Улучшенные возможности интеграции с сетями NetWare. Поскольку служба RAS в составе Windows NT основана на протоколе PPP, то, имея стек протоколов IPX, любой клиент PPP другой фирмы может также быть использован для удаленного доступа к сети. Программы RAS и Gateway Service, функционирующие на одном сервере Windows NT, и соответствующее программное обеспечение, запущенное на машинах пользователей (в том числе и мобильных), позволяют реализовать аутентифицированный удаленный доступ пользователей к своим каталогам на сервере NetWare.
Увеличенное количество одновременных соединений. Операционная системы Windows NT Server поддерживает до 256 одновременных соединений. Windows NT Workstation поддерживает только одно соединение, которое может быть полезно для небольших одноранговых сетей.
Программное сжатие данных в сервисе удаленного доступа позволяет пользователям существенно увеличить (практически в два раза) пропускную способность своего соединения.
Поддержка прикладных программных интерфейсов RAS позволяет пользователям разрабатывать собственные приложения, обладающие возможностями удаленного доступа.
Для обеспечения безопасности RAS использует как средства Windows NT, так и собственные механизмы. Защита предусматривается на всех стадиях процесса удаленного доступа: аутентификации пользователей, передачи данных, доступа к ресурсам, выхода из системы и контроля событий, относящихся к защите данных (аудит).
Для аутентификации абонентов RAS использует протокол Challenge Handshake Authentification Protocol (CHAP). Суть его состоит в том, что одна из сторон посылает некое проверочное слово, которое другая сторона должна зашифровать с помощью известного обеим сторонам секретного ключа. Зашифрованное слово возвращается в качестве ответа вызывающей стороне, которая локально также выполнила шифрование этого проверочного слова с помощью такого же ключа. Если результаты шифрования совпадают, то значит аутентификация прошла успешно. Здесь важно, что аутентификация осуществляется без передачи по сети секретного пароля.
CHAP может использовать разные алгоритмы шифрования, а конкретно в RAS применяются DES и MD5. Существует несколько вариантов аутентификации, в которых могут быть использованы разные алгоритмы шифрации.
Для обеспечения секретности передаваемых данных в сервисе RAS имеется встроенный механизм шифрации данных, основанный на алгоритме открытого ключа RC4 компании RSA Data Security. В принципе пользователи RAS могут сами выбрать степень безопасности при обмене данными с удаленными компьютерами. Но администратор имеет возможность принудительным образом устанавливать высокий уровень безопасности.
На рисунке 7.1 приведены различные варианты аутентификации удаленных пользователей для случая, когда сервер RAS взаимодействует с клиентом RAS, а также для тех случаев, когда эти компоненты взаимодействуют с продуктами третьих фирм.
Рис. 7.1. Различные варианты аутентификации пользователей при использовании сервера и клиента RAS
В качестве дополнительной меры безопасности RAS предлагает процедуру обратного вызова (call-back). Защита основана на том, что администратор заранее зная номера телефонов с которых могут выполняться "разрешенные" звонки, вносит их в специальный список. Процедура call-back предусматривает следующую последовательность:
Очевидно, что если был назван неразрешенный номер или номер не соответствующий месту нахождения звонившего абонента, то соединение не будет разрешено.
Права на удаленный доступ могут быть предоставлены пользователям только явным образом. Все остальные права на доступ к ресурсам сети и выполнение привилегированных действий определяются средствами авторизации Windows NT.
Сервер RAS маршрутизирует протоколы IP и IPX, а при использовании для связи с клиентом протокола NetBEUI работает в режиме шлюза.
При использовании в канале между сервером и клиентом протокола IP основной режим работы сервера RAS - это режим proxy ARP, когда клиентам назначаются адреса с номером сети, равным номеру внутренней локальной сети, к которой подключен сервер. Сервер поддерживает несколько способов назначения IP-адресов клиентам:
Сервер RAS может работать и как маршрутизатор "сеть-сеть", что может понадобиться при подключении к Internet сети небольшого офиса (рисунок 7.2). В этом случае он может заменить аппаратный маршрутизатор, но компания Microsoft не советует использовать RAS в качестве маршрутизатора при соединении больших сетей.
