Продвижение неизбежно
Друзья, в связи стем, что у меня в интернете стали возникать определенного вида проблемы с моей ОС Windowz7( неоднократно срывали пароли на некоторых аккаунтах), решил поискать статьи на "заданную тему". Вот нашел одну на приличном сайте. Привожу ее целиком. Может быть кому-то тоже пригодиться.
Основными типами удаленного доступа (remote access types) являются доступ по коммутируемым каналам (dial-up) и виртуальные частные сети (Virtual Private Networks — VPN).
Читать далее
Защищенность передаваемой информации обеспечивается за счет шифрования инкапсулированного пакета. Таким образом, при использовании VPN между устройствами, подключенными к общедоступной IP-сети, устанавливается шифрованный туннель. Преимущества этого метода доступа — более высокая скорость и низкая стоимость при реализации междугородних соединений.
Аутентификация удаленного доступа
Служба Microsoft Routing and Remote Access поддерживает различные протоколы для аутентификации как VPN-клиентов, так и клиентов, подключающихся по коммутируемым каналам. В таблице 12.1 приведены протоколы аутентификации и их отличительные характеристики.
Для защиты аутентификации удаленного доступа можно также применять следующие дополнительные меры:
Использовать обратный вызов (Callback). Обратный вызов работает следующим образом:
1. Администратор сервера удаленного доступа настраивает для каждой учетной записи пользователя телефонный номер для обратного вызова. Это делается с помощью
административного средства Active Directory Users and Computers в свойствах учетной записи на закладке Dial-In.
2. При подключении клиента по коммутируемому каналу сервер удаленного доступа проверяет имя и пароль клиента. Если имя и пароль клиента проверены успешно, то сервер удаленного доступа разрывает соединение и «набирает номер», который был задан в свойствах учетной записи пользователя.
Использовать блокировку учетных записей (КВ816118 HOWTO Configure Remote Access Client Account Lockout in Windows Server 2003). Эта блокировка влияет только на аутентификацию удаленного доступа и отличается от блокировки учетных записей Active Directory.
Point-to-point Tunneling protocol (РРТР) — протокол, предложенный компаний "Microsoft для создания виртуальных частных сетей (VPN). РРТР описан в RFC 2637. Благодаря включению поддержки этого протокола во все операционные системы Windows, начиная с Windows 95, этот протокол получил широкое распространение. Протокол РРТР использует два соединения — управляющее соединение (control connection) и соединение для передачи данных.
Управляющее соединение используется для создания туннеля, аутентификации и согласования параметров туннеля, а также для закрытия туннеля. Управляющее соединение использует порт 1723 TCP.
Для реализации самого туннеля используется модифицированная версия протокола Generic Routing Encapsulation (IP-протокол номер 47), предназначенного для инкапсуляции различных протоколов в IP-пакеты. Протокол GRE описан в RFC
протокол РРТР может передавать трафик многих протоколов Сетевого уровня внутри одного туннеля за счет инкапсуляции кадра РРР во «внешний» IP-пакет с помощью протокола GRE. Сам по себе протокол РРТР, согласно RFC 2637, не определяет механизм шифрования инкапсулированного кадра РРР, но в реализации Microsoft используется протокол Microsoft Point-to-Point Encryption (МРРЕ), который в свою очередь использует алгоритм симметричного шифрования RC4 с длинами ключей 40, 56 или 128 бит. Для того чтобы протокол МРРЕ мог согласовать общий ключ и обеспечить защиту инкапсулированного РРР-кадра, необходимо использовать в качестве протокола аутентификации MS-CHAP или ЕАР.
Layer 2 Tunneling Protocol (L2TP) — еще один протокол, предназначенный для создания виртуальных частных сетей (VPN). L2TP описан в RFC 2661 и в отличие от РРТР является стандартным Internet-протоколом. L2TP описывает метод
Таким образом, промежуточные устройства, например маршрутизаторы в Internet, не могут отличить протокол L2TP от любого другого трафика, защищенного IPSec.
