تبلیغات
تبلیغات متنی
محبوبترینها
بهترین هدیه تولد برای متولدین زمستان: هدیههای کاربردی برای روزهای سرد
در خرید پارچه برزنتی به چه نکاتی باید توجه کنیم؟
سه برند برتر کلید و پریز خارجی، لگراند، ویکو و اشنایدر
مراحل قانونی انحصار وراثت در یک نگاه: از کجا شروع کنیم؟
چگونه برای دریافت ویزای ایران اقدام کنیم؟ مدارک لازم و نکات کاربردی
راهنمای خرید یو پی اس برای مراکز درمانی و بیمارستانی مطابق الزامات قانونی
آیا طلاق توافقی نیاز به وکیل دارد؟
چگونه ویزای آفریقای جنوبی را به آسانی دریافت کنیم؟ راهنمای قدم به قدم
همه چیز درباره ویزای آلمان و مراحل دریافت آن
چرا پاسارگاد به عنوان یکی از مهمترین آثار تاریخی ایران شناخته میشود؟
صفحه اول
آرشیو مطالب
ورود/عضویت
هواشناسی
قیمت طلا سکه و ارز
قیمت خودرو
مطالب در سایت شما
تبادل لینک
ارتباط با ما
مطالب سایت سرگرمی سبک زندگی سینما و تلویزیون فرهنگ و هنر پزشکی و سلامت اجتماع و خانواده تصویری دین و اندیشه ورزش اقتصادی سیاسی حوادث علم و فناوری سایتهای دانلود گوناگون
مطالب سایت سرگرمی سبک زندگی سینما و تلویزیون فرهنگ و هنر پزشکی و سلامت اجتماع و خانواده تصویری دین و اندیشه ورزش اقتصادی سیاسی حوادث علم و فناوری سایتهای دانلود گوناگون
آمار وبسایت
تعداد کل بازدیدها :
1821081367
بررسی شبكه بندی خصوصى مجازى Vpn تحت ويندوز سرور 2003
واضح آرشیو وب فارسی:سایت ریسک: Mohammad12-08-2007, 11:28 PMاين مقاله یك ديد كلى از شبكه بندى خصوصى مجازى و تكنولوژيهاي شبكه خصوصى مجازى1(---) که به وسيله ويندوز سرور 2003 و ويندوزXP پشتيبانى مي شوند ، ارائه مي دهد. پروتکل تونل کشی نقطه به نقطه و پروتکل تانالينگ لايه دو با امنيت پروتکل اينترنت به عنوان دو روش استاندارد براي اتصالات --- شرح داده شده است. همچنين در اين مقاله مجموعه ويژگيهایي که در ويندوز سرور 2003 و ويندوز XP تواناييهاى امنيتي پيشرفته و مديريت اتصالات شبكه خصوصى مجازى را ساده مي کند شرح داده شده است. مقدمه يك شبكه خصوصى مجازى بسط و توسعه يك شبكه خصوصى است كه اتصالات شبكههاى اشتراكى يا عمومى مانند اينترنت را در بر مي گيرد. يك شبكه خصوصى مجازى شما را قادر مي كند اطلاعات را بين دو كامپيوتردر طول يك شبكه اشتراكى يا عمومى بفرستيد در حالتي كه با خصوصيات يك اتصال خصوصى نقطه به نقطه4 برابری بکند. شكل دادن و به وجود آوردن يك شبكه خصوصى مجازى را شبكهسازى خصوصى مجازی گویند. براى رقابت و برابري با يك اتصال نقطه به نقطه، اطلاعات كپسوله يا پوشانده شده و به آن يك هدر5 اضافه می شودكه با فراهم كردن اطلاعات مسيريابى اجازه مي دهد تا داده مسير شبكه عمومي يا اشتراكي را پيموده و به نقطه پاياني6برسد. براى رقابت كردن و برابري با يك اتصال خصوصى، اطلاعات به صورت محرمانه رمزگذاري شده است. بستههايي كه روى شبكه اشتراكى يا عمومي محافظت شده اند بدون كليدهاى رمز غيرقابل كشف هستند. بخشي از ارتباط كه داده هاي خصوصى در آن كپسوله شده است معروف به تونل7 است و بخشي از ارتباط كه داده هاي خصوصى در آن رمزنگاري