- Удаленный доступ
- Dial-Up и RAS
- ISDN
- DSL
- Кабельные модемы
- VPN
- Протоколы туннелирования
- PPTP
- L2TP
- Протоколы аутентификации
- Рекомендации по удаленному доступу
Удаленный доступ включает в себя ряд технологий, которые позволяют удаленным и домашним пользователям подключаться к сети для получения доступа к сетевым ресурсам, необходимым им для выполнения своих задач. В большинстве случаев, подключение к удаленной сети производится через Интернет, поэтому эти пользователи должны сначала получить доступ в Интернет через своего местного провайдера.
Многим компаниям необходим удаленный доступ к ресурсам своей сети, поскольку это дает возможность их сотрудникам оперативно получать актуальную информацию, снижает расходы на создание и содержание сетей (поскольку для доступа используется сеть Интернет, а не дорогостоящие выделенные линии), кроме того это позволяет сотрудникам работать из дома или в дороге. Удаленный доступ может позволить использовать ресурсы и информацию посредством Интернет-соединения, что дает конкурентные преимущества, предоставляя партнерам, поставщикам и клиентам удобные соединения. Наиболее распространены такие методы удаленного подключения, как VPN, соединения Dial-Up, ISDN, кабельные модемы, а также соединения DSL.
Удаленный доступ обычно организуется посредством подключения к серверу удаленного доступа (RAS – Remote Access Server), который выступает в качестве шлюза и может быть конечной точкой сеанса PPP. Пользователи звонят на сервер RAS, который выполняет их аутентификацию, сопоставляя предоставленные ему пользователем учетные данные с хранящейся на нем базой учетных данных. Для аутентификации при удаленных подключениях обычно используется RADIUS, который рассматривается в Домене 02. Администратор может настроить несколько конфигураций, выполняющих различные действия при подключении удаленных пользователей к RAS. Обычно при подключении у пользователя запрашивается ввод имени и пароля, после чего сервер RAS перезванивает ему по заранее указанному телефонному номеру. Эта защитная мера направлена на обеспечение того, что только уполномоченные пользователи получают доступ к сети компании. Кроме того, эта мера позволяет перевести на компанию расходы по оплате телефонной связи. При этом, даже если злоумышленнику удастся получить действующие учетные данные для удаленного доступа, он вряд ли сможет ответить на звонок по заранее указанному телефонному номеру. Однако эта мера безопасности может быть скомпрометирована, если кто-то установит переадресацию вызовов.
Когда атакующие пытаются найти точку возможного входа в сеть, их целью часто являются системы удаленного доступа. Они знают, что многие компании используют модемный пул (или иной вариант точки доступа) для обеспечения возможности удаленного входа в сеть, при этом некоторые компании воображают, что их межсетевой экран, контролирующий интернет-трафик, каким-то магическим образом защищает удаленный доступ к их сети. Если компания не внедрила надлежащие средства контроля доступа к RAS, злоумышленники смогут без труда перемещаться по внутренней сети компании, не беспокоя ее межсетевой экран.
Часто атакующие используют методы сканирования модемов (wardialing) для выявления модемов удаленного доступа. Специальные программные средства последовательно набирают телефонные номера из заранее подготовленного атакующим списка, выявляя номера, с которых отвечают модемы. Эти программы журналируют информацию об успешных соединениях (обнаруженных модемах) и пытаются идентифицировать систему на другом конце телефонной линии. Некоторые из этих программ имеют также возможности для проведения атаки по словарю, в котором злоумышленники указывают часто используемые комбинации имен и паролей, в надежде получить доступ к сети. Сканирование модемов позволяет злоумышленнику обнаружить все модемы, предоставляющие удаленный доступ к сети. Далее злоумышленник пытается воспользоваться каждым обнаруженным модемом для получения доступа к сети. Незащищенные модемы (или любые другие технологии удаленного доступа) в инфраструктуре компании, как правило, значительно проще скомпрометировать, чем межсетевой экран.
Также в компаниях часто подключают модемы непосредственно к рабочим станциям. Сотрудники могут подключить их самостоятельно, либо ИТ-персонал может подключить их, а затем забыть об этом. Поэтому для компании важно самостоятельно периодически проводить сканирование модемов по своим телефонным номерам, чтобы убедиться в отсутствии несанкционированных модемов. Некоторые телефонные АТС имеют возможности для обнаружения сигналов модемов на аналоговой телефонной линии и ведения аудита/записи их использования. Эта функция может помочь в реализации соответствующего требования политики безопасности, запрещающего использование несанкционированно подключенных к сети (в т.ч. телефонной) устройств.
С точки зрения безопасности удаленного доступа, наиболее важны три правила:
- Все пользователи должны быть полностью аутентифицированы на оборудовании удаленного доступа перед началом его использования.
- Не должно допускаться использования скрытого или ненадлежащего доступа к коммуникационным каналам.
- После прохождения аутентификации, пользователи должны получать доступ только к тем сервисам, использование которых им разрешено, и ни к чему более.
