два различных типа соединения удаленного доступа. Коммутируемый доступ. Это соединение,, при котором клиент удаленного доступа устанавливает коммутируемую связь для подключения к физическому порту на сервере удаленного доступа, используя службу-посредник для передачи данных, например аналоговый телефон, ISDN или Х.25. Наиболее типичный пример коммутируемого доступа — установление соединения клиентом удаленного доступа при помощи модема, т. е. путем набора телефонного номера одного из портов сервера удаленного доступа. Виртуальное частное соединение (VPN-соединение). Это защищенное соединение типа «точка-точка» через сеть общего пользования (например, Интернет) или большую корпоративную сеть. Чтобы послать виртуальный запрос к виртуальному порту на VPN-сервере, VPN-клиент использует специальные протоколы на базе стека TCP/IP, которые называются протоколами туннелирования (tunneling protocols). Наиболее типичный пример организации виртуальной частной сети — установление соединения VPN-клиента с частной сетью через сервер удаленного доступа, который подключен к Интернету. Сервер удаленного доступа отвечает на виртуальный запрос, затем аутентифицирует вызывающую программу и осуществляет обмен данными между клиентом VPN и корпоративной сетью. В отличие от коммутируемого доступа, VPN-соединение не является непосредственным, «прямым» соединением между VPN-клиентом и VPN-сервером. Чтобы гарантировать безопасность, данные, передаваемые по соединению, нужно шифровать. Возможности удаленного доступа в Windows XP Основные возможности службы удаленного доступа Windows XP были реализованы уже в Windows 2000; они кратко перечислены MS CHAP версии 2 MS CHAP (Microsoft Challenge Handshake Authentication Protocol, Протокол проверки подлинности запроса-подтверждения Microsoft) версии 2 предназначен для обмена идентификационной информацией и порождения ключей шифрования во время установления соединения удаленного доступа. MS CHAP версии 2 поддерживает VPN EAR Расширяемый протокол идентификации (ЕАР, Extensible Authentication Protocol) позволяет использовать новые методы проверки подлинности для удаленного доступа, включая реализацию защиты, основанную на смарт-картах. Интерсрейс ЕАР позволяет подключать модули проверки подлинности сторонних производителей Помимо РРТР, сервер удаленного доступа Windows XP поддерживает протокол L2TP (Layer 2 Tunneling Protocol, Протокол туннелирования второго уровня), являющийся промышленным стандартом, который используется вместе с протоколом IPSec для создания безопасных VPN-соединений Поддержка широковещания IP (IP Multicast) Используя IGMP router и proxy версии 2 (маршрутизатор и посредник IGMP), сервер удаленного доступа поддерживает обмен групповым 1Р-трасриком между клиентами удаленного доступа и Интернетом или корпоративной сетью Блокировка учетной записи (Account lockout) Блокировка учетной записи — функция защиты, которая отменяет разрешение удаленного доступа для учетной записи пользователя после определенного числа неудавшихся попыток проверки подлинности, например, в случае попыток подбора пароля по словарю Базовые понятия На сервере удаленного доступа под управлением Windows XP установленное сетевое оборудование отображается в виде ряда устройств и портов. Устройство — аппаратура или программное обеспечение, которое предоставляет службе удаленного доступа порты для установки соединений «точка-точка». Устройства бывают физические, например модем, или виртуальные, например VPN-соединение. Устройства могут поддерживать один порт, на-пример модем, или несколько портов, например банк модемов, который может предоставить 64 независимых входящих аналоговых коммутируемых соединений. Протоколы РРТР или L2TP — примеры виртуальных много-портовых устройств. Каждый из этих туннельных протоколов поддерживает несколько одновременных VPN-соединений. Порт — отдельный канал устройства, который может поддерживать одно соединение «точка-точка». Для однопортовых устройств типа модемов «уст-ройство» и «порт» не различаются. Для многопортовых устройств порт - часть устройства, при помощи которого может быть установлено отдельное соединение «точка-точка». Например, адаптер ISDN имеет два В-канала: адаптер ISDN — устройство; каждый В-канал — порт, поскольку соедине-ние «точка-точка» может быть