شده است معروف به اتصال شبكه خصوصى مجازى است. اتصالات شبكه خصوصى مجازى اجازه مي دهند استفادهكنندگان در خانه يا در جاده به سرور يك سازمان راه دور به يك شيوه محفوظ و امن از طريق اطلاعات مسيريابي شبكه عمومي (مانند اينترنت) وصل شده و كار كنند. از ديد استفادهكنندگان، ارتباط شبكه خصوصى مجازى يك اتصال نقطه به نقطه بين كامپيوتر كاربر و سرور يك سازمان راه دور است. كاربر چنين تصور مي كند كه داده ها از طريق يك اتصال كاملا اختصاصي فرستاده مي شوند. http://ictir.net/upload/2007/08/virtual_private_networking_with_windows_server_200 3_overview/windows2003_---_1.jpg مچنين تكنولوژى شبكه خصوصى مجازى به يك شركت اجازه مي دهد ضمن حفظ كردن ارتباطات محرمانه به دفاتر شعبه هايش يا به كمپانيهاى ديگر روى يك شبكه عمومى از قبيل اينترنت وصل شود. ارتباط شبكه خصوصى مجازى از ميان اينترنت منطقاً به عنوان يك اتصال شبكه گسترده ميان سايت ها عمل مي كند. در هردوى اين موارد، ارتباط محفوظ و امن از ميان شبكه براي استفادهكننده به عنوان يك ارتباط شبكه خصوصى به نظر می رسد - با وجود اينكه اين ارتباط روي يك شبكه عمومي اتفاق مي افتد - از اين رو، شبكه خصوصى مجازى نام گرفته است. تكنولوژى شبكه خصوصى مجازى براي رساندن فعاليت هاي تجاري جاري به اين مرحله طراحي شده است كه آنها به صورت روزافزون تر از ارتباط راه دور و انتشار وسيع عمليات سراسري استفاده كنند؛ جايى كه شاغلين بايد قادر باشند به منابع مركزى وصل شده و قادر باشند با يكديگر ارتباط برقرار بكنند. براى فراهم كردن امكان وصل شدن كارمندان به منابع محاسباتي سازمان صرف نظر از موقعيت جغرافيايی آنان يك شركت بايد يك راهحل دستيابى از دور مطمئن را گسترش دهد. به طور نمونه، شركتها يا يك راهحل دپارتماني انتخاب مي كنند، يعني يك دپارتمان سيستمهاى اطلاعاتى داخلى، مسئوليت خريد و نصب و نگهدارى مودم سازمان و زير سازي شبكه خصوصي را به عهده مي گيرد؛ يا اينكه آنها يك راه حل شبكه ارزش-افزوده8 را انتخاب مي كنند، يعني هزينه خريد ، نصب و نگهداري مودم ها و زير سازي ارتباط از راه دور را به يك كمپانى ديگر مي پردازند تا اين كمپاني تمام كارها را برايشان انجام دهد. هيچ يك از اين راهحلها نياز هاي ضروري را به ازاى هزينه و اداره انعطافپذير فراهم نمي كنند و نياز به اتصالات اضافي دارند. بنابراين، نياز به جايگزيني اين دو روش با يك روش با هزينه كمتر و مبتني بر تكنولوژي اينترنت احساس مي شود؛ بطوريكه شركت ها روي قابليت هاي اصلي خود تمركز كنند. با اين راهحل، تعداد كمي اتصال اينترنت ميان ISP ها و كامپيوترهاى سرور شبكه خصوصى مجازى مي توانند براي شبكهسازى راه دور براي صدها و حتي هزاران كلاينت يا شعبه راه دور بكار رود. موارد استفاده متداول --- در بخش زير انواع متداول --- شرح داده مي شود: 1. دستيابى از دور از طريق اينترنت --- ها امكان دستيابى از دور به منابع سازمان را از طريق شبكه عمومي اينترنت با حفظ اختفاء اطلاعات فراهم مي كنند. تصوير زیر يك ارتباط --- را كه براي اتصال يك كلاينت