ISDN (Integrated Services Digital Network - Цифровая сеть с интегрированными услугами) – это коммуникационный протокол, предоставляемый телефонными компаниями и провайдерами услуг. Этот протокол вместе с необходимым оборудованием позволяет передавать данные, голос и другие виды трафика в цифровом виде по каналам связи, которые ранее использовались только для аналоговой передачи голоса. Телефонные компании много лет назад перешли на цифровые технологии. Исключения составляют только местные линии связи, реализованные на базе медных проводов, которые соединят дома и здания различных организаций с центральным офисом провайдера услуг связи. В этих офисах установлено коммутационное оборудование, которое производит аналого-цифровое преобразование сигналов. Однако местные линии связи всегда аналоговые и, соответственно, более медленные. Изначально ISDN был разработан для замены устаревших аналоговых телефонных систем, но он до сих пор не достиг ожидаемого уровня распространения.
ISDN использует те же провода и среду передачи данных, что и аналоговые технологии Dial-Up, но он работает в цифровом виде. При использовании модема для связи с провайдером, модем преобразует данные из цифрового вида в аналоговый, для передачи через телефонную линию. Если компьютер имеет необходимое оборудование и настройки для работы ISDN, преобразовывать данные из цифрового вида в аналоговый не требуется, данные передаются в цифровом виде. Безусловно, при этом на другом конце требуется использование аналогичного оборудования для получения и правильной интерпретации такого вида коммуникаций. Передача информации в цифровом виде обеспечивает более высокую скорость и экономичность.
ISDN – это набор телекоммуникационных услуг, которые могут использоваться через общедоступные и частные телекоммуникационные сети. Он предоставляет цифровую среду «точка-точка» с коммутацией каналов и создает соединение между двумя взаимодействующими устройствами. Соединение ISDN может быть установлено по любому каналу, который может использоваться для работы модемов, при этом ISDN обеспечивает более широкую функциональность и высокую пропускной способность. Этот цифровой коммутируемый сервис может предоставлять полосу пропускания по требованию и может использоваться для соединения локальных сетей между собой без использования дорогих выделенных линий.
Как было отмечено ранее, аналоговые технологии используют для связи всю ширину канала, а ISDN может разбить этот канал на несколько подканалов для предоставления полнодуплексной связи, более высокого уровня контроля и обработки ошибок. ISDN предоставляет два основных домашних и корпоративных сервиса: BRI (Basic Rate Interface - Интерфейс базового уровня) и PRI (Primary Rate Interface - Интерфейс первичного уровня). BRI имеет два B-канала, которые позволяют передавать данные, и один D-канал, используемый для создания и управления соединением, контроля ошибок, идентификации вызывающего абонента и многого другого. Пропускная способность BRI позволяет достичь скорости 144 Кбит/с, тогда как скорость модема может достигать лишь 56 Кбит/с.
Канал D обеспечивает более быстрое создание и настройку соединения. На настройку соединения ISDN требуется лишь 2-5 секунд времени, тогда как при использовании модема это может занять до 45-90 секунд. Канал D – это внеполосное соединение между оборудованием местной линии связи и пользовательским терминалом. Это соединение является внеполосным, поскольку управляющие данные не смешиваются с пользовательскими данными. Это усложняет для злоумышленников задачу отправки оборудованию провайдера поддельных команд с целью проведения DoS-атаки, бесплатного получения услуги или выполнения иных деструктивных действий.
Служба BRI больше подходит для частного использования, а PRI, которая имеет 23 В канала и один D канал, более широко используются в организациях. ISDN, как правило, не является основным каналом связи для компаний, но он может быть использован в качестве резервного на случай неработоспособности основного канала. Также компания может выбрать его для реализации DDR-маршрутизации (Dial-on-demand routing - маршрутизация при предоставлении канала по требованию), которая может работать через ISDN. DDR позволяет компании отправлять данные WAN по существующим телефонным линиям и использовать публичные сети с коммутацией каналов в качестве временного решения для организации соединений WAN. Как правило, такой вариант используется компаниями, которым требуется отправлять лишь небольшой объем трафика WAN, при этом такой вариант гораздо дешевле полноценной реализации WAN. Соединение активизируется, когда оно необходимо, а после использования оно переходит в режим бездействия.
Реализации ISDN. ISDN разбивает телефонную линию на отдельные подканалы и передает данные в цифровом виде, а не в аналоговом. Используются три реализации ISDN:
- BRI ISDN. Эта реализация использует существующие медные каналы местных линий связи, она предоставляет каналы для передачи оцифрованного голоса и данных. Она использует два B-канала и один D-канал с общей пропускной способностью 144 Кбит/с. Как правило, эта реализация используется домашними пользователями.
- PRI ISDN. Эта реализация имеет до 23 B-канала и 1 D-канал, каждый канал имеет скорость 64 Кбит/с. Общая пропускная способность эквивалентна Т1 и составляет 1,544 Мбит/с. Это более приемлемо для компаний, поскольку им необходима более широкая полоса пропускания.
- Широкополосный ISDN (BISDN – Broadband ISDN). Эта реализация поддерживает одновременную работу нескольких различных служб, в основном она используется в телекоммуникационных магистралях оператора. При использовании BISDN в магистрали, технология ATM применяется для инкапсуляции данных на канальном уровне в ячейки, которые передаются через сеть SONET.