Рис. 7.2. Использование сервера RAS для подключения небольшой сети к Internet
Для того, чтобы сервер RAS мог маршрутизировать трафик между двумя IP-сетями, в Registry - конфигурационную базу Windows NT - нужно добавить две переменные, которые изначально там отсутствуют. Эти переменные запрещают серверу отправлять IP-пакеты удаленным пользователям от своего IP-адреса (режим, который используется по умолчанию), а также заставляют при маршрутизации принимать во внимание маски.
Для маршрутизации между сетями IPX никакие дополнительные установки в сервере RAS не нужны. Сервер позволяет назначать всем удаленным клиентам как один и тот же номер IPX-сети, так и различные. Номер узла клиент может задать себе сам, а может предоставить эту работу серверу.
Пакеты протокола NetBEUI передаются между сервером и клиентом RAS по протоколу РРР, как и пакеты протокола IP/IPX, но это является нестандартным режимом работы РРР. Компания Microsoft передала свое предложение о стандартизации такого режима в соответствующий комитет IETF, однако стандартом он пока не стал.
Сервер и клиент RAS легко устанавливаются, что не удивительно ввиду их тесной интеграции с ОС Windows NT. К недостаткам процедуры инсталляции можно отнести неочевидность последовательности действий при установке и конфигурировании протокола PPTP. Подсказки HELP-системы по этому разделу слишком бедны и не дают ясного представления о назначении этого протокола и о способе его использования.
При тестировании серверов удаленного доступа, проведенном журналом Network Computing (данные этого тестирования имеются и на русском языке в журнале "Сети и системы связи", 9/96), сервер Microsoft RAS показал средние результаты в отношении производительности обмена файлами, не очень хорошие результаты по критерию простоты и удобства инсталляции.
Еще одним вариантом удаленного доступа является доступ по коммерческим сервисам реального времени или по сети Internet. Все сервисы реального времени и практически все провайдеры Internet'а поддерживают электронную почту и некоторые формы передачи файлов. Для подключения к таким сервисам в этом варианте, как правило, достаточно местных телефонных звонков (в отличие от первых трех схем удаленного доступа, для которых в общем случае необходимы более дорогостоящие междугородние вызовы). Сервисы реального времени имеют свое собственное программное обеспечение для доступа, хотя к ним можно получить доступ и с помощью обычных программ эмуляции терминала. Сегодня, когда Mac OS, OS/2, Windows 95, Windows NT Workstation и практически любой вариант Unix'а включают стек TCP/IP, несколько популярных программ для доступа в Internet и программу электронной почты, технические барьеры на пути к Internet'у значительно снизились.
Windows NT, RAS и Internet Explorer обеспечивают пользователя функционально полным набором средств выхода в Internet. Существует несколько сценариев установления соединения с Internet через сервис удаленного доступа RAS.
Администрирование сервиса удаленного доступа RAS
Схема эксперимента
Учитывая, имеющиеся кабельные соединения, необходимо выполнять работу с жестко закрепленными ролями компьютеров.
Для общности описания эксперимента будем называть компьютер, находящийся слева от PDC - WSL, а справа - WSP. Центральный компьютер домена так и будем называть PDC.
RAS устанавливается на двух компьютерах домена - WSL и PDC.
Один из них, PDC выполняет роль сервера удаленного доступа, а WSL - роль удаленного клиента.
PDC с оставшимся компьютером WSP действительно находятся в локальной сети, а WSL "изображает" удаленный компьютер, связывающийся с этой сетью по телефонной линии. В лабораторной работе телефонную линию и модемы имитирует нуль-модемный кабель.
Страницы: 1, 2, 3