بررسی شبكه بندی خصوصى مجازى Vpn تحت ويندوز سرور 2003

واضح آرشیو وب فارسی:سایت ریسک: Mohammad12-08-2007, 11:28 PMاين مقاله یك ديد كلى از شبكه‌ بندى خصوصى مجازى و تكنولوژيهاي شبكه خصوصى مجازى1(---) که به وسيله ويندوز سرور 2003 و ويندوزXP پشتيبانى مي شوند ، ارائه مي دهد. پروتکل تونل کشی نقطه به نقطه و پروتکل تانالينگ لايه دو با امنيت پروتکل اينترنت به عنوان دو روش استاندارد براي اتصالات --- شرح داده شده است. همچنين در اين مقاله مجموعه ويژگيهایي که در ويندوز سرور 2003 و ويندوز XP تواناييهاى امنيتي پيشرفته و مديريت اتصالات شبكه خصوصى مجازى را ساده مي کند شرح داده شده است. مقدمه يك شبكه خصوصى مجازى بسط و توسعه يك شبكه خصوصى است كه اتصالات شبكه‌هاى اشتراكى يا عمومى مانند اينترنت را در بر مي گيرد. يك شبكه خصوصى مجازى شما را قادر مي كند اطلاعات را بين دو كامپيوتردر طول يك شبكه اشتراكى يا عمومى بفرستيد در حالتي كه با خصوصيات يك اتصال خصوصى نقطه به نقطه4 برابری بکند. شكل دادن و به وجود آوردن يك شبكه خصوصى مجازى را شبكه‌سازى خصوصى مجازی گویند. براى رقابت و برابري با يك اتصال نقطه به نقطه، اطلاعات كپسوله يا پوشانده شده و به آن يك هدر5 اضافه می شودكه با فراهم كردن اطلاعات مسيريابى اجازه مي دهد تا داده مسير شبكه عمومي يا اشتراكي را پيموده و به نقطه پاياني6برسد. براى رقابت كردن و برابري با يك اتصال خصوصى، اطلاعات به صورت محرمانه رمزگذاري شده است. بسته‌هايي كه روى شبكه اشتراكى يا عمومي محافظت شده اند بدون كليدهاى رمز غيرقابل كشف هستند. بخشي از ارتباط كه داده هاي خصوصى در آن كپسوله شده است معروف به تونل7 است و بخشي از ارتباط كه داده هاي خصوصى در آن رمزنگاري شده است معروف به اتصال شبكه خصوصى مجازى است. اتصالات شبكه خصوصى مجازى اجازه مي دهند استفاده‌كنندگان در خانه يا در جاده به سرور يك سازمان راه دور به يك شيوه محفوظ و امن از طريق اطلاعات مسيريابي شبكه عمومي (مانند اينترنت) وصل شده و كار كنند. از ديد استفاده‌كنندگان، ارتباط شبكه خصوصى مجازى يك اتصال نقطه به نقطه بين كامپيوتر كاربر و سرور يك سازمان راه دور است. كاربر چنين تصور مي كند كه داده ها از طريق يك اتصال كاملا اختصاصي فرستاده مي شوند. http://ictir.net/upload/2007/08/virtual_private_networking_with_windows_server_200 3_overview/windows2003_---_1.jpg مچنين تكنولوژى شبكه خصوصى مجازى به يك شركت اجازه مي دهد‏‏ ضمن حفظ كردن ارتباطات محرمانه به دفاتر شعبه هايش يا به كمپانيهاى ديگر روى يك شبكه عمومى از قبيل اينترنت وصل شود. ارتباط شبكه خصوصى مجازى از ميان اينترنت منطقاً به عنوان يك اتصال شبكه گسترده ميان سايت ها عمل مي كند. در هردوى اين موارد، ارتباط محفوظ و امن از ميان شبكه براي استفاده‌كننده به عنوان يك ارتباط شبكه خصوصى به نظر می رسد - با وجود اينكه اين ارتباط روي يك شبكه