راه دور به اينترانت يك سازمان بكار رفته است نشان مي دهد كه به آن اتصال --- دسترسي از راه دور گفته مي شود. به جاى ايجاد يك ارتباط راه دور با فاصله زياد با سازمان يا سرور دسترسي به شبكه راه دور (9(NAS، استفاده كننده مي تواند به ISPمحلي وصل شود. با استفاده از اتصال به ISP محلي، كلاينت --- يك اتصال --- بين كامپيوتر دسترسي راه دور و سرور --- سازمان روي شبكه اينترنت ايجاد مي كند. 2. اتصال شبكهها از طريق اينترنت دو روش براى استفاده از --- براي اتصال شبكه هاي محلي راه دور وجود دارد: استفاده از خطوط اختصاصي براي اتصال شعبه هاي سازمان به شبكه LAN سازمان براى مثال، به جاى اينكه يك مدار اختصاصي راه دور گران بين شعبه هاي سازمان و هاب شركت ایجاد شود، هر دوي آنها مي توانند از يك مدار اختصاصي و ISP محلي براي اتصال به اينترنت استفاده كنند. نرمافزار --- از ISP محلي و اينترنت براي ايجاد يك شبكه خصوصى مجازى بين شعبه هاي سازمان و هاب شركت استفاده مي كنند. استفاده از يك خط dial-up براي اتصال شعبه هاي سازمان به اينترنت به جاى اينكه مسيرياب (روتر) شعبه ی شركت، يك ارتباط راه دور با فاصله زياد با سازمان يا سرور دسترسي به شبكه راه دور (NAS) برقرار كند، مي تواند به يك ISP محلي وصل شود. كلاينت --- از اتصال ISP محلي براي ايجاد يك ارتباط --- بين روتر شعبه سازمان و روتر شركت در طول اينترنت استفاده مي كند كه اين عمل به يك ارتباط شبكه خصوصى مجازى سايت به سايت معروف است. در هر دو حالت، امكانات و تسهيلاتي كه شعب شركت و خود شركت را به اينترنت وصل مي كند محلى هستند. مسيرياب شركت كه به عنوان يك سرور --- عمل مي كند بايد از طريق يك خط اختصاصي به اينترنت وصل شده باشد. اين سرويسدهنده شبكه خصوصى مجازى بايد 24 ساعته به ترافيك شبكه خصوصى مجازى واردشونده گوش دهد. http://ictir.net/upload/2007/08/virtual_private_networking_with_windows_server_200 3_overview/windows2003_---_2.jpg 3. اتصال كامپيوترها روي يك اينترانت در بعضي از شبكه بندي هاي سازماني، ممكن است داده هاي بخشي از سازمان خيلي حساس بوده و LAN آن بخش از سازمان به بقيه شبكه سازمان متصل نباشد. اگرچه اين امر داده هاي محرمانه سازمان را محافظت مي كند اما براي استفاده كنندگاني كه به طور فيزيكي به LAN جداگانه اي متصل نيستند در مورد دسترسي به اطلاعات مشكلاتي پيش مي آيد. --- ها به LAN دپارتمان اجازه مي دهند تا به صورت فيزيكي به شبكه داخلي سازمان متصل باشند اما توسط يك سرور --- از شبكه تفكيك شوند. سرور --- به عنوان يك مسيرياب بين شبكه داخلي سازمان و LAN دپارتمان عمل نمي كند. يك مسيرياب كه دو شبكه را بهم وصل مي كند، به همه اجازه مي دهد تا به LAN حساس دسترسى پيدا كنند. با استفاده از يك سرور --- ، مدير شبكه مي تواند مطمئن باشد كه روى شبكه داخلي سازمان فقط آن استفادهكنندگان كه اعتبارنامه مناسب را دارند (مبنى بر سياست سازمان) مي توانند يك ارتباط --- با سرور --- برقرار بكند و به منابع حفاظتشده دپارتمان دستيابى پيدا كنند. علاوه بر اين تمام