Для тех кто заинтересован в хорошей безопасности своих ресурсов и интересуется технологиями удаленного доступа, пройдите на сайт, где можно глубже ознакомиться с этими вопросами: windows  |
| хакеры |
Обзор технологий удаленного доступа и VPN
Технологии удаленного доступа (remote access) применяются для подключения удаленной сети или индивидуального удаленного клиента к сети организации.Основными типами удаленного доступа (remote access types) являются доступ по коммутируемым каналам (dial-up) и виртуальные частные сети (Virtual Private Networks — VPN).
Читать далее
Доступ по коммутируемым каналам
Доступ по коммутируемым каналам (dial-up) — тип удаленного доступа, подразумевающий установление физического соединения между клиентским компьютером и портом сервера удаленного доступа. Для этого используются коммутируемые каналы связи — аналоговые, требующие применения модемов, или цифровые ISDN-линии, также требующие применения соответствующего оборудования. Главными недостатками этого метода являются медленная скорость передачи (до 56 Кбит по аналоговым линиям, 128 Кбит по цифровым ISDN-линиям) и высокая стоимость при междугородних соединениях.Виртуальные частные сети
Виртуальные частные сети (Virtual Private Networks —VPN) позволяют создать защищенные соединения с использованием сетей общего доступа. Сети VPN называются виртуальными, поскольку не образованы физическими каналами связи, а используют для передачи существующие IP-сети, например Internet. При использовании VPN, внутренний (защищаемый)Защищенность передаваемой информации обеспечивается за счет шифрования инкапсулированного пакета. Таким образом, при использовании VPN между устройствами, подключенными к общедоступной IP-сети, устанавливается шифрованный туннель. Преимущества этого метода доступа — более высокая скорость и низкая стоимость при реализации междугородних соединений.
Основные угрозы для удаленного доступа
- War dialing. Специальные программы-прозвонщики перебирают диапазон телефонных номеров, принадлежащих организации, с целью найти открытый или слабо защищенный сервер удаленного доступа.
- Подбор паролей для VPN-сервера. Злоумышленник может использовать программу, которая будет пытаться автоматически установить VPN-соединение, перебирая имена пользователей и пароли по словарю.
- Угроза утечки конфиденциальной информации при использовании слабых криптоалгоритмов VPN.
- При использовании сотрудниками домашних компьютеров для удаленного доступа к корпоративной сети, атака на эту сеть может быть произведена через домашний компьютер, поскольку он часто слабо защищен.
- Возможное наличие на общедоступных компьютерах, которые могут использоваться для удаленного доступа, программ-регистраторов нажатий клавиатуры (keyloggers).
- DoS-атаки на серверы удаленного доступа,
- Угрозы, связанные с уязвимостями ПО сервера удаленного доступа (например, атаки переполнения буфера)
Планирование стратегии удаленного доступа
При выборе сервера для удаленного доступа следует обратить внимание на его аппаратное обеспечение. Наиболее загруженным компонентом RAS-сервера обычно является процессор, так как в случае VPN требуется производить шифрование больших объемов данных. Загрузка процессора будет зависеть от пропускной способности канала в Internet, а также от выбранного алгоритма шифрования и длины ключа. В том случае, если планируется использование IPSec, можно рассмотреть вариант приобретения сетевого адаптера с аппаратной поддержкой IPsec для разгрузки процессора.Аутентификация удаленного доступа
Служба Microsoft Routing and Remote Access поддерживает различные протоколы для аутентификации как VPN-клиентов, так и клиентов, подключающихся по коммутируемым каналам. В таблице 12.1 приведены протоколы аутентификации и их отличительные характеристики.
Протоколы аутентификации, поддерживаемые в Windows Server 2003 RRAS.
