Установка і первинне налаштування служби RRAS

 

Службу RRAS не потрібно додавати через вікно додавання Компонент Windows. Ця служба встановлюється при установці системи, але за замовчанням вона відключена. Її необхідно включити і налаштувати.

Натиснемо кнопку "Пуск", виберемо "Всі програми" — "Адміністрування" — "Маршрутизація і видалений доступ". Відкриється консоль управління службою RRAS, виберемо у вікні консолі ім'я сервера, клацнемо правою кнопкою миші і виберемо пункт меню "Налаштувати і включити маршрутизацію і віддалений доступ". Запуститься Майстер встановлення сервера маршрутизації і віддаленого доступу:

  1. Спочатку майстер просить вибрати один з сценаріїв використання служби RRAS (рис. 17). Для нашого прикладу виберемо варіант "Особлива конфігурація" (щоб побачити всі можливості служби).

mhtml:file://C:\Documents%20and%20Settings\Админ\Рабочий%20стол\Матеріали\10\4.mht!http://www.intuit.ru/department/os/sysadmswin/class/free/10/06-19.gif

Рисунок - 17.

  1. Далі для варіанту "Особлива конфігурація" треба вибрати потрібні нам функції служби (відзначимо всі варіанти; рис. 18).

mhtml:file://C:\Documents%20and%20Settings\Админ\Рабочий%20стол\Матеріали\10\4.mht!http://www.intuit.ru/department/os/sysadmswin/class/free/10/06-20.gif

Рисунок - 18.

  1. Натиснемо кнопку "Готово". Майстер запитає, чи запустити службу відразу після налаштування, натиснемо кнопку "Так". Вікно консолі управління службою прийме вигляд, зображений на рис. 19.

mhtml:file://C:\Documents%20and%20Settings\Админ\Рабочий%20стол\Матеріали\10\4.mht!http://www.intuit.ru/department/os/sysadmswin/class/free/10/06-21.gif

Рисунок - 19.

Нам для вивчення служби RRAS буде потрібно не всі встановлені компоненти, тому ми частину компонент розглянемо оглядово, а частину просто видалимо з консолі.

Налаштування прав користувачів для підключення до сервера віддаленого доступу

За відсутності сервера RADIUS (див. нижче) дозвіл на підключення користувача до серверів віддаленого доступу визначається комбінацією Властивостей користувача і Політик віддаленого доступу, що налаштовуються індивідуально для кожного сервера віддаленого доступу.

Якщо домен Active Directory працює в змішаному режимі, то дозволи на віддалений доступ визначаються тільки у Властивостях користувача на закладці "Вхідні дзвінки" (Dial-In). При цьому є тільки два варіанти — дозволити або заборонити (рис. 20). за замовчанням для кожного нового користувача задається заборонне правило. Окрім дозволу/заборони можна також налаштувати Зворотний виклик сервера (Call-back). Тут є три варіанти:

  • "У відповідь виклик не виконується" — при підключенні користувача до сервера віддаленого доступу спочатку встановлюється телефонне з'єднання між модемом користувача і модемом клієнта, якщо доступ дозволений, то встановлюється мережеве з'єднання і користувач отримує можливість працювати в мережі;
  • "Вирішується викликаючим" — в цьому варіанті після встановлення телефонного з'єднання між модемами і перевірки прав доступу система запитає у клієнта ввести номер телефону, з якого підключається даний клієнт, після цього сервер розриває зв'язок і вже самостійно проводить з'єднання з клієнтом по тому номеру телефону, який повідомив цей користувач (даний варіант зручний для мобільних користувачів — користувач економить на телефонному дзвінку і підвищується захищеність доступу, оскільки в ідеалі ніхто, окрім користувача, не повинен знати номер телефону, з якого користувач ініціював з'єднання);
  • "Завжди по цьому номеру" (з вказівкою номера телефону) — даний варіант схожий на попередній, тільки номер телефону вже введений в параметри користувача і сервер передзвонюватиме саме на даний номер (цей варіант буде цікавий домашнім користувачам — тут теж користувач економить на телефонному дзвінку і, крім того, додатковий захист — зловмисникові важко буде підключитися до сервера, навіть якщо йому відомі ім'я і пароль користувача).

mhtml:file://C:\Documents%20and%20Settings\Админ\Рабочий%20стол\Матеріали\10\4.mht!http://www.intuit.ru/department/os/sysadmswin/class/free/10/06-22.gif

Рисунок - 20.

Якщо домен працює в основному режимі Windows 2000 або Windows 2003, то можна або в явному вигляді вирішувати або забороняти доступ до серверів віддаленого доступу, причому до всіх відразу, або настроювати параметри політики віддаленого доступу (рис. 21). Відмітимо, що явні дозволи або явна заборона мають вищий пріоритет, ніж Політики віддаленого доступу.

У основному режимі у Властивостях користувача стають доступні додаткові параметри:

  • "Перевіряти код що дзвонить" (Caller ID) — якщо оператор телефонного зв'язку передає модему номер телефону, з якого був проведений дзвінок, то сервер вирішуватиме підключення тільки при виклику з даного номера (це ще один рівень захисту від зловмисників);
  • "Статична IP-адреса користувача" — при встановленні з'єднання користувачеві призначається фіксована IP-адреса;
  • "Використовувати статичну маршрутизацію" — при встановленні з'єднання користувачеві пересилається вказаний список маршрутизаторів.

mhtml:file://C:\Documents%20and%20Settings\Админ\Рабочий%20стол\Матеріали\10\4.mht!http://www.intuit.ru/department/os/sysadmswin/class/free/10/06-23.gif

Рисунок - 21.

