Обзор технологий удаленного доступа и VPN

Технологии удаленного доступа (remote access) применяются для подключения удаленной сети или индивидуального удаленного клиента к сети организации.
Основными типами удаленного доступа (remote access types) являются доступ по коммутируемым каналам (dial-up) и виртуальные частные сети (Virtual Private Networks — VPN).

Доступ по коммутируемым каналам

Доступ по коммутируемым каналам (dial-up) — тип удаленного доступа, подразумевающий установление физического соединения между клиентским компьютером и портом сервера удаленного доступа. Для этого используются коммутируемые каналы связи — аналоговые, требующие применения модемов, или цифровые ISDN-линии, также требующие применения соответствующего оборудования. Главными недостатками этого метода являются медленная скорость передачи (до 56 Кбит по аналоговым линиям, 128 Кбит по цифровым ISDN-линиям) и высокая стоимость при междугородних соединениях.

Виртуальные частные сети

Виртуальные частные сети (Virtual Private Networks —VPN) позволяют создать защищенные соединения с использованием сетей общего доступа. Сети VPN называются виртуальными, поскольку не образованы физическими каналами связи, а используют для передачи существующие IP-сети, например Internet. При использовании VPN, внутренний (защищаемый)

Защищенность передаваемой информации обеспечивается за счет шифрования инкапсулированного пакета. Таким образом, при использовании VPN между устройствами, подключенными к общедоступной IP-сети, устанавливается шифрованный туннель. Преимущества этого метода доступа — более высокая скорость и низкая стоимость при реализации междугородних соединений.

Основные угрозы для удаленного доступа

• War dialing. Специальные программы-прозвонщики перебирают диапазон телефонных номеров, принадлежащих организации, с целью найти открытый или слабо защищенный сервер удаленного доступа.
• Подбор паролей для VPN-сервера. Злоумышленник может использовать программу, которая будет пытаться автоматически установить VPN-соединение, перебирая имена пользователей и пароли по словарю.
• Угроза утечки конфиденциальной информации при использовании слабых криптоалгоритмов VPN.
• При использовании сотрудниками домашних компьютеров для удаленного доступа к корпоративной сети, атака на эту сеть может быть произведена через домашний компьютер, поскольку он часто слабо защищен.
• Возможное  наличие  на общедоступных компьютерах,  которые  могут  использоваться  для удаленного доступа, программ-регистраторов нажатий клавиатуры (keyloggers).
• DoS-атаки на серверы удаленного доступа,
• Угрозы, связанные с уязвимостями ПО сервера удаленного доступа (например, атаки переполнения буфера)

Планирование стратегии удаленного доступа

При выборе сервера для удаленного доступа следует обратить внимание на его аппаратное обеспечение. Наиболее загруженным компонентом RAS-сервера обычно является процессор, так как в случае VPN требуется производить шифрование больших объемов данных. Загрузка процессора будет зависеть от пропускной способности канала в Internet, а также от выбранного алгоритма шифрования и длины ключа. В том случае, если планируется использование IPSec, можно рассмотреть вариант приобретения сетевого адаптера с аппаратной поддержкой IPsec для разгрузки процессора.

Аутентификация удаленного доступа

Служба Microsoft Routing and Remote Access поддерживает различные протоколы для аутентификации как VPN-клиентов, так и клиентов, подключающихся по коммутируемым каналам. В таблице 12.1 приведены протоколы аутентификации и их отличительные характеристики.

Для защиты аутентификации удаленного доступа можно также применять следующие дополнительные меры:
Использовать обратный вызов (Callback). Обратный вызов работает следующим образом:
1.  Администратор сервера удаленного доступа настраивает для каждой учетной записи пользователя    телефонный номер для обратного вызова. Это делается с помощью
административного средства Active Directory Users and Computers в свойствах учетной записи на закладке Dial-In.
2. При подключении клиента по коммутируемому каналу сервер удаленного доступа проверяет имя и пароль клиента. Если имя и пароль клиента проверены успешно, то сервер удаленного доступа разрывает соединение и «набирает номер», который был задан в свойствах учетной записи пользователя.
Использовать блокировку учетных записей (КВ816118 HOWTO Configure Remote Access Client Account Lockout in Windows Server 2003). Эта блокировка влияет только на аутентификацию удаленного доступа и отличается от блокировки учетных записей Active Directory.

1. Не кэшировать на клиентских машинах пароли для входа на RAS/VPN Server.
2. Принудительно запретить использование устаревших методов аутентификации с помощью настроек RAS/VPN сервера (Remote access policy — Profile) и клиентов.
3. Использовать сложные, не словарные пароли.

VPN-протоколы

Point-to-point Tunneling protocol (РРТР) — протокол, предложенный компаний "Microsoft для создания виртуальных частных сетей (VPN). РРТР описан в RFC 2637. Благодаря включению поддержки этого протокола во все операционные системы Windows, начиная с Windows 95, этот протокол получил широкое распространение. Протокол РРТР использует два соединения — управляющее соединение (control connection) и соединение для передачи данных.
Управляющее соединение используется для создания туннеля, аутентификации и согласования параметров туннеля, а также для закрытия туннеля. Управляющее соединение использует порт 1723 TCP.

Для реализации самого туннеля используется модифицированная версия протокола Generic Routing Encapsulation (IP-протокол номер 47), предназначенного для инкапсуляции различных протоколов в IP-пакеты. Протокол GRE описан в RFC

протокол РРТР может передавать трафик многих протоколов Сетевого уровня внутри одного туннеля за счет инкапсуляции кадра РРР во «внешний» IP-пакет с помощью протокола GRE. Сам по себе протокол РРТР, согласно RFC 2637, не определяет механизм шифрования инкапсулированного кадра РРР, но в реализации Microsoft используется протокол Microsoft Point-to-Point Encryption (МРРЕ), который в свою очередь использует алгоритм симметричного шифрования RC4 с длинами ключей 40, 56 или 128 бит. Для того чтобы протокол МРРЕ мог согласовать общий ключ и обеспечить защиту инкапсулированного РРР-кадра, необходимо использовать в качестве протокола аутентификации MS-CHAP или ЕАР.

Layer 2 Tunneling Protocol (L2TP)

Layer 2 Tunneling Protocol (L2TP) — еще один протокол, предназначенный для создания виртуальных частных сетей (VPN). L2TP описан в RFC 2661 и в отличие от РРТР является стандартным Internet-протоколом. L2TP описывает метод

Таким образом, промежуточные устройства, например маршрутизаторы в Internet, не могут отличить протокол L2TP от любого другого трафика, защищенного IPSec.