Network Access Quarantine Control е новост в Windows Server 2003. Той забавя нормалния отдалечен достъп към частна мрежа, докато конфигурацията на отдалечения компютър не бъде проучена и проверена за валидност чрез администраторски скрипт. Когато отдалечен компютър поиска връзка с remote access сървър, потребителят се автентицира и му се дава IP адрес.
Въпреки това, конекцията е поставена в състояние на карантина (quarantine mode), в което достъпът до мрежата е ограничен. След това администраторският скрипт се пуска на отдалечената машина. Когато завърши успешно, той изпраща съобщение на сървъра с отдалечен достъп, че отдалеченият компютър отговаря
на настоящите условия на мрежата. Remote access сървърът премахва състоянието на карантина и отдалеченият компютър е вече одобрен за нормален достъп. Network Access Quarantine Control е комбинация от следните неща:
- Remote access сървър под Windows Server 2003 и услуга listener за съобщения, отнасящи се до състоянието на карантина.
- RADIUS сървър под Windows Server 2003 и Internet Authentication Service (IAS), конфигурирани с карантинните условия за отдалечен достъп (quarantine remote access policy)
- Профил, създаден с Windows Server 2003 Connection Manager Administration Kit, който съдържа скрипт за проверка на мрежовата политика (network policy) и компонент notifier, който трябва да бъде изпратен на сървъра, за да го уведоми за резултатите от нея.
- Отдалечен клиент под Windows Server 2003 или Windows
XP/2000/ME/98SE.
Remote Access Account Lockout
Тази възможност се използва за определяне колко пъти отдалечена автентикация за валиден потребителски акаунт е пропаднала преди на потребителя да му бъде отказан отдалечен достъп. Особено е важна за VPN връзки с отдалечен достъп, работещи през Интернет. По Интернет са възможни атаки, опитващи се да получат достъп до intranet на някоя организация като изпращат credentials (валидно потребителско име и предположена парола) по време на процеса на автентикация на VPN конекцията. При тази dictionary атака атакуващият изпраща стотици хиляди credentials, използвайки списък от пароли, базирани на често срещани думи и изрази. Чрез Remote access account lockout dictionary атаката се осуетява след няколко неуспешни опита. Тази техника, обаче не прави разлика между атакуващи потребители и такива, които са забравили паролата си и пробват различни варианти. Възможен е вариант на умишлен lockout на даден потребител, чрез многократни опити на пароли.
Remote access account lockout се конфигурира чрез промяна на настройките в регистрите на компютъра, който осъществява автентикация. Ако сървърът за отдалечен достъп е конфигуриран за Windows authentication, трябва да се промени registry-то на remote access сървъра, а ако е за RADIUS автентикация и се използва Internet Authentication Service (IAS), променят се регистрите на IAS сървъра.
Remote Access Policy Profile Packet Filtering
Политиките за отдалечен достъп, които дефинират оторизационните ограничения (constraints) и тези върху конекцията, могат да се използват, за да се определи група филтри за IP пакети, които да се приложат за remote access връзки. Когато конекцията е приета, пакетните филтри определят какви типове IP трафик са разрешени от и към VPN клиента. Това филтриране може да се използва за extranet конекции (extranet е част от мрежата на една организация, която е достъпна за потребители извън организацията) и да се създаде политика за отдалечен достъп, която поставя условието, че членовете на т.нар. Partners group могат да достигат Web сървърите на точно определени IP адреси или на точно определени подмрежи.
Това свойство може да се използва също и за предотвратяване на изпращане на пакети от отдалечени VPN клиенти, които те не са създали. Когато remote access клиентът прави конекцията, той създава маршрут по подразбиране, така че целият трафик, който пасва на този маршрут, се изпраща през VPN връзката. Ако други машини предават трафик на VPN клиента, използвайки го като router, то този трафик също ще се предаде през VPN конекцията. Това е проблем в сигурността, защото VPN сървърът не е автентицирал компютъра, който предава трафик към клиента, а на практика той има същия достъп до мрежата като този на вече автентицирания VPN клиент. За да се предпази сървъра от получаване на трафик през конекцията от компютри различни от тези, които са минали authentication, трябва да се конфигурират пакетни филтри за отдалечен достъп на remote access политиката, която VPN конекцията използва. Remote access политиката по подразбиране за Windows Server 2003 се нарича Connections to Microsoft Routing and Remote Access server и вече има коректните входни пакетни филтри за тази конфигурация.
VPN администрация
За избора на VPN технология е важно да се разгледат и някои администраторски въпроси. Големи мрежи трябва да съхраняват информация за всеки потребител и да предоставят directory service-и, така че администраторите и приложенията да могат да добавят, променят и четат тази информация. За да не се правят множество акаунти на различни сървъри, които трябва да се синхронизират помежду си, повечето администратори правят база данни за потребителски акаунти на directory сървър, RADIUS сървър или primary domain контролер. Като използва директорийната услуга Active Directory като база данни за акаунти, VPN-и, базирани на Windows Server 2003 стават т.нар. single sign-on решения, т.е. едни и същи credentials се използват за двете VPN връзки за логване към домейна на организацията.