DSL (Digital Subscriber Line - Цифровая абонентская линия) является еще одним типом высокоскоростных технологий связи, она применяется для подключения домов или офисов компаний к центральному офису провайдера услуг. DSL может обеспечить скорость в 6-30 раз выше скорости ISDN и аналоговых технологий. DSL использует существующие телефонные линии, обеспечивая при этом возможность круглосуточного непрерывного подключения к Интернету. Это действительно звучит заманчиво, однако не все могут получить эту услугу, т.к. для ее использования нужно находиться не далее 4 километров от оборудования провайдера услуг DSL. При увеличении расстояния скорость передачи данных по DSL снижается.
DSL является технологией широкополосной связи, он может обеспечить скорость передачи до 52 Мбит/с без замены медного канала связи. Для использования DSL, оборудование конечного пользователя и оператора должно быть обновлено, именно поэтому многие компании, и жители не могут воспользоваться этой услугой в настоящее время. Пользователь и оператор должны иметь DSL-модемы, использующие одинаковый метод модуляции.
DSL обеспечивает более высокую скорость передачи данных за счет использования всех доступных частот канала на основе витой пары (UTP) голосового класса. Когда вы кому-то звоните, по этому каналу передаются данные вашего голоса, а провайдер услуг телефонной связи «очищает» передачу, удаляя высокие и низкие частоты. Человек при разговоре не использует такие частоты, поэтому все, что находится на этих частотах считается шумом и удаляется. Фактически, таким образом сокращается имеющаяся пропускная способность линии связи от дома до центрального офиса телефонной компании. При использовании DSL этого не происходит, поэтому высокие и низкие частоты могут быть использованы для передачи данных.
DSL предлагает несколько видов сервисов. При использовании симметричных сервисов, потоки трафика имеют одинаковую скорость передачи в обе стороны (в Интернет и из Интернета). При использовании асимметричных сервисов, скорость загрузки намного выше, чем скорость отдачи. В большинстве случаев, асимметричное подключение лучше подходит для домашних пользователей, поскольку они обычно скачивают из Интернета значительно больше, чем выгружают в Интернет.
Компании, оказывающие услуги кабельного телевидения, начали дополнительно предлагать своим клиентам услуги передачи данных. При этом клиенту для высокоскоростного подключения к сети Интернет требуется кабельный модем.
Кабельные модемы (cable modem) предоставляют высокоскоростной (до 50 Мбит/с) доступ к сети Интернет, используя для этого существующие коаксиальные и оптоволоконные кабели. Кабельный модем обеспечивает передачу данных в обоих направлениях.
Не все компании, предоставляющие услуги кабельного телевидения, также предлагают доступ в Интернет. В основном это связано с тем, что они не обновили свою инфраструктуру для перехода от однонаправленной к двунаправленной сети, что необходимо для использования сети Интернет.
xDSL. Существует множество различных вариантов DSL, каждый из которых имеет свои собственные характеристики и подходит для конкретных вариантов использования.Коаксиальные и оптоволоконные кабели используются для доставки пользователям сотен телевизионных каналов, при этом один или несколько каналов в этих кабелях выделяют для передачи данных. Полоса пропускания разделяется между пользователями в одной локальной области, поэтому скорость не всегда остается постоянной. Например, если Майк пытается скачать программу из сети Интернет в 19:30, он, скорее всего, получит гораздо меньшую скорость, чем в 10:00, потому что многие люди вечером приходят домой с работы и одновременно входят в Интернет. Поскольку большее число жителей одного дома используют доступ в сеть Интернет, скорость передачи данных у всех (в т.ч. у Майка) снижается.
- Симметричный DSL (SDSL – Symmetrical DSL). Данные передаются в обоих направлениях с одинаковой скоростью. Полоса пропускания может варьироваться от 192 Кбит/с до 1,1 Мбит/с. Применяется, в основном, в компаниях, требующих высокой скорости передачи данных в обоих направлениях.
- Асиметричный DSL (ADSL – Asymmetrical DSL). Загрузка данных из сети Интернет производится быстрее, чем отправка в сеть Интернет. Скорость отправки варьируется от 128 Кбит/с до 384 Кбит/с, а скорость загрузки может достигать 768 Кбит/с. Обычно используются домашними пользователями.
- ISDN DSL (IDSL). Позволяет использовать DSL клиентам, которые не могут получить SDSL или ADSL из-за своей удаленности от офиса провайдера. IDSL позволяет работать клиентам на расстоянии до 11 километров от офиса провайдера. IDSL работает на симметричной скорости 128 Кбит/с.
- Высокоскоростной DSL (HDSL – High-bit-rate DSL). Обеспечивает скорость на уровне канала Т1 (1,544 Мбит/с) через обычный медный телефонный провод без использования повторителей. Требуются два провода витой пары, чего не имеют многие линии UTP голосового класса.
