Защита соединений удаленного доступа
Сегодня многие компании пользуются экономии присущие позволило некоторым сотрудникам работать из дома, в то время как сотрудники выгоду от удобства телеработы. Кроме того, руководители, продавцы и др. необходимо подключиться к корпоративной сети, когда они идут по дороге, и / или необходимости доступ к сетевым ресурсам по вечерам или по выходным из дома. Все это приводит к большому количеству подключений удаленного доступа к сети организации. В этой статье мы обсудим, как предотвратить удаленные соединения от создания безопасности кошмар на вашей сети.
Сегодня многие компании пользуются экономии присущие позволило некоторым сотрудникам работать из дома, в то время как сотрудники выгоду от удобства телеработы. Кроме того, руководители, продавцы и др. необходимо подключиться к корпоративной сети, когда они идут по дороге, и / или необходимости доступ к сетевым ресурсам по вечерам или по выходным из дома.
Все это приводит к большому количеству подключений удаленного доступа к сети организации. Эти соединения могут быть сделаны по телефону линий прямой вызов в сервер удаленного доступа по сети, или же они могут быть сделаны виртуальных частных сетей (VPN), используя интернет “туннель” в корпоративной сети. В любом случае, безопасности всегда проблема, когда у вас есть люди подключения к сети извне, потому что у вас меньше контроля над удаленного компьютера.
Есть целый ряд вещей, которые вы можете сделать, однако, сделать подключений удаленного доступа более безопасным. В этой статье мы обсудим, как предотвратить удаленные соединения от создания безопасности кошмар на вашей сети.
Оценка потребности в области связи удаленного
Ваш первый шаг в обеспечении безопасного удаленного доступа к тщательно оценивать необходимость сотрудников удаленно подключаться, и предоставлять доступ на каждого пользователя только тех, кто добросовестно необходим доступ к сети удаленно. Всегда имейте в виду, что если ограничения будут внедрены, пользователь подключения к локальной сети с помощью удаленного доступа можно делать все, что он / она может сделать из компьютера на месте.
В Windows 2000 домена, вы можете установить свойства пользователей, чтобы разрешить или запретить удаленный доступ, или контролировать доступ через политику удаленного доступа (которые мы обсудим более подробно позже). Для настройки свойств пользователя, чтобы циферблат-или VPN доступа, настроить свойства листа для каждой учетной записи, на вкладке Входящие звонки (доступ с Active Directory пользователи и компьютеры MMC), как показано на рисунке A.
Рисунок A: Настройка удаленного доступа в свойствах пользователя
Вы можете также обеспечить более высокий уровень безопасности для пользователей, работающих из дома или другой статический месте путем осуществления проверки удостоверения личности звонящего или установки обратного вызова безопасности. Для использования бывших, проверить Убедитесь, Caller ID и укажите номер телефона с которого пользователь должен набрать дюйма Для использования последней, проверить Всегда Обратный звонок с вариантом “и ввести номер телефона, с которого удаленный пользователь будет подключаться. Сервер повесить и вызов пользователя обратно на тот номер. В любом случае, если неавторизованный пользователь удается обнаружить пароля законного пользователя, он / она по-прежнему не будут иметь доступ к сети удаленно если только это не от места законных пользователей.
Хотя две особенности выполнения тех же целей безопасности, Есть несколько ситуаций, в которых вы будете использовать Обратный звонок вместо проверки Caller ID: 1) когда вызывающего абонента или телефонный сервер системы не поддерживают Caller ID и 2), когда удаленный пользователь является набор в издалека месте, и вы хотите сервера перезвонить так компания будет платить на телефонную связь для сессии.
После оценки, кто нуждается удаленного доступа, определить, будет ли вам позволяют удаленным пользователям набирать в, подключение через VPN, или обоих. Коммутируемое соединение безопасности преимущество, что прямой связи между пользователем и коммутируемый сервере, поэтому никакой информации происходит через Интернет. VPN, использовать шифрование для защиты конфиденциальности информации, которая проходит через сети общего пользования и предоставлять “частным” аспект. Политики вы установите в реализации вашего сервера модем или VPN сервер будет определять, в значительной степени, уровень безопасности.
Для подключений VPN, вы хотите, чтобы рассмотреть протоколы ваш VPN сервер будет поддерживать. L2TP туннелирование с шифрованием IPSec является более безопасным, чем PPTP (который использует MPPE для шифрования), однако не все клиенты могут использовать L2TP. Если все ваши клиенты удаленного доступа использовать Windows 2000 или XP (как они должны, для лучшей безопасности), ваши политики можно указать L2TP VPN соединения только. Если у вас Windows 9x клиентов, вы можете разрешить PPTP соединения.
