Розтяжний протокол автентифікації ( Extensible Authentification Protocol – EAP)

           Як вказано вище, більшість впроваджень PPP забезпечують дуже обмежені методи автентифікації. EAP запропонований IETF як розширення PPP, яке допускає довільний механізм автентифікації для встановлення PPP-сполучення. EAP опрацьований із можливістю динамічного додавання вимінних модулів автентифікації на обидвох кінцях сполучення (клієнта і сервера). Це дозволяє виготівнику додавати нові схеми автентифікації у будь-який час. EAP забезпечує найвищу гнучкість, унікальність автентифікації та її зміну. EAP впроваджений у Microsoft Windows NT 5.0.

 

4.3. Захист на рівні транзакцій (EAP – TLS)

           EAP-TLS запропонований IETF як ескізна пропозиція для жорсткого методу автентифікації, базованого на сертифікатах публічного ключа. При EAP-TLS клієнт подає сертифікат користувача до сервера доступу через комутовані канали, а у той сам час сервер подає свій сертифікат користувачу. Перше забезпечує жорстку автентифікацію користувача сервером; друге – гарантію, що користувач досягнув той сервер, який він бажав. Обидві системи покладаються на ланцюг довірених органів при верифікації правильності запропонованих сертифікатів.

           Сертифікат користувача повинен зберігатися у комп’ютері клієнта комутованого каналу, або зберігтися на зовнішній інтелектуальній карті. У кожному випадку сертифікат не може бути доступний без певної форми ідентифікації користувача (PIN-номера або обміну іменем та паролем) між користувачем та комп’ютером клієнта. Цей підхід відповідає критерію “щось ти знаєш і щось ти маєш”, рекомендованому більшістю експертів від захисту інформації. EAP-TLS – це конкретний метод EAP, який може бути впроваджений у Windows 2000. Подібно до MS-CHAP, EAP-TLS може повернутися до ключа шифрування для наступного шифрування даних через MPPE.

 

Адміністрування користувача

           При виборі технології VPN важливо розглянути питання адміністрування. Великі мережі потребують зберігати інформацію директорій користувачів (послуги директорій – directory service) у централізованому запам’ятовуючому пристрої, так що адміністратори і застосування можуть додавати, модифікувати або запитувати про цю інформацію. Кожен сервер доступу або тунельний сервер може обслуговувати власну внутрішню базу даних з засобами, орієнтованими на користувача, такими, як імена, паролі та атрибути дозволу на використання комутованих каналів. Однак, оскільки облік багатьох користувачів для багатьох серверів адміністративно не підтримується, то більшість адміністраторів встановлює головну базу даних обліку на сервері директорій (Directory Server), або на первинному контролері домену, або на RADIUS-сервері.

 

Підтримка в RAS

           Microsoft Remote Access Server (RAS) опрацьований для роботи з інформацією, віднесеною до користувача, яка зберігається в котролері домену або на RADIUS-сервері. Використання контролера домену спрощує систему адміністрування, бо дозвіл на користування комутованими каналами є частиною інформації про користувача, яку завжди обслуговує адміністратор в конкретній базі даних. Microsoft RAS початково опрацьований як сервер доступу для користувачів комутованих каналів. RAS також є тунельним сервером для сполучень PPTP і L2TP. Підтримка L2TP додана до сервера Windows NT версії 5.0. Внаслідок цього це розв’язання для VPN Рівня 2 успадковує цілу інфраструктуру управління, доцільну для мережевої взаємодії через комутовані канали.

           У Windows 2000 RAS може мати переваги нових послуг директорій (Directory Services) у реплікованих базах даних загальнокорпоративного засягу, базовані на протоколі LDAP. Lightweight Directory Access Protocol (LDAP) – це стандартний промисловий протокол для доступу до послуг директорій, опрацьований як простіша альтернатива до протоколу DAP X.500. LDAP є розтяжний, незалежний від виготівника і оснований на стандартах. Ця інтеграція з DS може дозволити адміністратору мати багато засобів для сесій з використанням комутованих каналів або VPN для індивідуальних користувачів або їх груп. Ці засоби можуть визначати фільтри для комутованих каналів, необхідні методи автентифікації або шифрування, обмеження для днів або часу і т.п.

           Для мережевого адміністратора RAS-сервера, оснащеного PPTP, моніторування сесій PPTP у віртуальній приватній мережі ідентичне з моніторуванням RAS-сполучення. Він може бачити, які VPN-порти активні, статистики щодо тривалості сполучень, яка швидкість використовується та основну інформацію про пересилання даних; все це доступне через програму RAS Administration.

 

Масштабованість

           Надлишковість і балансування навантаження здійснюється з використанням циклічного (round-robin) DNS для розділення тунельних серверів VPN, які спільно використовують загальний периметр захисту. Периметр захисту має одне зовнішнє DNS-ім’я, наприклад, vpnx.support.bigcompany.com, однак декілька IP-адрес, і навантаження випадково розподіляється по всіх цих IP-адресах. Всі ці сервери можуть автентифікувати запити доступу за спільною базою даних, такою, як Windows NT Domain Controller. Відзначимо, що бази даних доменів Windows NT репліковані.

 

RADIUS

           Протокол Remote Authentification Dial-in User Service (RADIUS) – це поширений метод для обслуговування автентифікації та авторизації віддалених користувачів. RADIUS є дуже легким протоколом, базованим на UDP. Сервери RADIUS можуть бути локалізовані будь-де в Internet і здійснювати автентифікацію (включно з PPP PAP, CHAP, MSCHAP, EAP) для своїх клієнтів NAS. Крім того, сервери RADIUS можуть забезпечувати послуги проксі (proxy) для пересилання автентифікаційних запитів до віддалених серверів RADIUS. Наприклад, багато ISP утворюють корсорціуми, щоб дозволяти переміщення абонентів з метою використання локальних послуг від найближчого ISP для доступу через комутовані канали до Internet і віртуального об’єднання мереж на глобальній основі. Ці “альянси для переміщень” використовують переваги послуг проксі RADIUS. Якщо ISP розпізнає ім’я користувача – абонента віддаленої мережі, то ISP використовує RADIUS-проксі для пересилання запиту на доступ до потрібної мережі. У результаті наявні ефективні вихідні розв’язання, у яких правила авторизації обслуговуються корпорацією і інфраструктура надавача послуг використовується для мінімізації вартості.