Сеть и удаленный доступ к сети

       

Защитные узлы


Защитный узел — это устройство проверки подлинности, которое проверяет, разрешено ли данное подключение к серверу удаленного доступа. Такая проверка дополняет средства безопасности, предоставляемые компонентом «Сетевые подключения» и системой Windows 2000 Server. Существует два типа защитных узлов.

  • Узлы, выполняющие проверку подлинности при модемных вызовах.

    Защитные узлы этого типа располагаются между клиентом и сервером удаленного доступа и выполняют свою проверку до проверки подлинности сервером удаленного доступа. Такие узлы обычно образуют дополнительный уровень защиты, требуя от клиента наличия некоторого аппаратного ключа. Только после проверки этого ключа может быть предоставлен доступ к серверу удаленного доступа. Подобная открытая архитектура позволяет системному администратору выбрать из списка нужный защитный узел, дополняющий средства безопасности компонента «Сетевые подключения», однако следует учесть, что проверка подлинности ограничена только модемными вызовами.

    Например, одна из таких систем безопасности состоит из двух аппаратных устройств: узла защиты и карточки безопасности. Узел защиты устанавливается между сервером удаленного доступа и его модемом. Карточка безопасности представляет собой небольшое устройство размером с кредитную карточку, похожее на карманный калькулятор без клавиш. Карточка безопасности показывает меняющийся каждую минуту код доступа. Этот код синхронизируется с аналогичным кодом, вычисляемым каждую минуту защитным узлом. При подключении пользователь передает на узел свой PIN-код и код, показываемый карточкой безопасности. Если указанные данные совпадают с кодом, вычисленным защитным узлом, последний разрешает подключение к серверу удаленного доступа.

    Другие защитные узлы того же типа запрашивают у клиента имя пользователя (которое может не совпадать с именем пользователя службы удаленного доступа) и пароль (отличающийся от пароля для удаленного доступа). Защитный узел должен быть настроен так, чтобы сервер удаленного доступа мог инициализировать модем до выполнения процедур системы безопасности.
    Кроме того, сервер удаленного доступа должен иметь возможность непосредственно инициализировать модем, подключенный к защитному узлу, не подвергаясь проверкам этого узла.

  • Узлы, вызываемые в процессе проверки подлинности.

    Узлы этого типа выполняют специальные виды проверки в процессе проверки подлинности службы удаленного доступа. Такая проверка может как дополнять, так и замещать стандартную проверку идентификационных данных пользователя сети XOX службой маршрутизации и удаленного доступа. Примерами защитных узлов такого типа являются серверы RADIUS, выполняющие проверку подлинности пользователей от имени службы маршрутизации и удаленного доступа. С появлением протокола Extensible Authentication Protocol (EAP) независимые разработчики получили возможность создавать интерфейсы между системой проверки подлинности при удаленном доступе и своими серверами. Такие серверы используются для проверки смарт-карт и других видов удостоверений.



Примечание

Чтобы с данным подключением могли работать и другие устройства безопасности, включите режим терминала для взаимодействия с защитным узлом. Дополнительные сведения см. в разделе Вход на удаленный компьютер с помощью окна терминала.

  • Если служба RRAS запускается из командной строки, для правильной работы службы необходимо также настроить порты в брандмауэре Windows. Для этого на вкладке Исключения брандмауэра Windows нажмите кнопку Добавить порт и откройте следующие порты: порт 1723 для PPTP – TCP, порт 1701 для L2TP – UDP и порт 500 для IKE – UDP. Чтобы открыть эти порты только для конкретного подключения, используйте раздел Параметры сетевого подключения на вкладке Дополнительно.



  • Содержание раздела