عمومي اتفاق مي افتد - از اين رو، شبكه خصوصى مجازى نام گرفته است. تكنولوژى شبكه خصوصى مجازى براي رساندن فعاليت هاي تجاري جاري به اين مرحله طراحي شده است كه آنها به صورت روزافزون تر از ارتباط راه دور و انتشار وسيع عمليات سراسري استفاده كنند‏؛ جايى كه شاغلين بايد قادر باشند به منابع مركزى وصل شده و قادر باشند با يكديگر ارتباط برقرار بكنند. براى فراهم كردن امكان وصل شدن كارمندان به منابع محاسباتي سازمان صرف نظر از موقعيت جغرافيايی آنان يك شركت بايد يك راه‌حل دستيابى از دور مطمئن را گسترش دهد. به طور نمونه، شركت‌ها يا يك راه‌حل دپارتماني انتخاب مي كنند، يعني يك دپارتمان سيستمهاى اطلاعاتى داخلى، مسئوليت خريد و نصب‌ و نگهدارى مودم سازمان و زير سازي شبكه خصوصي را به عهده مي گيرد؛ يا اينكه آنها يك راه حل شبكه ارزش-افزوده8 را انتخاب مي كنند، يعني هزينه خريد‏‏‏‏‏‏‏‏‏ ، ‏نصب و نگهداري مودم ها و زير سازي ارتباط از راه دور را به يك كمپانى ديگر مي پردازند تا اين كمپاني تمام كارها را برايشان انجام دهد. هيچ يك از اين راه‌حلها نياز هاي ضروري را به ازاى هزينه و اداره انعطاف‌پذير فراهم نمي كنند و نياز به اتصالات اضافي دارند. بنابراين، نياز به جايگزيني اين دو روش با يك روش با هزينه كمتر و مبتني بر تكنولوژي اينترنت احساس مي شود؛ بطوريكه شركت ها روي قابليت هاي اصلي خود تمركز كنند. با اين راه‌حل، تعداد كمي اتصال اينترنت ميان ISP ها و كامپيوترهاى سرور شبكه خصوصى مجازى مي توانند براي شبكه‌سازى راه دور براي صدها و حتي هزاران كلاينت يا شعبه راه دور بكار رود. موارد استفاده متداول --- در بخش زير انواع متداول --- شرح داده مي شود: 1. دستيابى از دور از طريق اينترنت --- ها امكان دستيابى از دور به منابع سازمان را از طريق شبكه عمومي اينترنت با حفظ اختفاء اطلاعات فراهم مي كنند. تصوير زیر يك ارتباط --- را كه براي اتصال يك كلاينت راه دور به اينترانت يك سازمان بكار رفته است نشان مي دهد كه به آن اتصال --- دسترسي از راه دور گفته مي شود. به جاى ايجاد يك ارتباط راه دور با فاصله زياد با سازمان يا سرور دسترسي به شبكه راه دور (9(NAS، استفاده كننده مي تواند به ISPمحلي وصل شود. با استفاده از اتصال به ISP محلي، كلاينت --- يك اتصال --- بين كامپيوتر دسترسي راه دور و سرور --- سازمان روي شبكه اينترنت ايجاد مي كند. 2. اتصال شبكه‌ها از طريق اينترنت دو روش براى استفاده از --- براي اتصال شبكه هاي محلي راه دور وجود دارد: استفاده از خطوط اختصاصي براي اتصال شعبه هاي سازمان به شبكه LAN سازمان براى مثال، به جاى اينكه يك مدار اختصاصي راه دور گران بين شعبه هاي سازمان و هاب شركت ایجاد شود، هر دوي آنها مي توانند از يك مدار اختصاصي و ISP محلي براي اتصال به اينترنت استفاده كنند. نرم‌افزار --- از ISP محلي و اينترنت براي ايجاد يك شبكه خصوصى مجازى بين شعبه هاي سازمان و هاب