Политики удаленного доступа
В Windows Server 2003 в качестве основного механизма однообразного конфигурирования отдельных компонентов системы используется механизм политик. Для управления удаленным доступом в Windows Sewer 2003 используются политики удаленного доступа (remote access policy). Под политикой удаленного доступа понимается набор условий и параметров соединения, которые предоставляют сетевому администратору больше возможностей в настройке разрешений удаленного доступа и атрибутов соединения. Фактически политика удаленного доступа представляет собой совокупность параметров, определяющих конфигурацию сетевого подключения.
При помощи политики удаленного доступа можно предоставлять разрешения удаленного доступа в зависимости от времени дня, дня недели, группы объектов, к которой принадлежит объект, ассоциированный с учетной записью звонящего пользователя, типа требуемого подключения (коммутируемое или VPN-подключение). Можно определить параметры настройки подключения, которые ограничивают максимальное время сеанса связи, тип аутентификации и шифрования, политику ВАР и фильтрацию IP-пакетов.
Важно помнить, что при использовании политик удаленного доступа соединение разрешается, только если параметры настройки соединения соответствуют, по крайней мере, одной из политик удаленного доступа (в соответствии со свойствами учетной записи пользователя и конфигурацией политики удаленного доступа). Если параметры настройки при попытке соединения не соответствуют ни одной из политик удаленного доступа, попытка соединения отклоняется независимо от свойств учетной записи пользователя. На серверах удаленного доступа под управлением Windows Server 2003 политика удаленного доступа конфигурируется с помощью оснастки Routing and Remote Access. На серверах IAS в среде Windows Server 2003 политика удаленного доступа управляется из оснастки Internet Authentication Service.
Элементы политики удаленного доступа
Политика удаленного доступа регламентирует две стороны процесса удаленного доступа к корпоративной сети: задает критерии, по которым происходит предоставление удаленного доступа к сети, а также определяет конфигурацию удаленного доступа. Эта задача выполняется посредством трех элементов политики удаленного доступа: условий, разрешений (прав) удаленного доступа, а также профилей. Рассмотрим эти элементы более подробно.
- Условия (policy conditions). Под условием политики удаленного доступа понимаются определенные значения одного или нескольких атрибутов, сравниваемые с параметрами попытки соединения. Если имеется несколько условий, то все условия должны соответствовать параметрам попытки соединения, которое сопоставляется политике. При попытке установить удаленное соединение служба маршрутизации и удаленного доступа последовательно просматривает список условий, определенных в рамках политики удаленного доступа (рис. 14.3). Значение атрибута, определенного в условии, сравнивается с аналогичным атрибутом клиента, устанавливающего соединение. В зависимости от того, выполнены или нет все перечисленные условия политики удаленного доступа, право удаленного доступа будет предоставлено или, наоборот, аннулировано. Список поддерживаемых атрибутов приведен в табл. 14.3.
Таблица 14.3. Атрибуты, используемые для формирования условий политики удаленного доступа
| Атрибут | Описание |
| Authentication-Type (Тип аутентификации) | Протокол аутентификации, используемый клиентом, устанавливающим соединение. Данный атрибут позволяет администратору при необходимости потребовать для наиболее важных клиентов (с точки зрения уровня доступа) использования наиболее защищенного протокола аутентификации. |
| Called-Station-ld (Идентификатор вызванной системы) | Номер телефона сервера сетевого доступа. Этот атрибут — символьная строка. Можно использовать шаблон, чтобы задать коды городов. Необходимо позаботиться об установке телефонного номера для портов |
| Calling-Station-ld (Идентификатор вызывающей системы) | Номер телефона, использованный вызывающей системой. Этот атрибут — символьная строка. Можно использовать шаблоны, чтобы задать коды городов |