Оторизиране на VPN конекции
За да осигури authorization за VPN връзки и да даде метод за ограничаването им, Windows Server 2003 VPN конекциите използват комбинация от dial-in характеристики на потребителските акаунти в локална или domain база данни и политики за отдалечен достъп(remote access policies).
Remote access policies са група правила, които определят как конекциите се приемат или отхвърлят, а за приетите конекции те дефинират също и ограничения (restrictions). За всяко правило има по едно или няколко условия, група от профилни опции и опция за разрешение за отдалечен достъп (remote access permission). Опитите за осъществяване на връзка се оценяват от remote access политиките последователно, опитвайки се да определят дали опитът отговаря на всички условия на всяка от политиките. Ако това не е изпълнено, конекцията се отказва.
Ако една връзка бъде приета и й е даден permission за отдалечен достъп, policy profile-ът определя ограниченията за нея. Тези ограничения включват характеристиките на конекцията (като максимално време на съществуване и idle timeout), филтриране на IP пакетите, автентикационните протоколи и изискваното криптиране.
Dial-in свойствата на потребителския акаунт също дават набор от рестрикции. Където е подходящо, ограниченията, зададени от акаунта, покриват тези, които са определени от policy profile-а.
Scalability
Redundancy и load balancing се осъществява или чрез DNS, или чрез Network Load
Balancing:
Round-robin DNS се използва за разделени заявки между VPN сървъри, които покриват общ периметър на сигурност (security perimeter). Един security perimeter има едно външно DNS име (например, microsoft.com), но няколко IP адреса и съдържанието е произволно разпределено между тях.
Чрез Network Load Balancing, клъстер от VPN сървърски компютри може да гарантира голяма гъвкавост и load balancing както за PPTP, така и за L2TP/IPSec конекции.
Remote Authentication Dial-in User Service(RADIUS)
Протоколът RADIUS е популярен метод за осъществяване на отдалечен authentication и authorization, който е базиран на UDP. RADIUS сървъри могат да се разположат навсякъде в Интернет и да предоставят автентикация (включвайки PPP PAP, CHAP, MS-CHAP, MS-CHAPv2, EAP) и оторизация за VPN сървъри. Освен това, RADIUS сървърите могат да осигурят proxy услуга за предаване на автентикационни заявки до далечни RADIUS сървъри. Например, много доставчици на Интернет (ISP) имат договореност да разрешават на roaming абонатите да използват локални услуги от най-близкия ISP за dial-up достъп до Интернет. Roaming обединенията се възползват отлично от proxy услугата на RADIUS. Ако един ISP разпознае даден username като потребител на отдалечена мрежа, доставчикът използва RADIUS proxy, за да препрати заявката за достъп до подходящата мрежа.
Windows Server 2003 включва RADIUS сървър и прокси с Internet Authentication Service (IAS), изборен мрежови компонент за Windows, който се инсталира от Control Panel – Network.
Connection Manager и Managed VPN connections
За реализирането на конфигурация от голям брой VPN клиенти с отдалечен достъп за enterprise цели се използва Connection Manager (CM). CM e набор от компоненти включени към Windows Server 2003, сред които са:
- Connection Manager (CM) client dialer
- Connection Manager Administration Kit (CMAK)
- Connection Point Services (CPS)
Connection Manager Client Dialer
Connection Manager (CM) client dialer e софтуер, които е инсталиран на всеки VPN клиент и включва някои advanced свойства, които го правят подходящ за отдалечен networking. В същото време, CM представя едно опростено избиране. Той ограничава броя на конфигурационните опции, които потребителят може да промени, осигурявайки, че той може винаги да се свърже успешно. Например, с CM client dialer потребителят може:
- да избере от списък с телефонни номера този, който иска да използва, на базата на физическо местоположение
- да използва променени по свое желание графики, икони, съобщения и help
- автоматично да създаде dial-up връзка преди VPN конекцията да бъде направена
- да извърши определени действия по време на различни части от процеса на свързване, като pre-connect и post-connect действия (стартирани преди или след като dial-up или VPN конекцията е завършена).
Customized CM client dialer пакет е саморазархивиращ се изпълним файл, който е създаден от мрежовия администратор с Connection Manager Administration Kit (CMAK). Профилът се разпространява до VPN потребителите чрез CD-ROM, e- mail, Web site или file share. Когато потребителят стартира CM профила, той автоматично конфигурира подходящите dial-up и VPN конекции. Connection Manager profile-ът конфигурира връзки за компютри работещи под Windows Server 2003, Windows XP/2000/NT4/ME/98.
Connection Manager Administration Kit (CMAK)
CMAK е опционално средство, което се инсталира от:
- Add/Remove Programs (в Control Panel) на компютър работещ под Windows Server 2003. В категорията Management and Monitoring Tools от Windows Components трябва да се укаже Connection Manager Components.
- Windows Server 2003 Administration Tools на компютър работещ под Windows XP Professional. Най-напред трябва да се стартира файлът Adminpak.msi от \I386 на Windows Server 2003 CD-ROM-а. След като бъде инсталиран този файл, CMAK може да бъде пуснат от Administrative Tools.