ارتباطات از ميان --- مي تواند براى حفاظت دادهها رمزنگاري شود. آن تعداد از استفادهكنندگان كه اعتبار مناسب نداشته باشند، نمي توانند به LAN دپارتمان دسترسي داشته باشند. http://ictir.net/upload/2007/08/virtual_private_networking_with_windows_server_200 3_overview/windows2003_---_3.jpg نيازمندی های اساسی --- معمولا، هنگام مستقر كردن يك راهحل شبكهسازى راه دور، يك شرکت نیاز دارد دسترسي كنترل شده به منابع سازمان و اطلاعات را تسهيل كند. راهحل بايد اجازه بدهدكلاينت هاي دور به LANمنابع وصل شوند. همچنين بايد اجازه دهد دفاتر دور به همديگر متصل شده و منابع و اطلاعات را با هم به اشتراك بگذارند. به علاوه، راهحل بايد از اختفا و درستي داده ها با گذر از اينترنت مطمئن باشد. همان نگرانيها در مورد موضوع انتقال داده هاي حساس در طول شبكه داخلي سازمان نيز وجود دارد. بنابراين يك --- بايد حداقل تمام موارد زير را تامين كند: شناسايى كاربر راهحل بايد صحت هويت كلاينت --- را بررسي كرده و دسترسي به --- را به كاربران مجاز محدود كند. همچنين بايد اسناد بازبيني و حسابدارى را براي نشان دادن اينكه چه كساني و براي چه مدتي متصل هستند فراهم كند. مديريت آدرس راهحل بايد به يك كلاينت شبكه خصوصى مجازى يك آدرس روي اينترانت اختصاص دهد وتضمين كند آدرس هايي كه روى اينترانت استفاده مي شوند، به صورت اختصاصي محفوظ هستند. رمزگذارى داده دادههايي كه روي شبكه هاي عمومي حمل مي شوند بايد به صورت غيرقابل خواندن تغيير شكل يابند. مديريت كليد راهحل بايد براى دادههاى رمزنگاري شده كليد هاي رمزگذاري توليد و بازيابي كند. يك --- مبتنى بر پروتكل PPTP يا پروتكل يا L2TP/IPSec تمام اين نيازمندي ها را برطرف مي كند و از قابليت هاي مفيد اينترنت استفاده مي كند. راهحلهاى ديگر، مانند حالت تونلى IPSec، فقط بعضى از اين ملزومات را برطرف مي كنند اما در موقعيت هاي مختلف سودمند خواهند بود. http://ictir.net/upload/2007/08/virtual_private_networking_with_windows_server_200 3_overview/windows2003_---_4.jpg مباني Tunneling يك روش استفاده از زيرساختار يك شبكه براي انتقال دادههاى يك شبكه روى شبكه ديگر است. دادهاي كه بايد انتقاليابد (payload) مي تواند فريم ( یا packet) يا پروتكل هاي ديگر باشد. به جاى فرستادن يك فريم كه توسط نود آغازي ايجاد شده پروتكل tunneling فريم را با يك هدر اضافي كپسوله مي كند. هدر اضافي اطلاعات مسيريابي را فراهم مي كند به طوريكه داده كپسوله شده بتواند روي شبكه مياني منتقل شود. سپس بستههاى كپسوله شده بين نقاط پاياني تونل روي شبكه مسيريابي مي شوند. مسير منطقى كه بستههاى كپسوله شده توسط آن روي شبكه منتقل مي شوند تونل (tunnel) ناميده مي شود. وقتى كه فريم هاي كپسوله شده به مقصدشان روى شبكه مي رسند، از حالت كپسوله خارج شده و به سوي مقصد نهایيشان فرستاده مي شوند. Tunneling تمام اين موارد را در بر مي گيرد (كپسوله كردن بسته ها، انتقال آنها و از حالت كپسوله درآوردن آنها). http://ictir.net/upload/2007/08/virtual_private_networking_with_windows_server_200 