
- •13.1. Управление идентификацией и доступом
- •13.1.1. Особенности управления доступом
- •13.1.2. Функционирование системы управления доступом
- •Средства управления сетевым доступом
- •Организация защищенного удаленного доступа
- •13.2.1. Протоколы аутентификации удаленных пользователей
- •Протокол рар
- •Протокол chap
- •Протокол s/Key
- •13.2.2. Централизованный контроль удаленного доступа
Организация защищенного удаленного доступа
Удаленный доступ к компьютерным ресурсам стал в настоящее время таким же актуальным и значимым, как и доступ в режиме непосредственного подключения. Удаленный доступ к корпоративной сети осуществляется из незащищенного внешнего окружения через открытые сети. Поэтому средства построения защищенной корпоративной сети должны обеспечить безопасность сетевого взаимодействия при подключении к сети удаленных компьютеров.
Удаленный доступ к корпоративной сети возможен через глобальную компьютерную сеть или через среду передачи информации, образованную цепочкой из телефонной и глобальной компьютерной сетей. Доступ через глобальную сеть Internet является достаточно эффективным способом, причем для подключения удаленного пользователя к Internet может использоваться канал телефонной связи. Основные достоинства удаленного доступа к корпоративной сети через Internet:
обеспечение масштабируемой поддержки удаленного доступа, позволяющей мобильным пользователям связываться с Internet-провайдером и затем через Internet входить в свою корпоративную сеть;
сокращение расходов на информационный обмен через открытую внешнюю среду (удаленные пользователи, подключившись к Internet, связываются с сетью своей организации с минимальными затратами);
управление трафиком удаленного доступа осуществляется так же, как любым другим трафиком Internet.
В корпоративной сети для взаимодействия с удаленными пользователями выделяется сервер удаленного доступа, который служит:
для установки соединения с удаленным компьютером;
аутентификации удаленного пользователя;
управления удаленным соединением;
посредничества при обмене данными между удаленным компьютером и корпоративной сетью.
Среди протоколов удаленного доступа к локальной сети наибольшее распространение получил протокол «точка—точка» РРР (Point-to-Point Protocol), который является открытым стандартом Internet. Протокол РРР предназначен для установления удаленного соединения и обмена информацией по установленному каналу пакетами сетевого уровня, инкапсулированными в РРР-кадры. Используемый в протоколе РРР метод формирования кадров обеспечивает одновременную работу через канал удаленной связи нескольких протоколов сетевого уровня.
Протокол РРР поддерживает следующие важные функции:
аутентификации удаленного пользователя и сервера удаленного доступа;
компрессии и шифрования передаваемых данных;
обнаружения и коррекции ошибок;
конфигурирования и проверки качества канала связи;
динамического присвоения адресов IP и управления этими адресами.
На основе протокола РРР построены часто используемые при удаленном доступе протоколы РРТР, L2F и L2TP. Эти протоколы позволяют создавать защищенные каналы для обмена данными между удаленными компьютерами и локальными сетями, функционирующими по различным протоколам сетевого уровня — IP, IPX или NetBEUI. Для передачи по телефонным каналам связи пакеты этих протоколов инкапсулируются в РРР-кадры. При необходимости передачи через Internet защищенные РРР-кадры инкапсулируются в IP-пакеты сети Internet. Криптозащита трафика возможна как в каналах Internet, так и на протяжении всего пути между компьютером удаленного пользователя и сервером удаленного доступа локальной сети.