sistem de acces de la distanță - un set de tehnologii care asigură o conexiune transparentă la client la distanță, de obicei situate în afara rețelei locale. De obicei, organizațiile folosesc accesul de la distanță pentru a se conecta la rețea sau de acasă corporative calculatoare, portabile, angajații (pentru citirea de e-mail sau de acces la fișierele partajate). De asemenea, folosind ISP-urile de acces la distanță conecta la Internet clienții lor.
Prin lansarea aplicației client pentru acces de la distanță, utilizatorul inițiază o conexiune la un server de acces de la distanță. Serverul, la rândul său, realizează autentificarea utilizatorului și menține o sesiune de comunicare în timpul tot timpul de conectare, până când acesta este completat de către administratorul de utilizator sau de rețea. Toate serviciile care sunt de obicei disponibile pentru utilizatorii rețelei locale (inclusiv fișiere și imprimante partajate, acces la un server web și un serviciu de mesagerie), sunt de asemenea disponibile prin conexiune dial-up.
Figura 1 prezintă echivalentul logic al unui client la distanță pentru a se conecta la un server de acces de la distanță.
Figura 1 - echivalentul logic al unei conexiuni de acces la distanță
Accesul la o rețea virtuală privată (VPN). Accesul de la distanță la VPN client rețea virtuală privată utilizează rețeaua IP-based pentru a crea o conexiune virtuală „punct la punct“ la un server de acces la distanță care acționează ca VPN-server. După stabilirea unei conexiuni virtuale ceilalți parametri de conectare pot fi negociate „punct la punct“.
Acces de la distanță și de administrare de la distanță
Este necesar să se distingă un acces de la distanță de la un control de la distanță. Acces server de la distanță - un router software care suportă mai multe protocoale; soluții pentru control de la distanță bazată pe funcțiile de partajare a ecranului, tastatura și mouse-ul peste o conexiune la distanță. Acces de la distanță și de administrare de la distanță sunt următoarele diferențe:
Componentele unei conexiuni de acces la distanță
conexiuni de acces la distanță reprezentate în Figura 2, constă dintr-un client acces de la distanță, serverul de acces de la distanță și infrastructura largă rețea (rețea extinsă, WAN).
Figura 2 - Componentele unei conexiuni de acces la distanță
Client acces de la distanță
server de la distanță acces
echipamente de acces la distanță și infrastructura rețelei globale (WAN)
Conexiunea fizică sau logică între server și client de acces la distanță este sprijinit de echipamentul instalat pe server și client acces de la distanță, precum și prin intermediul infrastructurii de telecomunicații. Tip de echipament pentru acces de la distanță și a infrastructurii de telecomunicații variază în funcție de tipul de conexiune stabilită.
Protocoale de acces de la distanță
Protocoale de acces la distanță controlează procesul de stabilire a conexiunii și transferul de date prin intermediul conexiunilor WAN. Sistemul de operare și protocoale de rețea locală (LAN), utilizate de către client și serverul de acces de la distanță, se determină care dintre protocoalele de acces la distanță pot fi utilizate de către clienți.
Protocoale LAN
protocoale LAN (LAN) - este un protocol utilizat pentru clienții la distanță pentru a avea acces la resursele de rețea la care serverul de acces la distanță. sistem de acces de la distanță Microsoft acceptă protocoalele TCP / IP, IPX și AppleTalk.
Tabelul 1 listează protocoalele LAN utilizate pentru accesul de la distanță.
Tabelul 1 - Procesul-verbal al rețelelor locale și utilizarea acestora
Componente VPN-dial-up
VPN-dial-up, așa cum este ilustrat în figura 3, constă dintr-un client acces de la distanță, serverul de acces de la distanță și Internet.
Figura 3 - Componentele VPN-dial-up
VPN-client acces de la distanță
Acces de la distanță VPN-server
protocolul PPTP (Point-to-point Protocol de tunel - Protocol de tunel "punct-punct")
protocolul L2TP (Layer Two Tunneling Protocol - protocolul de tunelare-al doilea nivel)
protocolul PPTP (punct-la-punct Protocol de tunel)
PPTP sprijin Protocol de tunel, care a fost implementat pentru prima dată în Windows NT 4.0 sistem de operare, este o extensie a PPP (punct-la-punct Protocol) și-a îmbunătățit mecanisme de autentificare, de compresie și criptare. PPTP este instalat automat cu protocolul TCP / IP. Principalele funcții ale protocolului PPTP și metoda MPPE (Microsoft punct-la-punct de criptare) atunci când se utilizează VPN sunt încapsulare și criptarea datelor private.
cadru PPP prin metoda MPPE criptate cu ajutorul cheilor de criptare generate în procesul de autentificare pentru protocolul MS-CHAP v2 MS-CHAP sau EAP-TLS. Clienții rețele private virtuale ar trebui să fie utilizate pentru a cripta sarcina utila MS-CHAP PPP protocol de autentificare, MS-CHAP v2 sau EAP-TLS. PPTP nu oferă criptare și utilizează mijloacele prevăzute protocolul PPP și încapsulează cadrul PPP este pre-criptate.