3_overview/windows2003_---_5.jpg شبكه انتقالی مي تواند هر شبكه اي باشد. اينترنت يك شبكه عمومى است و شناختهشدهترين مثال در اين مورد مي باشد. مثال هاي زيادي از تونلهايي كه عمل انتقال را روي شبكه سازمان انجام مي دهند وجود دارد. تكنولوژى هاى Tunneling مدت زماني است که بوجود آمده اند، از قبيل SNA روي شبكه هاي IP. زمانيكه ترافيك 10SNA روي شبكه ی IP يك سازمان فرستاده مي شود فريم هاي SNA در هدر UDP و IP كپسوله مي شوند. تكنولوژيهاى tunneling جديدی در سالهاى اخير معرفي شده اند. اين تكنولوژيهاى جديد شامل موارد زير هستند: http://ictir.net/upload/2007/08/virtual_private_networking_with_windows_server_200 3_overview/windows2003_---_6.jpg Point-to-Point Tunneling Protocol (PPTP): PPTP اجازه مي دهد تا ترافيك چند پروتكلی، رمزنگاري شده و سپس در يك هدر IP براي فرستادن روي شبكه IP سازمان يا شبكه IP عمومي مانند اينترنت كپسوله شود. Layer Two Tunneling Protocol (L2TP): L2TP اجازه مي دهد تا ترافيك چند پروتكلی، رمزنگاري شده و روي هر واسطي كه تحويل ديتاگرام نقطه به نقطه (point-to-point) را ساپورت مي كند فرستاده شود. IPSec tunnel mode: حالت تونلى IPSec به بستههاى IP اجازه ميدهد رمزنگاري شده و سپس براي فرستادن روي شبكه IP يك سازمان يا روي شبكه IP عمومي مثل اينترنت كپسوله شوند. حالت تونلى IPSec براي اتصال --- راه دور توصيه نمي شود زيرا روش هاي استانداردي براي اهراز هويت كاربر،تخصيص آدرس IP و تخصيص آدرس سرور نام (name server) ندارد. البته استفاده از حالت تونلى IPSec براي اتصالات site-to-site مربوط به --- با كامپيوتر هايي كه از ويندوز سرور2003 استفاده مي كنند امكان پذير است. انواع Tunnel مي توانند به طرق مختلفي ايجاد شوند: ها Tunnel 1. تونلهاى اختیاری (tunnels Voluntary) يك کاربر يا كامپيوتر کلاينت مي تواند براي شکل دادن و ايجاد يک تونل اختياري، درخواست --- صادر بكند. در اين صورت، كامپيوتر کاربر يك نقطه پايان تونلى است و مثل کلاينت تونل رفتار مي كند. 2. تونلهاى اجبارى (Compulsory tunnels) يك سرور دسترسى از طريق شمارهگيرى ( (dial-up access server شبكه خصوصى مجازى يك تونل اجبارى را شكل داده و به وجود مي آورد. در يك تونل اجبارى، كامپيوتر کاربر يك نقطه پايان تونلى نيست. وسيله ديگر، يعني سرور دسترسى از طريق شمارهگيرى، بين كامپيوتر کاربر وسرور تونل نقطه پايان تونل است و مثل کلاينت تونل رفتار مي كند. در طول زمان، ثابت شده که تونلهاى اختیاری عامه پسندترند. ويژگيهاي امنيتي پيشرفته --- براى اينكه اينترنت ايجاد اتصالات شبكه خصوصى مجازى را از هر جايى آسان مي كند، شبكهها به ويژگي هاي امنيتي قوى احتياج دارند تا از دسترسى ناخواسته به شبكههاى خصوصى جلوگيري کنند و از اطلاعات خصوصى که در شبکه عمومي منتقل مي شوند محافظت كنند. اهراز هويت کاربر و رمزنگاري دادهها قبلا مطرحشده بودهاند. اين بخش يک ديد كلي از ويژگيهاي امنيتي پيشرفته که مي توانند با اتصالات VPNويندوز سرور 2003 و ويندوزXP استفاده شوند ارائه مي دهد. 1. EAP-TLS و اهراز هویت مبنی بر گواهینامه رمزگذاري متقارن (قراردادى)، يا كليد خصوصي ، مبنى بر يك كليد محرمانه كه است به وسيله طرفين ارتباط به اشتراك گذاشته مي شود.