2020-01-14
127
Поскольку клиент удаленного доступа бесшовно подключается к сети и содержащимся в ней конфиденциальным данным, при удаленном доступе очень важно обеспечить должную защиту. Windows 2000 предусматривает самые разнообразные средства защиты, в том числе защищенную аутентификацию пользователей, взаимную аутентификацию (клиента и сервера), шифрование данных, ответный вызов и идентификацию звонящего.
Защищенная аутентификация пользователей
Защищенная аутентификация пользователей достигается за счет обмена удостоверениями (учетными данными) пользователей в шифрованном виде и поддерживается РРР в сочетании с одним из протоколов аутентификации: ЕАР (Extensible Authentication Protocol), MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) версий 1 и 2, CHAP (Challenge Handshake Authentication Protocol) или SPAP (Shiva Password Authentication Protocol). Сервер удаленного доступа можно настроить так, чтобы он требовал применения защищенной аутентификации. Если клиент удаленного доступа не в состоянии выполнить это требование, его запрос на соединение отклоняется.
|
|
|
Неаутентифицируемые соединения
Windows 2000 также поддерживает иеаутснтифицируемые РРР-соединения. При установлении таких соединений этап аутентификации пропускается. Ни клиент удаленного доступа, ни сервер удаленного доступа не обмениваются своими удостоверениями. К использованию неаутентифицируемых соединений следует относиться очень внимательно, так как они предоставляются без проверки идентификации удаленных клиентов.
Неаутентифицируемые соединения желательны в двух случаях:
1. При аутентификации на основе ANI/CLI (Automatic Number Identification/Calling Line Identification). В этом случае аутентификация осуществляется по номеру телефона клиента. ANI/CLI возвращает получателю вызова номер телефона клиента — такая услуга предоставляется большинством телефонных компаний. Аутентификация на основе ANI/CLI отличается от аутентификации по идентификатору звонящего. При аутентификации по идентификатору звонящего клиент передает имя и пароль пользователя. Идентификатор звонящего, который настраивается в параметрах входящих звонков в окне свойств учетной записи пользователя, должен совпадать с идентификатором, указываемым при попытке подключения; в ином случае попытка подключения игнорируется. А при аутентификации на основе ANI/CLI имя и пароль пользователя не применяются.
2. Аутентификация гостей. В качестве идентификации клиента используется учетная запись Guest (Гость).
LAN-протоколы
Это протоколы, используемые клиентом удаленного доступа для обращения к ресурсам в сети, к которой подключен сервер удаленного доступа. Средства удаленного доступа в Windows 2000 поддерживают TCP/IP, IPX, AppleTalk и NetBEUI.
|
|
|
TCP/IP
Для настройки ТСР/IP-клиента удаленного доступа в IPCP-процессе согласования сервер удаленного доступа назначает клиенту IP-адрес и сообщает IP-адреса DNS- и WINS-серверов.
Назначение IP-адреса
Чтобы выделить IP-адрес клиенту, сервер удаленного доступа использует либо DHCP (Dynamic Host Configuration Protocol), либо статический пул IP-адресов.
DHCP и автоматическое назначение частных IP-адресов
Если сервер удаленного доступа настроен на получение IP-адресов через DHCP, то DHCP-сервер выделяет службе маршрутизации и удаленного доступа 10 IP-адресов. Сервер удаленного доступа использует для интерфейса сервера RAS первый, полученный от DHCP адрес, а остальные адреса назначает по мере подключения новых ТСР/IР-клиентов удаленного доступа. Освобождающиеся при отключении клиентов IP-адреса используются повторно.
Если сконфигурирован статический пул IP-адресов, сервер удаленного доступа использует первый IP-адрес из первого диапазона адресов для интерфейса RAS-cepвера, а последующие адреса присваиваются по мере подключения новых TCP/IP-клиентов удаленного доступа. IP-адреса, освобожденные в результате отключения клиентов удаленного доступа, используются повторно.
ПРАКТИЧЕСКАЯ ЧАСТЬ