Figura 4 prezintă criptarea pentru un cadru PPP și protocol încapsulare PPTP.
Figura 4 - criptare și încapsulare PPP cadru PPTP protocol
protocolul L2TP (Layer Two Tunneling Protocol)
protocolul L2TP este un standard industrial de protocol EITF tunelurilor de Internet (Internet Engineering Task Force - Grupul de lucru privind standardele pentru Internet). Spre deosebire de protocolul PPTP, L2TP nu utilizează metoda de criptare MPPE pentru cadrul PPP. L2TP utilizează criptarea oferită de IPSec (securitate Internet Protocol - IP-securitate). Combinația dintre L2TP și IPSec este cunoscut sub numele de L2TP / IPSec. L2TP și IPSec trebuie susținută ca un VPN-server, și VPN-client. L2TP este instalat automat, împreună cu rutarea și acces de la distanță (de rutare si acces de la distanță).
Principalele funcții ale L2TP / IPSec VPN de lucru cu sunt încapsulare și criptarea datelor private.
Încapsularea L2TP pachete IPSec este format din două etape.
Încapsularea L2TP. Still PPP (IP- sau IPX-datagramă) este învelit cu un antet L2TP și antet UDP.
În cazul în care conexiunea îndeplinește toate condițiile unei politici de acces la distanță și se acordă permisiunea de acces de la distanță, profilul politică stabilește pentru a conecta un număr de restricții suplimentare. Proprietățile conexiunii la distanță a contului de utilizator, de asemenea, un set de restricții. Dacă este cazul, limitele contului de utilizator, acestea vor trece peste limitele politicii de acces la distanță.
Pentru membrii operatorilor de grup interzice conexiuni în afara acestor ore.
Puteți configura serverul de acces de la distanță, astfel încât acesta a necesitat utilizarea unor metode de autentificare sigure. În cazul în care clientul de acces la distanță nu se poate utiliza metodele de autentificare necesare, conexiunea este respinsă.
Protocolul EAP (Extensible Authentication Protocol)
Protocolul EAP este un standard nou, care permite utilizarea pentru a testa PPP-conexiuni, mecanisme suplimentare de autentificare. Când se utilizează astfel de protocoale de autentificare, cum ar fi MS-CHAP și SPAP, la stabilirea unei conexiuni selectat mecanism specific de autentificare. Apoi, în etapa de protocol de autentificare conexiune este utilizată autentificarea coerentă. Protocolul de autentificare este o serie de mesaje trimise într-o anumită ordine.
Protocolul EAP este implementat componente de arhitectura de autentificare de sprijin realizate sub formă de plug-in-uri instalate pe ambele părți ale conexiunii - server-side și client-side. Prin instalarea același server de autentificare modul și clientul acces de la distanță, este posibil să se organizeze un sprijin pentru un nou tip de EAP. Acest lucru permite producătorilor să prezinte în orice moment o nouă schemă de autentificare. EAP oferă cea mai mare flexibilitate și susținerea multor metode de autentificare unice.
EAP-MD5 (PAM-Mesaj Digest 5)
Protocolul EAP-MD5 - acest protocol de autentificare mecanism CHAP (Challenge Handshake Authentication Protocol), utilizat în mediul EAP. EAP-MD5 este necesar un tip EAP și poate fi folosit pentru a testa interoperabilitatea EAP. Precum și CHAP, EAP-MD5 este dificil de utilizat datorită faptului că este nevoie de un server pentru autentificare și stocarea parolelor de utilizator într-un format de criptare ușor reversibile.
EAP-TLS (EAP-Transport Nivel de securitate)
Protocolul EAP-TLS, bazată pe protocolul SSL (Secure Sockets Layer), prevede schimbul de date între aplicații sigure. Atunci când se utilizează autentificarea reciprocă EAP-TLS între PPP-client și autentificarea de server bazat pe utilizarea certificatelor. În cazul în care clientul de verificare reciprocă stabilește un server de autentificare conexiune trimite pentru a verifica certificatul de autentificare a utilizatorului, iar serverul trimite certificatul computerului client.