Постоянное соединение. В отличие от подключений по модему, линии DSL и кабельные модемы подключены к сети Интернет постоянно. Не требуются выполнять те же шаги, как при установлении соединения Dial-Up. Однако при всем удобстве, это может привести к большой проблеме безопасности, поскольку хакеры ищут именно такие типы соединений. Системы, использующие эти типы соединений, всегда в сети и доступны для сканирования, анализа, взлома и атак. Часто именно такие системы используется при DDoS-атаках. Поскольку эти системы включены все время, нападающие устанавливают на них троянские программы, которые бездействуют до тех пор, пока не получат команды от злоумышленника о начале атаки на жертву. Многие DDoS-атаки используют системы, подключенные к Интернет с помощью DSL и кабельных модемов, в качестве сообщников. При этом владелец такого компьютера, как правило, не знает, что его компьютер используются для атак на другие системы.Совместное использование одной среды передачи данных также вызывает множество проблем безопасности, поскольку в такой сети с помощью сниффера можно легко просматривать трафик соседей. В настоящее время многие кабельные модемы на канальном уровне выполняют шифрование данных, передаваемых по общим линиям связи.
Ссылки по теме:
Виртуальная частная сеть (VPN – Virtual Private Network) – это безопасное частное соединение через общедоступные сети или иные небезопасные среды, как показано на Рисунке 5-53. Это частное соединение, поскольку в нем используются протоколы шифрования и туннелирования для обеспечения конфиденциальности и целостности передаваемых данных. Важно помнить, что технология VPN для работы требует создания туннеля, обеспечивающего шифрование трафика. Для VPN могут быть использованы такие протоколы, как PPTP (Point-to-Point Tunneling Protocol), IPSec и L2TP.
Рисунок 5-53. VPN обеспечтивает виртуальную выделенную линию связи между двумя субъектами через публичную сеть
На отправляющей и принимающей стороне должно использоваться оборудование и программное обеспечение, необходимое для создания шифрованного туннеля, который обеспечивает защиту (приватность) соединения. Протокол туннелирования шифрования используется для шифрования данных и защиты информации при ее передаче через недоверенные публичные сети, такие как Интернет.
Удаленные пользователи или мобильные сотрудники могут использовать VPN для подключения к сети компании и доступа к своей электронной почте, сетевым ресурсам и корпоративным активам. На компьютере удаленного пользователя должно быть установлено необходимое программное обеспечение, позволяющее ему использовать VPN. Пользователь сначала создает PPP-подключение к провайдеру, а провайдер соединяет его с нужной сетью. PPP инкапсулирует датаграммы для их передачи по телекоммуникационным каналам. После установления соединения PPP программа пользователя инициирует создание VPN-соединения с сетью компании. Поскольку данные, которыми будут обмениваться две стороны, должны шифроваться, обе стороны проходят через этап «рукопожатия», согласовывая тип шифрования и ключ, который будет использоваться для шифрования передаваемых данных. Провайдер участвует в этом только на этапе создания PPP-соединения, которое является фундаментом для VPN-соединения. Как только PPP-соединение установлено, участие провайдера заканчивается, и начинается этап заключения соглашения о параметрах VPN, которые будут использоваться в дальнейшем для обеспечения защищенного взаимодействия пользователя и сети компании. После завершения этого этапа, пользователь может безопасно взаимодействовать с сетью компании через новое виртуальное соединение.
Соединения VPN могут использоваться не только удаленными пользователями для доступа к сети, но и для обеспечения связи между двумя маршрутизаторами (часто это называют подключениями шлюз-шлюз). Это гибкое соединение, оно требует только наличия у каждой из соединяющихся сторон программного обеспечения VPN, необходимых протоколов и одинаковых механизмов шифрования. После того, как VPN-соединение будет установлено, пользователь сможет получить доступ к сетевым ресурсам.
До этого момента мы обсуждали VPN, работающий через соединения Dial-Up и Интернет, однако соединение VPN также может быть установлено между межсетевыми экранами, обладающими функциональностью VPN. В сети, устройство VPN находится на внешнем краю домена безопасности. Если компания устанавливает межсетевой экран, имеющий встроенную функциональность VPN, у нее появляется возможность централизовать администрирование VPN и самого межсетевого экрана. При использовании такого варианта, поступающие в сеть пакеты могут быть зашифрованы в рамках VPN-соединения и их необходимо предварительно расшифровать, чтобы межсетевой экран смог проверить пакеты и принять решение об их блокировке или пропуске в сеть. Поскольку выполняется дополнительная обработка поступающих пакетов, возникает больше накладных расходов, что приводит к снижению производительности. Однако на сегодняшний день наибольшая часть такой обработки производится на аппаратном уровне, обеспечивающем значительно более высокоскоростную работу, по сравнению с чисто программной обработкой.
Ранее было сказано, что VPN использует протоколы туннелирования, но что они из себя представляют? Туннель (tunnel) – это виртуальный маршрут через сеть, по которому передаются инкапсулированные и, возможно, зашифрованные пакеты.
Если нужно соединить две находящиеся в разных странах сети, в которых используется протокол NetBEUI (NetBIOS Enhanced User Interface), в чем состоит основная проблема? Протокол NetBEUI не является маршрутизируемым. Поэтому для взаимодействия этих двух сетей пакеты NetBEUI должны быть инкапсулированы в маршрутизируемый протокол, такой как IP. Такая инкапсуляция происходит постоянно при работе в сети Интернет, а также при межсетевом взаимодействии. Если сеть Ethernet подсоединена к магистрали FDDI, сеть FDDI не понимает формат кадра Ethernet, поэтому пакеты должны быть инкапсулированы в протокол FDDI при их передаче через сеть FDDI. Если нужно соединить через Интернет две сети, использующие IPX, пакеты IPX должны быть инкапсулированы в протокол, который понимает Интернет, например, IP. Инкапсуляция является первой причиной использования туннеля.