| Client-Friendly-Name (Имя клиента, дружественное название) | Название компьютера клиента RADIUS, который требует аутентификации. Этот атрибут — символьная строка. Можно использовать шаблон, чтобы задать имена клиентов. Этот атрибут предназначен для сервера IAS |
| Client-IP-Address (Клиентский IP-адрес) | IP-адрес клиента RADIUS. Этот атрибут — символьная строка. Можно использовать синтаксис шаблонов, чтобы определить IP-сеть. Этот атрибут предназначен для сервера IAS |
| Client-Vendor (Изготовитель клиента) | Имя изготовителя (поставщика) сервера сетевого доступа (NAS). У сервера удаленного доступа Windows Server 2003 изготовитель — "Microsoft RAS". Можно использовать этот атрибут, чтобы конфигурировать разные политики для различных NAS-поставщиков, которые являются клиентами RAIDUS (клиенты IAS). Этот атрибут предназначен для сервера IAS. Удостоверьтесь, что NAS настроен в качестве клиента RADIUS на сервере IAS |
| Day-And-Time-Restrictions (Ограничения по дню и времени) | День недели и время попытки соединения с сервером |
| Framed-Protocol (Протокол кадрирования) | Используемый тип кадрирования для входящих пакетов. Примеры — РРР, AppleTalk, SLIP, Х.25 и т. д. Этот атрибут предназначен для сервера IAS |
| NAS-Identifier (Идентификатор сервера сетевого доступа) | Имя, идентифицирующее сервер сетевого доступа (Network Access Server, NAS). Этот атрибут предназначен для сервера IAS |
| NAS-IP-Address (IP-адрес сервера удаленного доступа) | IP-адрес сервера сетевого доступа. Этот атрибут — символьная строка. Можно использовать синтаксис шаблона для сопоставления с образцом, чтобы определить IP-сети. Этот атрибут предназначен для сервера IAS |
| NAS-Port-Type (Тип порта NAS) | Тип носителей, используемых вызывающей стороной. Примеры — аналоговые телефонные линии (асинхронные линии), ISDN, туннели или виртуальные частные сети |
| Service-Type (Тип службы) | Тип требуемой службы. Этот атрибут разработан (предназначен) для сервера IAS |
| Tunnel-Type (Тип туннеля) | Протокол туннелирования, используемый для создания виртуального защищенного канала передачи данных (туннеля). В Windows Server 2003 поддерживаются два протокола туннелирования: РРТР и L2TP |
| Windows-Groups (Группы Windows) | Имена групп Windows, к которым принадлежит пользователь, делающий попытку соединения. Нет никакого атрибута для отдельного имени пользователя. Не нужно иметь отдельную политику удаленного доступа для каждой группы. Используя вложенные группы, можно перевести администрирование на уровень групп. Для сервера удаленного доступа или IAS при работе домена на функциональном уровне "Windows 2000 native" и выше администратор может использовать группы с универсальной областью действия. Запрещается использовать встроенные (built-in) группы независимо от их области действия (доменной или локальной) |
Рис. 14.3. Добавление условия политики удаленного доступа
- Право удаленного доступа (remote access permission). Условия, определяемые в рамках политики удаленного доступа, задают фильтры, по которым отбираются клиенты, устанавливающие соединение, с тем, чтобы в последующем принять решение о том, будет ли им предоставлено право удаленного доступа или нет. Администратор может предоставить клиентам, отвечающим определенным условиям, это право, установив в окне свойств политики удаленного доступа переключатель Grant remote access permission (Предоставить право удаленного доступа), или отказать в нем, установив переключатель Deny remote access permission (Запретить разрешение удаленного доступа). Право удаленного доступа может быть также предоставлено (или аннулировано) непосредственно на уровне учетной записи пользователя: Будучи определенно на обоих уровнях, право удаленного доступа, предоставленное на уровне учетной записи, перекрывает право, предоставленное в рамках политики удаленного доступа. Если право удаленного доступа на уровне учетной записи пользователя установлено в значение Control Access through Remote Access policy (Управление на основе политики удаленного доступа), удаленный доступ предоставляется в соответствии с параметрами политики. По умолчанию устанавливается значение Deny remote access permission (Отказать в праве удаленного доступа). Это означает, что по умолчанию политика удаленного доступа запрещает удаленный доступ для клиентов, отвечающих определенным условиям.