Аутентификация Соображения
Одним из наиболее важных соображений безопасности как удаленные клиенты будут проходить аутентификацию. Аутентификация, конечно, включает в себя проверку личности клиентского компьютера или пользователя. Удаленный доступ протоколов аутентификации не все созданы равными.
Windows поддерживает различные протоколы аутентификации удаленного доступа, начиная от PAP (протокол аутентификации по паролю), которая передает пароли в виде обычного текста и не является безопасным, чтобы сложные методы аутентификации, такие как EAP-RADIUS, которая опирается на отдельный сервер аутентификации, или EAP -TLS, требуя, чтобы пользователь обеспечить смарт-карты с цифровым сертификатом.
PAP отключена по умолчанию в Windows 2000 сервер удаленного доступа, и для лучшей безопасности, вы должны использовать только строгой аутентификации. Если вы используете MS-CHAP, использование версии 2, и установить длины и сложности пароля политики силу использования надежных паролей.
Windows 2000/2003 также поддерживает использование хостов безопасности для удаленного доступа. Это устройство, которое находится между клиентом удаленного доступа и сервер удаленного доступа, а также предоставляет дополнительные проверки подлинности (в дополнение к этому на сервере РАН). Возможно, вам придется изменить modem.inf файл на сервере в ссылку безопасности принимающей модем сервера.
Windows Remote политики безопасности доступа
В отличие от NT, которая используется только удаленного доступа в свойствах пользователя для управления доступом, Windows 2000 и 2003 годах принимать как пользователь свойства и политики удаленного доступа во внимание. Политики позволяют четкий контроль. Вы можете предоставить удаленный доступ только в определенное время суток или в определенные дни недели. Вы можете предоставить VPN доступа, но отрицать входящих звонков (или наоборот). Вы можете ограничить продолжительность каждого сеанса удаленного доступа, разрешить соединения только с указанных методов проверки подлинности, и так далее.
Политики удаленного доступа могут быть установлены на сервере удаленного доступа, или политики для нескольких входящих звонков и VPN-серверы могут быть реализованы посредством IAS (Internet Authentication Service) сервер. Для настройки политики на сервер удаленного доступа, можно использовать консоль управления RRAS (доступ с Администрирование), как показано на рисунке B.
Использование Microsoft точка-точка Кодировка (MPPE) с MS-CHAP и EAP-TLS аутентификации. Это называется шифрование канала, так как данные шифруются только между маршрутизаторов (шлюзов), соединяющий две сети.
Использование IPSec для шифрования данных на всем пути от компьютера-отправителя к конечному компьютеру. Это называется из конца в конец шифрования.
Сегодня многие компании пользуются экономии присущие позволило некоторым сотрудникам работать из дома, в то время как сотрудники выгоду от удобства телеработы. Кроме того, руководители, продавцы и др. необходимо подключиться к корпоративной сети, когда они идут по дороге, и / или необходимости доступ к сетевым ресурсам по вечерам или по выходным из дома.
Все это приводит к большому количеству подключений удаленного доступа к сети организации. Эти соединения могут быть сделаны по телефону линий прямой вызов в сервер удаленного доступа по сети, или же они могут быть сделаны виртуальных частных сетей (VPN), используя интернет “туннель” в корпоративной сети. В любом случае, безопасности всегда проблема, когда у вас есть люди подключения к сети извне, потому что у вас меньше контроля над удаленного компьютера.
Есть целый ряд вещей, которые вы можете сделать, однако, сделать подключений удаленного доступа более безопасным. В этой статье мы обсудим, как предотвратить удаленные соединения от создания безопасности кошмар на вашей сети.
Оценка потребности в области связи удаленного
Ваш первый шаг в обеспечении безопасного удаленного доступа к тщательно оценивать необходимость сотрудников удаленно подключаться, и предоставлять доступ на каждого пользователя только тех, кто добросовестно необходим доступ к сети удаленно. Всегда имейте в виду, что если ограничения будут внедрены, пользователь подключения к локальной сети с помощью удаленного доступа можно делать все, что он / она может сделать из компьютера на месте.
В Windows 2000 домена, вы можете установить свойства пользователей, чтобы разрешить или запретить удаленный доступ, или контролировать доступ через политику удаленного доступа (которые мы обсудим более подробно позже). Для настройки свойств пользователя, чтобы циферблат-или VPN доступа, настроить свойства листа для каждой учетной записи, на вкладке Входящие звонки (доступ с Active Directory пользователи и компьютеры MMC), как показано на рисунке A.
