Средства защиты системы удаленного доступа Microsoft
Безопасная проверка подлинности пользователя
Безопасная проверка подлинности пользователя достигается путем шифрованного обмена учетными данными. Для PPP-подключений возможно использование следующих протоколов проверки подлинности:
- Протокол EAP (Extensible Authentication Protocol)
- Протокол MS-CHAP (Microsoft Challenge Handshake Authentication Protocol)
- Протокол MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol версии 2)
- Протокол CHAP (Challenge Handshake Authentication Protocol)
- Протокол SPAP (Shiva Password Authentication Protocol)
Можно настроить сервер удаленного доступа таким образом, чтобы он требовал использования определенных методов безопасной проверки подлинности. Если клиент удаленного доступа не может использовать требуемые методы проверки подлинности, подключение отклоняется.
Протокол EAP (Extensible Authentication Protocol)
Протокол EAP является новым стандартом, позволяющим использовать для проверки PPP-подключений дополнительные механизмы проверки подлинности. При использовании таких протоколов проверки подлинности, как MS-CHAP и SPAP, на этапе установления соединения выбирается определенный механизм проверки подлинности. Затем на этапе проверки подлинности подключения используется протокол согласованной проверки подлинности. Протокол проверки подлинности представляет собой серию сообщений, посылаемых в определенном порядке.
Если используется протокол EAP, то механизм проверки подлинности на этапе установления соединения не выбирается. Вместо этого каждый PPP-узел согласовывает использование протокола EAP, осуществляемое на этапе проверки подлинности подключения. На этапе проверки подлинности каждый PPP-узел должен сначала согласовать использование определенной схемы проверки подлинности, которая называется типом EAP. Как только тип EAP согласован, протокол EAP позволяет вести свободный диалог между сервером и клиентом удаленного доступа. Этот диалог может сильно различаться в зависимости от параметров подключения и состоит из запросов на необходимую информацию проверки подлинности и ответов клиента. Продолжительность и содержание диалога проверки подлинности зависит от типа EAP.
Например, при использовании EAP совместно с токенами безопасности сервер удаленного доступа может по отдельности запросить у клиента имя, PIN-код и информацию токена. После получения сервером проверки подлинности ответа на очередной запрос пользователь переходит на следующий уровень проверки. После того, как были получены ответы на все запросы проверки подлинности, происходит авторизация пользователя и ему выдается разрешение на доступ в сеть.
В протоколе EAP реализована архитектурная поддержка компонентов проверки подлинности, выполненных в виде подключаемых модулей, устанавливаемых на обеих сторонах подключения – на стороне сервера и на стороне клиента. Установив один и тот же модуль проверки подлинности на сервере и на клиенте удаленного доступа, можно организовать поддержку нового типа EAP. Это позволяет производителям в любое время представлять новые схемы проверки подлинности. EAP обеспечивает высочайшую гибкость и поддержку множества уникальных методов проверки подлинности.
Windows 2000 и Windows XP поддерживают два типа EAP для клиентов удаленного доступа – EAP-MD5 и EAP-TLS. Служба маршрутизации и удаленного доступа (Routing and Remote Access service) для Windows 2000 Server обеспечивает поддержку EAP-MD5, EAP-TLS и отправку EAP-сообщений RADIUS-серверу.
EAP-MD5 (EAP-Message Digest 5)
Протокол EAP-MD5 – это механизм проверки подлинности протокола CHAP (Challenge Handshake Authentication Protocol), использующийся в среде EAP. EAP-MD5 является обязательным типом EAP и может использоваться для проверки работы EAP. Также как и CHAP, EAP-MD5 сложно использовать из-за того, что он требует наличия сервера для выполнения проверки подлинности и хранения паролей пользователей в доступной для обратимого шифрования форме.
EAP-TLS (EAP-Transport Level Security)
Протокол EAP-TLS, основанный на протоколе SSL (Secure Sockets Layer), обеспечивает безопасный обмен данными между приложениями. При использовании EAP-TLS взаимная аутентификации между PPP-клиентом и сервером проверка подлинности основана на использовании сертификатов. При взаимной проверке подлинности клиент, устанавливающий подключение, отправляет для проверки серверу аутентификации сертификат пользователя, а сервер отправляет клиенту сертификат компьютера.
Протокол EAP-TLS является самым надежным способом проверки подлинности и поддерживается удаленными клиентами под управлением ОС Windows XP иWindows 2000.
EAP-RADIUS
EAP-RADIUS – это не тип EAP, а способ передачи сообщений EAP любого типа EAP сервером проверки подлинности RADIUS-серверу для проверки подлинности. Сообщения EAP, пересылаемые между клиентом и сервером удаленного доступа, инкапсулируются и форматируются в виде сообщений RADIUS между сервером удаленного доступа и RADIUS-сервером. Сервер удаленного доступа выступает в роли посредника, передавая сообщения EAP между клиентом удаленного доступа и RADIUS-сервером. Вся обработка сообщений EAP выполняется клиентом удаленного доступа и RADIUS-сервером.
EAP-RADIUS применяется в системах, в которых в качестве поставщика службы проверки подлинности используется RADIUS. Преимущество EAP-RADIUS состоит в том, что типы EAP должны быть установлены только на RADIUS-сервере, а не на каждом сервере удаленного доступа.
Обычно при использовании EAP-RADIUS сервер удаленного доступа Windows 2000 настроен на проверку подлинности с помощью протокола EAP и RADIUS-сервера, выступающего в роли поставщика службы проверки подлинности. В процессе подключения клиент удаленного доступа согласовывает использование протокола EAP с сервером удаленного доступа. Когда клиент отправляет серверу удаленного доступа сообщение EAP, сервер удаленного доступа инкапсулирует это сообщение в виде сообщения RADIUS и отправляет его указанному RADIUS-серверу. RADIUS-сервер обрабатывает сообщение EAP и отправляет серверу удаленного доступа ответное сообщение EAP, инкапсулированное в виде сообщения RADIUS. Затем сервер удаленного доступа перенаправляет сообщение EAP клиенту удаленного доступа.