установлено раздельно по каждому В-каналу. Виртуальное частное соединение, иначе называемое VPN-соединением (Vir-tual Private Network Connection, соединение виртуальной частной сети) эму-лирует соединение «точка-точка». Для эмуляции прямого соединения дан-ные инкапсулируются специальным способом, т. е. снабжаются специальным заголовком, который предоставляет информацию о маршрутизации, чтобы пакет мог достигнуть адресата. Получателем пакета является VPN-клиент, либо VPN-сервер. Часть пути, по которому данные следуют в инкапсулиро-ванном виде, называется туннелем. Для организации безопасной виртуальной частной сети перед инкапсуляци-ей данные шифруются. Перехваченные по пути следования пакеты невоз-можно прочитать без ключей шифрования. Участок VPN-соединения, на котором данные передаются в зашифрованном виде, и называется, собст-венно, виртуальной частной сетью. VPN-соединения создаются, управляются и уничтожаются с использованием специальных туннельных протоколов или протоколов туннелирования. VPN-клиент и VPN-сервер должны поддерживать один и тот же протокол тунне-лирования, чтобы создать VPN-соединение. Сервер удаленного доступа под управлением Windows XP — VPN-сервер, работающий по протоколам РРТР и L2TP. Серверы коммутируемого доступа Можно настроить сервер удаленного доступа, работающий под управлением Windows XP, чтобы он предоставлял доступ ко всей сети или только к ресурсам сервера удаленного доступа Клиенты коммутируемого доступа Клиенты удаленного доступа, работающие под управлением Windows NT и Windows XP, Windows 98, Windows 95, Windows for Workgroups, MS-DOS, LAN Manager или Apple Macintosh могут устанавливать соединения с сервером удаленного доступа под управлением Windows XP Транспортные протоколы и протоколы удаленного пользователя Транспортные протоколы служат для базовой поддержки обмена информацией. Протоколы удаленного доступа используются для установления соединения и поддержки кадрирования дан-ных транспортного протокола, которые передаются по WAN. Удаленный доступ Windows XP поддерживает протоколы TCP/IP, IPX, AppleTalk, и NetBEUI, которые обеспечивают доступ к Ин-тернету, UNIX, Apple Macintosh и ресурсам Novell NetWare. Уда-ленный доступ Windows XP поддерживает протоколы удаленно-го доступа РРР, SLIP, ARAP и протокол Microsoft RAS (только для NetBEUI) Параметры WAN Клиенты могут подключаться к серверу, используя стандартные телефонные линии и модем или группу модемов. Большим быстродействием обладают ISDN-подключения; можно подключать клиентов удаленного доступа к серверам удаленного доступа, используя Х.25. Также поддерживаются прямые соединения при помощи нуль-модема RS-232C или параллельного кабеля Параметры защиты Безопасность на основе шифрования данных, смарт-карт и ответного вызова предоставляют надежную основу для организации безопасной службы удаленного доступа Серверы коммутируемого доступа Как уже говорилось, для управления службой маршрутизации и удаленного доступа в Windows XP используется Мастер сетевого подключения (New Connection Wizard) и папка Сетевые подключения (Network Connections); возможностей непосредственного конфигурирования этой службы в Windows XP нет. Для коммутируемого доступа компьютер должен иметь многопорто-вый адаптер, модем и аналоговую телефонную линию или другое соедине-ние с WAN. Если сервер удаленного доступа предоставляет доступ к сети, необходимо установить отдельный сетевой адаптер, подключенный к тому сегменту сети, к которому сервер удаленного доступа предоставляет доступ. Нужно определить протоколы, используемые в локальной сети (IPX, TCP/IP и NetBEUI), и будет ли предоставляться доступ ко всей сети или только к серверу удаленного доступа. Также необходимо выбрать параметры шифрования и проверки подлинности. Клиенты коммутируемого доступа Клиентом коммутируемого доступа, который подключается к серверу уда-ленного доступа под управлением Windows XP, может быть компьютер с Windows NT, Windows 2000, Windows XP, Windows 98, Windows 95, Windows for Workgroups, MS-DOS, LAN Manager или любой РРР-клиент. Клиент должен иметь установленный модем, аналоговую телефонную линию или другое соединение WAN и программное обеспечение удаленного доступа. Можно автоматически соединяться с серверами удаленного доступа, исполь-зуя Диспетчер автоподключений