Администрирование NAT
Администрирование NAT
Добавление преобразования сетевых адресов (NAT)
Для добавления преобразователя сетевых адресов (NAT) необходимо в окне оснастки Маршрутизация и удаленный доступ в разделе Маршрутизация IP (IP Routing) щелкнуть правой кнопкой мыши на узле Общие (General) и выбрать из появившегося контекстного меню команду Новый протокол маршрутизации (New Routing Protocol).
В диалоговом окне Новый протокол маршрутизации в списке Протоколы маршрутизации (Routing protocols) выбрать узел Преобразование сетевых адресов (NAT) (Network Address Translation (NAT)) и нажать кнопку ОК (Рисунок 19.10).
ARAP
ARAP
Клиенты Apple Macintosh могут подключаться к серверу удаленного доступа Windows 2005 при помощи протоколов ARAP (AppleTalk Remote Access Protocol, протокол удаленного доступа AppleTalk) и AppleTalk. Когда удаленный доступ разрешен для гостевой учетной записи ARAP-клиента, сервер будет опрашивать подключающихся пользователей, действительно ли они хотят входить в систему в качестве гостя. Если разрешен доступ без проверки подлинности, пользователи удаленного доступа могут устанавливать соединения без передачи идентификационной информации. Чтобы запретить такой доступ для всех учетных записей, кроме гостевой записи пользователей AppleTalk, нужно создать политику удаленного доступа для пользователей AppleTalk и установить атрибут Framed-Protocol равным AppleTalk Remote Access Protocol (ARAP).
Архитектура TAPI 3 0 в Windows XP
Компоненты на стороне клиента
Следующие компоненты должны функционировать на клиентском компьютере: Служба ТАР! (TAPI Service). Связывается с приложениями TAPI и предназначена для обеспечения связи между этими приложениями и поставщиком удаленных услуг TAPI. Поставщик удаленных услуг TAPI (Remote Service Provider TAPI). DLL-библиотека на стороне клиента, которая связывается по сети со службой TAPI, работающей на сервере TAPI. |
Базовые понятия
Базовые понятия
На сервере удаленного доступа под управлением Windows XP установленное сетевое оборудование отображается в виде ряда устройств и портов.
Устройство — аппаратура или программное обеспечение, которое предоставляет службе удаленного доступа порты для установки соединений "точка-точка". Устройства бывают физические, например модем, или виртуальные, например VPN-соединение. Устройства могут поддерживать один порт, например модем, или несколько портов, например банк модемов, который может предоставить 64 независимых входящих аналоговых коммутируемых соединений. Протоколы РРТР или L2TP — примеры виртуальных многопортовых устройств. Каждый из этих туннельных протоколов поддерживает несколько одновременных VPN-соединений.
Порт - отдельный Канал устройства, который может поддерживать одно соединение "точка-точка". Для однопортовых устройств типа модемов "устройство" и "порт" не различаются. Для многопортовых устройств порт — часть устройства, при помощи которого может быть установлено отдельное соединение "точка-точка". Например, адаптер ISDN имеет два В-канала: адаптер ISDN — устройство; каждый В-канал — порт, поскольку соединение "точка-точка" может быть установлено раздельно по каждому В-каналу.
Виртуальное частное соединение, иначе называемое VPN-соединением (Virtual Private Network Connection, соединение виртуальной частной сети) эмулирует соединение "точка-точка". Для эмуляции прямого соединения данные инкапсулируются специальным способом, т. е. снабжаются специальным заголовком, который предоставляет информацию о маршрутизации, чтобы пакет мог достигнуть адресата. Получателем пакета является VPN-клиент, либо VPN-сервер. Часть пути, по которому данные следуют в инкапсулированном виде, называется туннелем.
Для организации безопасной виртуальной частной сети перед инкапсуляцией данные шифруются. Перехваченные по пути следования пакеты невозможно прочитать без ключей шифрования. Участок VPN-соединения, на котором данные передаются в зашифрованном виде, и называется, собственно, виртуальной частной сетью.
VPN-соединения создаются, управляются и уничтожаются с использованием специальных туннельных протоколов или протоколов туннелирования. VPN-клиент и VPN-сервер должны поддерживать один и тот же протокол туннелирования, чтобы создать VPN-соединение. Сервер удаленного доступа под управлением Windows XP — VPN-сервер, работающий по протоколам РРТР и L2TP.
Блокировка учетной записи
Блокировка учетной записи
Блокировка учетной записи (Account Lockout) — еще одна отличительная особенность безопасности, которая отменяет разрешение удаленного доступа для учетной записи пользователя после заданного числа неудавшихся попыток проверки подлинности.
Можно использовать блокировку учетной записи, чтобы определить, сколько раз происходил сбой проверки подлинности удаленного доступа до того момента, как разрешение удаленного доступа для учетной записи пользователя будет отменено. Блокировка учетной записи особенно важна для удаленного доступа по VPN-соединению через Интернет. Сторонние пользователи злоумышленники из Интернета могут пытаться получить доступ к интрасети, посылая идентификационную информацию (настоящее имя пользователя и предполагаемый пароль) в течение процесса проверки подлинности VPN-соединения. При атаке с применением словаря пользователь-злоумышленник посылает сотни, даже тысячи пар "имя-пароль" по списку, основанному на общих словах, именах или фразах.
Если разрешить блокировку учетной записи, атака по словарю будет остановлена после заданного числа неудавшихся попыток. Сетевой администратор должен настроить две переменные, управляющие блокировкой учетной записи при удаленном доступе:
Число неудавшихся попыток до отмены разрешения удаленного доступа для учетной записи пользователя. | |
Частоту обнуления счетчика неудавшихся попыток (нужно периодически сбрасывать счетчик неудавшихся попыток, чтобы предотвратить длительную блокировку учетной записи из-за ошибок пользователя при наборе пароля). |
Чтобы разрешить возможность блокировки учетной записи, нужно изменить параметры в системном реестре Windows XP.
Предупреждение |
|
Некорректное редактирование системного реестра может нарушить работоспособность системы. Перед изменением системного реестра нужно сделать его резервную копию. |
Чтобы разрешить блокировку учетных записей, необходимо установить значение параметра MaxDenials больше или равным 1. По умолчанию MaxDenials=0 (блокировка учетной записи запрещена). Параметр MaxDenials — максимальное число неудачных попыток, произошедших до блокировки учетной записи:
HKEY_LOCAL_MACHINE\SYSTEM\CurremControlSet\Services \RemoteAccess\Parameters\AccountLockout\MaxDenials
Чтобы изменить временной интервал до сброса счетчика неудачных попыток, необходимо установить значение параметра ResetTime равным заданному числу минут:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \RemoteAccess\Parameters\AccountLockout\ResetTime
По умолчанию ResetTime = ОхЬ40 (2,880 мин или 48 ч).
Caller ID
Caller ID
При настройке защиты удаленного доступа на использование Caller ID (идентификатор звонящего абонента) задается телефонный номер, с которого пользователь должен осуществлять связь. Если пользователь производит попытку соединения с другого номера, сервер удаленного доступа отклоняет ее.
Предупреждение |
|
Caller ID должен поддерживаться вызывающей стороной, телефонной сетью между вызывающей стороной и сервером удаленного доступа, а также сервером удаленного доступа. Поддержка Caller ID на стороне сервера удаленного доступа состоит из оборудования, отвечающего на вызов. Это оборудование должно поддерживать передачу Caller ID соответствующему встроенному драйверу Windows XP, который, в свою очередь, поддерживает передачу Caller ID вызывающей стороны службе маршрутизации и удаленного доступа. Если поддержка Caller ID разрешена, но какая-то часть оборудования или программного обеспечения не поддерживает Caller ID, то устанавливающему соединение пользователю будет отказано в доступе. Особенности применения Caller ID обеспечивают большую степень безопасности для организации труда надомных работников (telecommuters). Недостаток Caller ID заключается в том, что пользователь может получить удаленный доступ только с конкретной телефонной линии. Кроме того, надо учесть, что функция Caller ID в России недоступна на большинстве телефонных станций, кроме современных цифровых станций, устанавливаемых взамен старых, или коммерческих провайдеров телефонных услуг. |
CHAP
CHAP
Протокол проверки подлинности CHAP — протокол проверки подлинности типа "запрос-ответ", использующий схему хэширования MD-5 (Message Digest, дайджест сообщения) для шифрования ответа. CHAP используется различными производителями ПО серверов и клиентов удаленного доступа. Сервер удаленного доступа Windows XP поддерживает CHAP для проверки подлинности клиентов удаленного доступа сторонних поставщиков.
Частные адреса
Частные адреса
Чтобы устанавливать соединение с ресурсами Интернета, необходимо использовать адреса, распределенные центром Network Information Center (Информационный центр сети Интернет, InterNIC). Такие адреса могут получать трафик от служб межсетевой сети и называются public-адресами (public address). Типичное малое предприятие или офис подразделения получает public-адрес (или адреса) от Интернет-провайдера, который, в свою очередь, получил диапазон public-адресов от InterNIC.
Для того чтобы разрешить нескольким компьютерам в сети малого офиса или в домашней сети устанавливать соединение с ресурсами Интернета, каждый компьютер должен иметь собственный public-адрес. Это требование может привести к нехватке доступных public-адресов.
Чтобы сократить потребность в public-адресах, InterNIC предусмотрел схему многократного использования адресов, зарезервировав идентификаторы сетей для частных нужд. Частные сети входят в следующие диапазоны (задаются идентификатором и маской):
10.0.0.0 с маской 255.0.0.0 | |
172.16.0.0 с маской 255.240.0.0 | |
192.168.0.0 с маской 255.255.0.0 |
Более подробная информация о диапазонах адресов, зарезервированных для частных интрасетей, приведена в RFC 1597. Адреса в этих диапазонах называются частными адресами.
Частные адреса не могут получать трафик от компьютеров в межсетевой среде. Следовательно, если интрасеть использует частные адреса и устанавливает связь со службами Интернета, частный адрес должен транслироваться в public-адрес. NAT помещается между интрасетью, которая использует частные адреса, и Интернетом, который использует public-адреса. Пакеты, исходящие из интрасети, имеют частные адреса, которые NAT транслирует в public-адреса. Поступающие из Интернета пакеты имеют public-адреса, и NAT транслирует их в частные адреса.
Частные сетевые адреса
Частные сетевые адреса
Необходимо использовать IP-адреса, выделенные InterNIC для частных IP-сетей (см. выше). По умолчанию преобразователь адресов для частной сети выбирает адреса из диапазона с идентификатором 192.168.0.0 и маской 255.255.255.0.
Если для IP-сети используются public-адреса, которые не были выданы ни InterNIC, ни Интернет-провайдером, то может оказаться, что используется идентификатор IP-сети другой организации, имеющей выход в Интернет. Этот случай называется некорректной или накладывающейся (overlapping) IP-адресацией. Накладывающиеся public-адреса исключают возможность достижения межсетевых ресурсов по этим адресам. Например, если используется сеть 1.0.0.0 с маской подсети 255.0.0.0, то невозможно достичь ресурсов другой организации, которая также использует сеть 1.0.0.0.
Добавление интерфейса для преобразования адресов
Добавление интерфейса для преобразования адресов
Для добавления интерфейса для преобразования адресов необходимо в окне оснастки Маршрутизация и удаленный доступ в разделе Маршрутизация IP (IP Routing) щелкнуть правой кнопкой мыши на узле Преобразование сетевых адресов (NAT) (Network Address Translation (NAT)) и из появившегося контекстного меню выбрать команду Новый интерфейс (New Interface).
Далее, выбрать нужный интерфейс и нажать кнопку ОК.
Дополнительные установки преобразователя адресов
Дополнительные установки преобразователя адресов
Если Интернет-провайдер выдал диапазон IP-адресов, необходимо сконфигурировать диапазон IP-адресов на интерфейсе, подключенном к Интернету. |
Групповая конференцсвязь по IP
Групповая конференц-связь по IP
Поставщик услуг групповой конференц-связи IP (IP Multicast Conferencing Service Provider) — расширение для IP, позволяющее осуществлять эффективную групповую связь группы по LAN. При наличии группового IP-протокола пользователи посылают только одну копию данных группе IP-адресов для достижения всех получателей, которые хотят получить данные, с использованием самых коротких деревьев для определения пути. Без использования многоадресного вещания те же самые данные нужно было бы передавать по сети несколько раз, по одной копии для каждого получателя, или передать широковещательно каждому пользователю в сети, что заняло бы полосу пропускания и время на обработку и передачу данных.
