Защита подключений удаленного доступа

Опубликовано: 14 Апреля, 2023
Защита подключений удаленного доступа

Сегодня многие компании наслаждаются экономией средств, позволяющей некоторым сотрудникам работать из дома, в то время как эти сотрудники выигрывают от удобства удаленной работы. Кроме того, руководители, продавцы и другие лица должны подключаться к сети компании, когда они находятся в пути, и/или получать доступ к сетевым ресурсам по вечерам или в выходные дни из дома.
Все это приводит к большому количеству подключений удаленного доступа к сети организации. Эти соединения могут быть установлены по телефонным линиям путем прямого подключения к серверу удаленного доступа в сети, или они могут быть установлены через виртуальную частную сеть (VPN) с использованием Интернета для «туннелирования» в корпоративную сеть. В любом случае безопасность всегда является проблемой, когда к сети подключаются люди извне, потому что у вас меньше контроля над внешними компьютерами.
Однако есть ряд вещей, которые вы можете сделать, чтобы сделать подключения удаленного доступа более безопасными. В этой статье мы обсудим, как не допустить, чтобы удаленные подключения создавали кошмар безопасности в вашей сети.

Оценка потребностей в удаленном подключении

Первым шагом в обеспечении безопасного удаленного доступа является тщательная оценка потребности сотрудников в удаленном подключении и предоставление доступа для каждого пользователя только тем, у кого есть реальная потребность в удаленном доступе к сети. Всегда имейте в виду, что, если не установлены ограничения, пользователь, подключающийся к локальной сети через удаленный доступ, может делать все, что он/она может делать с локального компьютера.
В домене Windows 2000 вы можете установить свойства пользователя, разрешающие или запрещающие удаленный доступ, или управлять доступом с помощью политик удаленного доступа (которые мы обсудим более подробно позже). Чтобы настроить свойства пользователя для разрешения телефонного или VPN-доступа, настройте лист свойств для каждой учетной записи пользователя на вкладке «Коммутируемый доступ» (доступ из MMC «Пользователи и компьютеры Active Directory»), как показано на рисунке A.

Изображение 26248
Рисунок A:

Вы также можете обеспечить лучшую безопасность для пользователей, которые работают дома или в другом стационарном месте, внедрив проверку идентификатора вызывающего абонента или настроив безопасность обратного вызова. Чтобы использовать первый, установите флажок «Подтвердить идентификатор вызывающего абонента» и укажите номер телефона, с которого пользователь должен набирать номер. Чтобы использовать второй, установите флажок «Всегда перезванивать» и введите номер телефона, с которого будет подключаться удаленный пользователь. Сервер повесит трубку и перезвонит пользователю по этому номеру. В любом случае, если неавторизованному пользователю удастся узнать пароль легитимного пользователя, он/она все равно не сможет получить удаленный доступ к сети, если не будет делать это из местоположения легитимного пользователя.
Хотя эти две функции выполняют одни и те же задачи безопасности, существует пара ситуаций, в которых вы можете использовать обратный вызов вместо проверки идентификатора вызывающего абонента: 1) когда телефонные системы вызывающего абонента или сервера не поддерживают идентификатор вызывающего абонента и 2) когда удаленный пользователь звонит издалека, и вы хотите, чтобы сервер перезвонил, чтобы компания оплатила телефонные расходы за сеанс.
После оценки того, кому нужен удаленный доступ, определите, разрешаете ли вы удаленным пользователям подключаться по телефону, подключаться через VPN или и то, и другое. Преимущество коммутируемого соединения в безопасности состоит в том, что оно представляет собой прямое соединение между пользователем и коммутируемым сервером, поэтому никакая информация не передается через общедоступный Интернет. VPN используют шифрование для защиты конфиденциальности информации, которая проходит через общедоступную сеть, и обеспечивают «частный» аспект. Политики, которые вы устанавливаете при реализации своего коммутируемого сервера или VPN-сервера, в значительной степени определяют уровень безопасности.

Что касается VPN-соединений, вам следует рассмотреть протоколы, которые будет поддерживать ваш VPN-сервер. Туннелирование L2TP с шифрованием IPSec более безопасно, чем PPTP (который использует MPPE для шифрования); однако не все клиенты могут использовать L2TP. Если все ваши клиенты удаленного доступа используют Windows 2000 или XP (как и должно быть для лучшей безопасности), ваши политики могут указывать только подключения L2TP VPN. Если у вас есть клиенты Windows 9x, вам, возможно, придется разрешить соединения PPTP.

Аутентификация

Одним из самых важных аспектов безопасности является то, как будут аутентифицироваться удаленные клиенты. Аутентификация, конечно же, включает в себя проверку личности клиентского компьютера или пользователя. Протоколы аутентификации удаленного доступа не все одинаковы.
Windows поддерживает различные протоколы проверки подлинности удаленного доступа, начиная от PAP (протокол проверки подлинности по паролю), который передает пароли в виде обычного текста и не является безопасным, до сложных методов проверки подлинности, таких как EAP-RADIUS, использующий отдельный сервер проверки подлинности, или EAP. -TLS, требующий от пользователя предоставления смарт-карты с цифровым сертификатом.
По умолчанию PAP отключен на сервере удаленного доступа Windows 2000, и для лучшей безопасности следует использовать только строгую аутентификацию. Если вы используете MS-CHAP, используйте версию 2 и установите политики длины и сложности пароля, чтобы принудительно использовать надежные пароли.
Windows 2000/2003 также поддерживает использование хостов безопасности для удаленного доступа. Это устройство, которое находится между клиентом удаленного доступа и сервером удаленного доступа и обеспечивает дополнительную аутентификацию (в дополнение к аутентификации сервера RAS). Возможно, вам придется отредактировать файл modem.inf на сервере, чтобы связать хост безопасности с модемом сервера.