شركت استفاده مي كنند. استفاده از يك خط dial-up براي اتصال شعبه هاي سازمان به اينترنت به جاى اينكه مسيرياب (روتر) شعبه ی شركت، يك ارتباط راه دور با فاصله زياد با سازمان يا سرور دسترسي به شبكه راه دور (NAS) برقرار كند، مي تواند به يك ISP محلي وصل شود. كلاينت --- از اتصال ISP محلي براي ايجاد يك ارتباط --- بين روتر شعبه سازمان و روتر شركت در طول اينترنت استفاده مي كند كه اين عمل به يك ارتباط شبكه خصوصى مجازى سايت به سايت‌ معروف است. در هر دو حالت، امكانات و تسهيلاتي كه شعب شركت و خود شركت را به اينترنت وصل مي كند محلى هستند. مسيرياب شركت كه به عنوان يك سرور --- عمل مي كند بايد از طريق يك خط اختصاصي‌ به اينترنت وصل ‌شده باشد. اين سرويس‌دهنده شبكه خصوصى مجازى بايد 24 ساعته به ترافيك شبكه خصوصى مجازى واردشونده گوش دهد. http://ictir.net/upload/2007/08/virtual_private_networking_with_windows_server_200 3_overview/windows2003_---_2.jpg 3. اتصال كامپيوترها روي يك اينترانت در بعضي از شبكه بندي هاي سازماني، ممكن است داده هاي بخشي از سازمان خيلي حساس بوده و LAN آن بخش از سازمان به بقيه شبكه سازمان متصل نباشد. اگرچه اين امر داده هاي محرمانه سازمان را محافظت مي كند اما براي استفاده كنندگاني كه به طور فيزيكي به LAN جداگانه اي متصل نيستند در مورد دسترسي به اطلاعات مشكلاتي پيش مي آيد. --- ها به LAN دپارتمان اجازه مي دهند تا به صورت فيزيكي به شبكه داخلي سازمان متصل باشند اما توسط يك سرور --- از شبكه تفكيك شوند. سرور --- به عنوان يك مسيرياب بين شبكه داخلي سازمان و LAN دپارتمان عمل نمي كند. يك مسيرياب كه دو شبكه را بهم وصل مي كند، به همه اجازه مي دهد تا به LAN حساس دسترسى پيدا كنند. با استفاده از يك سرور --- ، مدير شبكه مي تواند مطمئن باشد كه روى شبكه داخلي سازمان فقط آن استفاده‌كنندگان كه اعتبارنامه مناسب را دارند (مبنى بر سياست سازمان) مي توانند يك ارتباط --- با سرور --- برقرار بكند و به منابع حفاظت‌شده دپارتمان دستيابى پيدا كنند. علاوه بر اين تمام ارتباطات از ميان --- مي تواند براى حفاظت داده‌ها رمزنگاري شود. آن تعداد از استفاده‌كنندگان كه اعتبار مناسب نداشته باشند، نمي توانند به LAN دپارتمان دسترسي داشته باشند. http://ictir.net/upload/2007/08/virtual_private_networking_with_windows_server_200 3_overview/windows2003_---_3.jpg نيازمندی های اساسی --- معمولا، هنگام مستقر كردن يك راه‌حل شبكه‌سازى راه دور، يك شرکت نیاز دارد دسترسي كنترل ‌شده به منابع سازمان و اطلاعات را تسهيل كند. راه‌حل بايد اجازه بدهدكلاينت هاي دور به LANمنابع وصل شوند. همچنين بايد اجازه دهد دفاتر دور به همديگر متصل شده و منابع و اطلاعات را با هم به اشتراك بگذارند. به علاوه، راه‌حل بايد از اختفا و درستي داده ها با گذر از اينترنت مطمئن باشد. همان نگرانيها در