Второй причиной использования туннеля является применение инкапсуляции одновременно с шифрованием. При этом причины для использования инкапсуляции остаются те же, а шифрование требуется для защиты целостности и конфиденциальности передаваемых через недоверенную среду данных. Таким образом, применяются два способа туннелирования трафика через другую сеть.
Туннелирование является основным компонентом для VPN, т.к. именно таким образом создаются соединения VPN. В основном используются три основных протокола туннелирования для соединений VPN: PPTP, L2TP и IPSec (IPSec подробно рассматривается в Домене 06).
IPSec детально рассматривается в Домене 06, но давайте сейчас вкратце обсудим некоторые возможности для настройки этого набора протоколов.
IPSec может быть настроен для обеспечения транспортной смежности (transport adjacency), что означает, что к пакету применяется более одного протокола безопасности (ESP и AH). Также IPSec может быть настроен для обеспечения дополнительного туннелирования (iterated tunneling), при котором один туннель IPSec туннелируется через другой туннель IPSec, как показано на следующем рисунке. Дополнительное туннелирование применяется в случае, когда трафику требуются различные уровни защиты на различных частях его маршрута. Например, если IPSec туннель начинается с внутреннего узла, трафик до внутреннего пограничного маршрутизатора может передаваться без шифрования, соответственно будет применяться только протокол AH. Но после пограничного маршрутизатора данные передаются через Интернет в другую сеть, на этом участке маршрута данные нуждаются большей защите. Таким образом, в рамках рассмотренного примера, пакеты сначала передаются через частично защищенный туннель по внутренней сети, а затем – через безопасный туннель по сети Интернет.
Перед углублением в подробности протоколов туннелирования, давайте еще раз взглянем на протокол инкапсуляции. Протоколы туннелирования и инкапсуляции связаны между собой, поскольку протоколы туннелирования используют инкапсуляцию. Инкапсуляция означает, что в кадр добавляется дополнительный заголовок, и, возможно, еще одно окончание. Протокол туннелирования добавляет эти заголовки и окончания для того, чтобы пакеты могли быть переданы по сети определенного типа. Таким образом, если вам необходимо передавать пакеты сетевого и транспортного протоколов IPX/SPX через сеть Интернет, шлюз будет добавлять необходимые заголовки и окончания TCP/IP, необходимые для маршрутизации в Интернете. После того, как эти пакеты будут доставлены до места назначения, дополнительные заголовки и окончания удаляются, и пакеты направляются на компьютер получателя.
PPP (Point-to-Point Protocol - Протокол "точка-точка") в действительности является не протоколом туннелирования, а протоколом инкапсуляции. Он не нуждается в добавлении специальных заголовков и окончаний, которые будут удалены в пункте назначения. PPP позволяет передавать трафик TCP/IP через среду, созданную для передачи голосовых данных.
PPP используется для инкапсуляции сообщений и их передачи через последовательную линию. Он позволяет передавать протоколы TCP/IP (и другие) через телекоммуникационные каналы. PPP используется для установления соединений между маршрутизаторами, от маршрутизатора до пользователя, а также между пользователями. Кроме того, он применяется для создания соединения между компьютером пользователя и точкой входа в Интернет (PoP – Point of Presence), которая обычно представляет собой пул модемов и сервер доступа, размещенный у провайдера. Пользователь соединяется с этой PoP через телекоммуникационную линию и взаимодействует с ней посредством PPP.
При подключении к Интернету вы можете использовать последовательное асинхронное соединение Dial-Up или соединение «точка-точка», например, линию T1. Линия T1 является последовательным соединением (serial connection), т.е. биты в ней следуют один за другим, в отличие от параллельного соединения (parallel connection), в котором биты передаются одновременно. Этим последовательным соединением является линия телефонной компании, которая ничего не знает о сетевых протоколах, таких как IP, IPX, AppleTalk и т.д., которые используются для взаимодействия компьютеров. Поэтому, этот трафик должен быть инкапсулирован, прежде чем он попадет в это последовательное соединение – и это именно то, чем занимается PPP. PPP инкапсулирует данные, поступающие от компьютера или из сети, т.е. он преобразует данные в правильный формат, необходимый для передачи по телекоммуникационному соединению. PPP выполняет кадрирование данных с использованием стартовых и стоповых битов, которые позволяют на другой стороне понять, как следует обрабатывать эти данные. PPP позволяет нам настроить и установить соединение с сетью Интернет.