- Профиль (profile). После того как клиенту предоставлено право удаленного подключения к сети, необходимым этапом становится определение конфигурации этого подключения. Политика удаленного доступа регулирует этот этап посредством механизма профилей политики удаленного доступа. Профиль (рис. 14.4) представляет собой набор параметров, описывающих конфигурацию сетевого соединения. Эти параметры объединяются в шесть групп:
- параметры, ограничивающие входящие звонки (вкладка Dial-in Constraints). Эта группа параметров позволяет администратору управлять такими свойствами сетевого подключения, как время простоя соединения, после которого соединение разрывается, дни и время, когда разрешено устанавливать соединение и т. п. Перечень параметров этой группы приведен в табл. 14.4;
- параметры, определяющие способ назначения клиенту IP-адреса (вкладка IP). По умолчанию сервер удаленного доступа автоматически распределяет IP-адреса, и клиентам не разрешено запрашивать конкретные IP-адреса. Эта же группа параметров позволяет администратору настроить фильтрацию IP-трафика в соответствии с требуемым уровнем безопасности. Администратор может запретить прохождение определенного типа трафика между клиентом удаленного доступа и сервером удаленного доступа (либо напротив, ограничить весь трафик пакетами определенного типа — например, разрешить только НТТР-трафик);
- параметры, регламентирующие функциональные возможности многоканального подключения (вкладка Multilink). Эта группа параметров используется для разрешения многоканального подключения, для определения максимального числа портов, которые могут быть использованы входящими соединениями, а также для настройки протокола ВАР (Bandwidth Allocation Protocol), включая формирование политики, определяющей его использование. По умолчанию использование многоканального подключения и протокола ВАР запрещено. Для применения этих параметров сервер удаленного доступа должен иметь возможность установления многоканального соединения и установленный протокол ВАР;
- параметры, регламентирующие процесс проверки подлинности пользователей (вкладка Authentication). Данная группа параметров используется для задания протоколов аутентификации, разрешенных для конфигурируемого соединения. В случае если разрешается использование расширяемого протокола аутентификации ЕАР, администратор может также определить тип используемого расширения ЕАР. По умолчанию разрешаются только протоколы аутентификации MS-CHAP и MS-CHAP v2. Следует обратить внимание на то, что в рамках профиля определяются протоколы аутентификации, которые разрешены для использования клиентами. Чтобы механизмы аутентификации успешно работали, необходимо, чтобы аналогичные протоколы были разрешены также и на уровне сервера удаленного доступа;
- параметры, определяющие уровень защищенности передаваемых данных (вкладка Encryption). Эта группа параметров позволяет активизировать механизмы шифрования данных, передаваемых в рамках конфигурируемого соединения. Администратор может определить механизмы шифрования, которые будут при этом использоваться, и уровень стойкости используемых алгоритмов (определяется длиной используемого для шифрования ключа). По умолчанию разрешено шифрование МРРЕ;
- дополнительные параметры (вкладка Advanced). Эта группа параметров позволяет настроить дополнительные свойства для определения ряда атрибутов RADIUS, которые сервер IAS возвращает клиенту RADIUS. По умолчанию протоколом удаленного доступа (Framed-Protocol) является РРР и для параметра Service-Type установлено значение Framed. Единственные атрибуты, используемые сервером удаленного доступа, — Account-interim-interval, Framed-Protocol, Framed-MTU, Reply-Message и Service-Type.
Таблица 14.4. Параметры, ограничивающие входящие звонки
| Параметр | Описание |
| Idle-Timeout (Разъединение при простое более ...) | Временной интервал, по истечении которого соединение будет прервано, если нет никаких действий. По умолчанию этот параметр не установлен, и сервер удаленного доступа не разрывает неактивное соединение |
| Session-Timeout (Максимальная продолжительность сеанса) | Максимальное время до разрыва соединения сервером удаленного доступа. По умолчанию это свойство не установлено, а сервер удаленного доступа не ограничивает время сеанса связи |
| Allow access only... (Разрешить входящие подключения только в эти дни и время) | Дни недели и часы для каждого дня, во время которых соединение разрешено. Если день и время попытки соединения не соответствуют настройкам, попытка соединения отклоняется. По умолчанию это свойство не установлено, и сервер удаленного доступа не анализирует данные параметры |
| Called-Station-ID (Разрешить вход только по номеру) | Заданный номер телефона, который вызывающая сторона должна набрать, чтобы установить соединение. Если номер соединения не соответствует заданному, попытка соединения отклоняется. По умолчанию это свойство не установлено, и сервер удаленного доступа позволяет устанавливать соединение с любого телефонного номера |
| NAS-Port-Type (Разрешить входящие звонки следующих типов) | Типы устройств, например модем, ISDN или VPN, который вызывающая сторона должна использовать для соединения. На практике администратор может, например, разрешить удаленные подключения только по беспроводной (802.11) среде передачи. Если попытка соединения по коммутируемой среде не соответствует настройке, она отклоняется. По умолчанию это свойство не установлено, и сервер удаленного доступа разрешает все типы устройств передачи данных |
В Windows Server 2003 существует возможность запретить обработку специальных параметров учетной записи пользователя, отвечающих за настройку конфигурации удаленного доступа. Для этого в окне редактирования профиля политики удаленного доступа (рис. 14.4) нужно перейти на вкладку Advanced (Дополнительно). На этой вкладке перечислены дополнительные параметры, определяющие свойства соединения. Чтобы добавить новый атрибут, необходимо нажать кнопку Add и выбрать в списке интересующий атрибут. Следует добавить атрибут Ignore-User-Dialin-Properties (со значением Microsoft в столбце Vendor) и дать ему значение True (Истина) (рис. 14.5).
