关于远程访问的安全性,前面已经进行了大量的介绍。这里以Windows2000为例,对远程访问安全进行较为系统的总结。 远程访问客户机连接远程访问服务器的过程 远程访问客户机连接Windows远程访问服务器的过程如下(这里假定使用Windows身份验证,使用MS-CHAP验证方法)。 (1)远程访问客户机拨打远程访问服务器。 (2)服务器向客户机发送质询。 (3)客户机给服务器发送加密的应答,其中包含用户名、域名和密码。 (4)服务器根据正确的用户账户数据库检查该响应。 (5)如果用户账户有效,服务器将使用该用户账户的拨入属性和远程访问策略来授权连接。 (6)如果启用了回拨,则服务器将回拨客户机,并继续连接协商过程。 (7)建立连接之后。远程访问客户机将享有所用账户的安全权限。像LAN用户一样来访问资源。 4.10.2 远程访问的安全措施 下面综述Windows2000服务器用于实现远程访问安全性的主要措施。 1.身份验证 身份验证主要是验证连接尝试凭据,通过使用身份验证协议,以明文或加密的形式,在远程访问客户机和远程访问服务器之间传送凭据,如用户名、密码。 2.授权 授权是验证连接尝试是否被免许。在身份验证成功后,授权才会发生。对于Widnows2000,授权是由用户账户和远程访问策略上的拨入属性所决定的。 即使使用有效的凭据,连接尝试可能通过了身份验证,但是仍有可能末被授权。在这种情况下,连接尝试便被拒绝。如果连接尝试既通过了身份验证又通过了授权,则连接尝试将被接受。 如果远程访问服务器被配置为windows身份验证,对于身份验证,是使用widows2000安全性来验证凭据。对于授权,则使用用户账户的拨入属性和本地存储的远程访问策略。如果将远程访问服务器配置为RADIUS身份验证,则连接尝试的凭据将被传送到RADIUS服务器,以进行身份验证和授权。 3.数据加密 可以使用数据加密来保护在远程访问客户机和服务器之间传输的数据。对于金融机构。政府部门、军事部门以及安全性要求高的企业,数据加密是十分重要的。可以设置远程访问服务器以请求加密通信,使连接到该服务器的远程用户必须加密数据,否则将被拒绝连接。 对于拨号网络连接。Windows2000使用附。Microsoft点对点加密(MPE)协议。这需要在远程访问策略配置文件属性的加密选项。MPPE可以配置为使用40位、56位或128位密钥,以设置不同的加密强度。只有使用MS-CHAP(版本1或版本2)或EAP-TLS身份验证协议时,PPP连接可以使用MPPE进行数据加密。 4.呼叫方ID 当通过使用呼叫方ID功能设置拨入安全性时,需要指定用户拨入时必须使用的电话号码。如果用户没有使用该指定的电话号码拨入,远程访问服务器就会拒绝连接。呼叫方ID功能强制朋户只能从特定的电话线路拨入。 5.回拨 这是一种辅助安全措施。当使用回拨功能时,用户连接到远程访问服务器上。并经身份验证和授权之后。远程访问服务器将断开呼叫,稍后回拨预先设置的回拨号码。如果设置不回拨功能,直到用户完成身份验证、授权和回拨之后,客户机和远程访问服务器之间才能建立正式连接。可以在用户账户拨入属性或远程访问策略中设置回拨功能。 6.账户锁定 可以使用账户锁定特性来限制用户尝试密码的次数,防止非法用户通过恶意猜测密码来窃取账户信息。启用了账户锁定之后,在指定失败尝试的次数之后,该账户将被锁定,在一定期限内,即使知道正确密码,也不能持该账户登录。 可以通过更改计算机的Wimdows2000注册表中提供身份验证的设置,来配置账户锁定功能。如果远程访问服务器被配置为用于Windows身份验证,应修改远程访问服务器计算机上的注册表。如果远程访问服务器被配置为用于RADIUS身份验证,并且使用的是IAS服务器,应修改IAS服务器计算机上的注册表。 启用账户锁定 要启用账户锁定,必须将以下注册表项的值(表示最大拒绝次数,即账户被锁定之前,允许失败尝试的最大次数)设为非零值。 HKEV一LOCAL一MACHINE\SYSTEM\CurrentControlSetServices\RemoteAccess\Parameters\AccountLockout\MaxDenial 默认情况下,该值设置为0,这意味着禁用账户锁定。 调整复位时间 当失败尝试计数器的值小于配置的最大值时,一次成功的身份验证可以将它复位为零。换句话说,失败尝试计数器不会在成功的身份验证的基础上积累。必须定期地复位失败尝试计数器,以防止由于用户的常规错误(如输入密码时的失误)而将账户锁定。对以下注册表项的值进行修改来调整设为非零值。 