После установления соединения, пользователь должен пройти процедуру аутентификацию на сетевом сервере аутентификации на сайте провайдера. PPP может использовать PAP, CHAP или EAP для выполнения этой процедуры. Если пользователь пытается установить соединение с сетью своей компании, должен быть выполнен дополнительный шаг: протокол должен передать этот сеанс PPP в реальную корпоративную сеть компании. Что это означает? Теперь эти данные, инкапсулированные в PPP, должны быть переданы через Интернет, который не понимает PPP и использует IP. Поэтому возникает необходимость в том, чтобы еще один протокол инкапсулировал данные PPP в пакеты IP, и создал туннели для их передачи через Интернет в корпоративную сеть, как это показано на Рисунке 5-54. PPP инкапсулирует данные для передачи через частную сеть (между вами и вашим провайдером), а протокол туннелирования инкапсулирует данные для передачи через публичные сети, такие как Интернет.
Рисунок 5-54. VPN-соединение может быть использовано в качестве безопасного расширения PPP-соединения
Для создания VPN применяются три основных протокола туннелирования: IPSec, PPTP и L2TP. Они снижают стоимость удаленного доступа к сети, поскольку пользователь может подключиться к местному провайдеру вместо того, чтобы устанавливать модемное соединение посредством междугороднего (или международного) звонка непосредственно на модемный пул в корпоративной сети.
PPP в большинстве случаев заменил SLIP – старый протокол, который использовался для инкапсуляции данных, передаваемых через последовательные соединения. PPP имеет несколько возможностей, которых нет у SLIP:
- Осуществляет сжатие заголовков и данных для повышения эффективности и лучшего использования полосы пропускания
- Имеет коррекцию ошибок
- Поддерживает различные методы аутентификации
- Может инкапсулировать протоколы, отличные от IP
- Не требует наличия на обоих сторонах IP-адресов, присвоенных заранее, до начала передачи данных
Зачем нужны протоколы туннелирования? Это связано с тем, что некоторые протоколы не могут маршрутизироваться через определенные сети. Выше мы говорили исключительно о кадрах PPP, которые не маршрутизируются через сеть Интернет, но Интернет не понимает и ряд других протоколов, например, IPX, NetBEUI и AppleTalk. Самостоятельно эти кадры не могут найти правильный маршрут через Интертет к получателю, для этого им нужна поддержка. Именно для этого и нужны протоколы туннелирования. Представьте себе паром, который перевозит автомобили на другой берег реки. Автомобиль не может сам переправиться на другую сторону, т.к. он не предназначен для перемещения по воде, а паром может перемещаться по воде, и может перевезти автомобиль. Аналогично протокол туннелирования может перемещаться по сети Интернет, основанной на IP.
PPTP (Point-to-Point tunneling protocol - Туннельный протокол "точка-точка") – это протокол Microsoft, позволяющий удаленным пользователям устанавливать PPP-соединения с локальным провайдером, а затем создавать безопасные соединения VPN до пункта назначения. В течение многих лет PPTP был де-факто стандартом протокола туннелирования, однако в настоящее время новым стандартом де-факто для VPN стал IPSec, который рассматривается в Домене 06.
Хотя по умолчанию туннелирование не обеспечивает шифрование пользовательских данных, в большинстве реализаций туннелирование и шифрование используются совместно. При использовании PPTP, содержимое PPP шифруется с помощью MPPE (Microsoft Point-to-Point Encryption), используя MS-CHAP или EAP-TLS. Используемые для этого ключи шифрования генерируются в процессе аутентификации между пользователем и сервером аутентификации.
Помимо шифрования, кадры должны быть инкапсулированы. В этой технологии применяется последовательность инкапсуляций. Пользовательские данные инкапсулируются в PPP, затем этот кадр инкапсулируется PPTP с заголовками GRE (Generic Routing Encapsulation) и IP, как показано на Рисунке 5-55. Такая инкапсуляция позволяет полученному в результате кадру маршрутизироваться через публичные сети, такие как Интернет.
Рисунок 5-55. PPTP инкапсулирует кадр PPP
Единственным ограничением PPTP является то, что он может работать только через сети IP, поэтому для передачи данных через соединения Frame Relay, X.25 и АТМ должны применяться другие протоколы. Cisco разработала протокол L2F (Layer 2 Forwarding - Протокол маршрутизации на втором уровне), который туннелировал PPP-трафик через указанные типы сетей, но IETF (Internet Engineering Task Force - Специальная комиссия интернет-разработок) предложила в рамках этой работы обеспечить совместимость с PPTP. В результате Cisco был разработан протокол L2TP (Layer 2 Tunneling Protocol - Протокол туннелирования на втором уровне), который сочетает в себе лучшее от PPTP и L2F.
L2TP реализует функциональность PPTP, однако он в сочетании с IPSec обеспечивает более высокий уровень безопасности и, кроме того, может работать не только через сети IP. В L2TP не предусмотрены функции шифрования и аутентификации, поэтому при их необходимости он должен быть объединен с IPSec.
Процессы, которые L2TP использует для инкапсуляции, похожи на аналогичные процессы, используемые PPTP. Кадры PPP инкапсулируются в L2TP.
Когда система получателя получает кадр L2TP, она приступает к обработке заголовков. Когда она доходит до окончания IPSec, она выполняет проверку целостности и аутентификацию кадра. Затем она использует информацию из заголовка ESP (Encapsulating Security Payload), чтобы расшифровать остальные заголовки и сами данные.
Ниже указаны различия между PPTP и L2TP:
- PPTP может работать только в сетях IP. L2TP может работать и создавать туннели через другие сети, такие как Frame Relay, X.25 и ATM.