بخش فرستنده با استفاده از كليد محرمانه و با يک سري عمليات رياضى متن ساده را به متن رمزگذاري شده تبديل می کند. گيرنده همان كليد محرمانه را براي رمزگشايى متن رمزنگاري شده به متن ساده استفاده مي کند. نمونه اي از رمزگذاري متقارن الگوريتم RSA RC4 مي باشد که مبناي رمزگذاري نقطه به نقطه ميكروسافت11(MPPE)و رمزگذاري استاندارد داده (DES)12 مي باشد که براي رمزگذاري IPSec استفاده مي شود. رمزگذاري نامتقارن يا كليد عمومي، دو كليد متفاوت براى هر کاربر استفاده می كند:يك كليد خصوصى که فقط براي يک کاربر شناخته شده است؛ ديگرى يك كليد عمومى يکسان است، كه براي هر كسى قابل دسترسى است.كليدهاى خصوصى و عمومى به وسيله الگوريتم رمزگذاري به طور رياضى به يکديگر مربوط هستند. بسته به طبيعت انجام سرويس ارتباط ، يك كليد براى رمزگذاري و ديگرى براى رمزگشايى به كاررفته می رود. به علاوه، تكنولوژيهاى رمزگذاري كليد عمومى به امضاهاى ديجيتالي اجازه مي دهند تا روى پيغامها قرار گيرند. يك امضاى ديجيتال از كليد خصوصى فرستنده براي رمزگذاري بعضي از قسمت های پيغام استفاده مي كند. وقتى که پيغام مي رسد، گيرنده از كليد عمومى فرستنده براي رمزگشايي امضاى ديجيتال و اهراز هويت فرستنده استفاده مي كند. 1-1. گواهينامههاى ديجيتالي (Digital Certificates) با رمزگذاري متقارن، هم فرستنده و هم گيرنده يك كليد محرمانه اشتراكى دارند. توزيع كليد محرمانه بايد پيش از هر ارتباط رمزگذاري شده انجام شود (با حفاظت كافى) .اما، در رمزنگاري نامتقارن، فرستنده يك كليد خصوصى براي رمزنگاري پيغامها يا امضاء ديجيتالي استفاده مي كند، ماداميكه گيرنده يك كليد عمومى براي رمزگشايي اين پيغامها استفاده مي كند. كليد عمومي به صورت آزادانه براي هر كسى كه نياز به دريافت پيغامهاي رمزگذاري شده يا به صورت ديجيتالي امضاء شده دارد، توزيع مي شود. فرستنده فقط به كليد خصوصى احتياج دارد که به دقت محافظت مي شود. براي تامين درستى کليد عمومي ، اين كليد با يك گواهينامه منتشر شده است. گواهينامه يك ساختمان داده است که به وسيله يك مرجع صلاحيتدار (13(CA به صورت ديجيتالي امضا شده است ؛ يك مرجع صلاحيتدار كه کاربران مي توانند اعتماد بكنند. گواهينامه شامل يك سرى ارزشها است، از قبيل نام گواهينامه و كاربرد، اطلاعاتي براي تشخيص هويت صاحب كليد عمومي، خود كليد عمومي ، يك تاريخ انقضا و نام منبع موثق گواهينامه. CA از کليد خصوصى خود براي امضاء و تاييد گواهينامه استفاده مي كنند. اگر گيرنده ، كليد عمومي مرجع صلاحيتدار گواهینامه را بشناسد، گيرنده مي تواند تأیيد بكند كه گواهينامه قطعاً از CA مطمئن است و، بنابراين، شامل اطلاعات موثق و يك كليد عمومى معتبر مي باشد. گواهينامهها مي توانند به صورت الكترونيكى قابل توزيع باشند (ازطريق وب