-
Данная глава посвящена рассмотрению основных коммуникационных служб, реализованных в Windows Server 2003. В первую очередь разговор пойдет о службе маршрутизации и удаленного доступа, позволяющей, в частности. внешним клиентам подключаться к корпоративной сети и использовать ее ресурсы.
-
В Windows Server 2003 реализована Служба маршрутизации и удаленного доступа (Routing and Remote Access Service, RRAS), позволяющая удаленным пользователям подключаться к корпоративным вычислительным сетям.
-
Служба маршрутизации и удаленного доступа, реализованная в Windows Server 2003, характеризуется новыми функциональными возможностями, перечисляемыми ниже. | Поддержка механизма разделяемых ключей для аутентификации в случае использования протоколов L2TP/IPSec.
-
На сервере удаленного доступа под управлением Windows Server 2003 установленное сетевое оборудование отображается в виде ряда устройств и портов. | Под устройством (devices) понимается аппаратное или программное обеспечение, которое предоставляет службе удаленного доступа порты для установки соединений "точка-точка".
-
При развертывании в корпоративной сети службы удаленного доступа необходимо учитывать транспортные протоколы, используемые в настоящий момент в локальной сети – это может повлиять на планирование, интеграцию и настройку удаленного доступа.
-
Стек протоколов TCP/IP – один из наиболее популярных транспортных протоколов. Его возможности маршрутизации и масштабирования предоставляют максимальную гибкость при организации корпоративной сети. Перед администратором имеются две проблемы, связанных с использованием стека протоколов TCP/IP для реализации удаленного доступа: | выделение клиенту IP-адреса; | разрешение имен.
-
В принципе, клиенты удаленного доступа на базе Windows Server 2003 могут использовать стек протоколов NWLink (IPX/SPX-совместимый стек протоколов) для доступа к ресурсам Novell NetWare. | Напомним, однако, что это возможно только с использованием механизма сетевых подключений, создаваемых в папке Network Connections.
-
С точки зрения информационной безопасности любой удаленный пользователь должен быть аутентифицирован, прежде чем сможет получить доступ к ресурсам. Аутентификация происходит непосредственно при попытке клиента установить соединение с сервером удаленного доступа.
-
Протокол аутентификации Remote Authentication Dial-in User Service (RADIUS) рассматривается как механизм аутентификации и авторизации удаленных пользователей в условиях распределенной сетевой инфраструктуры, предоставляющий централизованные услуги по проверке подлинности и учету для служб удаленного доступа.
-
Протокол ЕАР (Extensible Authentication Protocol) представляет собой расширяемый механизм аутентификации, позволяющий унифицировать процесс проверки подлинности пользователей, предоставляя при этом участникам соединения возможность использования самых разнообразных схем аутентификации.
-
Протокол CHAP (Challenge Handshake Authentication Protocol) представляет собой механизм проверки подлинности типа "запрос-ответ", использующий схему хэширования MD-5 для необратимого преобразования пароля пользователя в уникальную последовательность символов.
-
Протокол MS-CHAP (Microsoft Challenge Handshake Protocol) представляет собой реализацию протокола CHAP, предложенную компанией Microsoft. В отличие от CHAP, для хэширования паролей применяется алгоритм MD4. Существует две версии протокола MS-CHAP.
-
Протокол PAP (Password Authentication Protocol) использует пароли, передаваемые открытым текстом, и является самым простым протоколом проверки подлинности пользователей. Обычно соединение на его основе устанавливается, если клиент удаленного доступа и сервер удаленного доступа не могут договориться о более безопасной форме проверки подлинности.
-
Аутентификация пользователей, подключающихся к серверу удаленного доступа под управлением Windows Server 2003, выполняется по следующему сценарию: | Клиент удаленного доступа инициирует процесс подключения к серверу удаленного доступа (например, набирает его телефонный номер).
-
В большинстве случаев для обеспечения безопасности удаленного подключения вполне достаточно использовать протоколы аутентификации, поддерживающие шифрованный обмен данными.
-
Механизм ответного вызова (callback) представляет собой альтернативу проверки идентификатора звонящего абонента, позволяя серверу удаленного доступа убедиться в подлинности абонента, устанавливающего соединение.