Настройка Властивостей сервера

Знову виберемо у вікні консолі ім'я сервера, клацнемо правою кнопкою миші і виберемо пункт меню "Властивості".

  1. 1. На закладці "Загальні" можна змінити сценарії використання служби:
    • тільки як маршрутизатор (або тільки для локальної мережі, або для локальної мережі і віддалених мереж, підключених через засоби віддалених комунікацій);
    • тільки як сервер віддаленого доступу;
    • комбінація обох варіантів.
  2. На закладці "Безпека" налаштовується використовувані методи перевірки достовірності (аутентифікації) користувачів, що підключаються до служби віддаленого доступу. Служба RRAS системи Windows Server підтримує наступні методи аутентифікації (по ступеню зростання захищеності даної процедури):
    • без перевірки достовірності — при даному варіанті взагалі не перевіряються ім'я і пароль користувача, а також права доступу користувача до служби RRAS (у жодному випадку не рекомендуємо використовувати на практиці даний метод, оскільки він відкриває можливість підключення до корпоративної мережі будь-якому користувачу, який має інформацію про точку підключення, наприклад, номера телефонів на модемному пулі);
    • протокол PAP (Password Authentication Protocol) — найпростіший протокол, успадкований від старих версій служб віддаленого доступу (реалізованих не тільки в системі Windows), при даному протоколі ім'я і пароль користувача передаються через засоби комунікацій відкритим текстом, за замовчанням даний метод аутентифікації відключений;
    • протокол SPAP (Shiva Password Authentication Protocol) — використовує протокол шифрування паролів, розроблений компанією Shiva (у минулому — один з розробників засобів віддаленого доступу), алгоритм шифрування паролів слабкіший, ніж в методах CHAP і MS CHAP, за замовчанням цей метод також відключений;
    • протокол CHAP (Challenge Handshake Authentication Protocol) — для шифрування пароля використовується метод хешування MD-5 (по мережі передається значення хэш-функції пароля), даний протокол є одним з галузевих стандартів і реалізований в багатьох системах віддаленого доступу, його рекомендується використовувати при підключенні клієнтів, що працюють не на платформі Windows, за замовчанням також відключений;
    • протокол MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) — версія протоколу CHAP, реалізована корпорацією Microsoft з хэш-функцією MD-4;
    • протокол MS-CHAP версії 2 (Microsoft Challenge Handshake Authentication Protocol version 2) — посилена версія MS CHAP (довший ключ шифрування при передачі пароля, обчислення нового ключа при кожному новому сеансі підключення, взаємна аутентифікація користувача і сервера віддаленого доступу);
    • протокол розширеної перевірки достовірності ЕАР (Extensible Authentication Protocol) — дозволяє використання смарт-карт при аутентифікації користувача (потрібні сертифікати як для сервера RRAS, так і для користувачів).

Клієнт віддаленого доступу, наявний в системах Windows, при підключенні до сервера віддаленого доступу завжди починають використовувати найзахищеніший метод аутентифікації. Якщо на сервері не реалізований запрошуваний протокол аутентифікації, клієнт пробує менш захищений протокол. І так до тих пір, поки не буде підібраний протокол, підтримуваний обома сторонами.

Окрім вказаних протоколів можна здійснювати підключення до служби RRAS за допомогою служби RADIUS (розглянемо нижче).

На цій же закладці настроюється використання служби обліку сеансів користувачів (служба обліку Windows, служба обліку RADIUS, або відсутність служби обліку), за умовчанням — служба обліку Windows.

І тут же задається загальний секрет при використанні протоколу L2TP для організації віртуальних приватний мереж (VPN). Можливість використання загального секрету для VPN на базі протоколу L2TP є тільки в Windows Server 2003, у версії Windows 2000 протокол L2TP можна було використовувати тільки за наявності сертифікатів для обох сторін приватної мережі.

  1. На закладці "IP" настроюється дозвіл маршрутизації IP-пакетів між комп'ютером клієнта і корпоративною мережею (за замовчанням) і задається спосіб формування пулу IP-адрес, що видаються RRAS-сервером клієнтам, що підключаються до нього.

Є два способи формування пулу — використання сервера DHCP, встановленого в корпоративній мережі, і завдання пулу IP-адрес на самому сервері віддаленого доступу (при цьому способі 1-а IP-адреса з пулу буде призначена інтерфейсу "Внутрішній" на самому сервері RRAS, а адреси, що залишилися в пулі, призначатимуться RRAS-клиентам)

  1. Закладка "PPP". Тут дозволяється або забороняється використання багатоканальних підключень протоколу PPP (multilink PPP). Протокол PPP дозволяє використовувати декілька комунікаційних каналів (наприклад, декілька комутованих телефонних ліній і, відповідно, одночасне використання декількох модемів на серверній і на клієнтській стороні) як одне підключення з відповідним збільшенням пропускної спроможності і призначенням по одному IP-адресу на стороні клієнта і сервера. При цьому можливе використання динамічного управління пропускною спроможністю (за допомогою протоколів BAP/BACP, Bandwidth Allocation Protocol/ Bandwidth Allocation Control Protocol), які дозволяють при зростанні трафіку активізувати додаткові телефонні лінії з наявного пулу телефонних ліній, а при зменшенні трафіку — відключати телефонні лінії.
  2. Закладка "Ведення журналу". На цій закладці налаштовуються рівень протоколювання подій, пов'язаних з сеансами роботи віддалених користувачів.