TAPI 3.0 использует стандартный Протокол описания сеансов (Session Description Protocol, SDP), разработанный консорциумом IETF для того, чтобы объявлять групповые конференции IP no LAN. Описатели SDP хранятся в Windows XP Active Directory — в службе локатора Интернета (ILS).
Хосты безопасности
Хосты безопасности
Хост безопасности — устройство проверки подлинности сторонних производителей, которое проверяет, имеет ли вызывающий клиент удаленного доступа разрешение на соединение с сервером удаленного доступа. Эта проверка дополняет систему безопасности, предоставляемую сервером удаленного доступа под управлением Windows XP.
Хост безопасности располагается между клиентом и сервером удаленного доступа. Хост безопасности предоставляет дополнительный уровень безопасности, требуя наличие некоторого аппаратного ключа для проверки подлинности. Проверка того, что клиент удаленного доступа владеет ключом, производится до подключения к серверу удаленного доступа. Эта открытая архитектура позволяет заказчикам выбирать из ряда хостов безопасности разных провайдеров для увеличения безопасности удаленного доступа.
Интеграция компьютерных и телефонных сетей
Интеграция компьютерных и телефонных сетей
Компьютерная телефония позволяет настольным компьютерам взаимодействовать с аппаратными средствами телефонии, обычно РВХ, через механизмы интеграции компьютера и телефонии (Computer-Telephony Integration, CTI). Большинство РВХ реализуют связь с аппаратными средствами CTI, которые соединяют РВХ с одним или более компьютеров (хотя аппаратные средства связи могут быть факультативными, не поставляемыми в стандартной конфигурации РВХ). Связь между РВХ и компьютерами редко бывает простой, поскольку большинство фирм-производителей реализуют СП по-разному. Один производитель применяет для CTI алгоритмы собственной разработки для кодировки данных и передачи их по последовательному каналу, другой может кодировать данные в пакетах TCP/IP в сегменте Ethernet. He существует стандарта кодирования данных для CTI. В результате приложения компьютерной телефонии часто должны понимать специальный язык управления коммутатора, как для каждого принтера, поддерживаемого приложением MS-DOS, требуется отдельный драйвер. Возможно, предпочтительнее использовать один API (TAPI; см. Рисунок 19.23, на котором приведена архитектура TAPI 3.0), через который множество приложений могут вызывать телефонные службы и обеспечивать один транслятор для каждого РВХ или другого фрагмента телефонных аппаратных средств. Такого рода транслятор называется поставщиком услуг (Service Provider, SP).
IPтелефония
IP-телефония
В организациях обычно поддерживаются раздельные сети для передачи голоса, данных и видеоинформации. Поскольку все сети имеют различные транспортные требования и физически независимы, их установка, поддержка и реорганизация обходятся дорого.
IP-телефония объединяет сети передачи голоса, видео и данных, используя общий транспорт IP для каждого из потоков, по-настоящему собирая отдельные сети в единую технологию.
Клиенты IP-телефонии используют телефон, подключенный к адаптеру PSTN, либо существующие аппаратные средства мультимедиа. IP-телефония поддерживает телефонную, звуковую и видеоконференц-связь, голосовую и видеопочту, а также службы видео по требованию (video on-demand).
Использование службы факсов
Использование службы факсов
Чтобы послать простое текстовое или графическое сообщение по факсимильной связи, требуются только Windows XP и факс-модем. Необходимо убедиться, что модем поддерживает возможности передачи факсимильных сообщений, а не только стандартные возможности передачи данных. Хотя некоторые модемы предоставляют обе возможности, они не взаимозаменяемы. Служба факсов может работать с факсимильными устройствами, которые поддерживают передачу сообщений в стандарте Class 1 или Class 2, например, факс-модемы или факсимильные платы.
Чтобы послать по факсу документ, нужно просто выбрать команду Печать (Print) в том приложении Windows, где открыт документ. Поскольку служба факсов устанавливает факс-принтер автоматически, при передаче сообщения понадобится добавить только информацию о получателе и заметки в Мастере рассылки факсов (Send Fax Wizard) — и факс будет передан.
Факс использует многостраничный формат TIFF (Tagged Image File Format). Можно сканировать отпечатанные изображения и использовать их для передачи по факсу. Не требуется преобразовывать существующую графику в формат TIFF перед передачей факса — служба факсов делает это автоматически. Служба факсов также содержит компонент для предварительного просмотра (Imaging Preview) полученных и посланных факсимильных сообщений.
Для наилучшей работы со службой рекомендуется:
Если заранее известно, что факсимильное устройство будет работать в Windows XP, лучше подключить или вставить это устройство в компьютер до установки операционной системы.
Если устройство подключается после установки Windows XP, система должна обнаружить факсимильное устройство при запуске и установить службу факсов и факс-принтер. Если эти компоненты автоматически не установятся при запуске, нужно запустить Мастер оборудования (Hardware Wizard) для поиска и установки устройства.
Примечание |
Служба факсов в Windows XP не поддерживает совместное использование (sharing) факс-принтеров. |
При наборе номера факс использует информацию о способе набора, установленную в группе параметров Параметры телефона и модема на панели управления. В мастере рассылки факсов (Send Fax Wizard) есть функция отмены телефонных установок и набора номера телефона в том виде, в каком они введены. Монитор факсов (Fax Monitor) позволяет просматривать все события, связанные с передачей факсимильных сообщений. Можно установить ручной ответ на звонки, можно также использовать эту утилиту для отмены приема или передачи факсов.
Элементы политики удаленного доступа
Элементы политики удаленного доступа
Политика удаленного доступа — именованное правило, в которое входят следующие элементы: условия, разрешение (право) удаленного доступа, а также профиль.
Условия (Conditions). .Условия политики удаленного доступа— это один или несколько атрибутов (Рисунок 19.7, табл. 19.15), которые сравниваются с параметрам настройки попытки соединения. Если имеется несколько условий, то все условия должны соответствовать параметрам попытки соединения, которое сопоставляется политике. |
Коммуникационные службы
Коммуникационные службы
Конфигурирование диапазонов IPадресов для преобразования
Конфигурирование диапазонов IP-адресов для преобразования
Для конфигурирования диапазонов IP-адресов для преобразования в окне оснастки Маршрутизация и удаленный доступ в разделе Маршрутизация IP (IP Routing) разверните узел Преобразование сетевых адресов (NAT), щелкните правой кнопкой мыши на нужном интерфейсе и выберите в появившемся контекстном меню команду Свойства.
На вкладке Пул адресов (Address Pool) (Рисунок 19.14) нажмите кнопку Добавить (Add) и выполните одно из следующих действий:
Если используется диапазон IP-адресов, которые могут быть заданы при помощи IP-адреса и маски подсети, в поле Начальный адрес (Start address) укажите начальный адрес, а в поле Маска (Subnet mask) — маску подсети. | |
Если используется диапазон IP-адресов, которые не могут быть заданы при помощи IP-адреса и маски подсети, то в поле Начальный адрес укажите начальный адрес, а в поле Конечный адрес — конечный IP-адрес. |
Примечание |
Если имеется несколько интервалов адресов, можно добавить каждый из них отдельно, нажав кнопку Добавить. |
Конфигурирование других компьютеров
Конфигурирование других компьютеров в сети малого офиса или в домашней сети
Можно настроить протокол TCP/IP на других компьютерах в сети малого офиса или в домашней сети, чтобы они получали IP-адреса автоматически. Когда компьютеры в домашней сети получают свой IP-адрес с компьютера, на котором функционирует NAT, получаемая ими конфигурация будет следующей:
IP-адрес (из сети с идентификатором 192.168.0.0 и маской 255.255.255.0) | |
Маска подсети (255.255.255.0) | |
Шлюз по умолчанию (IP-адрес интерфейса компьютера-преобразователя адресов, находящегося в сети малого офиса или в домашней сети) | |
DNS-сервер (IP-адрес интерфейса компьютера-преобразователя адресов, находящегося в сети малого офиса или в домашней сети) | |
WINS-сервер (IP-адрес интерфейса компьютера-преобразователя адресов, находящегося в сети малого офиса или в домашней сети) | |
Тип узла NetBIOS — М-узел {запрос имени NetBIOS вначале передается широковещательно, а затем посылается заданному серверу WINS) |
Конфигурирование компьютерапреобразователя адресов
Конфигурирование компьютера-преобразователя адресов
Чтобы сконфигурировать компьютер-преобразователь адресов, необходимо выполнить следующие действия:
1. | Сконфигурировать IP-адрес домашнего сетевого интерфейса.
Для IP-адреса адаптера LAN, соединенного с домашней сетью, необходимо задать следующие значения: IP-адрес: 192.168.0.1 Маска подсети: 255.255.255.0 Шлюз по умолчанию — отсутствует |
Примечание |
IP-адрес в данной конфигурации для сетевого интерфейса в домашней сети выбирается из адресного интервала по умолчанию (задается идентификатором сети 192.168.0.0 и маской 255.255.255.0), который задается для компонента адресации преобразователя адресов. Если этот адресный интервал по умолчанию изменяется, то необходимо изменить и IP-адрес частного интерфейса компьютера-преобразователя адресов, чтобы он имел, первый IP-адрес в заданном диапазоне. Использование первого IP-адреса из диапазона — рекомендуемый подход, а не требование для компонента преобразователя адресов. |
Если соединение с Интернетом — постоянное, которое отображается в Windows в качестве интерфейса LAN (типа DDS, T-Carrier, Frame Relay, постоянного ISDN-соединения, ADSL или кабельного модема), или если компьютер подключен к другому маршрутизатору под управлением Windows до соединения с Интернетом, перейти к шагу 5.
Необходимо создать интерфейс с набором номера по запросу, на котором разрешена IP-маршрутизация и который использует оборудование для коммутируемого соединения и идентифицирующую информацию для установления соединения с Интернет-провайдером.
Для статического маршрута по умолчанию получатель — 0.0.0.0, маска подсети — 0.0.0.0. Поскольку соединение с Интернетом — канал "точка-точка", в поле Шлюз (Gateway) можно ввести любой IP-адрес. Необходимо также указать интерфейс с набором номера по запросу (для коммутируемого соединения) или интерфейс LAN (для постоянных или промежуточных соединений) с использованием маршрутизатора для соединения с Интернетом.
Примечание |
Компонент адресации преобразователя адресов назначает адреса только из одного диапазона, соответствующего одной подсети. Если к протоколу маршрутизации NAT добавлено несколько интерфейсов LAN, то подразумевается конфигурация с одной подсетью (где все интерфейсы LAN соединены с одной и той же сетью). Если интерфейсы LAN соответствуют различным сетям, связность между клиентскими компьютерами, которые получают адреса от преобразователя адресов, но находятся в разных сетях, невозможна. |
Конфигурирование преобразования специальных портов
Конфигурирование преобразования специальных портов
Для конфигурирования преобразования специальных портов в окне оснастки Маршрутизация и удаленный доступ в разделе Маршрутизация IP выберите узел Преобразование сетевых адресов (NAT), щелкните правой кнопкой мыши на нужном интерфейсе и в появившемся контекстном меню выберите команду Свойства.
На вкладке Особые порты (Special Ports) (Рисунок 19.15) в поле Протокол (Protocol) выберите протокол TCP или UDP и нажмите кнопку Добавить.
В поле Входящий порт (Incoming port) введите номер внешнего порта. | |
Если диапазон public-адресов сконфигурирован, введите внешний IP-адрес в поле на этом элементе пула адресов (On this address pool entry). | |
В поле Исходящий порт (Outgoing port) введите номер внутреннего порта. | |
В поле Адрес в частной сети (Private address) введите внутренний адрес. |
MS CHAP
MS CHAP
Windows XP включает поддержку MS CHAP (Microsoft Challenge Handshake Protocol, протокол проверки подлинности запроса-подтверждения Microsoft), также известный как MS CHAP версии 1. MS CHAP — это протокол проверки подлинности с необратимым шифрованием пароля.
Windows XP включает поддержку протокола
MS CHAP версии 2
Windows XP включает поддержку протокола MS CHAP, который предоставляет более сильную защиту для соединения удаленного доступа. MS CHAP v2 решает некоторые проблемы функционирования MS CHAP версии 1 (табл. 19.13).
MS CHAP версии 2 — это протокол взаимной проверки подлинности с односторонним Шифрованием пароля.