- CMAK e wizard, който преминава през голямо разнообразие от настройки при конфигуриране на CM профил и създава профила, който ще бъде даден за VPN потребителите.
Connection Point Services (CPS)
CPS предоставя възможността за създаване, представяне и обновяване на собствени телефонни указатели (phone books). Те съдържат един или повече Point of Presence входа (POP entries), всеки от които има телефонен номер, използван за достъп до dial-up мрежа или Интернет. Указателите дават на потребителите пълна POP информация, така че когато те пътуват, могат да се свържат към различни точки на достъп в Интернет или към някоя организация. Тези access points са базирани на местоположение, вместо да се използва номер за далечно избиране.
Без възможността да update-ват телефонните указатели, на потребителите не само би се наложило да се свързват с техническата поддръжка, за да направят промяна в своята POP информация, но и да преконфигурират софтуера на своя клиентски dialer. CPS е комбинация от:
- Phone Book Administrator – средство, което се използва за създаване и поддръжка на файловете на телефонните указатели и публикуване на нови или обновени такива файлове на phone book сървъра.
- Phone Book Administrator се инсталира чрез стартиране на Pbainst.exe от Valueadd\Msft\Mgmt\Pba на диска с Windows Server 2003. Веднъж инсталиран, той може да бъде пуснат от Administrative Tools, но използването му на phone book сървъра не е задължително изискване.
- Phone Book Administrator може да се използва за създаване на нови указатели и региони и публикуването им в SystemRoot\Program Files\Phone Book Service\Data\PhoneBookFileName на phone book сървъра.
- Phone Book Server – сървър работещ с Windows Server 2003 и Internet Information Services (IIS), включително FTP Publishing Service, и Internet Server Application Programming Interface (ISAPI) разширение, който изпълнява update заявките за телефонните указатели от CM клиентите.
След като указателят е конфигуриран и публикуван се създава CM профил с CMAK,
който се настройва чрез:
1. Автоматично изтеглени update-и за телефонни указатели
2. Phone book файла
3. Името на сървъра за указателите.
Accounting, Auditing, Alarming
За правилното администриране на една VPN система мрежовите администратори трябва да имат възможността да следят за това кой използва системата, колко конекции са направени, за необичайни дейности, за възникнали грешки и за ситуации, по които може да се установи наличието на хардуерни проблеми.
Например, един администратор може да поиска да узнае кой е свързан към системата и за колко време, за да може да събере данни за съответния потребител. Необичайни дейности могат да покажат неразрешено използване на системата или некоректни ситемни ресурси. Следенето на устройствата може да генерира съобщение към администратора за даден проблем (например, необичайно голяма заетост на един модем и незаетост на друг може да е сигнал за неправилна работа на модема). Тунелният сървър трябва да осигури цялата тази информация, а системата трябва да предостави event log-ове, report-и и възможност за съхранение на данни, за да се използват данните подходящо.
RADIUS протоколът дефинира набор от заявки за извикване на акаунти (call- accounting requests), които са независими от автентикационните заявки. Тези съобщения от NAS към RADIUS сървъра казват на RADIUS сървъра да генерира записи за акаунти в началото на обръщение (call), в края на обръщение и на предварително определени интервали по време на обръщение. Рутирането и услугите за отдалечен достъп, които осигуряват функционалността на VPN сървъра в Windows Server 2003, могат да се конфигурират да изпращат тези RADIUS заявки отделно от connection заявките (които могат да отидат до домейн контролера или до RADIUS сървъра). Това позволява на администратора да конфигурира акаунтен RADIUS сървър, който да събере записи за всяка VPN конекция за по-нататъшни анализи. По-нататък може да се използват програми за проверка (auditing packages), които четат тези RADIUS записи за акаунти и дават разнообразни и полезни report-и. В Windows Server 2003 IAS е акаунтен RADIUS сървър и поддържа записване на акаунтна информация за конекцията в log файл или изпращането й директно към SQL база данни.
Сходни статии:
- Типове данни в Microsoft Access и изрази В средата на ACCESS се използват два типа данни – константи и променливи. Константите се задават със собствени обозначения и не се променят при изпълнение на различни операции и процедури....
- Копиране и преместване на компресирани файлове При копиране и преместване атрибутите за компресиране на файловете, разположени в NTFS дял, могат да се променят. Копиране При копирането на файл от една папка в друга неговият атрибут за...
- Маршрутизатори в локалните компютърни мрежи (Local Network Routers) Маршрутизаторите (routers) са многопротоколни устройства. Те позволяват свързване на хетерогенни (разнородни) ЛКМ на мрежово ниво. Функциите за маршрутизиране се решават на мрежово ниво, което осигурява свързване на подмрежи. При ЛКМ...
- Обмен на файлове в Интернет чрез FTP Интернет е източник за информация, която се представя не само под формата на Web-страници а също така и като различен софтуер – програми, електронни книги, обемни графични изображения, аудио и...