مورد موضوع انتقال داده هاي حساس در طول شبكه داخلي سازمان نيز وجود دارد. بنابراين يك --- بايد حداقل تمام موارد زير را تامين كند: شناسايى كاربر راه‌حل بايد صحت هويت كلاينت --- را بررسي كرده و دسترسي به --- را به كاربران مجاز محدود كند. همچنين بايد اسناد بازبيني و حسابدارى را براي نشان دادن اينكه چه كساني و براي چه مدتي متصل هستند فراهم كند. مديريت آدرس راه‌حل بايد به يك كلاينت شبكه خصوصى مجازى يك آدرس روي اينترانت اختصاص دهد وتضمين كند آدرس هايي كه روى اينترانت استفاده مي شوند، به صورت اختصاصي محفوظ هستند. رمزگذارى داده داده‌هايي كه روي شبكه هاي عمومي حمل مي شوند بايد به صورت غيرقابل خواندن تغيير شكل يابند. مديريت كليد راه‌حل بايد براى داده‌هاى رمزنگاري شده كليد هاي رمزگذاري توليد و بازيابي كند. يك --- مبتنى بر پروتكل PPTP يا پروتكل يا L2TP/IPSec تمام اين نيازمندي ها را برطرف مي كند و از قابليت هاي مفيد اينترنت استفاده مي كند. راه‌حلهاى ديگر، مانند حالت تونلى IPSec، فقط بعضى از اين ملزومات را برطرف مي كنند اما در موقعيت هاي مختلف سودمند خواهند بود. http://ictir.net/upload/2007/08/virtual_private_networking_with_windows_server_200 3_overview/windows2003_---_4.jpg مباني Tunneling يك روش استفاده از زيرساختار يك شبكه براي انتقال داده‌هاى يك شبكه روى شبكه ديگر است. داده‌اي كه بايد انتقال‌يابد (payload) مي تواند فريم ( یا packet) يا پروتكل هاي ديگر باشد. به جاى فرستادن يك فريم كه توسط نود آغازي ايجاد شده‏ پروتكل tunneling فريم را با يك هدر اضافي كپسوله مي كند. هدر اضافي اطلاعات مسيريابي را فراهم مي كند به طوريكه داده كپسوله شده بتواند روي شبكه مياني منتقل شود. سپس بسته‌هاى كپسوله شده بين نقاط پاياني تونل روي شبكه مسيريابي مي شوند. مسير منطقى كه بسته‌هاى كپسوله شده توسط آن روي شبكه منتقل مي شوند تونل (tunnel) ناميده مي شود. وقتى كه فريم هاي كپسوله شده به مقصدشان روى شبكه مي رسند، از حالت كپسوله خارج شده و به سوي مقصد نهایيشان فرستاده مي شوند. Tunneling تمام اين موارد را در بر مي گيرد (كپسوله كردن بسته ها‏، انتقال آنها و از حالت كپسوله درآوردن آنها). http://ictir.net/upload/2007/08/virtual_private_networking_with_windows_server_200 3_overview/windows2003_---_5.jpg شبكه انتقالی مي تواند هر شبكه اي باشد. اينترنت يك شبكه عمومى است و شناخته‌شده‌ترين مثال در اين مورد مي باشد. مثال هاي زيادي از تونلهايي كه عمل انتقال را روي شبكه سازمان انجام مي دهند وجود دارد. تكنولوژى هاى Tunneling مدت زماني است که بوجود آمده اند، از قبيل SNA روي شبكه هاي IP. زمانيكه ترافيك 10SNA روي شبكه ی IP يك سازمان فرستاده مي شود فريم هاي SNA در هدر UDP و IP كپسوله مي شوند. تكنولوژيهاى tunneling جديدی در سالهاى اخير معرفي شده اند. اين تكنولوژيهاى