Настройка диапазонов адресов
Рисунок 19.14. Настройка диапазонов адресов
Настройка факсмодема для приема и/или передачи факсов
Рисунок 19.19. Настройка факс-модема для приема и/или передачи факсов
Настройка порта удаленного доступа
Рисунок 19.3. Настройка порта удаленного доступа
Настройка сетевых приложений
Настройка сетевых приложений
Для настройки сетевых приложений в окне оснастки Маршрутизация и удаленный доступ в разделе Маршрутизация IP щелкните правой кнопкой мыши Преобразование сетевых адресов (NAT) ив появившемся контекстном
меню выберите команду Свойства. На вкладке Преобразование (Translation) (Рисунок 19.16) нажмите кнопку Приложения (Applications).
Чтобы добавить сетевое приложение, в диалоговом окне Приложения (Applications) нажмите кнопку Добавить. В диалоговом окне Приложение общего доступа к подключению Интернета (Add Application) введите настройки для сетевого приложения и нажмите кнопку ОК.
Настройка службы факсов для сохранения принятых сообщений
Рисунок 19.20. Настройка службы факсов для сохранения принятых сообщений
Редактор титульных страниц факсов
Каждый пользователь компьютера Windows XP может при помощи редактора титульных страниц факсов создавать или изменять шаблоны титульного листа. Можно также создавать общие титульные листы, чтобы совместно использовать их из нескольких профилей. Факс содержит четыре общих шаблона титульных листов. При передаче факса шаблон получает информацию, которая введена на вкладке Сведения о пользователе (User Information) диалогового окна Свойства факса (Fax Properties), и автоматически добавляет ее к передаваемому титульному листу. Можно использовать существующие титульные листы (файлы с расширением cov). Также можно конвертировать титульные листы из службы факсов Windows 95 (файлы с расширением сре) для применения со службой факсов Windows XP. |
Новые возможности удаленного доступа в Windows XP
Новые возможности удаленного доступа в Windows XP
Новые возможности службы удаленного доступа Windows XP Server перечислены в табл. 19.1.
Один или несколько publicадресов
Один или несколько public-адресов
Если используется один public-адрес IP, предоставленный Интернет-провайдером, то дополнительная настройка IP-адреса не требуется. Если используется несколько IP-адресов, выделенных провайдером, необходимо настроить интерфейс NAT на диапазон public-адресов. Для диапазона выделенных IP-адресов следует определить, может ли диапазон public-адресов быть выражен при помощи одного IP-адреса и маски подсети.
Если был выдан ряд адресов, количество которых является степенью 2 (2, 4, 8, 16 и т. д.), имеется вероятность, что диапазон можно выразить при помощи одного IP-адреса и маски подсети. Например если предоставлены четыре public-адреса 200.100.100.212, 200.100.100.213, 200.100.100.214 и 200.100.100.215, предоставленных провайдером, то их можно представить как один адрес 200.100.100.212 с маской подсети 255.255.255.252.
Если IP-адреса нельзя выразить в виде IP-адреса и маски подсети, то можно ввести их как диапазон или ряд диапазонов, указывая начальный и конечный IP-адреса.
Окно оснастки Маршрутизация и
Рисунок 19.4. Окно оснастки Маршрутизация и удаленный доступ (Routing and Remote Access)
Ответный вызов
Ответный вызов
Если применяется ответный вызов, пользователь инициализирует запрос и соединяется с сервером удаленного доступа (табл. 19.14). Сервер удаленного доступа после проверки подлинности пользователя "вешает трубку" и осуществляет ответный вызов по номеру, определенному звонящим пользователем или заданному администратором. Привилегия ответного вызова назначается для каждого пользователя, если ему предоставлено разрешение удаленного доступа.
PAP
PAP
Протокол PAP использует пароли, передаваемые открытым текстом, и является наименее сложным протоколом проверки подлинности. Обычно соединение на его основе устанавливается, если клиент удаленного доступа и сервер удаленного доступа не могут договориться о более безопасной форме проверки подлинности.
Когда РАР устанавливается в качестве опознавательного протокола, пароли пользователей передаются открытым текстом. Всякий, кто перехватит пакеты процесса проверки подлинности, может легко прочитать пароль и использовать его для несанкционированного доступа к корпоративной сети. Нежелательно использовать РАР, особенно для соединений VPN. После отключения проверки подлинности на базе РАР на сервере удаленного доступа пароли никогда не будут передаваться открытым текстом. Отключение РАР увеличивает защиту проверки подлинности, но после этого клиенты удаленного доступа, которые поддерживают только РАР, не смогут установить соединение.
Политика удаленного доступа
Политика удаленного доступа
Политика удаленного доступа - набор условий и параметров соединения которые предоставляют сетевому администратору больше гибкости в настройке разрешений удаленного доступа и атрибутов соединения. Политика удаленного доступа хранится на локальном компьютере. При помощи политики удаленного доступа можно предоставлять разрешения удаленного доступа в зависимости от времени дня, дня недели, группы Windows, к которой принадлежит звонящий пользователь, типа требуемого соединения (коммутируемое или VPN-соединение). Можно определить параметры настройки соединения, которые ограничивают максимальное время сеанса связи, тип аутентификации и шифрования, политику ВАР и фильтрацию IP-пакетов.
В Windows NT 3.5 и 4.0 удаленный доступ предоставлялся на основе простого разрешения удаленного доступа с применением утилит User Manager или Routing and Remote Access Admin. Параметры ответного вызова задавались для каждого пользователя. В Windows XP разрешения удаленного доступа предоставляются на основе свойств политики удаленного доступа и учетной записи пользователя.
Важно помнить, что при использовании политик удаленного доступа соединение разрешается, только если параметры настройки соединения соответствуют, по крайней мере, одной из политик удаленного доступа (в соответствии со свойствами учетной записи пользователя и конфигурацией политики удаленного доступа). Если параметры настройки при попытке соединения не соответствуют хотя бы одной из политик удаленного доступа, попытка соединения отклоняется, независимо от свойств учетной записи пользователя. На серверах удаленного доступа под управлением Windows XP политика удаленного доступа конфигурируется из оснастки RRAS. На серверах IAS в среде Windows XP политика удаленного доступа управляется из оснастки Служба проверки подлинности в Интернете.
Политика удаленного доступа по умолчанию
Политика удаленного доступа по умолчанию
Политика удаленного доступа по умолчанию (default policy) работает так: удаленный доступ с ее использованием разрешается, если для устанавливающего входящее соединение пользователя предоставлено разрешение удаленного доступа. Эта политика создается при установке службы маршрутизации и удаленного доступа. Политика по умолчанию имеет следующую конфигурацию:
Ограничения дня недели и времени (Day-and-Time-Restrictions) установлены для всех дней недели и времен суток | |
Право удаленного доступа запрещено (Deny remote access permission) | |
Все свойства профиля установлены в значения по умолчанию |
Порты удаленного доступа
Рисунок 19.2. Порты удаленного доступа
В диалоговом окне Настройка устройства — имя_устройства (Configure Device — имя_устройства) выполните следующие действия (Рисунок 19.3):
1. | Чтобы активизировать удаленный доступ, установите флажок Подключения удаленного доступа (только входящие) (Remote access connections (inbound only)). |
2. | Чтобы разрешить маршрутизацию с установлением соединения по требованию, установите флажок Подключения по требованию (входящие и исходящие) — Demand-dial routing connections (inbound and outbound). |
Поставщик удаленных услуг TAPI
Поставщик удаленных услуг TAPI
В TAPI (Рисунок 19.23) включены отдельные поставщики услуг, включая те, которые позволяют реализовать клиент-серверные возможности, например, Microsoft Windows Remote Service Provider (Поставщик удаленных услуг Microsoft Windows). Поставщик услуг включает следующие компоненты (некоторые из них вызываются из командной строки):
Компоненты на стороне сервера
Следующие компоненты должны функционировать на сервере TAPI: Оснастка Телефония (Telephony). Дает возможность управлять телефонными линиями и пользователями. Доступна через оснастку Управление компьютером (Computer Management) — узел Службы и приложения (Services and Applications). Поставщик услуг телефонии (Telephony Service Provider). Поставляется изготовителем телефонного коммутатора. Транслирует обобщенные команды, посылаемые службой TAPI, в специальные команды коммутатора. |
Поставщики услуг IPтелефонии
Поставщики услуг IP-телефонии
TAPI поддерживает стандарт Н.323 и стандарт групповой конференц-связи IP при помощи соответствующих служб Microsoft Windows XP.
Н.323 — всеобъемлющий стандарт ITU для передачи мультимедиа (голоса, видео и данных) по сетям без установления логического соединения, например, по сетям IP и Интернет, которые не обеспечивают гарантированное качество обслуживания (QoS). Стандарт описывает управление вызовом, мультимедиа и шириной полосы пропускания для двухточечных и многоточечных конференций. Н.323 поддерживает стандартные звуковые и видеокодеры и декодеры и обеспечивает поддержку совместного использования данных по стандарту Т. 120. Н.323 — стандарт, не зависящий от сети, платформы и прикладного уровня, что позволяет любому терминалу, соответствующему Н.323, взаимодействовать с любым другим терминалом.
В Н.323 сетевой адрес пользователя (в данном случае, IP-адрес пользователя) может изменяться и не может считаться неизменным в течение сеанса. Поставщик услуг Microsoft TAPI "Н.323 использует службу Active Directory для того, чтобы производить преобразование (разрешение) адресов. Специально для этого информация об отображении адреса и имени пользователя хранится и непрерывно обновляется в Службе локатора Интернета (Internet Locator Service, ILS), являющейся компонентом Active Directory.
Правила предоставления удаленного доступа
Правила предоставления удаленного доступа
После того как установлен сервер удаленного доступа, нужнб определить, какие пользователи могут устанавливать соединение с ним. Для Windows XP разрешение удаленного доступа определяется политикой удаленного доступа и учетной записью пользователя.
Не нужно создавать отдельные учетные записи только для пользователей удаленного доступа. Серверы удаленного доступа используют учетные записи пользователей, расположенные в общей базе данных учетных записей пользователей согласно общим механизмам защиты Windows XP.
Преобразование сетевых адресов (NAT)
Преобразование сетевых адресов (NAT)
Общие понятия
Средство NAT (Network Address Translation, преобразование (трансляция) сетевых адресов) в Windows XP позволяет легко подключить домашнюю сеть или сеть малого офиса к Интернету. NAT состоит из следующих компонентов:
Примечание |
Для компактности изложения в тексте чаще используется аббревиатура — NAT. Однако в некоторых случаях она обозначает преобразование сетевых адресов (процедуру), а в других — преобразователь сетевых адресов (программный продукт). Это не должно приводить к путанице. |
Компонент преобразования — компьютер (далее называемый компьютер-преобразователь адресов), действующий как транслятор сетевых адресов (NAT) и преобразующий IP-адреса и номера портов пакетов TCP и датаграмм UDP, которыми обмениваются частная сеть и Интернет. | |
Компонент адресации. Компьютер-преобразователь адресов предоставляет информацию о конфигурации IP-адреса другим компьютерам домашней сети. Компонент адресации — упрощенный DHCP-сервер, который предоставляет IP-адрес, маску подсети, IP-адреса шлюза по умолчанию, DNS-сервера и WINS-сервера (в качестве последних трех адресов используется IP-адрес компьютера с преобразователем адресов). Компьютеры в домашней сети должны быть сконфигурированы как клиенты DHCP, чтобы автоматически получать конфигурацию IP. | |
Компонент разрешения имен. Компьютер с преобразователем адресов становится DNS-сервером и WINS-сервером для других компьютеров в домашней сети. Когда компьютер с преобразователем адресов получает запросы о разрешении имен, он пересылает запросы о разрешении имен серверам DNS и WINS в межсетевой среде, на которые он настроен, и возвращает ответы на компьютер в локальной сети. |
Примечание |
Преобразователь адресов разработан специально для подключения к Интернету сети малых или домашних офисов. Он не предназначен для того, чтобы объединять сети малых или домашних офисов или подсоединять филиалы к общей сети. |
Пример NAT
Пример NAT
Если сеть малого предприятия использует идентификатор сети 192.168.0.0 для интрасети и имеется public-адрес a.b.c.d, полученный от Интернет-провайдера, то NAT отображает все частные адреса в сети 192.168.0.0 в IP-адрес a.b.c.d. Если несколько частных адресов отображаются в один public-адрес с использованием NAT, TCP- и UDP-порты выбираются динамически, чтобы отличить один компьютер внутри интрасети от другого.
