Средства защиты системы удаленного доступа Microsoft
Взаимная проверка подлинности
Взаимная проверка подлинности достигается путем проверки подлинности обеих сторон подключения, выполняющих шифрованный обмен учетными данными. Для PPP-подключений возможно использование протоколов проверки подлинности EAP-TLS или MS-CHAP v2. В процессе взаимной проверки подлинности клиент удаленного доступа предоставляет свои учетные данные серверу удаленного доступа для проверки, и наоборот.
Сервер удаленного доступа может и не предоставлять доказательств своей подлинности клиенту удаленного доступа. Однако, в случае, если клиент удаленного доступа под управлением Windows 2000 использует MS-CHAP v2 или EAP-TLS в качестве единственного способа проверки подлинности, он будет требовать обязательного выполнения взаимной проверки подлинности. Если сервер удаленного доступа не отвечает на запрос проверки подлинности, клиент разрывает соединение.
Шифрование данных
Механизмы шифрования обеспечивают шифрование данных, передаваемых между клиентом и сервером удаленного доступа. С помощью этих механизмов шифруются только данные в канале между клиентом и сервером удаленного доступа. Если требуется обеспечить шифрование для конечных точек, используйте IPSec: после того, как подключение удаленного доступа установлено, IPSec обеспечивает канальное шифрование.
Шифрование данных подключения удаленного доступа основано на использовании секретных ключей шифрования, известных клиенту и серверу удаленного доступа. Ключ шифрования генерируется во время процесса проверки подлинности подключения. Сервер удаленного доступа может требовать обязательного использования шифрования данных. Если клиент удаленного доступа не может выполнить требуемое шифрование данных, попытка подключения отклоняется.
Существует две технологии шифрования данных подключений удаленного доступа:
- Шифрование MPPE (Microsoft Point-to-Point Encryption)
Шифрование по методу MPPE использует алгоритм RSA (Rivest-Shamir-Adleman) и представляет собой поточный шифр (шифрование с открытым ключом) RC4 с 40-, 56- либо 128-разрядными ключами шифрования. MPPE поддерживается клиентами удаленного доступа на базе протокола PPP и VPN-клиентами и VPN-серверами удаленного доступа на базе протокола PPTP под управлением ОС Windows XP, Windows 2000, Windows NT 4.0, Windows Millennium Edition и Windows 98. Ключи шифрования MPPE генерируются в процессе проверки подлинности по протоколу MS-CHAP, MS-CHAP v2 или EAP-TLS.
- Шифрование DES (Data Encryption Standard) и 3DES (Triple DES)
Шифрование DES и 3DES представляет собой блочный шифр (шифрование с закрытым ключом) с одним (DES) либо тремя (3DES) 56-разрядными ключами шифрования. Этот метод шифрования поддерживается VPN-клиентами и VPN-серверами на базе протокола L2TP/IPSec под управлением ОС Windows XP и Windows 2000. Ключи шифрования DES генерируются в процессе проверки подлинности по протоколу IPSec.
Код вызова
Код вызова (Caller-ID) может использоваться для проверки того, что входящий вызов поступил с определенного телефонного номера. Код вызова является одним из параметров свойств удаленного подключения учетной записи пользователя. Если код (ID) вызова входящего подключения, производимого определенным пользователем, не совпадает с указанным для этого пользователя кодом вызова, попытка подключения отклоняется.
Для использования функции Caller-ID необходимо, чтобы телефонные линии вызывающей и принимающей сторон, телефонная система и драйвер операционной системы Windows 2000 для оборудования удаленного доступа поддерживали эту функцию. Если для учетной записи пользователя задан код (ID) вызова входящего подключения, и он не передается вызывающим абонентом службе маршрутизации и удаленного доступа (Routing and Remote Access service), подключение отклоняется.
Функция Caller-ID разработана для повышения безопасности сетей с поддержкой дистанционных пользователей. Недостатком использования этой функции является то, что пользователь может производить подключение только с одной заранее определенной телефонной линии.