جديد شامل موارد زير هستند: http://ictir.net/upload/2007/08/virtual_private_networking_with_windows_server_200 3_overview/windows2003_---_6.jpg Point-to-Point Tunneling Protocol (PPTP): PPTP اجازه مي دهد تا ترافيك چند پروتكلی، رمزنگاري شده و سپس در يك هدر IP براي فرستادن روي شبكه IP سازمان يا شبكه IP عمومي مانند اينترنت كپسوله شود. Layer Two Tunneling Protocol (L2TP): L2TP اجازه مي دهد تا ترافيك چند پروتكلی، رمزنگاري شده و روي هر واسطي كه تحويل ديتاگرام نقطه به نقطه (point-to-point) را ساپورت مي كند فرستاده شود. IPSec tunnel mode: حالت تونلى IPSec به بسته‌هاى IP اجازه ميدهد رمزنگاري شده و سپس براي فرستادن روي شبكه IP يك سازمان يا روي شبكه IP عمومي مثل اينترنت كپسوله شوند. حالت تونلى IPSec براي اتصال --- راه دور توصيه نمي شود زيرا روش هاي استانداردي براي اهراز هويت كاربر،تخصيص آدرس IP و تخصيص آدرس سرور نام (name server) ندارد. البته استفاده از حالت تونلى IPSec براي اتصالات site-to-site مربوط به --- با كامپيوتر هايي كه از ويندوز سرور2003 استفاده مي كنند امكان پذير است. انواع Tunnel مي توانند به طرق مختلفي ايجاد شوند: ها Tunnel 1. تونلهاى اختیاری (tunnels Voluntary) يك کاربر يا كامپيوتر کلاينت مي تواند براي شکل دادن و ايجاد يک تونل اختياري، درخواست --- صادر بكند. در اين صورت، كامپيوتر کاربر يك نقطه پايان تونلى است و مثل کلاينت تونل رفتار مي كند. 2. تونلهاى اجبارى (Compulsory tunnels) يك سرور دسترسى از طريق شماره‌گيرى ( (dial-up access server شبكه خصوصى مجازى يك تونل اجبارى را شكل داده و به وجود مي آورد. در يك تونل اجبارى، كامپيوتر کاربر يك نقطه پايان تونلى نيست. وسيله ديگر، يعني سرور دسترسى از طريق شماره‌گيرى، بين كامپيوتر کاربر وسرور تونل نقطه پايان تونل است و مثل کلاينت تونل رفتار مي كند. در طول زمان، ثابت شده که تونلهاى اختیاری‌ عامه ‌پسندترند. ويژگيهاي امنيتي پيشرفته --- براى اينكه اينترنت ايجاد اتصالات شبكه خصوصى مجازى را از هر جايى آسان مي كند، شبكه‌ها به ويژگي هاي امنيتي قوى احتياج دارند تا از دسترسى ناخواسته به شبكه‌هاى خصوصى جلوگيري کنند و از اطلاعات خصوصى که در شبکه عمومي منتقل مي شوند محافظت كنند. اهراز هويت کاربر و رمزنگاري داده‌ها قبلا مطرح‌شده بوده‌اند. اين بخش يک ديد كلي از ويژگيهاي امنيتي پيشرفته که مي توانند با اتصالات VPNويندوز سرور 2003 و ويندوزXP استفاده شوند ارائه مي دهد. 1. EAP-TLS و اهراز هویت مبنی بر گواهینامه رمزگذاري متقارن (قراردادى)، يا كليد خصوصي ، مبنى بر يك كليد محرمانه كه است به وسيله طرفين ارتباط به اشتراك گذاشته مي شود.