На Рисунок 19.9 показано применение NAT для "прозрачного" соединения интрасети с Интернетом.
Примечание |
Записи a.b.c.d и e.f.g.h представляют допустимые public-IP-адреса, выданные InterNIC или Интернет-провайдером. |
Проектирование сети с преобразованием адресов
Проектирование сети с преобразованием адресов
Прежде чем реализовать сеть с преобразованием адресов, рассмотрим некоторые аспекты ее построения, описанные в следующих разделах, чтобы избежать проблем.
Протоколы проверки подлинности ЕАР
Протоколы проверки подлинности ЕАР
При помощи ЕАР (Extensible Authentication Protocol, расширяемый протокол идентификации) можно подключить любой механизм проверки подлинности (аутентификации), который будет проверять достоверность информации о пользователе, установившем соединение удаленного доступа. Точная схема аутентификации, используемая соединением, устанавливается в результате переговоров между клиентом удаленного доступа и сервером удаленного доступа. Можно применять ЕАР для поддержки разных схем аутентификации, например, типа General Token Card (Универсальная жетонная карта), MD5-Challenge (Запрос MD5), TLS (Transport Level Security, Защита транспортного уровня) для поддержки смарт-карт, а также S/Key. Впрочем, можно использовать любые другие схемы, реализуемые в будущем. ЕАР позволяет производить открытые переговоры между клиентом удаленного доступа и сервером удаленного доступа, состоящие из запросов сервера на получение аутентификационной информации и соответствующих ответов клиента. Например, если ЕАР используется с жетонными картами, сервер удаленного доступа может отдельно запросить у клиента удаленного доступа название, PIN-код и емкость жетонной карты. Если на все вопросы получены удовлетворительные ответы, клиент удаленного доступа аутентифицируется и получает разрешение на удаленный доступ к сети.
Специальная схема проверки подлинности ЕАР называется типом ЕАР (ЕАР type). Для успешной проверки подлинности клиента клиент удаленного доступа и сервер удаленного доступа должны поддерживать один и тот же тип ЕАР.
Windows XP включает поддержку инфраструктуры ЕАР, два типа ЕАР (EAP-MD5 CHAP и EAP-TLS) и возможность передавать сообщения ЕАР серверу RADIUS (EAP-RADIUS).
Чтобы разрешить проверку подлинности на базе ЕАР, нужно:
Разрешить ЕАР как протокол проверки подлинности на сервере удаленного доступа. | |
Разрешить ЕАР, и, если требуется, настроить тип ЕАР для соответствующей политики удаленного доступа. | |
Разрешить и настроить ЕАР на стороне клиента удаленного доступа под управлением Windows XP. |
Разрешение адресации
Разрешение адресации
Для разрешения адресации следует в окне оснастки Маршрутизация и удаленный доступ в разделе Маршрутизация IP (IP Routing) щелкнуть правой кнопкой мыши на узле Преобразование сетевых адресов (NAT) и в появившемся контекстном меню выбрать команду Свойства.
На вкладке Назначение адресов (Address Assignment) установить флажок Автоматически назначать IP-адреса с использованием DHCP (Automatically assign IP addresses by using DHCP) (Рисунок 19.12).
Разрешение распознавания имен для преобразования адресов
Разрешение распознавания имен для преобразования адресов
Чтобы разрешить распознавание имен для преобразования адресов в окне оснастки Маршрутизация и удаленный доступ, в разделе Маршрутизация IP (IP
Routing) щелкните правой кнопкой мыши на узле Преобразование сетевых адресов (NAT) и в появившемся контекстном меню выберите команду Свойства.
В появившемся окне на вкладке Разрешение имен в адреса (Name Resolution) (Рисунок 19.13) выполните одно из следующих действий:
Для разрешения имен NetBIOS при помощи сервера WINS установите флажок клиентов, использующих службу WINS (Clients using Windows Internet Name Service (WINS)) (опция может отсутствовать). | |
Для разрешения имен хостов при помощи сервера DNS установите флажок клиентов, использующих службу DNS (Clients using Domain Name System (DNS)). |
Разрешение входящего соединения
Разрешение входящего соединения
Обычно NAT используется в домашней или малой сети, чтобы разрешить исходящие соединения (из частной сети в общую сеть). Приложения типа веббраузеров, работающих в частной сети, создают соединения с ресурсами Интернета. Обратный трафик из Интернета может пересечь NAT, поскольку соединение было инициализировано ранее клиентом, находящимся в частной сети.
Для разрешения входящего соединения необходимо настроить статическую конфигурацию IP на сервере, на котором расположен ресурс, включая IP-адрес (из диапазона IP-адресов, распределяемых с помощью NAT), маску подсети (из диапазона IP-адресов, распределенных NAT), шлюз по умолчанию (частный IP-адрес компьютера с NAT) и сервер DNS (частный IP-адрес компьютера с NAT).
Затем необходимо исключить IP-адрес, присвоенный компьютеру, на котором расположен ресурс, из диапазона IP-адресов, распределяемых компькь тером с NAT.
Наконец, на последнем шаге необходимо настроить специальный порт. Специальный порт — статическое отображение общего адреса и номера порта в частный адрес и номер порта. Специальный порт отображает входящее соединение от пользователя из Интернета в специфический адрес в частной сети. Это позволяет создавать в частной сети веб-серверы, доступные из Интернета.
Редакторы NAT
Редакторы NAT
По умолчанию NAT транслирует IP-адреса и TCP/UDP-порты. Если IP-адрес и информация о порте содержатся только в заголовках IP и TCP/UDP, то прикладной протокол также будет правильно транслироваться nat!
Пример — протокол HTTP (Hypertext Transfer Protocol, протокол передачи гипертекста), используемый в WWW (World Wide Web).
Однако имеются приложения и протоколы, которые содержат IP-адрес или информацию о порте TCP/UDP в теле сообщений, а не в заголовках TCP/UDP. Пример — протокол FTP, который для команды ftp port передает десятичное представление IP-адреса в теле команды. Если NAT неправильно транслирует IP-адрес внутри команды FTP, то могут возникнуть проблемы установления соединения.
Также имеются протоколы, которые не используют для передачи данных ни TCP, ни UDP (большинство протоколов использует для доставки пакетов транспортные протоколы TCP или UDP). Например, транспортный протокол РРТР не использует для доставки данных TCP/UDP. Вместо заголовков TCP или UDP используется специальный заголовок общей инкапсуляции маршрутизации (ORE, Generic Routing Encapsulation) и специальное поле Tunnel ID для идентификации потока данных. Если бы NAT не транслировал это поле, то передача данных при помощи протокола РРТР через NAT была бы невозможна.
Если компонент NAT должен дополнительно транслировать и корректировать не только заголовки IP, TCP и UDP, но и служебную информацию в теле пакетов, требуется редактор NAT. Редактор NAT — устанавливаемый компонент, который может корректно изменять не транслируемую иным способом информацию — так, чтобы она могла быть передана через NAT. В составе Windows XP имеются NAT-редакторы для протоколов FTP, ICMP, РРТР. Возможно появление NAT-редакторов для трансляции протоколов SNMP, LDAP, Microsoft COM, RPC.
Примечание |
Трансляция трафика, передаваемого по протоколам IPSec и Н.323, невозможна даже при использовании специального редактора NAT. |
Регистрация и протоколирование
Регистрация и протоколирование
Сервер удаленного доступа Windows XP поддерживает два типа регистрации:
Регистрация событий RAS — регистрация событий в журнале событий системы Windows XP. Обычно используется для решения проблем или уведомления системных администраторов о необычных событиях. | |
Регистрация проверки подлинности и учетной информации — сервер удаленного доступа под управлением Windows XP поддерживает эту регистрацию для соединений удаленного доступа, если разрешен сбор учетной информации Windows (Windows accounting). Эта регистрация происходит отдельно от событий, зарегистрированных в системном журнале событий. На основе регистрируемой информации можно проследить использование удаленного доступа и попытки аутентификации. Регистрация особенно полезна для оперативного решения проблем при работе с политиками удаленного доступа. Для каждой попытки аутентификации регистрируется название политики удаленного доступа, в соответствии с которой была принята или отклонена попытка установления соединения. Аутентификационная и учетная информация сохраняются в файле (или файлах) журнала, который находится в папке %SystemRoot9?\System32 \LogFiles. Журналы хранятся в формате IAS 1.0 или IAS 2.0. Файлы журнала доступны через интерфейс ODBC — любая программа, поддерживающая ODBC, может читать журнал напрямую для анализа содержащейся в нем информации. |
Типы регистрируемых
Рисунок 19.5.
Типы регистрируемых событий
Параметры настройки журнала
Рисунок 19.6. Параметры настройки журнала
Чтобы настроить регистрацию проверки подлинности и учетной информации, сначала нужно разрешить сбор учетной информации Windows Далее можно настроить тип регистрируемых действий (учет или действия по проверке подлинности) (Рисунок 19.5) и параметры журнала (Рисунок 19.6). Чтобы настроить регистрацию, выполните одно из следующих действий:
Откройте окно оснастки Маршрутизация и удаленный доступ. Выберите сервер, для которого нужно настроить регистрацию. | |
Откройте окно оснастки Служба проверки подлинности в Интернете
(Internet Authentication Service). |
|
В дереве оснастки выберите узел Ведение журнала удаленного доступа
(Remote Access Logging). В правом подокне выберите любой журнал затем в контекстном меню выберите команду Свойства. |
Добавление политики удаленного доступа
Рисунок 19.7.
Добавление политики удаленного доступа — условия и атрибуты
Право удаленного доступа (Remote access permission). Если все условия политики удаленного доступа выполнены, то право удаленного доступа или предоставляется, или отклоняется. Для политики нужно выбрать положение переключателя Предоставить право удаленного доступа (Grant remote access permission) или Запретить разрешение удаленного доступа (Deny remote access permission). Право удаленного доступа также предоставляется или отклоняется для каждой учетной записи пользователя. Право удаленного доступа пользователю перекрывает право удаленного доступа политики. Если право удаленного доступа в учетной записи пользователя установлено в значение Управление на основе политики удаленного доступа (Control Access through Remote Access policy), удаленный доступ предоставляется согласно разрешению политики. Предоставление доступа через настройку права учетной записи пользователя или настройку права политики — это только первый шаг в принятии соединения. Параметры попытки соединения сравниваются с параметрами учетной записи пользователя и профилем политики. Попытка соединения, не соответствующая свойствам учетной записи пользователя или профиля, отклоняется. По умолчанию для политики удаленного доступа установлено значение Отказать в праве удаленного доступа (Deny remote access permission). | |
Профиль (Profile). Профиль политики удаленного доступа — набор параметров, которые применяются к соединению после того (post-условие), как разрешение удаленного доступа будет получено (в соответствии с учетной записью пользователя или политикой) (Рисунок 19.8, табл. 19.16). |
Окно профиля политики удаленного
Рисунок 19.8.
Окно профиля политики удаленного доступа
Пример использования NAT
Рисунок 19.9. Пример использования NAT
Если частный пользователь на компьютере с адресом 192.168.0.10 соединяется с веб-сервером по адресу e.f.g.h при помощи веб-браузера, то стек IP пользователя создает IP-пакет со следующей информацией:
IP-адрес получателя: e.f.g.h | |
IP-адрес отправителя: 192.168.0.10 | |
Порт получателя: TCP-порт 80 | |
Порт отправителя: TCP-порт 1025 |
Этот IP-пакет затем пересылается NAT для преобразования адресов исходящего пакета к следующим:
IP-адрес получателя: e.f.g.h | |
IP-адрес отправителя: a.b.c.d | |
Порт получателя: TCP-порт 80 | |
Порт отправителя: TCP-порт 5000 |
NAT хранит отображение {192.168.0.10, TCP 1025} в {a.b.c:d, TCP 5000} в своей внутренней таблице.
Преобразованный таким образом IP-пакет пересылается через Интернет. Когда ответ получен NAT, пакет содержит следующую общую информацию об адресах:
IP-адрес получателя: a.b.c.d | |
IP-адрес отправителя: e.f.g.h | |
Порт получателя: TCP-порт 5000 | |
Порт отправителя: TCP-порт 80 |
NAT проверяет свою адресную таблицу, отображает public-адреса в частные и передает пакет на компьютер по адресу 192.168.0.10. Посланный пакет содержит следующую информацию об адресах:
IP-адрес получателя: 192.168.0.10 | |
IP-адрес отправителя: e.f.g.h | |
Порт получателя: TCP-порт 1025 | |
Порт отправителя: TCP-порт 80 |
Для пакетов, исходящих из NAT, IP-адрес отправителя (частный адрес) отображается в адрес, выданный Интернет-провайдером (public-адрес), а номер, порта TCP/UDP отображается в другой номер порта TCP/UDP.