удаленного доступа (AutoRAS) Windows XP. Диспетчер автоподключений исследует каждое соединение, производимое через службу удаленного доступа, и автоматически повторно подключает к серверу удаленного доступа при повторном обращении к ресурсу. Для клиентов Windows XP можно автоматизировать процесс соединения, используя простой язык командных файлов и команду Rasdial.exe. Протоколы коммутируемого доступа Протоколы удаленного доступа управляют передачей данных через глобальную сеть (например, через телефонную сеть или сеть Х.25). Операционная система и транспортные протоколы, используемые клиентами и серверами удаленного доступа, определяют, какой протокол удаленного доступа могут использовать клиенты Протокол Поддержка Windows ХР поддерживает РРР— набор промышленных стандартов и протоколов проверки подлинности, позволяющих работать в сетях с продуктами нескольких производителей. Microsoft рекомендует использовать РРР из-за его гибкости и статуса промышленного стандарта. Применение РРР дает возможность компьютерам под управлением Windows XP устанавливать соединение с удаленными сетями через любой сервер, соответствующий стандарту РРР. Гибкость РРР также позволяет компьютеру под управлением Windows XP принимать входящие соединения и обеспечивать доступ к сети для программного обеспечения удаленного доступа других поставщиков. Архитектура РРР также позволяет клиентам удаленного доступа использовать любую комбинацию IPX, TCP/ P, NetBEUI и AppleTalk. На компьютере, работающем под управлением Windows NT/2000, Windows 98 или Windows 95 и обращающемся к службе удаленного доступа, можно устанавливать любую комбинацию протоколов TCP/IP, IPX и NetBEUI, a также запускать программы, использующие интерфейсы Windows Sockets, NetBIOS или IPX. Клиенты удаленного доступа Microsoft не поддерживают работу протокола AppleTalk по коммутируемому соединению SLIP SLIP — устаревший стандарт удаленного доступа, обычно используемый серверами удаленного доступа на базе UNIX. Клиенты удаленного доступа под управлением Windows XP поддерживают SLIP и могут соединяться с любым сервером удаленного доступа, используя стандарт SLIP. Это позволяет клиентам Windows NT 3.5 или выше устанавливать соединение с большим количеством коммуникационных серверов UNIX. Сервер удаленного доступа под управлением Windows XP не поддерживает клиентов SLIP Конфигурирование службы удаленного доступа Установка программного обеспечения При инсталляции Windows XP автоматически устанавливается и служба Маршрутизация и удаленный доступ (Routing and Remote Access). Непосред-ственно ею управлять нельзя. Вся работа по созданию подключений (в том числе и входящих) осуществляется при помощи Мастера сетевого подключе-ния (Network Connection Wizard). Настройка параметров подключений осу-ществляется в окне их свойств, а для настройки общих дополнительных па-раметров используется меню Дополнительно (Advanced) в окне Сетевые под-ключения (Network Connections). Аппаратные требования Перед работой со службами удаленного доступа необходимо подключить все аппаратные средства и проверить их функционирование. В зависимости от размеров и конфигурации сети и требований к удаленному доступу, могут понадобиться: сетевой адаптер с драйвером, соответствующим спецификации NDIS; один или несколько модемов и свободные СОМ-порты; многопортовый адаптер для достижения требуемой производительности (если необходимо поддерживать несколько соединений одновременно); адаптер ISDN (если используется линия ISDN); смарт-карта Х.25 (для сетей Х.25). Защита удаленного доступа Проверка подлинности клиентов удаленного доступа — важная часть системы безопасности. Методы проверки подлинности обычно используют протокол проверки подлинности во время установления соединения. Windows ХР также поддерживает доступ без проверки подлинности. Чтобы указать, кто сможет пользоваться входящим (incoming) подключением на изолированном компьютере, нужно в окне свойств этого подключения перейти на вкладку Пользователи (Users) и установить/сбросить флажок около имени локального пользователя. Для каждого пользователя можно индивидуально установить пароль и параметры ответного вызова.

22. Протоколы защищенной передачи данных. Создание VPN. Цифровые сертификаты.

23. Классификация сетевых угроз и методы защиты информации.

56