بخش فرستنده با استفاده از كليد محرمانه و با يک سري عمليات رياضى متن ساده را به متن رمزگذاري شده تبديل می کند. گيرنده همان كليد محرمانه را براي رمزگشايى متن رمزنگاري شده به متن ساده استفاده مي کند. نمونه اي از رمزگذاري متقارن الگوريتم RSA RC4 مي باشد که مبناي رمزگذاري نقطه به نقطه ميكروسافت11(MPPE)و رمزگذاري استاندارد داده (DES)12 مي باشد که براي رمزگذاري IPSec استفاده مي شود. رمزگذاري نامتقارن يا كليد عمومي، دو كليد متفاوت براى هر کاربر استفاده می كند:يك كليد خصوصى که فقط براي يک کاربر شناخته شده است؛ ديگرى يك كليد عمومى يکسان است، كه براي هر كسى قابل دسترسى است.كليدهاى خصوصى و عمومى به وسيله الگوريتم رمزگذاري به طور رياضى به يکديگر مربوط هستند. بسته به طبيعت انجام سرويس ارتباط ، يك كليد براى رمزگذاري و ديگرى براى رمزگشايى به كاررفته می رود. به علاوه، تكنولوژيهاى رمزگذاري كليد عمومى به امضاهاى ديجيتالي اجازه مي دهند تا روى پيغام‌ها قرار گيرند. يك امضاى ديجيتال از كليد خصوصى فرستنده براي رمزگذاري بعضي از قسمت های پيغام استفاده مي كند. وقتى که پيغام مي رسد، گيرنده از كليد عمومى فرستنده براي رمزگشايي امضاى ديجيتال و اهراز هويت فرستنده استفاده مي كند. 1-1. گواهينامه‌هاى ديجيتالي (Digital Certificates) با رمزگذاري متقارن، هم فرستنده و هم گيرنده يك كليد محرمانه اشتراكى دارند. توزيع كليد محرمانه بايد پيش از هر ارتباط رمزگذاري شده انجام شود (با حفاظت كافى) .اما، در رمزنگاري نامتقارن، فرستنده يك كليد خصوصى براي رمزنگاري پيغام‌ها يا امضاء ديجيتالي استفاده مي كند، ماداميكه گيرنده يك كليد عمومى براي رمزگشايي اين پيغام‌ها استفاده مي كند. كليد عمومي به صورت آزادانه براي هر كسى كه نياز به دريافت پيغام‌هاي رمزگذاري شده يا به صورت ديجيتالي امضاء شده دارد، توزيع مي شود. فرستنده فقط به كليد خصوصى احتياج دارد که به دقت محافظت مي شود. براي تامين درستى کليد عمومي ، اين كليد با يك گواهينامه منتشر شده است. گواهينامه يك ساختمان داده‌ است که به وسيله يك مرجع صلاحيتدار (13(CA به صورت ديجيتالي امضا شده است ؛ يك مرجع صلاحيتدار كه کاربران مي توانند اعتماد بكنند. گواهينامه شامل يك سرى ارزشها است، از قبيل نام گواهينامه و كاربرد، اطلاعاتي براي تشخيص هويت صاحب كليد عمومي، خود كليد عمومي ، يك تاريخ انقضا و نام منبع موثق گواهينامه. CA از کليد خصوصى خود براي امضاء و تاييد گواهينامه استفاده مي كنند. اگر گيرنده ، كليد عمومي مرجع صلاحيتدار گواهینامه را بشناسد، گيرنده مي تواند تأیيد بكند كه گواهينامه قطعاً از CA مطمئن است و، بنابراين، شامل اطلاعات موثق و يك كليد عمومى معتبر مي باشد. گواهينامه‌ها مي توانند به صورت الكترونيكى قابل توزيع باشند (ازطريق وب يا ايميل)،یا روى كارت‌هاى هوشمند و يا روى فلاپي ديسك‌ها. به طور خلاصه، كليد عمومى، يك روش قابل‌ اعتماد راحت براى تأیيد هويت يك فرستنده فراهم مي كند. IPSecمي تواند اين روش را به طور اختيارى براى تصديق هويت سطح گره (peer-level) استفاده کند. سرورهاي دستيابي