Для пакетов, приходящих NAT, IP-адрес получателя (public-адрес) отображается в оригинальный адрес интрасети (частный адрес), а номер порта TCP/UDP отображается обратно к оригинальному номеру порта TCP/UDP.
Примечание |
NAT правильно транслирует пакеты, содержащие IP-адрес только в IP-заголовке. IP-пакеты, содержащие IP-адрес в теле пакета, не могут правильно транслироваться при помощи NAT. |
Добавление NAT как протокола
Рисунок 19.10.
Добавление NAT как протокола маршрутизации
Выполнить одно из следующих
Рисунок 19.11.
Добавление NAT — настройка интерфейса Выполнить одно из следующих действий (Рисунок 19.11):
Если этот интерфейс подключен к Интернету, на вкладке Общие (General) в окне Свойства: имя_интерфейса (Properties: имя_интерфейса) соответствующего интерфейса выбрать положение переключателя Общий интерфейс подключен к Интернету (Public interface connected to the Internet) и установить флажок Преобразовать заголовки TCP/UDP (рекомендуется) (Translate TCP/UDP headers (recommended)). | |
Если этот интерфейс подключен к небольшой офисной сети или к домашней сети, то на вкладке Общие в окне Свойства соответствующего интерфейса выбрать положение переключателя Частный интерфейс подключен к частной сети (Private interface connected to private network). |
Примечание |
Для коммутируемого подключения к Интернету необходимо выбрать интерфейс с установлением соединения по запросу, который настроен на установку соединения с Интернет-провайдером. Для постоянного подключения к Интернету выбрать интерфейс, постоянно соединенный с провайдером. Преобразование адресов нужно разрешать только на интерфейсах, соединенных с глобальной сетью (Интернетом). |
При необходимости ввести информацию
Рисунок 19.12.
Настройка адресации При необходимости ввести информацию в полях IP-адрес (IP address) и Маска (Mask), чтобы задать диапазон адресов и маску для выделения клиентам DHCP на частной сети. Если требуется исключить некоторые адреса из выделения клиентам DHCP, нужно нажать кнопку Исключить (Exclude) и задать эти адреса.
По окончании настройки нажать кнопку ОК.
Шифрование данных
Шифрование данных
Для защиты данных, передаваемых между клиентом и сервером удаленного доступа, можно использовать шифрование. Шифрование данных важно для финансовых учреждений, правоохранительных и правительственных органов и корпорации, которым требуется безопасная передача данных. Для служб, требующих конфиденциальности данных, сетевой администратор может настроить сервер удаленного доступа на использование только шифрованного обмена данными. Пользователи, которые соединяются с таким сервером, должны шифровать свои данные, иначе соединение не производится.
При коммутируемом соединении можно защитить данные, зашифровав их на пути между клиентом и сервером удаленного доступа. Шифрование данных необходимо, если есть риск перехвата данных на линии связи между клиентом и сервером удаленного доступа. Для коммутируемых сетевых соединений Windows XP использует шифрование "точка-точка" Microsoft (Microsoft Point-to-Point Encryption, MPPE). MPPE требует применения протоколов проверки подлинности MS CHAP или EAP-TLS.
При VPN-соединении можно защитить данные, зашифровав их на пути между концами виртуальной частной сети (VPN). Необходимо применять шифрование данных для VPN-соединения, если частные данные передаются по сети общего пользования (например, Интернет), где всегда есть риск перехвата данных. Для VPN-соединения Windows XP использует шифрование МРРЕ с протоколом РРТР и шифрование IPSec с протоколом L2TP, Поскольку шифрование данных выполняется между VPN-клиентом и VPN-сервером, то на соединении между клиентом удаленного доступа и Интернет-провайдером оно уже не является необходимым.
Шифрование данных для РРР- или РРТР-соединения возможно, только если используются протоколы проверки подлинности MS CHAP или EAP-TLS. Шифрование данных для PТР-соединения основано на механизмах IPSec, для которых специальные протоколы проверки подлинности не требуются.
Служба факсимильных сообщений
Служба факсимильных сообщений
Служба факсов (Fax Service) позволяет посылать и получать факсимильные сообщения без использования дополнительных программ, поскольку все, что для этого нужно, — факс-модем. Можно легко передавать по факсу документы при помощи команды Печать, которая обычно имеется в текстовых процессорах, электронных табличных процессорах и в приложениях других типов. Также можно использовать почтовые программы, чтобы одновременно посылать электронную почту и факсимильные сообщения.
Служба удаленного доступа
Служба удаленного доступа
Служба удаленного доступа, входящая в состав Microsoft Windows XP, позволяет удаленным или мобильным работникам подключаться к корпоративным вычислительным сетям, например, по телефонной коммутируемой линии и работать с ресурсами сети как обычно. Удаленный доступ также обеспечивает поддержку виртуальных частных сетей (Virtual Private Network, VPN), чтобы пользователи могли устанавливать безопасное соединение с корпоративной сетью через общественные сети, например, через Интернет.
Сервер удаленного доступа в Windows XP Server является частью интегрированной службы маршрутизации и удаленного доступа (Routing and Remote Access Service, RRAS). Пользователи устанавливают соединение с сервером удаленного доступа с помощью клиентского программного обеспечения удаленного доступа. Сервер удаленного доступа — компьютер с ОС Windows XP Server и установленной службой маршрутизации и удаленного доступа — аутентифицирует как пользователей, так и сеансы связи удаленных маршрутизаторов. Все службы, доступные пользователю, подключенному к LAN (включая совместное использование файлов и принтеров, доступ к веб-серверам и передачу сообщений по электронной почте), доступны и пользователю, подключенному удаленно.
Клиент удаленного доступа использует стандартные средства для доступа к ресурсам. Например, на компьютере под управлением Windows XP подключение дисков и принтеров выполняется при помощи Проводника. Подключения постоянны: пользователи не должны повторно подключать сетевые ресурсы в течение сеанса удаленного доступа. Поскольку имена дисков и имена UNC (Universal Naming Convention, универсальное соглашение об именовании) полностью поддерживаются при удаленном доступе, большинство обычных действий пользователей и работа приложений остаются неизменными при работе через удаленный доступ.
Сервер удаленного доступа под управлением Windows XP предоставляет два различных типа соединения удаленного доступа:
Коммутируемый доступ. Это соединение, при котором клиент удаленного доступа устанавливает коммутируемую связь для подключения к физическому порту на сервере удаленного доступа, используя службу-посредник для передачи данных, например аналоговый телефон, ISDN или Х.25. Наиболее типичный пример коммутируемого доступа — установление соединения клиентом удаленного доступа при помощи модема, то есть путем набора телефонного номера одного из портов сервера удаленного доступа. | |
Виртуальное частное соединение (VPN-соединение). Это защищенное соединение типа "точка-точка" через сеть общего пользования (например, Интернет) или большую корпоративную сеть. Чтобы послать виртуальный запрос к виртуальному порту на VPN-сервере, VPN-клиент использует специальные протоколы на базе стека TCP/IP, которые называются протоколами туннелирования (tunneling protocols). Наиболее типичный пример организации виртуальной частной сети — установление соединения VPN-клиента с частной сетью через сервер удаленного доступа, который подключен к Интернету. Сервер удаленного доступа отвечает на виртуальный запрос, затем аутентифицирует вызывающую программу и осуществляет обмен данными между клиентом VPN и корпоративной сетью. В отличие от коммутируемого доступа, VPN-соединение не является непосредственным, "прямым" соединением между VPN-клиентом и VPN-сервером. Чтобы гарантировать безопасность, данные, передаваемые по соединению, нужно шифровать. |
Службы доступа к телефонии в Windows XP
Рисунок 19.22. Службы доступа к телефонии в Windows XP
В состав Windows XP входит ряд стандартных служб доступа — поставщиков телефонных услуг, реализующих различные функции (Рисунок 19.22).
SPAP
SPAP
SPAP (Shiva Password Authentication Protocol, протокол проверки подлинности пароля Shiva) использует реверсивный механизм шифрования Shiva. Windows XP использует SPAP при соединении с Shiva LAN Rover. Также поступает и клиент Shiva, который соединяется с сервером удаленного доступа под управлением Windows XP Server. Эта схема проверки подлинности более безопасна, чем передача данных открытым текстом, но менее безопасна, чем CHAP или MS CHAP.
Сравнение средств удаленного доступа
Сравнение средств удаленного доступа в Windows XP и Windows NT 4.0
В табл. 19.2 перечислены общие задачи конфигурирования удаленного доступа в Windows XP. Интерфейс пользователя для выполнения этих задач в Windows XP отличается от интерфейсов Windows NT 4.0 и Windows NT 4.0 с установленной службой маршрутизации и удаленного доступа (RRAS).
