воскресенье, 12 июня 2011 г.

Как обеспечить безопасность удаленного доступа

Продвижение неизбежно
Друзья, в связи стем, что у меня в интернете стали возникать определенного вида проблемы с моей ОС Windowz7( неоднократно срывали пароли на некоторых аккаунтах), решил поискать статьи на "заданную тему". Вот нашел одну на приличном сайте. Привожу ее целиком. Может быть кому-то тоже пригодиться.

хакеры

Обзор технологий удаленного доступа и VPN

Технологии удаленного доступа (remote access) применяются для подключения удаленной сети или индивидуального удаленного клиента к сети организации.
Основными типами удаленного доступа (remote access types) являются доступ по коммутируемым каналам (dial-up) и виртуальные частные сети (Virtual Private Networks — VPN).
Читать далее

Доступ по коммутируемым каналам

Доступ по коммутируемым каналам (dial-up) — тип удаленного доступа, подразумевающий установление физического соединения между клиентским компьютером и портом сервера удаленного доступа. Для этого используются коммутируемые каналы связи — аналоговые, требующие применения модемов, или цифровые ISDN-линии, также требующие применения соответствующего оборудования. Главными недостатками этого метода являются медленная скорость передачи (до 56 Кбит по аналоговым линиям, 128 Кбит по цифровым ISDN-линиям) и высокая стоимость при междугородних соединениях.

Виртуальные частные сети

Виртуальные частные сети (Virtual Private Networks —VPN) позволяют создать защищенные соединения с использованием сетей общего доступа. Сети VPN называются виртуальными, поскольку не образованы физическими каналами связи, а используют для передачи существующие IP-сети, например Internet. При использовании VPN, внутренний (защищаемый)
Защищенность передаваемой информации обеспечивается за счет шифрования инкапсулированного пакета. Таким образом, при использовании VPN между устройствами, подключенными к общедоступной IP-сети, устанавливается шифрованный туннель. Преимущества этого метода доступа — более высокая скорость и низкая стоимость при реализации междугородних соединений.

Основные угрозы для удаленного доступа

  • War dialing. Специальные программы-прозвонщики перебирают диапазон телефонных номеров, принадлежащих организации, с целью найти открытый или слабо защищенный сервер удаленного доступа.
  • Подбор паролей для VPN-сервера. Злоумышленник может использовать программу, которая будет пытаться автоматически установить VPN-соединение, перебирая имена пользователей и пароли по словарю.
  • Угроза утечки конфиденциальной информации при использовании слабых криптоалгоритмов VPN.
  • При использовании сотрудниками домашних компьютеров для удаленного доступа к корпоративной сети, атака на эту сеть может быть произведена через домашний компьютер, поскольку он часто слабо защищен.
  • Возможное  наличие  на общедоступных компьютерах,  которые  могут  использоваться  для удаленного доступа, программ-регистраторов нажатий клавиатуры (keyloggers).
  • DoS-атаки на серверы удаленного доступа,
  • Угрозы, связанные с уязвимостями ПО сервера удаленного доступа (например, атаки переполнения буфера)

Планирование стратегии удаленного доступа

При выборе сервера для удаленного доступа следует обратить внимание на его аппаратное обеспечение. Наиболее загруженным компонентом RAS-сервера обычно является процессор, так как в случае VPN требуется производить шифрование больших объемов данных. Загрузка процессора будет зависеть от пропускной способности канала в Internet, а также от выбранного алгоритма шифрования и длины ключа. В том случае, если планируется использование IPSec, можно рассмотреть вариант приобретения сетевого адаптера с аппаратной поддержкой IPsec для разгрузки процессора.