از راه دور مي توانند از کليد عمومي بصورتيکه جلوتر شرح داده خواهد شد استفاده کنند. 2-1. پروتکل تصديق قابل توسعه14(EAP) همانطوريکه قبلا شرح داده شد، بسياري از اجرا‌هاى پروتكل نقطه به نقطه ( PPP ) روشهاى اهراز هويت خيلى محدودي را فراهم مي كنند. EAP يک استاندارد IETF براي استاندارد PPP است که براي اعتبارسنجي اتصالات PPP مکانيزم هاي اهراز هويت اختياري فراهم مي کند.EAP براي اين طراحي شده است که به ماژولهاي plug-in اهراز هويت اجازه دهد در دو نقطه انتهايي يک اتصال يعني سرور و کلاينت ، به صورت خودکار اضافه شوند. اين به فروشندگان اجازه مي دهد در هر زمان يك طرح تصديق جديد فراهم کنند. EAP بيشترين انعطاف ‌پذيرى را در يكتايى و تغيير اهراز هويت فراهم مي كند. EAP در RFC 2284 مستند است و در ويندوز سرور 2003 و ويندوز XP پشتيباني شده است. 3-1. امنيت سطح انتقالEAP (EAP-TLS) 15 EAP-TLS يک استاندارد IETF (RFC 2716) براى يك روش اهراز هويت قوى مبنى بر كليد عمومى است. با EAP-TLS، يك کلاينت يك گواهينامه کاربر را به سرور dial-in ارائه ميدهد و سرور يک گواهي نامه به کلاينت ارائه مي دهد. اولا يک تصديق هويت کاربر قوى براي سرور فراهم مي کند؛ ثانيا اطمينان مي دهد كه كاربري که منتظر است، به سرور دسترسي يابد. هر دو سيستم به يك زنجير تصديق هويت مطمئن براي رسيدگي به اعتبار گواهينامه هاي پيشنهاد شده متکي هستند. گواهينامه كاربرمي تواند روى كامپيوترکلاينت --- يا در يك كارت هوشمند خارجى ذخيره‌ شود . در هر حال، گواهينامه نمي تواند بدون بعضي از فرم هاي تشخيص هويت کاربر ( شماره‌ پين يا نام و پسورد) بين كاربر و كامپيوتر کلاينت قابل دسترسي باشد. اين روش دستيابى بعضي از ضوابط و معيارهايي که شما بايد بدانيد و داشته باشيد که توسط بسياري از متخصصين امنيت توصيه مي شوند، تامين مي کند. EAP-TLS در ويندوز سرور 2003 و ويندوزXP پشتيبانى شده است.EAP-TLS مانند MS-CHAP و MS-CHAP v2 يك كليد رمزگذاري برمي گرداند که رمزگذارى داده هاي بعدي را توسط MPPE ممکن مي سازد. 2. کنترل قرنطينه دسترسي شبکه کنترل قرنطينه دسترسي شبکه، يك ويژگى جديد در خانواده ويندوز سرور 2003 است که دسترسي از راه دور نرمال به يك شبكه خصوصى را تا زمانيکه پيكربندى كامپيوتر دستيابى از دور به وسيله اسكريپت تهيه شده توسط مدير ، امتحان واعتبارسنجي نشده به تاخير مي اندازد. هنگاميکه يك كامپيوتر دستيابى از دور يک ارتباط با يک سرور دسترسى از راه دور راه مي اندازد، كاربر اهراز هويت شده و به كامپيوتر دستيابى از دوريک آدرسIP تخصيص داده مي شود.