为改变在失败尝试计数器复位的时间间隔。单位是分钟。 HKEY_VLOCAL_MACHINE\SYSTEM\ControlSet\ServicesRemoteAccess\Parameters\AccountLockout\ResetTime 默认情况下,复位时间间隔设置为0xb40(十六进制),即2880分钟(48小时)。 手动复位被锁定的账户 要在失败尝试计数器自动复位之前。手动复位被锁定的用户账户,应删除以下与用户账户名称对应的注册表子项; HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ServicesRemoteAccess\Parameters\AccountLockout\domain name:user name 其中domain name和user name分别表示域名和用户名。 远程访问账户锁定只限于远程访问,与用户账户属性的"账户"选项卡上的"账户锁定"设置无关。若账户被远程访问服务器锁定之后,本地LAN用户仍然可以使用该账户登录。 问题解答 Windows2000Server远程访问提供以下新特性。 与Windows2000 Active Directory紧密集成。 提供基于MS-CHAP v2的身份验证方法。 提供可扩展的身份验证协议(EAP),尤其便于基于智能卡的安全部署。 支持带宽分配协议(BAP)和带宽分配控制协议(BACP),根据带宽需要动态调整多链路。 提供远程访问策略。 支持RADIUS客户。 支持AppleTalk Macintosh远程访问客户机。 支持IP多播,可在远程访问客户机和Internet(或企业网络)之间转发IP多播通信。 ■ 如何避免策略配置文件设置与服务器属性设置的冲突 远程访问策略配置文件的属性和远程访问服务器的属性都包含一些关键设置,如多链路、带宽分配协议和身份验证协议,如果设置不当,它们之间的冲突将导致连接不成功。 这里有一个基本原则。远程访问服务器属性设置是基础。如果是它禁用的选项,即使在策略配置文件中启用,连接尝试也将被拒绝;如果是它启用的选项,策略配置文件中可以启用,也可禁用,而且优先采用策略配置文件。 例如,如果远程访问策略配置文件指定必须使用EAP-TLS身份验证协议,而远程访问服务器上的EAP被禁用,则连接尝试将被拒绝。远程访问服务器允许使用MS-CHAP和MS-CHAPv2两种身份验证协议,而在策略配置文件中只允许MS-CHAPv2,则最终只允许使用MS-CHAPv2验证方法。 可能有两种原因,一是路由设置错误,二是不能进行正确的名称解析。 检查远程访问服务器上的路由功能设置,确认是否启用IP路由,以允许访问与远程服务器连接的网络资源。对于远程用户IP地址位于独立子网的情况,应当设置相应的路由项,确保远程访问客户机能够路由到与远程访问服务器连接的网络。 在客户端使用ipconfig命名查看TCP/IP设置,看是否为远程访问客户机配置了DNS或WINS服务器。 ■ 为什么要慎用账户锁定 账户锁定特性不能区分怀有恶意的用户和尝试访问但忘记了当前密码的合法用户。忘记当前密码的用户通常会尝试所记得的密码,而根据尝试次数和最大拒绝次数设置,也可能将他们的账户锁定。如果启用了账户锁定特性,非法用户知道账户名称后"可能会对用户账户进行多次恶意尝试身份验证,直到账户锁定为止,从而故意将用户账户锁定,阻止了合法用户的登录。 ■ 能否对远程访问实现端对端加密 远程拨号连接的数据加密只能对在远程访问客户机和远程访问服务器之间传输的数据进行加密,相当于建立一条安全的网络线路,它工作在链路层(第2层)。在Windows2000解决方案中,这是通过Microsoft点对点加密(MPPE)协议与MS-CHAP(或EAP-TLS)身份验证协议一起来实现的。 而端对端加密是指对源主机与最终目标之间的数据进行加密,它工作在网络层(第3层)。在远程访问连接后,可以使用IPSec对远程访问客户机到目标主机(可以是网络中的计算机)的数据进行加密。关于IPSec安全实现,请参见本书的第9章。 ■ 如何实现远程访问的名称解析 除了需要分配IP地址以外,TCP/IP网络上的远程访问服务器和客户机还需要将计算机名称解析为IP地地。 对于远程访问服务器来说,一般使用DNS服务器和Hosts文件来进行主机名称解析,也有使用WINS服务器和Lmhosts文件来进行NetBIOS名称解析的。 远程访问服务器将其LAN接口的DNS和WIN
[1] [2]
(出处:http://www.sheup.com)
[1] [2]