-
Администратор может организовать удаленный доступ к корпоративной сети без необходимости выполнения аутентификации пользователя. Процедура аутентификации предполагает передачу клиентом серверу информации о полномочиях пользователя. В описываемом сценарии подобной передачи не происходит.
-
Архитектура системы безопасности предусматривает возможность блокирования учетной записи удаленного пользователя (account lockout). Эта возможность отменяет разрешение удаленного доступа для учетной записи пользователя после заданного числа неудавшихся попыток проверки подлинности.
-
По соображениям безопасности удаленный доступ к любой конфиденциальной информации должен осуществляться только по защищенному каналу. В ситуации, когда для организации удаленного доступа используются общественные телефонные линии (либо линии, по которым нельзя исключить "снятие" информации), для создания защищенного канала необходимо применять специальные механизмы шифрования.
-
Настройка параметров удаленного доступа для конкретного пользователя в Windows Server 2003 может быть выполнена двумя способами: либо при помощи специальных атрибутов учетной записи пользователя, либо посредством политик удаленного доступа.
-
В Windows Server 2003 в качестве основного механизма однообразного конфигурирования отдельных компонентов системы используется механизм политик. Для управления удаленным доступом в Windows Sewer 2003 используются политики удаленного доступа (remote access policy).
-
Требования политики безопасности большинства предприятий предполагают регистрацию всех событий, связанных с действиями удаленных пользователей в рамках корпоративной сети. Сервер удаленного доступа Windows Server 2003 позволяет регистрировать все события, связанные с аутентификацией удаленных пользователей, в специальных журналах.
-
Сервер удаленного доступа под управлением Windows Server 2003 предоставляет возможность удаленным клиентам использовать широковещательные рассылки для разрешения доменных и NetBIOS-имен ресурсов, расположенных в корпоративной сети.
-
Протокол туннелирования L2TP использует для шифрования пакетов протокол сетевого уровня IPSec. Применение протокола IPSec имеет свои характерные особенности. В частности, протокол содержит механизмы взаимной аутентификации всех участников соединения.
-
Сервер удаленного доступа под управлением Windows Server 2003 может обслуживать VPN-подключения, выступая в качестве VPN-сервера. Необходимо понимать, что фактически речь идет о все том же удаленном доступе к ресурсам корпоративной сети.
-
Чтобы обеспечить работу сервера удаленного доступа на Windows Server 2003, необходимо соответствующим образом сконфигурировать службу маршрутизации и удаленного доступа (Routing and Remote Access Service).
-
Механизм трансляции сетевых адресов (Network Address Translation, NAT) осуществляет преобразование IP-адресов и номеров портов пакетов TCP и датаграмм UDP, которыми обмениваются локальная и внешняя (такая, как Интернет) сети.
-
Архитектура стека протоколов TCP/IP требует, чтобы каждый хост в сети имел уникальный IP-адрес. Это требование справедливо и для Интернета. Любой хост, подключающийся к Интернету, должен являться обладателем уникального IP-адреса.
-
Для установки соединения используется уникальная связка "адрес-порт". Другими словами, с хостом, имеющим один IP-адрес, может быть установлено множество соединений. Однако каждое из этих соединений будет использовать различные порты.
-
Работа NAT базируется на анализе заголовков пакетов. Преобразователь адресов извлекает из заголовка пакета информацию о IP-адресах и номерах портов отправителя и получателя пакетов и в соответствии с полученными данными принимает решение о трансляции пакета.
-
Рассмотрим процесс развертывания в корпоративной среде механизма NAT. Прежде чем приступить к конфигурированию службы маршрутизации и удаленного доступа (Routing and Remote Access Service), администратор должен выполнить ряд подготовительных операций.
-
В рамках сервера удаленного доступа Windows Server 2003 реализован базовый брандмауэр (basic firewall), представляющий собой механизм динамической фильтрации пакетов. Брандмауэр является одним из механизмов обеспечения безопасности периметра сети, ограничивая трафик через сетевой интерфейс определенными типами пакетов.
-
Механизм NAT может быть активизирован на любом компьютере под управлением Windows Sewer 2003. Для этого необходимо соответствующим образом сконфигурировать службу маршрутизации и удаленного доступа (Routing and Remote Access Service).
