Раздел: Документация
0 ... 110 111 112 113 114 115 116 ... 136 открытого текста на сервере аутентификации. .V1.s-( НЛР-пародихранятся на сервере большей безопасности, но доступны вычислению так же, как и СНАР-пароли. В протоколе MS-CHAP ответ на запрос вычисляется с помощью Message Digest 4 (md4>-x мпн-pyfiMoii версии пароля и ответа сервера доступа к сети i Neiwork access server, V\ si Это активизирует аутентификацию по Интернету на контроллер домена Windows 2000 (или на контроллер домена Windows NT 4.0, на котором не было выполнено обновлен! :>. Password Authentication Protocol (PAP). Протокол PAP передает пароль в виде строки от пользовательского компьютера устройству NAS. Когда NAS передает пароль, он шифрует его с применением секретного ключа протокола RADIUS и качестве ключа шифрования. РАР это наиболее гибкий протокол, потому что передача пароля в виде открытого текста серверу аутентификации позволяет серверу сравнить пароль нр этически с любым форматом хранения. Например, пароли ОС UNIX хранятся в ои..е зашифрованных строк, которые не могут быть расшифрованы. РАР-пароли можно сравнить с этими строками путем воспроизведения метода шифрования. Поскольку протокол РАР использует пароль в виде открытого текста, его безопасность ушшша. Хот* протокол RADIUS шифрует пароль, он передается через удаленное соединение в виде открытого текста. •Shiva Password Authentication Protocol (SPAP). SPAP — это механизм двустороннего шифрования, применяемый серверами удаленного доступа Shiva. Клиент удаленного доступа может использовать SPAP для собственной аугеи шфикании на удаленном сервере Shiva. Клиент удаленного доступа с 32-разрядной ОС Windows 2000 может применять SPAP для собственной аутентификации на удаленном сервере Windows 2000. SPAP более надежен, чем но менее надежен, чем CHAP илиSPAP не имеет защиты против олицетворения удаленного сервера. Как и РАР, SPAP — это простой обмен сообщениями. Сначала клиент удаленного доступа посылает сообщение Authenticate-Request (Запрос аутентификации) серверу удаленного доступа, содержащему клиентское имя пользователя и зашифрованный пароль. Затем сервердоступа расшифровывает пароль, проверяет имя пользователя и пароль и возвращает либо сообщение Authenticate-Ack (Аутентификация прошла), когда инфор-. мация пользователя верна, либо сообщение Auihenticate-Nak (Аутентификация не прошла) с объяснением причины, почему информация пользователя неверна. •Extensible Authentication Protocol (EAP). Это расширение протокола РРР. позволяющее применять произвольные механизмы аутентификации для подтверждения РРР. При использовании таких протоколов аутентификации РРР, как MS-CHAP и SPAP, на этапе установки соединения выбирается определенный механизм аутентификации. Затем на этапесоединения используетсяпротокол аутентификации для подтверждения соединения. Протокол аутентификации — это фиксированные наборы сообщений, посылаемых в определенном порядке, ЕАР разработан для аутентификации подключаемых модулей как клиента, так и сервера. Путем установки библиотечного ЕАР-файла на клиенте удаленного доступа и сервере удаленного доступа может поддерживаться новый тип ЕАР. Это позволяет продавцам в любое время поставлять новую схему аутентификации. ЕАР обеспечивает наибольшую гибкость аутентификации уникальности и изменений. 310 feworewawm сети предприятия Глава 14 Практикум: использование протоколов безопасности для VPN 1. 2. 3. 4. 5. Задание: акишисиуйч сервер для использования аутентификации CHAP Раскройте меню Start\Programs\AdminstraliveTools (Пуск\Программы\Администрирова-ние) и щелкните Routing and Remote Access. Щелкните правой кнопкой мыши имя сервера, : которого хотите активизировать протоколы аутентификации, и в контекстном меню выберите пункт Properties (Свойства), диалоговое окно свойств сервера. На вкладке Security (Безопасность) щелкните кнопку Authentication Methods (Методы проверки подлинности). Откроется одноименное окно. Пометьте флажок Encrypted Authentication (Шифрованная проверка подлинности) и щелкните ОК (рис. 14-3). Чтобы закрыть диалоговое окно щоис-л, сервера, щелкните ОК. Authentication Methods The sever authenticates temote systems by uartg (be se ected methods m tfie oidei shown befaw t~ t#eTOit**4ie*nfo№HEAP) EM*Metht«te.. j P Г Мсгсмейегкз.