1.1.4 Протоколы удаленного доступа
Протоколы удаленного доступа управляют установлением соединения и передачей данных по WAN-каналам. Выбор протокола удаленного доступа на клиентском компьютере диктуется тем, какая операционная система и какие LAN-протоколы установлены на клиенте и сервере удаленного доступа.
Существует три типа протоколов удаленного доступа, поддерживаемых Windows 2000.
1. РРР (Point-to-Point Protocol) — стандартный набор протоколов, обеспечивающий максимальную защиту, поддержку множества протоколов и взаимодействие с другими операционными системами.
2. SLIP (Serial Line Internet Protocol) используется на устаревших версиях серверов удаленного доступа.
3. Microsoft RAS (также называемый Asynchronous NetBEUI, или AsyBEUI) - протокол удаленного доступа, используемый унаследованными клиентскими системами Microsoft, например Windows NT 3.1, Windows for Workgroups, MS-DOS и LAN Manager.
1.2 Элементы защиты удаленного доступа
Поскольку клиент удаленного доступа бесшовно подключается к сети и содержащимся в ней конфиденциальным данным, при удаленном доступе очень важно обеспечить должную защиту. Windows 2000 предусматривает самые разнообразные средства защиты, в том числе защищенную аутентификацию пользователей, взаимную аутентификацию (клиента и сервера), шифрование данных, ответный вызов и идентификацию звонящего.
1.2.1 Защищенная аутентификация пользователей
Защищенная аутентификация пользователей достигается за счет обмена удостоверениями (учетными данными) пользователей в шифрованном виде и поддерживается РРР в сочетании с одним из протоколов аутентификации: ЕАР (Extensible Authentication Protocol), MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) версий 1 и 2, CHAP (Challenge Handshake Authentication Protocol) или SPAP (Shiva Password Authentication Protocol). Сервер удаленного доступа можно настроить так, чтобы он требовал применения защищенной аутентификации. Если клиент удаленного доступа не в состоянии выполнить это требование, его запрос на соединение отклоняется.
1.2.2 Неаутентифицируемые соединения
Windows 2000 также поддерживает иеаутснтифицируемые РРР-соединения. При установлении таких соединений этап аутентификации пропускается. Ни клиент удаленного доступа, ни сервер удаленного доступа не обмениваются своими удостоверениями. К использованию неаутентифицируемых соединений следует относиться очень внимательно, так как они предоставляются без проверки идентификации удаленных клиентов.
Неаутентифицируемые соединения желательны в двух случаях:
1. При аутентификации на основе ANI/CLI (Automatic Number Identification/Calling Line Identification). В этом случае аутентификация осуществляется по номеру телефона клиента. ANI/CLI возвращает получателю вызова номер телефона клиента — такая услуга предоставляется большинством телефонных компаний. Аутентификация на основе ANI/CLI отличается от аутентификации по идентификатору звонящего. При аутентификации по идентификатору звонящего клиент передает имя и пароль пользователя. Идентификатор звонящего, который настраивается в параметрах входящих звонков в окне свойств учетной записи пользователя, должен совпадать с идентификатором, указываемым при попытке подключения; в ином случае попытка подключения игнорируется. А при аутентификации на основе ANI/CLI имя и пароль пользователя не применяются.
2. Аутентификация гостей. В качестве идентификации клиента используется учетная запись Guest (Гость).
1.3 LAN-протоколы
Это протоколы, используемые клиентом удаленного доступа для обращения к ресурсам в сети, к которой подключен сервер удаленного доступа. Средства удаленного доступа в Windows 2000 поддерживают TCP/IP, IPX, AppleTalk и NetBEUI.
1.3.1 TCP/IP
Для настройки ТСР/IP-клиента удаленного доступа в IPCP-процессе согласования сервер удаленного доступа назначает клиенту IP-адрес и сообщает IP-адреса DNS- и WINS-серверов.
1.3.2 Назначение IP-адреса
Чтобы выделить IP-адрес клиенту, сервер удаленного доступа использует либо DHCP (Dynamic Host Configuration Protocol), либо статический пул IP-адресов.
1.4 DHCP и автоматическое назначение частных IP-адресов
Если сервер удаленного доступа настроен на получение IP-адресов через DHCP, то DHCP-сервер выделяет службе маршрутизации и удаленного доступа 10 IP-адресов. Сервер удаленного доступа использует для интерфейса сервера RAS первый, полученный от DHCP адрес, а остальные адреса назначает по мере подключения новых ТСР/IР-клиентов удаленного доступа. Освобождающиеся при отключении клиентов IP-адреса используются повторно.