- PPTP – это шифрующий протокол, а L2TP – нет. В L2TP отсутствует безопасность, позволяющая назвать его чистым VPN-решением. L2TP часто используется в сочетании с IPSec для реализации шифрования.
- L2TP поддерживает TACACS + и RADIUS, а PPTP – нет.
Резюме по протоколам туннелирования
Point-to-Point Tunneling Protocol (PPTP):
Layer 2 Forwarding (L2F):
- Предназначен для соединений клиент/сервер
- Устанавливает единственное соединение точка-точка между двумя компьютерами
- Работает на канальном уровне
- Передает данные только по сетям IP
Layer 2 Tunneling Protocol (L2TP):
- Создан Cisco до L2TP
- Объединен с PPTP, результатом чего стал L2TP
- Обеспечивает взаимную аутентификацию
- Без шифрования
IPSec:
- Гибрид L2F и PPTP
- Устанавливает единственное соединение точка-точка между двумя компьютерами
- Работает на канальном уровне
- Передает данные по сетям нескольких различных типов, а не только по сетям IP
- Используется совместно с IPSec для обеспечения безопасности
- Работает с несколькими соединениями одновременно
- Обеспечивает защищенную аутентификацию и шифрование
- Поддерживает только сети IP
- Сосредоточен на коммуникациях LAN-LAN, а не пользователь-пользователь
- Работает на сетевом уровне и обеспечивает безопасность выше уровня IP
- Может работать в режиме туннелирования (при этом защищается содержимое и заголовок), либо в транспортном режиме (защищается только содержимое)
PAP (Password Authentication Protocol - Протокол аутентификации пароля) используется удаленными пользователями для аутентификации через соединения PPP. Он обеспечивает идентификацию и аутентификацию пользователя, пытающегося с удаленной системы получить доступ к сети. Этот протокол требует, чтобы пользователь ввел пароль для аутентификации. Пароль и имя пользователя передаются по сети на сервер аутентификации через соединение, которое было установлено с помощью PPP. Сервер аутентификации имеет базу данных реквизитов доступа пользователей для сравнения с представленными пользователем учетными данными в процессе аутентификации.
PAP является одним из наименее безопасных методов аутентификации, т.к. он передает учетные данные открытым текстом, что позволяет легко перехватить их с помощью сетевого сниффера. Некоторые системы, в случае невозможности договориться о других методах аутентификации, возвращаются к PAP, хотя это не рекомендуется. Во время процесса «рукопожатия» при установлении соединения, две стороны договариваются о способе аутентификации, параметрах подключения, скорости потока данных, а также других параметрах. При этом стороны пытаются договориться об использовании наиболее безопасного метода аутентификации: они могут начать с EAP, но если один из компьютеров не поддерживает EAP, они будут пытаться согласовать CHAP, если один из компьютеров не поддерживает CHAP, они будут вынуждены использовать PAP. Если аутентификация с использованием PAP неприемлема, администратор должен настроить RAS для выполнения аутентификации только с использованием CHAP или более безопасных протоколов, а использование PAP должно быть исключено.
CHAP (Challenge Handshake Authentication Protocol - Протокол аутентификации по методу "вызов-приветствие") учитывает некоторые уязвимости, присущие PAP. Для выполнения аутентификации пользователя он использует механизм запрос/ответ, вместо отправки пароля. Если пользователю нужно установить соединение PPP и обе стороны договорились об использовании для аутентификации протокола CHAP, компьютер пользователя посылает серверу аутентификации запрос на вход. В ответ сервер отправляет пользователю запрос, представляющий собой случайное значение. Этот запрос шифруется компьютером пользователя с использованием пароля пользователя в качестве ключа шифрования, зашифрованный ответ возвращается серверу. Сервер аутентификации использует хранящийся на своей стороне пароль этого пользователя в качестве ключа и расшифровывает значение ответа, сравнивая его с первоначально отправленным значением. Если два значения совпадают, сервер аутентификации делает вывод, что пользователь ввел правильный пароль, и аутентификация считается успешной. Эти шаги, выполняемые CHAP, показаны на Рисунке 5-56.
Рисунок 5-56. CHAP использует механизм запрос/ответ и не требует, чтобы пользователь отправлял свой пароль по сети
Сравнение PAP и CHAP
Характеристики PAP:
Характеристики CHAP:
- Передает учетные данные открытым текстом
- Применение этого протокола снижается, поскольку он не обеспечивает высокого уровня безопасности
- Поддерживается большинством сетей и NAS
PAP уязвим к сниффингу, т.к. он отправляет все данные (включая пароли) открытым текстом. Кроме того, PAP уязвим к атакам «человек посередине». В отличие от него, CHAP не подвержен атакам «человек посередине», поскольку он работает в режиме запрос/ответ, обеспечивая взаимодействие сервера аутентификации только с пользователем, который имеет необходимые учетные данные.