| Протокол | Описание | Сценарий применения | ОС, поддерживающие данный протокол |
| PAP | Незащищенный протокол, имя и пароль передаются в открытом виде. | Применяется, если другие протоколы использовать невозможно | Windows NT 4.0, Windows 98 и выше, Unix/Linux и др. ОС. |
| SPAP | Протокол компании Shiva. | Применяется для подключения клиентов Shiva к RRAS. | Windows NT 4.0, Windows 98 и выше. |
| CHAP | Распространенный и защищенный протокол, использует механизм challenge-response и алгоритм хэширования MD5. | Из-за особенностей поддержки этого протокола в RRAS, используется, в основном, для Unix-клиентов (КВ254172). | Windows NT 4.0, Windows 98 и выше, Unix/Linux и др. ОС. |
| MS-CHAP | Защищенный протокол, практически аналогичный CHAP, но учитывающий особенности хранения паролей в Windows. | Применяется для аутентификации Windows-клиентов. Рекомендуется отключать его, если все клиенты поддерживают MS-CHAP v2. | Windows NT 4.0, Windows 98 и выше. |
| MS-CHAP v2 | Наиболее защищенный протокол, поддерживает двустороннюю аутентификацию. Использует механизм challenge-response. | Рекомендуемый протокол для аутентификации Windows-клиентов. | Windows NT 4.0 SP4, Windows 98 SPI и выше. |
| EAP-TLS | Защищенный протокол, применяемый для аутентификации клиентов с использованием смарт-карт и сертификатов. | Windows 2000 и выше. | |
Использовать обратный вызов (Callback). Обратный вызов работает следующим образом:
1. Администратор сервера удаленного доступа настраивает для каждой учетной записи пользователя телефонный номер для обратного вызова. Это делается с помощью
административного средства Active Directory Users and Computers в свойствах учетной записи на закладке Dial-In.
2. При подключении клиента по коммутируемому каналу сервер удаленного доступа проверяет имя и пароль клиента. Если имя и пароль клиента проверены успешно, то сервер удаленного доступа разрывает соединение и «набирает номер», который был задан в свойствах учетной записи пользователя.
Использовать блокировку учетных записей (КВ816118 HOWTO Configure Remote Access Client Account Lockout in Windows Server 2003). Эта блокировка влияет только на аутентификацию удаленного доступа и отличается от блокировки учетных записей Active Directory.
- Не кэшировать на клиентских машинах пароли для входа на RAS/VPN Server.
- Принудительно запретить использование устаревших методов аутентификации с помощью настроек RAS/VPN сервера (Remote access policy — Profile) и клиентов.
- Использовать сложные, не словарные пароли.
VPN-протоколы
Point-to-point Tunneling protocol (РРТР) — протокол, предложенный компаний "Microsoft для создания виртуальных частных сетей (VPN). РРТР описан в RFC 2637. Благодаря включению поддержки этого протокола во все операционные системы Windows, начиная с Windows 95, этот протокол получил широкое распространение. Протокол РРТР использует два соединения — управляющее соединение (control connection) и соединение для передачи данных.
Управляющее соединение используется для создания туннеля, аутентификации и согласования параметров туннеля, а также для закрытия туннеля. Управляющее соединение использует порт 1723 TCP.
Для реализации самого туннеля используется модифицированная версия протокола Generic Routing Encapsulation (IP-протокол номер 47), предназначенного для инкапсуляции различных протоколов в IP-пакеты. Протокол GRE описан в RFC
протокол РРТР может передавать трафик многих протоколов Сетевого уровня внутри одного туннеля за счет инкапсуляции кадра РРР во «внешний» IP-пакет с помощью протокола GRE. Сам по себе протокол РРТР, согласно RFC 2637, не определяет механизм шифрования инкапсулированного кадра РРР, но в реализации Microsoft используется протокол Microsoft Point-to-Point Encryption (МРРЕ), который в свою очередь использует алгоритм симметричного шифрования RC4 с длинами ключей 40, 56 или 128 бит. Для того чтобы протокол МРРЕ мог согласовать общий ключ и обеспечить защиту инкапсулированного РРР-кадра, необходимо использовать в качестве протокола аутентификации MS-CHAP или ЕАР.
Layer 2 Tunneling Protocol (L2TP)
РРР Payload | |||
| UDP | L2TP | РРР | (IP Datagram, |
| Header | Header | Head er | IPX Datagram, |
NetBEUI Frame) |
Layer 2 Tunneling Protocol (L2TP) — еще один протокол, предназначенный для создания виртуальных частных сетей (VPN). L2TP описан в RFC 2661 и в отличие от РРТР является стандартным Internet-протоколом. L2TP описывает метод
Таким образом, промежуточные устройства, например маршрутизаторы в Internet, не могут отличить протокол L2TP от любого другого трафика, защищенного IPSec.
Газовая варочная панель Siemens EP 616HB20E. Газовая варочная панель Siemens ER 626PB90R.
Комментариев нет:
Отправить комментарий