يا ايميل)،یا روى كارتهاى هوشمند و يا روى فلاپي ديسكها. به طور خلاصه، كليد عمومى، يك روش قابل اعتماد راحت براى تأیيد هويت يك فرستنده فراهم مي كند. IPSecمي تواند اين روش را به طور اختيارى براى تصديق هويت سطح گره (peer-level) استفاده کند. سرورهاي دستيابي از راه دور مي توانند از کليد عمومي بصورتيکه جلوتر شرح داده خواهد شد استفاده کنند. 2-1. پروتکل تصديق قابل توسعه14(EAP) همانطوريکه قبلا شرح داده شد، بسياري از اجراهاى پروتكل نقطه به نقطه ( PPP ) روشهاى اهراز هويت خيلى محدودي را فراهم مي كنند. EAP يک استاندارد IETF براي استاندارد PPP است که براي اعتبارسنجي اتصالات PPP مکانيزم هاي اهراز هويت اختياري فراهم مي کند.EAP براي اين طراحي شده است که به ماژولهاي plug-in اهراز هويت اجازه دهد در دو نقطه انتهايي يک اتصال يعني سرور و کلاينت ، به صورت خودکار اضافه شوند. اين به فروشندگان اجازه مي دهد در هر زمان يك طرح تصديق جديد فراهم کنند. EAP بيشترين انعطاف پذيرى را در يكتايى و تغيير اهراز هويت فراهم مي كند. EAP در RFC 2284 مستند است و در ويندوز سرور 2003 و ويندوز XP پشتيباني شده است. 3-1. امنيت سطح انتقالEAP (EAP-TLS) 15 EAP-TLS يک استاندارد IETF (RFC 2716) براى يك روش اهراز هويت قوى مبنى بر كليد عمومى است. با EAP-TLS، يك کلاينت يك گواهينامه کاربر را به سرور dial-in ارائه ميدهد و سرور يک گواهي نامه به کلاينت ارائه مي دهد. اولا يک تصديق هويت کاربر قوى براي سرور فراهم مي کند؛ ثانيا اطمينان مي دهد كه كاربري که منتظر است، به سرور دسترسي يابد. هر دو سيستم به يك زنجير تصديق هويت مطمئن براي رسيدگي به اعتبار گواهينامه هاي پيشنهاد شده متکي هستند. گواهينامه كاربرمي تواند روى كامپيوترکلاينت --- يا در يك كارت هوشمند خارجى ذخيره شود . در هر حال، گواهينامه نمي تواند بدون بعضي از فرم هاي تشخيص هويت کاربر ( شماره پين يا نام و پسورد) بين كاربر و كامپيوتر کلاينت قابل دسترسي باشد. اين روش دستيابى بعضي از ضوابط و معيارهايي که شما بايد بدانيد و داشته باشيد که توسط بسياري از متخصصين امنيت توصيه مي شوند، تامين مي کند. EAP-TLS در ويندوز سرور 2003 و ويندوزXP پشتيبانى شده است.EAP-TLS مانند MS-CHAP و MS-CHAP v2 يك كليد رمزگذاري برمي گرداند که رمزگذارى داده هاي بعدي را توسط MPPE ممکن مي سازد. 2. کنترل قرنطينه دسترسي شبکه کنترل قرنطينه دسترسي شبکه، يك ويژگى جديد در خانواده ويندوز سرور 2003 است که دسترسي از راه دور نرمال به يك شبكه خصوصى را تا زمانيکه پيكربندى كامپيوتر دستيابى از دور به وسيله اسكريپت تهيه شده توسط مدير ، امتحان واعتبارسنجي نشده به تاخير مي اندازد. هنگاميکه يك كامپيوتر دستيابى از دور يک ارتباط با يک سرور دسترسى از راه دور راه مي اندازد، كاربر اهراز هويت شده و به كامپيوتر دستيابى از دوريک آدرسIP تخصيص داده مي شود.