- Используется так же как и PAP, но обеспечивает при этом более высокий уровень безопасности
- При аутентификации используется метод запрос/ответ
- Используется удаленными пользователями, маршрутизаторами и NAS для проведения аутентификации перед предоставлением подключения
EAP (Extensible Authentication Protocol - Расширяемый протокол аутентификации) также поддерживается PPP. Фактически, EAP не является конкретным механизмом аутентификации, как PAP или CHAP. Вместо этого он представляет собой основу, позволяющую многим различным видам технологий аутентификации применяться в процессе установления соединений PPP. Как следует из названия, он расширяет возможности аутентификации, позволяя использовать одноразовые пароли, токены, биометрию, Kerberos и другие механизмы, которые могут появиться в будущем. Когда пользователь подключается к серверу аутентификации и оба они поддерживают EAP, они договариваются между собой о выборе возможного метода аутентификации из большего списка.
Ссылки по теме:
- Linux PPP HOWTO, Chapter 16, “If Your PPP Server Uses PAP,” by Corwin-Light Williams and Joshua Drake (2000)
- RFC 2284 – PPP Extensible Authentication Protocol (EAP)
Удаленные пользователи должны быть идентифицированы и аутентифицированы, а их деятельность должна контролироваться на предмет отсутствия опасных действий и нарушений прав доступа. Всем удаленным пользователям должны быть предоставлены только действительно необходимые им права доступа к сети, кроме того, их права доступа должны пересматриваться на ежегодной основе. Например, если Брайан работал в группе разработчиков программного обеспечения и ему требовался удаленный доступ для работы из дома, а затем он был переведен в группу логистики, вероятно необходимость в удаленном доступе для него отпала, поэтому его права удаленного доступа следует отозвать.
Допустимые действия и поведение, связанные с удаленным доступом, должны быть отражены в политике безопасности компании, либо в политиках, непосредствено относящихся к удаленному доступу. В политике следует указать, кто, что и когда должен делать. С этой политикой должны быть ознакомлены все пользователи, и она должна быть им постоянно доступна, что поможет устранить путаницу и позволит компании принимать меры к нарушителям требований политики.
Модемы удаленного доступа должны быть настроены на ответ после четвертого гудка. Злоумышленники обычно настраивают свое программное обеспечение на переход к другому телефонному номеру после двух – трех гудков, поскольку в большинстве случаев столь длительное ожидание может происходить на голосовой телефонной линии, а не на линии, предназначенной для передачи данных. Настройка модема на ответ после четвертого (или более) гудка делается, чтобы перехитрить атакующего.
Все системы удаленного доступа должны быть, по возможности, сгруппированы вместе: все серверы удаленного доступа желательно разместить в одной серверной комнате, они должны администрироваться одним лицом (группой лиц). Это поможет обеспечить согласованность деятельности по поддержке и мониторингу отдельных точек удаленного доступа, а также сохранять уверенность, что вносимые изменения отражаются одновременно на всех точках доступа. Кроме того, это облегчает проведение централизованного аудита и журналирования событий, снижается вероятность, что администраторы забудут про отдельную точку доступа, позволяющую пользователям получить доступ к внутренней среде компании.
Должна применяться строгая двухфакторная аутентификация пользователей с использованием серверов RADIUS или TACACS +, которые были описаны в Домене 02. Если передаваемые пользователями данные являются конфиденциальными или критичными для компании, пользователи должны подключаться к сети компании через VPN. Должны обеспечиваться различные уровни безопасности для различных типов подключающихся к сети пользователей, каждый пользователь должен обладать только теми правами доступа и разрешениями, которые ему необходимы.
Компании могут ограничивать доступ на основе адреса внешнего компьютера, который пытается получить доступ. Если адрес неизвестен или не внесен в ACL, запрос на подключение должен отклоняться. Должен быть внедрен межсетевой экран, позволяющий удаленным пользователям получить доступ только к разрешенным администратором сервисам и портам.
На сервере RAS может быть настроено использование идентификации вызывающего абонента (Caller ID - определитель номера), выполнение обратного вызова, а также применение двухфакторной аутентификации. Функциональность Caller ID позволяет принимать решения о возможности доступа на основе номера телефона, с которого исходит вызов – для этого должен быть предварительно настроен список разрешенных и/или запрещенных телефонных номеров. При этом атакующему для получения несанкционированного доступа потребуется выполнять вызов с разрешенного телефонного номера или скомпрометировать оборудование телефонной станции. Функция обратного вызова (callback) требует, чтобы сервер RAS самостоятельно выполнял звонок пользователю, запрашивающему доступ. При этом после аутентификации пользователя на сервере RAS, сервер RAS сбрасывает соединение и перезванивает пользователю по заранее настроенному номеру телефона.
Функции определения номера и обратного вызова – это прекрасно, но они часто оказываются непрактичными, поскольку требуют, чтобы пользователи всегда звонили со стационарных телефонов, когда им нужен доступ в сеть. А в реальности многим пользователям нужен удаленный доступ к сети, когда они находятся в дороге или постоянно перемещаются между различными офисами
Ссылки по теме:
- Windows 2000 Technical Resources: How It Works—Remote Access
- “Evolution of the Network Router Market,” by John Rendleman, InformationWeek (Aug. 19, 2002)
- The Evolution of the Remote Access Server (RAS) to a Universal Port-Enabled Platform, Internet Engineering Consortium
Комментариев нет:
Отправить комментарий