Удаленный доступ в Windows XP Server
Таблица 19.1. Удаленный доступ в Windows XP Server
Возможность |
Описание |
Интеграция с Windows XP Active Directory |
Сервер удаленного доступа на Windows XP Server, являющийся частью домена Windows XP и зарегистрированный в Active Directory, может обращаться к параметрам настройки удаленного доступа для пользователя (например, к разрешениям удаленного доступа и параметрам ответного вызова), которые хранятся в Active Directory. После регистрации сервера удаленного доступа в Active Directory им можно управлять и отслеживать его состояние при помощи средств на базе Active Directory, например, при помощи оснастки Маршрутизация и удаленный доступ |
MS CHAP версии 2 |
MS CHAP (Microsoft Challenge Handshake Authentication Protocol, Протокол проверки подлинности запроса-подтверждения Microsoft) версии 2 предназначен для обмена идентификационной информацией и порождения ключей шифрования во время установления соединения удаленного доступа. MS CHAP версии 2 поддерживает VPN |
EAR |
Расширяемый протокол идентификации (ЕАР, Extensible Authentication Protocol) позволяет использовать новые методы проверки подлинности для удаленного доступа, включая реализацию защиты, основанную на смарт-картах. Интерфейс ЕАР позволяет подключать модули проверки подлинности сторонних производителей |
ВАР |
ВАР (Bandwidth Avocation Protocol, Протокол распределения полосы пропускания) и ВАСР (Bandwidth Allocation Control Protocol, Протокол управления распределением полосы пропускания) повышают эффективность работы многоканальных РРР-соединений, динамически подключая или отключая дополнительные каналы, приспосабливаясь к изменению трафика |
Политика удаленного доступа (Remote Access Policy) |
Политика удаленного доступа — набор условий и параметров настройки соединения, которые предоставляют большую гибкость сетевым администраторам по установке и настройке разрешений удаленного доступа и атрибутов соединений |
L2TP |
Помимо РРТР, сервер удаленного доступа Windows XP поддерживает протокол L2TP (Layer 2 Tunneling Protocol, Протокол туннелирования второго уровня), являющийся промышленным стандартом, который используется вместе с протоколом IPSec для создания безопасных VPN-соединений |
Поддержка клиентов удаленного доступа Apple Macintosh |
Удаленный доступ в Windows XP поддерживает подключение клиентов удаленного доступа Apple Macintosh, которые используют протокол AppleTalk вместе с протоколом удаленного доступа AppleTalk (AppleTalk Remote Access Protocol, ARAP) или с протоколом PPP |
Поддержка широковещания IP (IP Multicast) |
Используя tGMP router and proxy версии 2 (маршрутизатор и посредник IGMP), сервер удаленного доступа поддерживает обмен групповым IP-трафиком между клиентами удаленного доступа и Интернетом или корпоративной сетью |
Блокировка учетной записи (Account lockout) |
Блокировка учетной записи — функция защиты, которая отменяет разрешение удаленного доступа для учетной записи Пользователя после определенного числа неудавшихся попыток проверки подлинности, например, в случае попыток подбора пароля по словарю |
Настройка удаленного
Таблица 19.2. Настройка удаленного доступа Windows XP и Windows NT 4.0
Действия |
Windows NT 4.0 |
Windows NT 4.0 с установленной службой RRAS |
Windows XP |
Установка, конфигурирование и удаление службы удаленного доступа |
Control Panel | Network, вкладка Services |
Control Panel | Network, вкладка Services |
Оснастка Маршрутизация и удаленный доступ (Routing and Remote Access) |
Настройка проверки подлинности и параметров шифрования |
Control Panel I Network, вкладка Services |
Control Panel | Network, вкладка Services |
Оснастка Маршрутизация и удаленный доступ |
Управление серверами и клиентами удаленного доступа |
Утилита Remote Access Admin |
Утилита Routing and RAS Admin |
Оснастка Маршрутизация и удаленный доступ |
Разрешение удаленного доступа для учетной записи пользователя |
Утилита Remote Access Admin или User Manager for Domains |
Утилита User Manager for Domains |
Оснастка Локальные пользователи и группы (Local Users and Groups) или Active Directory - пользователи и компьютеры (Active Directory Users and Computers) |
Компоненты коммутируемого доступа
Таблица 19.3. Компоненты коммутируемого доступа
Компонент |
Описание |
Серверы коммутируемого доступа |
Можно настроить сервер удаленного доступа, работающий под управлением Windows XP, чтобы он предоставлял доступ ко всей сети или только к ресурсам сервера удаленного доступа |
Клиенты коммутируемого доступа |
Клиенты удаленного доступа, работающие под управлением Windows NT и Windows XP, Windows 98, Windows 95, Windows for Workgroups, MS-DOS, LAN Manager или Apple Macintosh могут устанавливать соединения с сервером удаленного доступа под управлением Windows XP |
Транспортные протоколы и протоколы удаленного доступа |
Транспортные протоколы служат для базовой поддержки обмена информацией. Протоколы удаленного доступа используются для установления соединения и поддержки кадрирования данных транспортного протокола, которые передаются по WAN. Удаленный доступ Windows XP поддерживает протоколы TCP/IP, IPX, Appletalk, и NetBEUI, которые обеспечивают доступ к Интернету, UNIX, Apple Macintosh и ресурсам Novell NetWare. Удаленный доступ Windows XP поддерживает протоколы удаленного доступа РРР, SLIP, ARAP и протокол Microsoft RAS (только для NetBEUI) |
Параметры WAN |
Клиенты могут подключаться к серверу, используя стандартные телефонные линии и модем или группу модемов. Большим быстродействием обладают ISDN-подключения; можно подключать клиентов удаленного доступа к серверам удаленного доступа, используя Х.25. Также поддерживаются прямые соединения при помощи нуль-модема RS-232C или параллельного кабеля |
Основа для подключения к Интернету |
Коммутируемый доступ Windows XP предоставляет законченный набор служб для доступа в Интернет. Можно настроить компьютер под управлением Windows XP Server для работы в качестве сервера-провайдера услуг Интернета, поддерживающего установление соединения с Интернетом для клиентов, использующих протокол РРР. Компьютер под управлением Windows XP может подключаться к компьютеру под управлением Windows NT Server 3.5* (и выше), подключенному к Интернету, или к любому серверу Интернета, поддерживающему промышленные стандарты РРР или SLIP |
Параметры защиты |
Windows XP Logon и безопасность домена, безопасность на основе хостов безопасности, шифрования данных, RADIUS, смарт-карт, политики удаленного доступа и ответного вызова предоставляют надежную основу для организации безопасной службы удаленного доступа |
Совместимость РРРклиентов Microsoft
Таблица 19.4. Совместимость РРР-клиентов Microsoft
Клиент коммутируемого удаленного доступа |
Поддерживаемые возможности РРР удаленного доступа Windows XP |
Неподдерживаемые возможности РРР удаленного доступа Windows XP |
Windows XP |
Многоканальное соединение, протоколы ВАР, MS CHAP, CHAP, SPAP, PAP, MS CHAPv2nEAP |
— |
Windows NT 4.0 |
Многоканальное соединение, протоколы MS CHAP, CHAP, SPAP, PAP и MS CHAP v2 |
ВАР и ЕАР |
Windows NT 3.5x |
Протоколы MS CHAP, CHAP, SPAP, PAP и MS CHAP v2 |
Многоканальное соединение, ВАР, MS CHAP v2 и ЕАР |
Windows 98 |
Многоканальное соединение, протоколы MS CHAP, CHAP, SPAP, PAP и MS CHAP v2 (с установленным Windows 98 Service Pack 1 и выше) |
ВАР и ЕАР |
Windows 95 |
MS CHAP, CHAP, SPAP и PAP (с установленным Windows Dial-Up Networking 1 .3 Performance & Security Upgrade for Windows 95) |
Многоканальное соединение, ВАР, MS CHAP v2 и ЕАР |
Особенности клиентов Microsoft RAS
Таблица 19.5. Особенности клиентов Microsoft RAS
Клиент |
Особенности использования |
Windows NT 3.1 |
ОС Windows NT 3.1 использует протокол Microsoft RAS и полностью совместима со всеми версиями серверов удаленного доступа Microsoft. Эти клиенты не поддерживают протокол РРР, впервые реализованный в Windows NT 3.5. Только клиенты РРР Windows NT 3.5 и выше обеспечивают поддержку приложений TCP/IP или IPX |
Windows for Workgroups, MS-DOS и LAN Manager |
В поставку Windows XP Server входят Microsoft Network Client for MS-DOS и Client for Windows for Workgroups, которые обеспечивают функций удаленного доступа. Клиенты удаленного доступа Windows for Workgroups и LAN Manager также могут устанавливать соединение с серверами удаленного доступа на базе Windows NT 3.5 и выше. Microsoft Network Client for MS-DOS должен быть настроен для использования полного редиректора (full redirector). Если используется базовый редиректор (basic redirector), программу удаленного доступа rasphone нельзя запустить. Клиенты Windows for Workgroups, MS DOS и LAN Manager могут использовать шлюз удаленного доступа NetBIOS, чтобы обратиться к ресурсам на базе протокола NetBIOS, используя NetBIOS поверх TCP/IP, NetBIOS поверх IPX или NetBEUI через удаленное соединение. Однако, поскольку эти клиенты не поддерживают РРР, они не могут использовать приложенияк которые работают непосредственно по протоколам TCP/IP или IPX. Например, веб-серверы и серверы Novell NetWare не будут доступны этим клиентам через коммутируемое соединение |
Протоколы удаленного
Таблица 19.6. Протоколы удаленного доступа, поддерживаемые Windows XP
Протокол |
Поддержка |
ррр |
Windows XP Server поддерживает РРР — набор промышленных стандартов и протоколов проверки подлинности, позволяющих работать в сетях с продуктами нескольких производителей. Microsoft рекомендует использовать РРР из-за его гибкости и статуса промышленного стандарта. Применение РРР дает возможность компьютерам под управлением Windows XP устанавливать соединение с удаленными сетями через любой сервер, соответствующий стандарту РРР. Гибкость РРР также позволяет компьютеру под управлением Windows XP принимать входящие соединения и обеспечивать доступ к сети для программного обеспечения удаленного доступа других поставщиков. Архитектура РРР также позволяет клиентам удаленного доступа использовать любую комбинацию IPX, TCP/ P, NetBEUI и AppleTalk. На компьютере, работающем под управлением Windows NT/XP, Windows 98 или Windows 95 и работающим со службой удаленного доступа, можно устанавливать любую комбинацию протоколов TCP/IP, IPX и NetBEUI, а также запускать программы, использующие интерфейсы Windows Sockets, NetBIOS или IPX. Клиенты удаленного доступа Microsoft не поддерживают работу протокола AppleTalk по коммутируемому соединению |
SLIP |
SLIP — устаревший стандарт удаленного доступа, обычно используемый серверами удаленного доступа на базе UNIX. Клиенты удаленного доступа под управлением Windows XP поддерживают SLIP и могут соединяться с любым сервером удаленного доступа, используя стандарт SLIP. Это позволяет клиентам Windows NT 3.5 или выше устанавливать соединение с большим количеством коммуникационных серверов UNIX. Сервер удаленного доступа под управлением Windows XP не поддерживает клиентов SLIP |
AppleTalk |
Протокол удаленного доступа AppleTalk (ARAP) — протокол удаленного доступа, используемый клиентами удаленного доступа Apple Macintosh. ARAP предоставляет службу для входа в систему, проверки подлинности и настройки протокола AppleTalk во время установления соединения и позволяет сменить пароли, как только связь установлена. Клиент удаленного доступа под управлением Windows XP не поддерживает ARAP |
Microsoft RAS |
Протокол Microsoft RAS— отдельный протокол удаленного доступа, который поддерживает стандарт NetBIOS. Протокол Microsoft RAS поддерживается всеми версиями клиентов удаленного доступа Microsoft и используется в Windows NT 3.1, Windows for Workgroups, MS-DOS и LAN Manager. Клиент удаленного доступа, устанавливающий соединение с Windows NT 3.1 или Windows for Workgroups, должен использовать протокол NetBEUI. Сервер удаленного доступа в этом случае действует как шлюз NetBIOS для удаленного клиента, обеспечивая доступ к серверам, которые используют NetBEUI, NetBIOS no TCP/IP или NetBIOS по протоколу IPX |
Компоненты VPN
Таблица 19.7. Компоненты VPN
Компонент |
Краткое описание |
Серверы VPN |
Сервер VPN предоставляет доступ ко всей сети или только к общим ресурсам самого сервера |
Клиенты VPN |
VPN-клиенты— это отдельные компьютеры, использующие соединение удаленного доступа, или маршрутизаторы, использующие соединение для подключения сети срилиала. VPN-клиенты Windows NT 4.0 и выше, Windows 95 и Windows 98 могут создавать VPN-соединения с сервером удаленного доступа под управлением Windows XP, который функционирует в качестве VPN-сервера. Компьютеры под управлением Windows XP Server или Windows NT 4.0 Server, использующие службу маршрутизации и удаленного доступа (RRAS), могут организовывать сеть филиала и поддерживать коммутацию пакетов через VPN-соединения. VPN-клиентом может также быть любой клиент не-Microsoft, поддерживающий РРТР или L2TP (использующий защиту IPSec) |
Транспортные протоколы и протоколы удаленного доступа |
Транспортные протоколы используются прикладными программами для передачи информации. Протоколы удаленного доступа нужны для того, чтобы устанавливать соединения и осуществлять кадрирование данных протокола LAN, который передается по сети через WAN. Служба маршрутизации и удаленного доступа Windows XP поддерживает протоколы, напримерTCP/IP, IPX, |
(прод.) |
AppleTalk и NetBEUI, которые позволяют осуществить доступ к Интернету, UNIX, Apple Macintosh и ресурсам Novell NetWare. Для VPN-соединения служба маршрутизации и удаленного доступа Windows XP поддерживает протокол удаленного доступа РРТР |
Протоколы туннелирования |
При помощи протоколов туннелирования VPN-клиенты создают защищенные соединения с VPN-серверами. Windows XP включает протоколы туннелирования РРТР и L2TP |
Параметры WAN |
VPN-серверы обычно связаны с Интернетом на основе постоянных соединений или Т-1. VPN-клиенты связываются с Интернетом, используя постоянные соединения, либо используя стандартные аналоговые телефонные линии или ISDN подключаются к локальному Интернет-провайдеру |
Основа для подключения через Интернет |
VPN в Windows XP предоставляет законченный набор услуг для VPN в Интернет. Можно настроить компьютер под управлением , Windows XP Server как сервер VPN, который предоставляет защищенные соединения как с клиентами удаленного доступа, так и с другими маршрутизаторами филиала |
Параметры безопасности |
Вход в систему Windows XP и защита домена на базе хостов безопасности (security hosts), шифрования данных, RADIUS, смарт-карт, фильтрации IP-пакетов, идентификатора вызывающего абонента (caller ID) предоставляет безопасную среду для работы VPN-клиентов |
Протоколы туннелирования
Таблица 19.8. Протоколы туннелирования для VPN-клиентов Microsoft
VPN-клиент |
Поддерживаемые протоколы туннелирования |
Неподдерживаемые протоколы туннелирования |
Windows XP Windows NT 4.0 |
PPTPHL2TP РРТР |
L2TP |
VPN-клиент |
Поддерживаемые протоколы туннелирования |
Неподдерживаемые протоколы туннелирования |
Windows 98 |
РРТР |
L2TP |
Windows 95 |
РРТР с установленным Windows Dial-Up Networking 1.3 Performance & Security Upgrade for Windows 95 |
L2TP |
Windows NT 3.5* |
He поддерживает VPN |
L2TP, РРТР |
Поддержка протоколов проверки подлинности Microsoft для клиентов VPN приведена в табл. 19.9.
