КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Организация защищенного удаленного доступа
 |
Удаленный доступ к компьютерным ресурсам стал в настоящее время таким же актуальным и значимым, как и доступ в режиме непосредственного подключения. Удаленный доступ к корпоративной сети осуществляется из незащищенного внешнего окружения через открытые сети. Поэтому средства построения защищенной корпоративной сети должны обеспечить безопасность сетевого взаимодействия при подключении к сети удаленных компьютеров.
Удаленный доступ к корпоративной сети возможен через глобальную компьютерную сеть или через среду передачи информации, образованную цепочкой из телефонной и глобальной компьютерной сети. Доступ через глобальную сеть Интернет является достаточно эффективным способом удаленного доступа к корпоративной сети, причем для подключения удаленного пользователя к Интернету может использоваться канал телефонной связи. Отметим основные достоинства удаленного доступа к корпоративной сети через Интернет:
· обеспечивается масштабируемая поддержка удаленного доступа, позволяющая мобильным пользователям связываться по местной телефонной линии с интернет-провайдером и затем через Интернет входить в свою корпоративную сеть;
· сокращаются расходы на информационный обмен через открытую внешнюю среду, так как удаленные пользователи подключаются к Интернету и через эту глобальную сеть связываются с минимальными затратами с сетью своей организации;
· управление трафиком удаленного доступа осуществляется так же, как любым другим трафиком Интернета.
В корпоративной сети для взаимодействия с удаленными пользователями выделяется сервер удаленного доступа. Этот сервер служит для выполнения следующих функций:
|
|
|
· установки соединения с удаленным компьютером;
· аутентификации удаленного пользователя;
· управления удаленным соединением;
· посредничества при обмене данными между удаленным компьютером и корпоративной сетью.
Среди протоколов удаленного доступа к локальной сети наибольшее распространение получил протокол точка-точка РРР (Point-to-Point Protocol), который является открытым стандартом Интернета. Протокол РРР предназначен для установления удаленного соединения и обмена информацией по установленному каналу пакетами сетевого уровня, инкапсулированными в РРР-кадры. Используемый в протоколе РРР метод формирования кадров обеспечивает одновременную работу через канал удаленной связи нескольких протоколов сетевого уровня.
Протокол РРР поддерживает следующие важные функции:
· аутентификацию удаленного пользователя и сервера удаленного доступа;
· компрессию и шифрование передаваемых данных;
· обнаружение и коррекцию ошибок;
· конфигурирование и проверку качества канала связи;
· динамическое присвоение адресов IP и управление этими адресами.
На основе протокола РРР построены часто используемые при удаленном доступе протоколы РРТР, L2F и L2TP. Эти протоколы позволяют создавать защищенные каналы для обмена данными между удаленными компьютерами и локальными сетями, функционирующими по различным протоколам сетевого уровня - IP, IPX или NetBEUI. Для передачи по телефонным каналам связи пакеты этих протоколов инкапсулируются в РРР-кадры. При необходимости передачи через Интернет защищенные РРР-кадры инкапсулируются в IP-пакеты сети Интернет. Криптозащита трафика возможна как в каналах Интернета, так и на протяжении всего пути между компьютером удаленного пользователя и сервером удаленного доступа локальной сети. 12. 2
Контроль доступа пользователей к ресурсам корпоративной сети должен осуществляться в соответствии с политикой безопасности организации, которой принадлежит данная сеть. Эффективное разграничение доступа к сетевым ресурсам может быть обеспечено только при надежной аутентификации пользователей. Требования к надежности аутентификации удаленных пользователей должны быть особенно высокими. Это обусловлено тем, что при взаимодействии с физически удаленными пользователями значительно сложнее обеспечить доступ к сетевым ресурсам только для тех пользователей, которые имеют на это определенные полномочия. В отличие от локальных пользователей, удаленные пользователи не проходят процедуру физического контроля при допуске на территорию организации.
|
|
|
При удаленном взаимодействии важна аутентификация не только пользователей, но и оборудования, поскольку подмена пользователя или маршрутизатора приводит к одним и тем же последствиям - данные из корпоративной сети передаются не тем лицам, которым они предназначены.
Для обеспечения надежной аутентификации удаленных пользователей необходимо выполнение следующих требований:
· проведение аутентификации обеих взаимодействующих сторон - как удаленного пользователя, так и сервера удаленного доступа — для исключения маскировки злоумышленников;
· оперативное согласование используемых протоколов аутентификации;
· осуществление динамической аутентификации взаимодействующих сторон в процессе работы удаленного соединения;
· криптозащита передаваемых секретных паролей либо применение механизма одноразовых паролей для исключения перехвата и несанкционированного использования аутентифицирующей информации.
Протокол РРР имеет встроенные средства, которые могут быть использованы для организации аутентификации при удаленном взаимодействии. В стандарте RFC 1334 определены два протокола аутентификации:
· протокол распознавания пароля PAP (Password Authentication Protocol);
· протокол распознавания при рукопожатии CHAP (Challenge Handshake Authentication Protocol).
В процессе установления удаленного соединения каждая из взаимодействующих сторон может предложить применение одного из стандартных протоколов аутентификации - РАР или CHAP.
Следует отметить, что при использовании протокола РАР идентификаторы и пароли передаются по линии связи в незашифрованном открытом виде. При использовании протокола CHAP каждый пароль перед передачей по линии связи шифруется на основе случайного числа, полученного от сервера. Технология, применяемая в протоколе CHAP, обеспечивает также защиту от повторного использования злоумышленником перехваченных пакетов с зашифрованным паролем. Широкое применение для аутентификации по одноразовым паролям получил протокол S/Key. В программных продуктах, обеспечивающих связь по протоколу РРР, протоколы РАР и CHAP, как правило, поддерживаются в первую очередь.
|
|
|
Иногда компании создают собственные протоколы аутентификации удаленного доступа, работающие вместе с протоколом РРР. Эти фирменные протоколы обычно являются модификациями протоколов РАР и CHAP, обладая вместе с тем некоторыми усовершенствованиями. Например, служба удаленного доступа RAS (Remote Access Service) операционной системы Windows NT использует собственный вариант протокола аутентификации CHAP с хэш-функцией MD4. Этот вариант протокола аутентификации носит название MS-CHAP. Стандартная для протокола CHAP хэш-функция MD5 не поддерживается. Клиентское и серверное программное обеспечение компании Shiva в дополнение к протоколам РАР и CHAP обеспечивает поддержку фирменного метода SPAP (Shiva Password Authentication Protocol).
|
|
|
|
Дата добавления: 2014-01-14; Просмотров: 1908; Нарушение авторских прав?; Мы поможем в написании вашей работы!