با اين وجود، ارتباطي که در حالت قرنطينه قرار داده‌ شده است، از هر گونه دسترسى به شبكه‌ محدود شده است. اسكريپت تهيه شده توسط مديرروي كامپيوتر دستيابى از دور اجرا مي شود. وقتى كه اسكريپت با موفقيت كامل مى شود، يك مؤلفه را اجراء مي كند كه اطلاع مي دهد كامپيوتر دستيابى از دور رويه‌هاى امنيتي شبكه جارى را تامين مي كند. سرور دسترسى از راه دور حالت قرنطينه را بر مي دارد و كامپيوتر دستيابى از دور دستيابى از دورنرمال را تصديق مي کند. کنترل قرنطينه دسترسي شبکه تركيبي از موارد زير است: يك سرور دسترسى از راه دور ويندوز سرور 2003 و يك سرويس شنونده اطلاع دهنده قرنطينه را اجرا مي کند. يك سرور RADIUS ويندوز سرور 2003 و سرويس شناسايى اينترنت (IAS) 16 را اجراء مي كند که يك رويه دستيابى از دور قرنطينه پيكره‌بندى شده و تنظيمات قرنطينه را نشان مي دهد. يك پروفايل مدير ارتباط توسط كيت اداره مديريت ارتباط ويندوز سرور 2003 ايجاد شده که شامل اسکريپت تامین سياست و خط مشي شبکه و يك مولفه اخطار دهنده مي باشد. يك کلاينت دستيابى از دور كه ويندوز سرور 2003 ، ويندوز XP، ويندوز 2000، ويندوز Millennium يا ويندوز 98 ويرايش دوم را اجراء مي كند. 3. ويژگي قفل حساب دستيابى از دور ويژگي قفل حساب دستيابى از دور براي تعيين کردن اينکه يک تصديق دستيابي راه دور چند بار با يک حساب کاربر معتبر شکست خورده قبل از اينکه کاربر دستيابي راه دور را رد کند، بکار می رود. ويژگي قفل حساب دستيابى از دور مخصوصاً براى اتصالات دستيابى از دور --- از طريق اينترنت مهم است. روى اينترنت کاربران داراى سوء قصد مي توانند براي دسترسي به اينترانت يک سازمان با فرستادن اعتبار نامه (نام کاربري معتبر، پسورد حدسي) در طول پروسه تصديق ارتباط --- تلاش کنند. در طول يك حمله فرهنگ لغات، كاربر داراى سوء قصد صدها يا هزاران اعتبارنامه با استفاده از ليستي از كلمات عبور مبنى بر كلمات يا عبارات متداول مي فرستد. با فعال کردن قفل حساب دستيابى از دور ، يك حمله فرهنگ لغات پس از يك تعداد مشخص‌شده تلاش ناموفق خنثى مي شود. ويژگي قفل حساب دستيابى از دور بين کاربري که به عنوان سوءقصد براي دسترسي به اينترانت شما تلاش مي کند و کاربر معتبري که سعي بر دستيابى از دور دارد ولي پسورد خود را فراموش کرده است فرقي قائل نمي شود.کاربراني كه پسوردشان را فراموش كرده اند معمولا با كلمات عبوري که به خاطر مي آورند سعي مي کنند وارد شوند و امكان دارد حسابشان قفل شود. اگر ويژگي قفل حساب دستيابى از دور را فعال كنيد، يك كاربر داراى سوءقصد مي تواند به طور عمدي با چندين بارتلاش براي تصديق با حساب کاربر باعث قفل شدن حساب شود و در نتيجه از ورود کاربر معتبر جلوگيري شود. ويژگي قفل حساب دستيابى از دور با عوض کردن تنظيماتي در رجيستري كامپي سایت ما را در گوگل محبوب کنید با کلیک روی دکمه ای که در سمت چپ این منو با عنوان +1 قرار داده شده شما به این سایت مهر تأیید میزنید و به دوستانتان در صفحه جستجوی گوگل دیدن این سایت را پیشنهاد میکنید که این امر خود باعث افزایش رتبه سایت در گوگل میشود

این صفحه را در گوگل محبوب کنید

[ارسال شده از: سایت ریسک]

[مشاهده در: www.ri3k.eu]

[تعداد بازديد از اين مطلب: 507]