Рис. 14.4. Окно свойств профиля политики удаленного доступа
Рис. 14.5. Определение значения атрибута Ignore-User-Dialin-Properties
Политика удаленного доступа по умолчанию
В процессе установки службы маршрутизации и удаленного доступа создается политика удаленного доступа по умолчанию (default policy). Эта политика удаленного доступа разрешает удаленный доступ к серверу удаленного доступа только в том случае, если устанавливающему входящее соединение пользователю предоставлено право удаленного доступа непосредственно на уровне его учетной записи. Политика по умолчанию имеет следующую конфигурацию:
- ограничения по дням недели и времени доступа не установлены;
- право удаленного доступа запрещено (флажок Deny remote access permission);
- все свойства профиля установлены в значения по умолчанию.
Порядок применения политик удаленного доступа
Каждый пользователь может подпадать под действие сразу нескольких политик удаленного доступа. Для получения доступа необходимо, чтобы пользовательский запрос удовлетворял всем параметрам хотя бы одной политики удаленного доступа, предоставляющей ему право удаленного подключения. При этом используется следующий порядок применения параметров политик удаленного доступа:
1. Проверяется первая политика в упорядоченном списке политик. Если подходящей политики не существует, то попытка соединения отклоняется.
2. Если не все условия политики соответствуют попытке соединения, то осуществляется переход к следующей политике. Если политик больше нет, попытка соединения отклоняется.
3. Если все условия политики соответствуют попытке соединения, то проверяется значение атрибута Ignore-User-Dialin-Properties данной политики удаленного доступа. Если атрибут имеет значение False, система проверяет наличие разрешение на удаленное подключение на уровне учетной записи пользователя, предпринимающего попытку соединения. Если на уровне учетной записи удаленный доступ запрещен (Deny access), то попытка соединения отклоняется. Если же удаленный доступ разрешается (Allow access), то система проверяет соответствие остальным свойствам пользователя и профиля удаленного доступа. Соединение устанавливается только в том случае, если параметры соединения соответствуют всем параметрам свойств учетной записи пользователя и свойств профиля. Администратор может не определять явно на уровне учетной записи пользователя разрешение на удаленное подключение, установив флажок Control access through Remote Access Policy (Управление доступом через политику удаленного доступа). В этом случае решение о предоставлении или отклонении удаленного доступа принимается исключительно на основании параметров политики удаленного доступа. Соединение будет установлено только в том случае, если на уровне политики (под которую подпадает рассматриваемый пользователь) установлено разрешение Grant remote access permission, при этом применяются свойства пользователя и свойства профиля.
4. Если значение атрибута Ignore-User-Dialin-Properties установлено равным True, настройки учетной записи пользователя игнорируются. При этом права на предоставление удаленного доступа определяются исключительно параметрами политики удаленного доступа. Если на уровне политики, под которую подпадает пользователь, ему отказано в разрешении на удаленный доступ (флажок Deny remote access permission), соединение будет отклонено. Если разрешение предоставлено (Allow remote access permission), система применяет профиль удаленного доступа. Соединение будет установлено только в случае, когда параметры соединения удовлетворяют требованиям профиля удаленного доступа.