-
Если в сети уже имеется функционирующий сервер удаленного доступа (другими словами, на этом компьютере имеется сконфигурированная служба маршрутизации и удаленного доступа), администратор может выполнить активизацию механизма NAT без использования специального мастера конфигурирования.
-
Сервер удаленного доступа, на котором активизирован механизм NAT, может осуществлять автоматическое конфигурирование локальных хостов посредством протокола DHCP. | Чтобы разрешить подобную схему выделения IP-адресов хостам локальной сети, необходимо вызвать окно свойств контейнера NAT/Basic Firewall в пространстве имен оснастки Routing and Remote Access.
-
Помимо динамического выделения адресов хостам локальной сети, сервер удаленного доступа может выполнять разрешение доменных имен в локальной сети. Чтобы обеспечить подобную схему разрешения доменных имен, необходимо вызвать окно свойств контейнера NAT/Basic Firewall в пространстве имен оснастки Routing and Remote Access.
-
Активизировав механизм NAT, администратор должен задать для каждого сетевого интерфейса диапазоны IP-адресов, которые будут использоваться данным механизмом для выполнения преобразования. Эта операция выполняется на вкладке Address Pool (Пул адресов) в окне свойств открытого сетевого интерфейса (рис. 14.16). | Нажмите кнопку Add (Добавить) и в открывшемся окне задайте диапазон адресов.
-
Как уже упоминалось ранее, в рамках сервера удаленного доступа Windows Server 2003 реализован базовый брандмауэр, задача которого заключается в выполнении фильтрации проходящего через открытый интерфейс трафика.
-
Администратор может выполнить более точную настройку механизма NAT, выполнив конфигурирование специальных портов. Фактически администратор задает специфические правила трансляции пакетов, приходящих на определенные порты.
-
Хосты локальной сети также нуждаются в дополнительном конфигурировании. | Каждый хост, который будет использовать механизм NAT, должен иметь соответствующую (согласованную с конфигурацией NAT) настройку стека протоколов TCP/IP: | IP-адрес, принадлежащий к разрешенному диапазону частных адресов.
-
В Windows Server 2003 (как и в Windows XP) реализована специальная служба факсов (Fax Service), позволяющая администратору организовать отправку и получение факсимильных сообщений на базе персонального компьютера, оборудованного факс-модемом. Идея использования компьютера в качестве факса не нова.
-
Служба факсов не устанавливается по умолчанию в ходе инсталляции операционной системы. Администратор должен установить ее самостоятельно, предварительно подключив к серверу факс-модем и настроив его соответствующим образом.
-
При первом запуске оснастки Fax Console (Консоль факсов) вызывается мастер Fax Configuration Wizard (Мастер настройки факсов), с помощью которого вы можете: | заполнить информацию об отправителе, которая будет отображаться на отсылаемых факсах;
-
Основные возможности службы факсов перечислены ниже. | Передача сообщения на титульном листе. | Служба факсов позволяет передавать сообщения на титульном листе факса отдельно от документа.
-
Утилита Fax Cover Page Editor (рис. 14.24) позволяет администратору осуществлять редактирование шаблонов титульных листов, которые используются в процессе передачи пользователями факсов. Можно создавать общие титульные листы, чтобы совместно использовать их из нескольких профилей.
-
В составе службы факсов Windows Server 2003 поставляется специальная утилита Fax Service Manager (Диспетчер службы факсов) (рис. 14.26). | Эта утилита предназначена для централизованного управления серверами, на которых установлены службы факсов.
-
Как уже говорилось, для настройки параметров факса используется Мастер настройки факсов, с помощью которого можно задать как сведения об отправителе, так и параметры работы факсов.
-
В составе Windows Server 2003 реализован API-интерфейс телефонии (Telephony API, TAPI) версии 3.1, обеспечивающий функциональные возможности систем клиент-сервер. Благодаря данному интерфейсу прикладные телефонные программы на клиентском компьютере могут связываться с выделенным компьютером-сервером, который функционирует как шлюз с телефонным коммутатором.
-
В организациях обычно поддерживаются раздельные сети для передачи голоса, данных и видеоинформации. Поскольку все сети имеют различные транспортные требования и физически независимы, их установка, поддержка и реорганизация обходятся дорого.