EAP-RADIUS - acest lucru nu este tipul de EAP, ca o modalitate de a transfera mesaje EAP de orice tip EAP de server de autentificare RADIUS server. Mesajele EAP trimise între client și serverul de acces de la distanță sunt încapsulate și formatate ca mesaje RADIUS între serverul de acces de la distanță și RADIUS-server. Serverul de acces de la distanță acționează ca un intermediar, care trece mesaje EAP între clientul de acces la distanță și RADIUS-server. Toate prelucrarea mesajelor EAP are loc la clientul de acces la distanță și RADIUS-server.
EAP-RADIUS este utilizat în medii în care furnizorul de servicii de autentificare utilizează RADIUS. Avantajul EAP-RADIUS este că tipurile EAP ar trebui să fie instalat numai pe RADIUS-server, mai degrabă decât pe fiecare server de acces la distanță.
autentificarea reciprocă
Autentificarea reciprocă se realizează prin autentificarea pe ambele părți ale conexiunii, efectuarea unui schimb criptat de acreditări. Pentru PPP-conexiune este posibilă utilizarea unui protocol de autentificare EAP-TLS sau v2 MS-CHAP. În procesul de autentificare reciprocă, un client de acces la distanță oferă acreditările de server de la distanță de acces pentru a verifica, și vice-versa.
criptarea datelor
mecanisme de criptare asigură criptarea datelor transferate între client și serverul de acces de la distanță. Cu aceste mecanisme, doar datele din canalul criptat între client și serverul de acces de la distanță. Dacă doriți să furnizați criptare pentru punctele finale care utilizează IPSec: după stabilirea conexiunii dial-up, IPSec oferă criptare canal.
conexiune de date dial-up de criptare bazate pe utilizarea cheilor de criptare secrete cunoscute pentru client și serverul de acces de la distanță. Cheia de criptare este generată în timpul procesului de autentificare de conectare. Serverul de acces de la distanță poate necesita utilizarea obligatorie a criptarea datelor. În cazul în care clientul de acces la distanță nu se poate efectua de criptare necesară, încercarea de conectare este respinsă.
Există două tehnologii de criptare a datelor de conexiuni de acces la distanță:
Criptare MPPE (Microsoft punct-la-punct de criptare)
Criptare DES (Data Encryption Standard) și 3DES (Triple DES)
codul de apel
Blocarea contului de acces la distanță
Funcția de blocare cont pentru acces la distanță este utilizat pentru a seta numărul de încercări eșuate de conectare care nu sunt autentificate, după care utilizatorul este refuzat accesul de la distanță. Această caracteristică este cel mai important atunci când se ocupă cu o rețea privată virtuală pe internet. Atacatorii ar putea încerca să obțină acces la Internet la rețeaua internă prin trimiterea acreditări (numele de utilizator și parola presupusă) în timp ce verificarea procesului de autentificare VPN-conexiune. Atunci când ataca cu un dicționar de parole un atacator trimite mii de acreditări opțiuni cu ajutorul unei liste de parole bazate pe cuvinte sau fraze comune. Dacă utilizați funcția de blocare cont de acces de la distanță, un astfel de atac va fi oprit după un anumit număr de încercări nereușite de login.
caracteristică cont de blocare nu face distincție între utilizatorii rău intenționate încearcă să obțină acces la intranet, de încredere și utilizatorii care au uitat pur și simplu parola curentă. Utilizatorii care au uitat parola actuală de obicei, încearcă să folosească vechile parolele pe care le pot aminti. Acest lucru poate duce la suspendarea conturilor lor.
Dacă activați funcția de blocare cont de acces de la distanță, atacatorul poate bloca în mod deliberat contul de utilizator prin încercări repetate de a conecta folosind acest cont. Acest lucru va conduce la faptul că un utilizator de încredere nu se poate conecta.
Administratorul de rețea poate configura doi parametri de cont funcția de blocare pentru acces la distanță:
Numărul de încercări de conectare, după care se produce o blocare.
După încercările de fiecare conexiune fără succes incrementează contra broaștei. Dacă această valoare atinge un maxim predeterminat, în viitor încearcă să se conecteze sunt refuzate.
Contorul este resetat după blocare autentificarea cu succes, în cazul în care valoarea sa nu a atins un maxim predeterminat.