با اين وجود، ارتباطي که در حالت قرنطينه قرار داده شده است، از هر گونه دسترسى به شبكه محدود شده است. اسكريپت تهيه شده توسط مديرروي كامپيوتر دستيابى از دور اجرا مي شود. وقتى كه اسكريپت با موفقيت كامل مى شود، يك مؤلفه را اجراء مي كند كه اطلاع مي دهد كامپيوتر دستيابى از دور رويههاى امنيتي شبكه جارى را تامين مي كند. سرور دسترسى از راه دور حالت قرنطينه را بر مي دارد و كامپيوتر دستيابى از دور دستيابى از دورنرمال را تصديق مي کند. کنترل قرنطينه دسترسي شبکه تركيبي از موارد زير است: يك سرور دسترسى از راه دور ويندوز سرور 2003 و يك سرويس شنونده اطلاع دهنده قرنطينه را اجرا مي کند. يك سرور RADIUS ويندوز سرور 2003 و سرويس شناسايى اينترنت (IAS) 16 را اجراء مي كند که يك رويه دستيابى از دور قرنطينه پيكرهبندى شده و تنظيمات قرنطينه را نشان مي دهد. يك پروفايل مدير ارتباط توسط كيت اداره مديريت ارتباط ويندوز سرور 2003 ايجاد شده که شامل اسکريپت تامین سياست و خط مشي شبکه و يك مولفه اخطار دهنده مي باشد. يك کلاينت دستيابى از دور كه ويندوز سرور 2003 ، ويندوز XP، ويندوز 2000، ويندوز Millennium يا ويندوز 98 ويرايش دوم را اجراء مي كند. 3. ويژگي قفل حساب دستيابى از دور ويژگي قفل حساب دستيابى از دور براي تعيين کردن اينکه يک تصديق دستيابي راه دور چند بار با يک حساب کاربر معتبر شکست خورده قبل از اينکه کاربر دستيابي راه دور را رد کند، بکار می رود. ويژگي قفل حساب دستيابى از دور مخصوصاً براى اتصالات دستيابى از دور --- از طريق اينترنت مهم است. روى اينترنت کاربران داراى سوء قصد مي توانند براي دسترسي به اينترانت يک سازمان با فرستادن اعتبار نامه (نام کاربري معتبر، پسورد حدسي) در طول پروسه تصديق ارتباط --- تلاش کنند. در طول يك حمله فرهنگ لغات، كاربر داراى سوء قصد صدها يا هزاران اعتبارنامه با استفاده از ليستي از كلمات عبور مبنى بر كلمات يا عبارات متداول مي فرستد. با فعال کردن قفل حساب دستيابى از دور ، يك حمله فرهنگ لغات پس از يك تعداد مشخصشده تلاش ناموفق خنثى مي شود. ويژگي قفل حساب دستيابى از دور بين کاربري که به عنوان سوءقصد براي دسترسي به اينترانت شما تلاش مي کند و کاربر معتبري که سعي بر دستيابى از دور دارد ولي پسورد خود را فراموش کرده است فرقي قائل نمي شود.کاربراني كه پسوردشان را فراموش كرده اند معمولا با كلمات عبوري که به خاطر مي آورند سعي مي کنند وارد شوند و امكان دارد حسابشان قفل شود. اگر ويژگي قفل حساب دستيابى از دور را فعال كنيد، يك كاربر داراى سوءقصد مي تواند به طور عمدي با چندين بارتلاش براي تصديق با حساب کاربر باعث قفل شدن حساب شود و در نتيجه از ورود کاربر معتبر جلوگيري شود. ويژگي قفل حساب دستيابى از دور با عوض کردن تنظيماتي در رجيستري كامپي سایت ما را در گوگل محبوب کنید با کلیک روی دکمه ای که در سمت چپ این منو با عنوان +1 قرار داده شده شما به این سایت مهر تأیید میزنید و به دوستانتان در صفحه جستجوی گوگل دیدن این سایت را پیشنهاد میکنید که این امر خود باعث افزایش رتبه سایت در گوگل میشود
این صفحه را در گوگل محبوب کنید
[ارسال شده از: سایت ریسک]
[مشاهده در: www.ri3k.eu]
[تعداد بازديد از اين مطلب: 508]
-
گوناگون
پربازدیدترینها