Поддержка VPNклиентов
Таблица 19.9. Поддержка VPN-клиентов
VPN-клиент |
Поддерживаемые протоколы аутентификации удаленного доступа Windows XP |
Неподдерживаемые протоколы аутентификации удаленного доступа Windows XP |
Windows XP |
MS CHAP, CHAP, SPAP (протокол проверки подлинности пароля PAP), MS CHAP v2 и ЕАР |
— |
Windows NT 4.0 |
MS CHAP, CHAP, PPP, SPAP, PAP и MS CHAP v2 (c Windows NT 4.0 Service Pack 4) |
ЕАР |
Windows 98 |
MS CHAP, CHAP, PPP, SPAP, PAP и MS CHAP v2 (вместе Windows 98 Service Pack 1 или выше) |
ЕАР |
Windows 95 |
MS CHAP, CHAP, PPP, SPAP, PAP и MS CHAP v2 (вместе Windows Dial-Up Networking 1 .3 Performance & Security Upgrade for Windows 95) |
ЕАР |
Клиенты VPN производства третьих фирм, использующие РРТР или L2TP и IPSec, могут устанавливать соединение с сервером удаленного доступа под управлением Windows NT 4.0 (только РРТР) или Windows XP (оба протокола). Для клиентов сторонних производителей не требуется специальная настройка сервера удаленного доступа. Однако, если требуется безопасное VPN-соединение, необходимо удостовериться, что клиенты виртуальной частной сети поддерживают соответствующее шифрование. Для РРТР требуется поддержка Microsoft Point-to-Point Encryption (МРРЕ, шифрование Microsoft типа "точка-точка"). Для L2TP требуется шифрование IPSec.
Протоколы туннелирования
Таблица 19.10. Протоколы туннелирования
Протокол |
Описание |
РРТР |
Point-to-Point Tunneling Protocol (Протокол туннелирования "точка-точка", РРТР) — промышленный стандарт de facto для протоколов туннелирования, впервые появившийся в Windows NT 4.0. РРТР — расширение протокола РРР, в котором усилены функции подлинности, сжатия и механизмы шифрования протокола РРР. РРТР устанавливается вместе со службой маршрутизации и удаленного доступа. По умолчанию РРТР настроен на пять РРТР-портов (одновременных соединений), которые разрешены для принятия входящих соединений. РРТР и МРРЕ предоставляют возможность защиты услуг VPN при помощи шифрования частных данных |
L2TP |
Level 2 Tunneling Protocol (Протокол туннеяирования второго уровня, L2TP) — протокол туннелирования, который планируется сделать промышленным стандартом. В отличие от РРТР, L2TP в Windows XP не использует МРРЕ для шифрования датаграмм РРР. L2TP использует для шифрования IPSec. Комбинация L2TP и IPSec известна как "L2TP поверх IPSec". L2TP и IPSec должны поддерживаться как VPN-кпи-ентом, так и VPN-сервером. L2TP устанавливается вместе со службой Level 2 Tunneling Protocol (Протокол туннелирования второго уровня, L2TP) — протокол туннелирования, который планируется сделать промышленным стандартом. В отличие от РРТР, L2TP в Windows XP не использует МРРЕ для шифрования датаграмм РРР. L2TP использует для шифрования IPSec. Комбинация L2TP и IPSec известна как "L2TP поверх IPSec". L2TP и IPSec должны поддерживаться как VPN-кли-ентом, так и VPN-сервером. L2TP устанавливается вместе со службой маршрутизации и удаленного доступа. По умолчанию L2TP настроен на пять 12ТР-портов (одновременных соединений), которые разрешены для принятия входящих соединений. "L2TP поверх IPSec" предоставляет возможность защиты услуг VPN при помощи шифрования частных данных |
Свойства учетной записи пользователя
Таблица 19.11. Свойства учетной записи пользователя
Свойство |
Описание |
Разрешение на удаленный доступ (Remote Access Permission) |
Используется для того, чтобы определить, разрешен ли удаленный доступ явно, запрещен или задан политикой удаленного доступа. Если доступ явно разрешен, то условия политики удаленного доступа, свойства учетной записи пользователя или свойства профиля могут запретить попытку соединения. Опция Управление на основе политики удаленного доступа (Control access through Remote Access Policy) действует только для учетных записей пользователей для серверов удаленного доступа, работающих на автономном компьютере Windows XP Server или для членов домена Windows XP, работающего в основном (native) режиме |
Проверять идентификатор (Verify Caller-ID) |
Если это свойство разрешено, сервер проверяет телефонный номер вызывающей стороны. Если он не соответствует настроенному номеру, попытка соединения отклоняется |
Ответный вызов (Callback Options) |
Если это свойство разрешено, то при установлении соединения сервер запрашивает у вызывающей стороны указываемый ею телефонный номер или использует телефонный номер, заданный сетевым администратором, а затем производит ответный вызов |
Постоянный IP-адрес пользователя (Assign a static IP-address) |
Если это свойство разрешено, можно назначать конкретный IP-адрес пользователю при установлении соединения |
Использовать статическую маршрутизацию (Apply Static Routes) |
Если это свойство разрешено, можно определять ряд статических маршрутов IP, которые добавляются в таблицу маршрутизации сервера удаленного доступа после установления соединения. Этот параметр предназначен для учетных записей пользователей, с которыми работают маршрутизаторы Windows XP в случае маршрутизации с установлением соединения по требованию |
Варианты доступа без проверки подлинности
Таблица 19.12. Варианты доступа без проверки подлинности
Способ проверки подлинности |
Описание |
DNIS-проверка подлинности |
Проверка подлинности при помощи Dialed Number Identification Service (Служба идентификации номера, DNIS) — аутентификация попытки соединения, основанная на номере, с которого производится звонок. Сервис DNIS возвращает телефонный номер вызывающей стороны; эту услугу предоставляет большинство современных телефонных компаний (в США и др. высокоразвитых странах, в России ситуация отличается). Для распознавания DNIS-соединений и применения параметров, соответствующих соединению, необходимо разрешить доступ без проверки подлинности и создать политику удаленного доступа, которая использует Called-Statfon-ID в качестве условия |
Проверка подлинности при помощи автоматического определения номера |
Автоматическое определение номера/Определение вызывающей линии (Automatic Number Identification/Calling Line Identification, ANI/CLI) — аутентификация соединения, основанная на телефонном номере вызывающей стороны. Сервис ANI/CLI возвращает номер вызывающей стороны; эту услугу предоставляет большинство современных телефонных компаний (в США и др. высокоразвитых странах). Для распознавания ANI/CLI-соединений и применения параметров, соответствующих соединению, необходимо разрешить доступ без проверки подлинности и создать политику удаленного доступа, которая использует Calling-Statjon-ID в качестве условия. Эта аутентификация отличается от аутентификации по Caller-ID. В аутентификации по Caller-ID вызывающая сторона должна послать имя пользователя и пароль (которые будут поставлены в соответствие учетной записи пользователя), в ANI/CLI передача имени и пароля не требуется |
Гостевая проверка подлинности |
В течение процесса проверки подлинности вызывающая сторона не посылает имя пользователя или пароль. Если разрешен доступ без проверки подлинности, для идентификации вызывающей стороны используется учетная запись Guest |
Предупреждение |
|
Если разрешен доступ без проверки подлинности, пользователи удаленного доступа могут устанавливать соединения без передачи идентификационной информации пользователя. Клиенты удаленного доступа под управлением Windows XP не могут соединяться без передачи имени пользователя и пароля. Доступ без проверки подлинности предназначен для клиентов удаленного доступа сторонних производителей. |
Кодирование ответа по схеме LAN
Таблица 19.13. Сравнение MS CHAP версий 1 и 2
Проблемы MS CHAP версии 1 |
Решение в MS CHAP версии 2 |
Кодирование ответа по схеме LAN Manager, которое используется для обратной совместимости со старыми клиентами Microsoft удаленного доступа, использует слабое шифрование |
MS CHAP v2 более не поддерживает ответы, закодированные по схеме LAN Manager |
Кодирование пароля по схеме LAN Manager использует слабое шифрование |
MS CHAP v2 более не поддерживает передачу изменений паролей, закодированных по схеме LAN Manager |
Возможна только однонаправленная проверка подлинности. Клиент удаленного доступа не может проверить, соединился он с подлинным или с ложным (подставным) сервером удаленного доступа |
MS CHAP v2 поддерживает двустороннюю проверку подлинности, также называемую взаимной проверкой подлинности. Клиент удаленного доступа проверяет, к тому ли серверу удаленного доступа он подключился |
При 40-разрядном шифровании ключ шифрования основывается на пароле пользователя. Каждый раз, когда пользователь подключается с тем же самым паролем, будет сгенерирован тот же самый ключ |
При использовании MS CHAP v2 ключ шифрования основывается на пароле пользователя и произвольной строке запроса. Каждый раз, когда пользователь подключается с тем же самым паролем, используется другой ключ |
Используется единый ключ шифрования для данных, передаваемых в обоих направлениях соединения |
Используются отдельные ключи шифрования, которые генерируются для передаваемых и получаемых данных |
Варианты ответного вызова
Таблица 19.14. Варианты ответного вызова
Вариант |
Описание |
Нет ответного вызова (No callback) |
Если учетная запись пользователя не настроена для ответного вызова, сервер удаленного доступа устанавливает соединение сразу, как только попытка соединения была принята |
Устанавливается вызывающей стороной (Set by caller) |
Эта функция не повышает защищенность удаленного доступа, она полезна для клиентов, которые звонят из разных мест (регионов, городов, стран) и с разных телефонных номеров, снижая их затраты. Когда запрос на ответный вызов обрабатывается сервером удаленного доступа, происходят следующие события: Сначала сервер определяет, являются ли имя пользователя и пароль верными Если имя пользователя и пароль подтверждены, на компьютере пользователя появляется диалоговое окно Ответный вызов (Callback) Пользователь вводит свой текущий номер телефона для ответного вызова в диалоговом окне Номер ответного вызова передается серверу Запрос на ответный вызов закончен, связь разрывается Сервер производит звонок клиенту по номеру ответного вызова После того как связь повторно установлена, клиент и сервер продолжают переговоры по установлению соединения |
Всегда осуществлять ответный вызов по заданному номеру (Always callback to) |
Этот вариант наиболее приемлем для реализации дополнительного уровня защиты: Необходимо выбрать его и ввести номер телефона, с которым связано оборудование удаленного доступа пользователя. Когда запрос пользователя поступает на сервер удаленного доступа, происходят следующие события: Сначала сервер определяет, являются ли имя пользователя и пароль верными . Запрос на ответный вызов закончен, связь разрывается Сервер производит звонок клиенту по номеру ответного вызова, заданному в его учетной записи После того как связь повторно установлена, клиент и сервер продолжают переговоры по установлению соединения |
условия политики удаленного доступа
Таблица 19.15. условия политики удаленного доступа
Наименование атрибута | Описание |
NAS-IP-Address | /TD>|
Service-Type (Тип службы) | Тип требуемой службы. Этот атрибут разработан (предназначен) для сервера IAS |
Framed-protocol (Протокол кадрирования) | Используемый тип кадрирования для входящих пакетов. Примеры — РРР, AppleTalk, SLIP, X.25. Этот атрибут предназначен для сервера IAS |
Called-Station-ID (Идентификатор вызванной системы) | Номер телефона сервера сетевого доступа (N AS). Этот атрибут— символьная строка. Можно использовать шаблон, чтобы задать коды городов. Необходимо позаботиться об установке телефонного номера для портов |
Calling-Station-ID (Идентификатор вызывающей системы) | Номер телефона, использованный вызывающей системой. Этот атрибут— символьная строка. Можно использовать шаблоны, чтобы задать коды городов |
NAS-Port-Type (Тип порта NAS) | Тип носителей, используемых вызывающей стороной. Примеры— аналоговые телефонные линии (асинхронные линии), ISDN, туннели или виртуальные частные сети |
Day-and-time-restrictions (Ограничения по дню и времени) | День недели и время попытки соединения с сервером |
Client-IP-address (Клиентский IP-адрес) | IP-адрес сервера сетевого доступа (клиент RADIUS). Этот атрибут — символьная строка. Можно использовать синтаксис шаблонов, чтобы определить IP-сеть. Этот атрибут предназначен для сервера IAS |
Client-Vendor (Изготовитель клиента) | Имя изготовителя (поставщика) сервера сетевого доступа (NAS). У сервера удаленного доступа Windows XP изготовителем является Microsoft RAS. Можно использовать этот атрибут, чтобы конфигурировать разные политики для различных NAS-поставщиков, которые являются клиентами RAIDUS (клиенты IAS). Этот атрибут предназначен для сервера IAS. Удостоверьтесь, что NAS настроен в качестве клиента RADIUS на сервере IAS |
Client-friendly name (Имя клиента, дружественное название) |
