Защита удаленного доступа

Если сеть открыта для удаленного доступа по телефонным линиям, то ее защита усложняется. В самом деле, если к локальной сети возможен только локальный доступ, то достаточно поставить охрану у входа в здание и тем самым избежать проникновения злоумышленников. Кроме того, когда вы идете по офису, вы можете увидеть всех, кто работает на компьютерах и понять, чем они заняты. Однако с удаленным доступом так не получится — все, что вы в состоянии узнать о пользователе, который "удаленно" вошел в систему — это используемая им учетная запись. Но она ничего не говорит о том, кто ее использует фактически.
Кроме того, головную боль вызывает и этот длинный, абсолютно ничем не защищенный кабель, который соединяет удаленного пользователя с сетью. Если учесть, что вы не в состоянии предотвратить прослушивание общедоступной телефонной линии в любой точке на всем ее протяжении, то следует позаботиться о каком-либо методе защиты от перехвата злоумышленниками паролей путем подслушивания телефонных сообщений.

Защита сеансов протоколами CHAP и РАР

Основная задача защиты системы удаленного доступа — гарантировать доступ в сеть только зарегистрированным пользователям. Поскольку при удаленном доступе в качестве протокола линии связи чаще всего используют РРР (Point-to-Point Protocol - протокол узел-узел), в этом разделе мы рассмотрим два защитных средства, предусмотренные этим протоколом.

● CHAP — Challenge Handshake Authentication Protocol - протокол аутентификации по квитированию вызова.
● PAP — Password Authentication Protocol - протокол аутентификации по паролю.

В обоих протоколах защиты для идентификации пользователя применяются секретные файлы (secrets file), однако в каждом протоколе — по-разному.

Примечание:
В протоколе РРР не требуется идентификация - она устанавливается по вашему выбору.
Защита включается после того, как логический канал уже создан, но еще не открывался.

Принцип работы протокола РАР. РАР менее надежен, чем протокол CHAP, и используется теми клиентами, которые не поддерживают CHAP. Когда клиент пытается инициировать сеанс связи с сервером удаленного доступа, то посылает на сервер имя и пароль, указанные в учетной записи. (Пароль может быть зашифрован.) Сервер сравнивает имя и пароль пользователя с данными, указанными в его секретном файле. При совпадении клиенту предоставляется доступ. В противном случае соединение прерывается. К недостаткам метода можно отнести то, что пароль фактически пересылается в соответствии с протоколом РАР и может быть перехвачен. Кроме того, метод неустойчив и по отношению к повторным попыткам несанкционированного доступа.

Принцип работы протокола CHAP. Недостатки протокола РАР привели к разработке другого протокола защиты — CHAP. Процесс идентификации пользователя по протоколу CHAP выглядит несколько сложнее. Когда клиент пытается инициировать сеанс связи, сервер посылает клиенту вызов (challenge) — случайным образом сгенерированное число — а также имя сервера, которому следует ответить. Клиент отвечает за надлежащее шифрование вызова и отправление правильного отклика. С этой целью клиент просматривает собственный секретный файл, записанный как простой текст, чтобы найти отклик на полученный вызов. Когда клиент находит корректный отклик, он сопоставляет результат поиска с исходным вызовом, шифрует всю строку и отсылает серверу зашифрованную строку. Затем сервер расшифровывает пакет и сопоставляет вызов и отклик с собственной секретной базой данных (secrets database).
При совпадении данных клиент идентифицируется и запускается сеанс работы. В противном случае сеанс прерывается (в некоторых реализациях сеанс перемаршрутизируется (rerouted) на новый, но с крайне ограниченным сетевым доступом). Преимущество этой схемы над протоколом РАР заключается в том, что по сети не пересылается секретная информация и, следовательно, ее перехват и последующий несанкционированный доступ к ней невозможны.
Еще одно преимущество протокола CHAP: процесс идентификации не обязательно завершается первоначальной идентификацией (original identification). Через некоторое время сервер может послать клиенту еще один вызов, чтобы убедиться, что за этот период сеанс связи не перехвачен злоумышленником. Если клиент не в состоянии в любой момент времени возвратить корректный отклик, сеанс прерывается.