Если сконфигурирован статический пул IP-адресов, сервер удаленного доступа использует первый IP-адрес из первого диапазона адресов для интерфейса RAS-cepвера, а последующие адреса присваиваются по мере подключения новых TCP/IP-клиентов удаленного доступа. IP-адреса, освобожденные в результате отключения клиентов удаленного доступа, используются повторно.
2. ПРАКТИЧЕСКАЯ ЧАСТЬ
2.1 Сервер подключения к Интернету.
1. В меню Пуск(Start) раскрыл меню Программы(Programs), Администрирование(Administrative Tools) и запустил оснастку Маршрутизация и удалённый доступ( Routing and Remote Access)(Рисунок 1).
Рисунок 1. Запуск службы RRAS
2. Правой кнопкой мыши щёлкнул на имени сервера и в контекстном меню выбрал команду Настроить и включить маршрутизацию и удалённый доступ(Configure and Enable Routing and Remote Access) (Рисунок 2).
Рисунок 2. Настройка и включение маршрутизации и удаленного доступа
3. В диалоговом окне приветствия мастера установки сервера маршрутизации и удалённого доступа (Routing and Remote Access Server Setup Wizard) нажал кнопку Далее(Next) (Рисунок 3).
Рисунок 3. Мастер настройки сервера
4. В диалоговом окне Общие параметры (Common Configurations) выбрал конфигурацию Сервер подключения к Интернет и нажал кнопку Далее (Next) (Рисунок 4).
Рисунок 4. Окно общие параметры
5. В диалоговом окне Установка сервера подключения к Интернет для более полного администрирования сервера выбрал параметр "Установить маршрутизатор с протоколом преобразования сетевых адресов (NAT)" и нажал кнопку Далее (Next) (Рисунок 5).
Рисунок 5. Окно установка сервера подключения к Интернет
6. В диалоговом окне Подключение к Интернет выбрал внешнее подключение в Интернет и нажал кнопку Далее (Next) (Рисунок 6).
Рисунок 6. Окно подключения к Интернет
7. В окне завершения конфигурирования сервера нажал кнопку Готово (Finish) (Рисунок 7).
Рисунок 7. Завершение работы мастера
8. Чтобы назначить IP-адреса клиентам, зашёл в IP-маршрутизация/NAT-преобразование сетевых адресов. В этом окне видны используемые интерфейсы преобразования сетевых адресов. Щёлкнул правой кнопкой на NAT-преобразование сетевых адресов и в контекстном меню выбрал Свойства (Рисунок 8).
Рисунок 8. Свойства NAT
9. На вкладке Назначение адресов выставил галку Автоматически назначать IP-адреса с использованием DHCP и указал необходимый диапазон адресов (Рисунок 9).
Рисунок 9. Вкладка назначение адресов
10. Для использования службы DNS на вкладке Разрешение имён в адреса поставил галку для клиентов, использующих службу DNS и подтвердил изменение параметров кнопкой ОК (Рисунок 10).
Рисунок 10. Вкладка разрешение имен в адреса
2.2 Сервер удалённого доступа
1. В меню Пуск(Start) раскрыл меню Программы(Programs), Администрирование(Administrative Tools) и запустил оснастку Маршрутизация и удалённый доступ( Routing and Remote Access) (см. приложение 1 рисунок 11).
2. Правой кнопкой мыши щёлкнул на имени сервера и в контекстном меню выбрал команду Настроить и включить маршрутизацию и удалённый доступ(Configure and Enable Routing and Remote Access) (см. приложение 1 рисунок 12).
3. В диалоговом окне приветствия мастера установки сервера маршрутизации и удалённого доступа (Routing and Remote Access Server Setup Wizard) нажал кнопку Далее(Next) (см. приложение 1 рисунок 13).
4. В диалоговом окне Общие параметры (Common Configurations) выбрал конфигурацию Сервер удалённого доступа (Remote Access Server) и нажал кнопку Далее (Next) (см. приложение 1 рисунок 14).
5. В диалоговом окне Установка сервера удалённого доступа выбрал тип конфигурации Установка расширенного сервера удалённого доступа и нажал кнопку Далее (Next) (см. приложение 1 рисунок 15).
6. В диалоговом окне Протоколы удаленных клиентов (Remote Client Protocols) проверил, что в списке присутствуют все протоколы, требуемые для работы удаленных клиентов, и нажал кнопку Далее (Next) (см. приложение 1 рисунок 16).