*Ыsutfierf-ealwi(MS-CHAPJ F? £noyptedarfhMi>iorilCHAPt Г Shva P«sw& dAutfteniicaion Plowed (SPAPJ P UjjerfiyptecJjanwordlPAP) Uneuthen>K4tei. acce:?-" —— - Г АВсщ;•emoti. tsterre to connect witnoiA fluthenfoilon Рис. 14-3. Испольшвлпис метода аутентификации CHAP Создание политик удаленного доступа Службы RRAS и Internet Authentication Service используют политики удаленного доступа для разрешения или запрещения подключения. В обоих случаях политики удаленного доступа хранятсяопределяют правила на уровне отдельных При использовании политик удаленного доступа вы можете предоставить или запретитьвотсуток или дня недели, от группы, к которой при надлежит удаленный пользователь, типасоединения (удаленная сеть или VPN) и т. д, Локальное и централизованное управление политиками Поскольку политики удаленного доступа хранятся локально наудаленного досту- па илидля централизованного управления одним набором политик для не- cknii,kii\ серверов удаленного доступа или VPN-серверов выполните действия, описанные ниже. 1.Установите на компьютер 1AS в качестве RADI US-сервера. 2.Сконфигурируйте IAS тля RADI l.S»K.Hienioi« для каждого сервера удаленного ло< rvna или VPN-сервера. 3.На lAS-сервере создайте основной набор политик, используемых всеми серверами удаленного доступа. 4.Сконфигурируйте каждый сервер удаленного доступа в качестве RADI US-клиента для IAS-сервера. После этого локальные политики удаленного доступа, хранящиеся на сервере удаленного доступа, не будут использоваться. Lien градп (oiiaiii-ioe управление политиками удаленного доступа применяется так же, когда серверы удаленного доступа работают пол управлением Windows NT 4.0 и имеют службу RRAS. Вы вправе сконфигурировать Windows N1 4.0-сервер, имеющий службу RRAS, в качестве RADI US-клиента для IAS-сервера. Вы не можете сконфигурировать сервер удаленного доступа под управлением Windows NT 4.0, не имеюший службы RRAS, для использования централизованных политикула-иддиио доступа. Использование протоколов шифрования Шифрование применяется для защиты данных, пересылаемых между клиентом и фраером удаленного доступа. Шифрование- данных важно для финансовых институтов, правительственных и других opi анизлпни. требующих безопасной передачи данных. Если требуется сохранение-конфиденциальности данных, сетевой администратор может настроить .сервер удаленного доступа, что бы он требовал зашифрованных соединений. Пользователям, !1о-!к.!ючаюцц\1С1! к такому серверу, придется шифровать их данные, иначе .пестут будет шпрещен. Для VPN-соединений вы защищаете данные, шифруя их между конечными точками сети VPN. Для VPN-соединений всегда следует шифровать данные при передаче их по обше.юсryniioii сети, например по Интернету, так как присутствует риск несанкционированного доступа. Для удаленных сетевых соединений можно защитить данные, шифруя их при передаче по линии связи между клиентом и сервером удаленного доступа. Шифрование использовать, если существует риск перехвата данных. Для удаленных соединений существуют два вида шифрования: МРРЕ и IPSec. • МРРЕ. Все РРР-соеднпения. включая РРТР. кроме могут использовать МРРЕ. МРРЕ применяет шифр потока RSA RC4 и действует только совместно с методами аутентификации TLS или MS-CHAP (версии 1 или 2). МРРЕ может использовать 40-, 56- или 128-разрядные ключи шифрования: 40-разрядный ключ предназначен для обратной совместимости и международного использования; 56-разрядный ключ — для международного использования и подчиняетсязаконамшиф- рования; 128-разрядный ключ действует в Северной Америке. По умолчанию в про- установки соединения выбирается наибольшая длина ключа, вызывающим имаршрутизаторами. Если отвечающий требует ключ большей длины, чем поддерживаемый вызывающим маршрутизатором, доступ запрещается. Примечание Для удаленных сетевых Windows 2000 использует 0 ... 110 111 112 113 114 115 116 ... 136
|