Название компьютера клиента RADIUS, который требует аутентификации. Этот атрибут— символьная строка. Можно использовать шаблон, чтобы задать имена клиентов. Этот атрибут предназначен для сервера IAS |
Windows-Groups (Группы Windows) |
Имена групп Windows, которым принадлежит пользователь, делающий попытку соединения. Нет никакого атрибута для отдельного имени пользователя. Не нужно иметь отдельную политику удаленного доступа для каждой группы. Используя вложенные группы можно перевести администрирование на уровень групп. Для сервера удаленного доступа или IAS при работе домена в основном (native) режиме Windows XP необходимо использовать универсальные (universal) группы |
Параметры профиля политики удаленного доступа
Таблица 19.16. Параметры профиля политики удаленного доступа
Название параметра |
Описание |
Параметры соединения |
|
Разъединение при простое (Idle Disconnect Time) |
Временной интервал, по истечении которого соединение будет прервано, если нет никаких действий. По умолчанию это свойство не установлено, и сервер удаленного доступа не разрывает неактивное соединение |
Максимальная продолжительность сеанса (Maximum Session length) |
Максимальное время до разрыва соединения сервером удаленного доступа. По умолчанию это свойство не установлено, а сервер удаленного доступа не ограничивает время сеанса связи |
Разрешить входящие подключения только в эти дни и время (Day and time limits) |
Дни недели и часы для каждого дня, во время которых соединение разрешено. Если день и время попытки соединения не соответствуют настройкам, попытка соединения отклоняется. По умолчанию это свойство не установлено, и сервер удаленного доступа не анализирует данные параметры |
Разрешить вход только по номеру (Dial-in Number) |
Заданный номер телефона, который вызывающая сторона должна набрать, чтобы установить соединение. Если номер соединения не соответствует заданному, попытка соединения отклоняется. По умолчанию это свойство не установлено, и сервер удаленного доступа позволяет устанавливать соединение с любого телефонного номера |
Разрешить входящие звонки следующих типов (Dial-in media) |
Специальные типы носителей, например модем, ISDN или VPN, который вызывающая сторона должна использовать для соединения. Если попытка соединения по коммутируемой среде не соответствует настройке, она отклоняется. По умолчанию это свойство не установлено, и сервер удаленного доступа разрешает все типы сред передачи данных |
Прочие параметры (вкладки на Рисунок 19.8) |
|
IP |
Позволяют устанавливать свойства IP, которые управляют выдачей клиентам IP-адресов для соединения. По умолчанию сервер удаленного доступа автоматически распределяет IP-адреса, и клиентам не разрешено запрашивать конкретные IP-адреса |
Многоканальное подключение (Multilink) |
Позволяют устанавливать свойства многоканального соединения, разрешающие многоканальную связь и определяющие максимальное число портов, которые могут использовать входящие соединения. Дополнительно позволяют устанавливать протокол ВАР и соответствующую политику, которая определяет его использование. По умолчанию многоканальное соединение и ВАР заблокированы. Для применения этих параметров сервер удаленного доступа должен иметь возможность установления многоканального соединения и установленный протокол ВАР |
Проверка подлинности (Authentication) |
Позволяют указать типы проверки подлинности, разрешенные для соединения, и определить тип используемого ЕАР. По умолчанию разрешены методы проверки подлинности с шифрованием — MS CHAP и MS PAP v2 . Для применения этих параметров на сервере удаленного доступа должны быть разрешены соответствующие типы проверки подлинности |
Шифрование (Encryption) |
Позволяют назначить шифрование данных для соединения, при этом можно указать конкретные типы шифрования. По умолчанию разрешено шифрование IPSec и МРРЕ |
Дополнительно (Advanced) |
Позволяют настроить дополнительные свойства для определения ряда атрибутов RADIUS, которые сервер IAS возвращает клиенту RADIUS. По умолчанию протоколом удаленного доступа (Framing protocol) является РРР и установлен параметр Service type = Framed. Единственные атрибуты, используемые сервером удаленного доступа Account-interim-interval, Framed-Protocol, Framed-MTU, Reply-Message и Service-Type |
Телефония
Телефония
Программное обеспечение для поддержки телефонии — API-интерфейс телефонии (Telephony API, TAPI). TAPI обеспечивает функциональные возможности систем клиент-сервер; таким образом, прикладные телефонные программы на клиентском компьютере могут связываться с выделенным компьютером-сервером, который функционирует как шлюз с телефонным
коммутатором. TAPI также является основой идя использования в прикладных программах сторонних производителей: для интеграции в эти программы функций телефонии, например, для набора номера, для переадресации звонков, для речевой почты, для идентификации звонящего, для конференц-связи при помощи компьютеров.
Ранее невостребованные прикладные программы телефонии применяются все чаще, т. к. разработчики программного обеспечения используют стандартный интерфейс TAPI.
В современных телефонных системах внешний звонок, попадая в общую коммутируемую телефонную сеть, направляется на узел коммутации, который переводит этот звонок на магистральную линию. Когда звонок достигает офиса, офисная АТС (Public Branch Exchange, PBX) направляет этот звонок на соответствующий порт. Выходящие звонки следуют тем же маршрутом в обратном направлении. Звонки между внутренними пользователями офиса направляются от одного телефона к другому внутри РВХ.
Обычно для описания аппаратных средств, объединяющих телефонные линии друг с другом, используется термин "коммутатор", а системы, включающие коммутатор и другие периферийные аппаратные средства, напри-. мер, модемы, называют РВХ. Например, типичная РВХ-станция монтируется на стене, имеет модульный блок со слотами для адаптеров, которые легко подключаются и отключаются. Один такой адаптер может соединять магистральную линию с РВХ, другой подключает несколько линий; часто каждый адаптер является одноплатным компьютером.
Такой компьютер может являться специализированным программно-аппаратным комплексом или это может быть компьютер под управлением операционной системы общего назначения, например, Windows NT/XP Server. Приложения, работающие на этом компьютере обеспечивают возможности вызова, к примеру, конференц-связи, автоматической переадресации, ручного перевода звонка, ожидания, автоматического повторного набора и т. д. (Рисунок 19.21).
Другая реализация РВХ — компьютер с адаптерами для: передачи данных, для подключения магистральных линий и расширений. Как ив предыдущем случае, возможности вызова реализуются приложениями, работающими на компьютере.
Имеются две формы интеграции компьютера и телефонии: с применением технологий классической телефонии и IP-телефонии. Классическая телефония использует коммутируемые телефонные сети общего пользования (Public Switched Telephony Networks, PSTN), что позволяет создавать клиейт-серверные телефонные системы, а IP-телефония позволяет использовать компьютерную конференц-связь по локальным сетям (LAN), глобальным сетям (WAN) или через Интернет.
Установление соединения с использованием политик
Установление соединения с использованием политик
Когда пользователь пытается установить соединение, то попытка принимается или отклоняется на основании следующей логики:
1. | Проверяется первая политика в упорядоченном списке политик. Если подходящей политики не существует, то попытка соединения отклоняется. |
2. | Если не все условия политики соответствуют попытке соединения, то осуществляется переход к следующей политике. Если политик больше нет, попытка соединения отклоняется. |
3. | Если все условия политики соответствуют попытке соединения, то проверяется разрешение удаленного доступа для пользователя, делающего попытку соединения:
Если отказано в предоставлении права удаленного доступа, то попытка соединения отклоняется.
Если предоставлено право удаленного доступа, то применяются свойства пользователя и свойства профиля.
Если попытка соединения не соответствует параметрам настройки свойств учетной записи пользователя и свойств профиля, то попытка соединения отклоняется.
Если попытка соединения соответствует параметрам настройки свойств учетной записи пользователя и свойств профиля, то соединение устанавливается.
LLЕсли право удаленного доступа определяется с помощью политики (Control access through Remote Access Policy), то установка разрешения удаленного доступа берется из политики: Если в праве удаленного доступа отказано (Deny remote access permission), то попытка соединения отклоняется. Если право удаленного доступа предоставлено (Allow remote access permission), то применяются свойства пользователя и свойства профиля.LLЕсли попытка соединения не соответствует параметрам настройки свойств учетной записи пользователя и свойств профиля, то попытка соединения отклоняется. Если попытка соединения соответствует параметрам настройки свойств учетной записи пользователя и свойств профиля, то соединение устанавливается. |
Включение сервера удаленного доступа
Рисунок 19.1. Включение сервера удаленного доступа
Возможности службы факсов
Возможности службы факсов
Передача сообщения на титульном листе |
. Службу факсов позволяет передавать сообщения на титульном листе факса отдельно от документа. В Редакторе титульных страниц факсов (Fax Cover Page Editor) можно создать любой титульный лист по желанию пользователя или выбрать один из имеющихся шаблонов титульных листов. Мастер рассылки факсов автоматически вносит информацию о получателе и отправителе (Рисунок 19.18), нужно только ввести примечание и отослать факсимильное сообщение.
Служба факсов может работать с текстовыми документами и графическими изображениями. Можно отправлять по факсу документы из любого приложения Windows, в котором есть команда Печать.
Служба факсов работает также с некоторыми версиями Microsoft Exchange или Microsoft Outlook. В Outlook, например, можно передавать сообщения электронной почты и присоединенные документы получателям факсов. Необходимо настроить службу факсов, чтобы она работала с соответствующей учетной записью пользователя в Outlook; для этого в программе Outlook нужно в настройках профиля пользователя на вкладке Службы (Services) добавить Почтовый транспорт факсов (Fax Mail Transport).
Службу можно настроить для автоматического приема факсов (рис 19.19) их сохранения на диске и печати на указанном принтере или автоматической передачи цо электронной почте (Рисунок 19.20).
Защита после подключения
Защита после подключения
После проверки подлинности удаленного доступа и подключения клиента к LAN клиент удаленного доступа может обращаться только к тем сетевым ресурсам, для которых он имеет соответствующее разрешение. Клиенты удаленного доступа подчиняются общим схемам безопасности Windows XP так же, как если бы они физически располагались в LAN. Другими словами, клиенты удаленного доступа не могут выполнять действия, не имея достаточных на то полномочий, и не могут обращаться к ресурсам, для которых они не имеют соответствующих разрешений.
Клиенты удаленного доступа должны быть проверены на подлинность сервером удаленного доступа до обращения к ресурсам и обмена данными по сети. Эта проверка подлинности — шаг, отдельный от регистрации в Windows XP. При передаче по телефонным линиям пароли пользователей и процесс проверки подлинности можно шифровать.
Можно ограничить клиента удаленного доступа доступом только к общим ресурсам сервера удаленного доступа, а не к ресурсам всей сети, к которой подключен сервер удаленного доступа. Администратор может управлять тем, какая информация будет доступна клиентам удаленного доступа, и ограничивать доступ пользователей в случае нарушения защиты.
Защита при подключении
Защита при подключении
Вот пошаговая схема процесса, происходящего при запросе клиента удаленного доступа к серверу удаленного доступа под управлением Windows XP:
1. | Клиент удаленного доступа набирает номер сервера удаленного доступа. |
2. | Происходит физическое соединение (например, двух модемов). |
3. | Сервер посылает запрос клиенту. |
4. | Клиент посылает зашифрованный ответ серверу. |
5. | Сервер проверяет ответ при помощи базы данных учетных записей Пользователей. |
6. | Если учетная запись существует и не заблокирована, сервер принимает решение об установлении соединения в соответствии с политикой удаленного доступа и свойствами учетной записи пользователя для клиента удаленного доступа. |
7. | Если разрешена функция ответного вызова, сервер вызывает клиента и продолжает переговоры о соединении. Шаги 3 и 4 предполагают, что
клиент и сервер удаленного доступа используют протоколы проверки подлинности MS CHAP или CHAP. Для других протоколов проверки подлинности схема посылки клиентской идентификационной информации может отличаться от описанной. |