 Аутентификация удаленного доступа

Служба Microsoft Routing and Remote Access поддерживает различные протоколы для аутентификации как VPN-клиентов, так и клиентов, подключающихся по коммутируемым каналам. В таблице 12.1 приведены протоколы аутентификации и их отличительные характеристики.
Протоколы аутентификации, поддерживаемые в Windows Server 2003 RRAS.
Протокол Описание Сценарий применения ОС, поддерживающие данный протокол
PAP Незащищенный протокол, имя и пароль передаются в открытом виде. Применяется, если другие протоколы использовать невозможно Windows NT 4.0, Windows 98 и выше, Unix/Linux и др. ОС.
SPAP Протокол компании Shiva. Применяется для подключения клиентов Shiva к RRAS. Windows      NT      4.0, Windows 98 и выше.
CHAP Распространенный и защищенный протокол, использует механизм challenge-response и алгоритм хэширования MD5. Из-за особенностей поддержки этого протокола в RRAS, используется, в основном, для Unix-клиентов (КВ254172). Windows      NT     4.0, Windows  98   и  выше, Unix/Linux и др. ОС.
MS-CHAP Защищенный протокол, практически аналогичный CHAP, но учитывающий особенности хранения паролей в Windows. Применяется для аутентификации Windows-клиентов. Рекомендуется отключать его, если все клиенты поддерживают MS-CHAP v2. Windows      NT     4.0, Windows 98 и выше.
MS-CHAP v2 Наиболее защищенный протокол, поддерживает двустороннюю аутентификацию. Использует механизм challenge-response. Рекомендуемый протокол для аутентификации Windows-клиентов. Windows NT 4.0 SP4, Windows 98 SPI и выше.
EAP-TLS Защищенный протокол, применяемый для аутентификации клиентов с использованием смарт-карт и сертификатов. Windows 2000 и выше.
Для защиты аутентификации удаленного доступа можно также применять следующие дополнительные меры:
Использовать обратный вызов (Callback). Обратный вызов работает следующим образом:
1.  Администратор сервера удаленного доступа настраивает для каждой учетной записи пользователя    телефонный номер для обратного вызова. Это делается с помощью
административного средства Active Directory Users and Computers в свойствах учетной записи на закладке Dial-In.
2. При подключении клиента по коммутируемому каналу сервер удаленного доступа проверяет имя и пароль клиента. Если имя и пароль клиента проверены успешно, то сервер удаленного доступа разрывает соединение и «набирает номер», который был задан в свойствах учетной записи пользователя.
Использовать блокировку учетных записей (КВ816118 HOWTO Configure Remote Access Client Account Lockout in Windows Server 2003). Эта блокировка влияет только на аутентификацию удаленного доступа и отличается от блокировки учетных записей Active Directory.
  1. Не кэшировать на клиентских машинах пароли для входа на RAS/VPN Server.
  2. Принудительно запретить использование устаревших методов аутентификации с помощью настроек RAS/VPN сервера (Remote access policy — Profile) и клиентов.
  3. Использовать сложные, не словарные пароли.

VPN-протоколы


Point-to-point Tunneling protocol (РРТР) — протокол, предложенный компаний "Microsoft для создания виртуальных частных сетей (VPN). РРТР описан в RFC 2637. Благодаря включению поддержки этого протокола во все операционные системы Windows, начиная с Windows 95, этот протокол получил широкое распространение. Протокол РРТР использует два соединения — управляющее соединение (control connection) и соединение для передачи данных.
Управляющее соединение используется для создания туннеля, аутентификации и согласования параметров туннеля, а также для закрытия туннеля. Управляющее соединение использует порт 1723 TCP.
Для реализации самого туннеля используется модифицированная версия протокола Generic Routing Encapsulation (IP-протокол номер 47), предназначенного для инкапсуляции различных протоколов в IP-пакеты. Протокол GRE описан в RFC
протокол РРТР может передавать трафик многих протоколов Сетевого уровня внутри одного туннеля за счет инкапсуляции кадра РРР во «внешний» IP-пакет с помощью протокола GRE. Сам по себе протокол РРТР, согласно RFC 2637, не определяет механизм шифрования инкапсулированного кадра РРР, но в реализации Microsoft используется протокол Microsoft Point-to-Point Encryption (МРРЕ), который в свою очередь использует алгоритм симметричного шифрования RC4 с длинами ключей 40, 56 или 128 бит. Для того чтобы протокол МРРЕ мог согласовать общий ключ и обеспечить защиту инкапсулированного РРР-кадра, необходимо использовать в качестве протокола аутентификации MS-CHAP или ЕАР.

Layer 2 Tunneling Protocol (L2TP)




РРР Payload
UDP L2TP РРР
(IP Datagram,
Header Header Head er
IPX Datagram,



NetBEUI Frame)

Layer 2 Tunneling Protocol (L2TP) — еще один протокол, предназначенный для создания виртуальных частных сетей (VPN). L2TP описан в RFC 2661 и в отличие от РРТР является стандартным Internet-протоколом. L2TP описывает метод
Таким образом, промежуточные устройства, например маршрутизаторы в Internet, не могут отличить протокол L2TP от любого другого трафика, защищенного IPSec.
 
Для тех кто заинтересован в хорошей безопасности своих ресурсов и интересуется технологиями удаленного доступа, пройдите на сайт, где можно глубже ознакомиться с этими вопросами: windows


Газовая варочная панель Siemens EP 616HB20E. Газовая варочная панель Siemens ER 626PB90R.

Понравился блог - подпишись на обновления!

Введите Ваш emai-адрес:

Популярные сообщения

Related Posts Plugin for WordPress, Blogger...