Политики безопасности удаленного доступа Windows

В отличие от NT, которая использовала только разрешения на удаленный доступ в свойствах пользователя для управления доступом, Windows 2000 и 2003 учитывают как свойства пользователя, так и политики удаленного доступа. Политики позволяют осуществлять детальный контроль. Вы можете предоставить удаленный доступ только в определенное время суток или в определенные дни недели. Вы можете предоставить VPN-доступ, но запретить коммутируемый доступ (или наоборот). Вы можете ограничить продолжительность каждого сеанса удаленного доступа, разрешить подключения только с указанными методами аутентификации и т. д.
Политики удаленного доступа можно настроить на сервере удаленного доступа, или можно управлять политиками для нескольких удаленных и VPN-серверов через сервер IAS (Internet Authentication Service). Чтобы установить политики на сервере удаленного доступа, вы используете MMC RRAS (доступ осуществляется из средств администрирования), как показано на рисунке B.

Изображение 26249
Рисунок B:

Использование шифрования для защиты коммутируемых подключений удаленного доступа

Безопасность подключений удаленного доступа можно повысить за счет шифрования данных, передаваемых по телефонным линиям. Есть несколько способов сделать это в Windows:

  • Используйте Microsoft Point-to-Point Encryption (MPPE) с проверкой подлинности MS-CHAP или EAP-TLS. Это называется шифрованием канала, поскольку данные шифруются только между маршрутизаторами (шлюзами), соединяющими две сети.
  • Используйте IPSec для шифрования данных на всем пути от компьютера-отправителя до компьютера-получателя. Это называется сквозным шифрованием.
    Чтобы зашифровать данные и настроить параметры шифрования, выберите политику удаленного доступа в дереве консоли RRAS, щелкните ее правой кнопкой мыши и выберите «Свойства». В поле свойств нажмите кнопку «Редактировать профиль» внизу, как показано на рисунке C.

Изображение 26250
Рисунок C.

В диалоговом окне «Редактировать профиль» щелкните вкладку «Шифрование» и проверьте уровни шифрования, разрешенные профилем, как показано на рисунке D.

Изображение 26251
Рисунок D.

Сняв флажок «Без шифрования », вы можете потребовать, чтобы соединения были зашифрованы.
Вы также можете установить разрешенные методы проверки подлинности для политики, щелкнув вкладку Проверка подлинности. Здесь вы можете настроить политику, чтобы разрешить, например, только проверку подлинности на основе смарт-карт или сертификатов. Как минимум, вы должны убедиться, что флажки с метками Unencrypted Authentication (PAP, SPAP) и Unauthenticated Access сняты, как показано на рисунке E.

Изображение 26252
Рисунок E.

Ограничения на телефонные соединения можно установить, щелкнув вкладку Ограничения на телефонные звонки. Здесь вы можете установить ограничения времени простоя, ограничить максимальное время сеанса или определить дни и время, когда разрешен удаленный доступ, как показано на рисунке F.

Изображение 26253
Рисунок F.

Вы также можете ограничить входящие соединения определенным телефонным номером и/или ограничить тип среды входящего соединения (например, ISDN, модем или VPN).

Резюме

Серверы Windows 2000 и 2003 могут работать как серверы удаленного доступа или VPN-серверы. Предоставление удаленного доступа может принести пользу как вашей организации, так и вашим сотрудникам, предоставляя им гибкий доступ к сети из дома или в дороге. Однако это создает особые риски для безопасности. Windows предоставляет несколько способов защиты подключений удаленного доступа, но вам необходимо ознакомиться с настройкой безопасности RAS, чтобы применить их на практике. В этой статье мы представили обзор некоторых вопросов безопасности, с которыми вы столкнетесь при настройке сервера удаленного доступа Windows.

здесь

ДЕБРА ЛИТТЛДЖОН ШИНДЕР, MCSE, является консультантом по технологиям, тренером и писателем, автором ряда книг по сетевым технологиям, в том числе , опубликованной Syngress, и », опубликованной Cisco Press. Вместе со своим мужем, доктором Томасом Шиндером, она является соавтором книг , бестселлеров и ». Деб также является техническим редактором и автором книг по таким предметам, как экзамен CompTIA Security+ и сертификация TruSecure ICSA. Она редактирует Brainbuzz A+ Hardware News и Sunbelt Software WinXP News и регулярно публикуется в TechProGuild TechRepublic. В настоящее время Деб специализируется на вопросах безопасности и продуктах Microsoft. Она живет и работает в районе Даллас-Форт-Уэрт, и с ней можно связаться по адресу [email protected] или через веб-сайт www.shinder.net.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023