Рисунок A: Настройка удаленного доступа в свойствах пользователя
Вы можете также обеспечить более высокий уровень безопасности для пользователей, работающих из дома или другой статический месте путем осуществления проверки удостоверения личности звонящего или установки обратного вызова безопасности. Для использования бывших, проверить Убедитесь, Caller ID и укажите номер телефона с которого пользователь должен набрать дюйма Для использования последней, проверить Всегда Обратный звонок с вариантом “и ввести номер телефона, с которого удаленный пользователь будет подключаться. Сервер повесить и вызов пользователя обратно на тот номер. В любом случае, если неавторизованный пользователь удается обнаружить пароля законного пользователя, он / она по-прежнему не будут иметь доступ к сети удаленно если только это не от места законных пользователей.
Хотя две особенности выполнения тех же целей безопасности, Есть несколько ситуаций, в которых вы будете использовать Обратный звонок вместо проверки Caller ID: 1) когда вызывающего абонента или телефонный сервер системы не поддерживают Caller ID и 2), когда удаленный пользователь является набор в издалека месте, и вы хотите сервера перезвонить так компания будет платить на телефонную связь для сессии.
После оценки, кто нуждается удаленного доступа, определить, будет ли вам позволяют удаленным пользователям набирать в, подключение через VPN, или обоих. Коммутируемое соединение безопасности преимущество, что прямой связи между пользователем и коммутируемый сервере, поэтому никакой информации происходит через Интернет. VPN, использовать шифрование для защиты конфиденциальности информации, которая проходит через сети общего пользования и предоставлять “частным” аспект. Политики вы установите в реализации вашего сервера модем или VPN сервер будет определять, в значительной степени, уровень безопасности.
Для подключений VPN, вы хотите, чтобы рассмотреть протоколы ваш VPN сервер будет поддерживать. L2TP туннелирование с шифрованием IPSec является более безопасным, чем PPTP (который использует MPPE для шифрования), однако не все клиенты могут использовать L2TP. Если все ваши клиенты удаленного доступа использовать Windows 2000 или XP (как они должны, для лучшей безопасности), ваши политики можно указать L2TP VPN соединения только. Если у вас Windows 9x клиентов, вы можете разрешить PPTP соединения.
Аутентификация Соображения
Одним из наиболее важных соображений безопасности как удаленные клиенты будут проходить аутентификацию. Аутентификация, конечно, включает в себя проверку личности клиентского компьютера или пользователя. Удаленный доступ протоколов аутентификации не все созданы равными.
Windows поддерживает различные протоколы аутентификации удаленного доступа, начиная от PAP (протокол аутентификации по паролю), которая передает пароли в виде обычного текста и не является безопасным, чтобы сложные методы аутентификации, такие как EAP-RADIUS, которая опирается на отдельный сервер аутентификации, или EAP -TLS, требуя, чтобы пользователь обеспечить смарт-карты с цифровым сертификатом.
PAP отключена по умолчанию в Windows 2000 сервер удаленного доступа, и для лучшей безопасности, вы должны использовать только строгой аутентификации. Если вы используете MS-CHAP, использование версии 2, и установить длины и сложности пароля политики силу использования надежных паролей.
Windows 2000/2003 также поддерживает использование хостов безопасности для удаленного доступа. Это устройство, которое находится между клиентом удаленного доступа и сервер удаленного доступа, а также предоставляет дополнительные проверки подлинности (в дополнение к этому на сервере РАН). Возможно, вам придется изменить modem.inf файл на сервере в ссылку безопасности принимающей модем сервера.
Windows Remote политики безопасности доступа
В отличие от NT, которая используется только удаленного доступа в свойствах пользователя для управления доступом, Windows 2000 и 2003 годах принимать как пользователь свойства и политики удаленного доступа во внимание. Политики позволяют четкий контроль. Вы можете предоставить удаленный доступ только в определенное время суток или в определенные дни недели. Вы можете предоставить VPN доступа, но отрицать входящих звонков (или наоборот). Вы можете ограничить продолжительность каждого сеанса удаленного доступа, разрешить соединения только с указанных методов проверки подлинности, и так далее.
Политики удаленного доступа могут быть установлены на сервере удаленного доступа, или политики для нескольких входящих звонков и VPN-серверы могут быть реализованы посредством IAS (Internet Authentication Service) сервер. Для настройки политики на сервер удаленного доступа, можно использовать консоль управления RRAS (доступ с Администрирование), как показано на рисунке B.
Использование Microsoft точка-точка Кодировка (MPPE) с MS-CHAP и EAP-TLS аутентификации. Это называется шифрование канала, так как данные шифруются только между маршрутизаторов (шлюзов), соединяющий две сети.
Использование IPSec для шифрования данных на всем пути от компьютера-отправителя к конечному компьютеру. Это называется из конца в конец шифрования.
Комментариев нет:
Отправить комментарий