Установка протокола RADIUS

Протоколы CHAP и РАР могут использовать не все клиенты. Некоторые из них связываются с сетью с помощью входов (login) в серверы Telnet или UNIX. Чтобы предоставить централизованный сервер входной регистрации (centralized authentication server) клиентам различных типов, разработан протокол RADIUS (Remote Authentication Dial-In User Service — служба удаленной аутентификации пользователей по телефонным линиям). Этот протокол используют для передачи информации об аутентификации (authentication), установления подлинности (authorization) и конфигурации между сервером доступа к сети (которому необходимо идентифицировать сеансы удаленного доступа) и сервером входной регистрации общего пользования (shared authentication server). Таким образом учетные записи разных типов можно сохранять в единственной базе данных учетных записей.
Когда для удаленного доступа к сети клиент использует протокол RADIUS, то начальное соединение устанавливается с сервером доступа к сети. Этот сервер передает идентификационную информацию от клиента на сервер входной регистрации (authentication server), который либо разрешает, либо запрещает соединение. Кроме того, он указывает серверу доступа к сети тип соединения, необходимый конкретному клиенту (т.е. входы (login) Telnet, PPP, SLIP или UNIX).
Что можно сказать о защите данных, которыми обмениваются серверы доступа к сети исерверы входной регистрации? Взаимодействие этих серверов напоминает работу протокола CHAP. Идентификация выполняется с помощью общей секретной базы данных (share secrets database), поэтому их пароли никогда не пересылаются по сети. Если метод входа в сеть удаленного клиента требует, чтобы удаленный пользователь предоставил пароль для входа в сервер доступа к сети, то пароль шифруется с помощью криптографической системы шифрования открытым ключом RSA, а уже затем пересылается (rerouted) между серверами доступа к сети и входной регистрации.

Ограничение пользователей частью сети

После идентификации и входа в сеть удаленного пользователя, он все еще не всегда способен свободно получать доступ к сетевым ресурсам. Многие сетевые администраторы ограничивают доступ к сети удаленным пользователям, предоставляя им более ограниченные разрешения, чем пользователям при локальном входе.

В каком объеме следует предоставлять удаленный доступ? Часто удаленный доступ ограничивают сервером входной регистрации. Чтобы изолировать удаленных пользователей от уязвимой информации (sensitive information), разрешите им использовать только средства удаленного доступа — электронную почту, может быть, некоторые файлы (только для чтения) — но держите их подальше от основной сети (main network). Некоторые серверы удаленного доступа — скажем, система удаленного доступа Windows 98 — вообще позволяют делать только это. Другие серверы удаленного доступа, например Windows NT, позволяют указать, имеет ли пользователь право "просматривать" всю сеть либо должен ограничиться только ресурсами сервера.

Конфигурирование привязок. Если вам необходимо предоставить кому-либо лишь частичный доступ к сети, вы можете сделать это, установив в каждой части сети только необходимые протоколы. Как вы помните из гл. 3, каждый протокол должен быть "привязан" к части сетевого оборудования либо к определенной программе обслуживания — только тогда он будет доступен этому оборудованию или программе. Такой способ конфигурирования называют привязками (bindings). Другими словами, вы не можете перераспределить трафик в ту часть сети, в которой не установлен соответствующий протокол.
По практическим соображениям, пользователям удаленного доступа предпочтительнее установить протокол TCP/IP. Поэтому если вам нужно предоставить удаленным пользователям доступ к сети, и в то же время не позволить им пользоваться всем тем, что в ней есть, отмените привязку протокола TCP/IP для тех серверов, доступ к которым нежелателен. Не полагайтесь на установки системы защиты или процедуры идентификации — в этом случае вы просто не сможете воспользоваться ими, поскольку в данном сегменте протокол TCP/IP не поддерживается. Кстати, это же справедливо и по отношению к обычным пользователям локальных сетей. 

Смотрите также

Создание содержимого для Web
Содержимое Web-среды может быть весьма простым — ограничиваться почтовыми сообщениями и несколькими рисунками, но может быть и сложным (содержать ссылки из текущего текста на внутренние прилож ...

Прокладывание локальной сети 10Base2
Постепенно мы подошли к одному из наиболее интересных разделов нашего «Самоучителя» — к разделу, посвященному прокладыванию и компоновке локальной сети. В настоящей главе мы рассмотр ...

FreeBase
FreeBase является конфигурационной программой базовой станции AirPort для Windows, доступной в режиме online на http://freebase.sourceforge.net. Web-сайт FreeBase также содержит &laq ...