„Проектиране на корпоративна vpn мрежа
Изтегляне 2.17 Mb.
|
- Навигация на страницата:
- Net w ork Access Quarantine Control
- 9.2 Remote Access Account Lockout
| Използвани протоколи и възможни атаки в контекста на Windows Server 2003
В този раздел са разгледани протоколи и атаки, приложими при Windows Server 2003 и следващи версии. Network Access Quarantine Control Network Access Quarantine Control е новост в Windows Server 2003. Той забавя нормалния отдалечен достъп към частна мрежа, докато конфигурацията на отдалечения компютър не бъде проучена и проверена за валидност чрез администраторски скрипт. Когато отдалечен компютър поиска връзка с remote access сървър, потребителят се автентицира и му се дава IP адрес. Въпреки това, конекцията е поставена в състояние на карантина (quarantine mode), в което достъпът до мрежата е ограничен. След това администраторският скрипт се пуска на отдалечената машина. Когато завърши успешно, той изпраща съобщение на сървъра с отдалечен достъп, че отдалеченият компютър отговаря на настоящите условия на мрежата. Remote access сървърът премахва състоянието на карантина и отдалеченият компютър е вече одобрен за нормален достъп. Network Access Quarantine Control е комбинация от следните компоненти: • Remote access сървър под Windows Server 2003 и услуга listener за съобщения, отнасящи се до състоянието на карантина. • RADIUS сървър под Windows Server 2003 и Internet Authentication Service (IAS), конфигурирани с карантинните условия за отдалечен достъп (quarantine remote access policy) • Профил, създаден с Windows Server 2003 Connection Manager Administration Kit, който съдържа скрипт за проверка на мрежовата политика (network policy) и компонент notifier, който трябва да бъде изпратен на сървъра, за да го уведоми за резултатите от нея. • Отдалечен клиент под Windows Server 2003 или Windows XP/2000/ME/98SE. 9.2 Remote Access Account Lockout Тази възможност се използва за определяне колко пъти отдалечена автентикация за валиден потребителски акаунт е пропаднала преди на потребителя да му бъде отказан отдалечен достъп. Особено е важна за VPN връзки с отдалечен достъп, работещи през Интернет. По Интернет са възможни атаки, опитващи се да получат достъп до Intranet на някоя организация като изпращат credentials (валидно потребителско име и предположена парола) по време на процеса на автентикация на VPN конекцията. При тази dictionary атака атакуващият изпраща стотици хиляди credentials, използвайки списък от пароли, базирани на често срещани думи и изрази. Чрез Remote access account lockout dictionary атаката се осуетява след няколко неуспешни опита. Тази техника, обаче не прави разлика между атакуващи потребители и такива, които са забравили паролата си и пробват различни варианти. Възможен е вариант на умишлен lockout на даден потребител, чрез многократни опити на пароли. Remote access account lockout се конфигурира чрез промяна на настройките в регистрите на компютъра, който осъществява автентикация. Ако сървърът за отдалечен достъп е конфигуриран за Windows authentication, трябва да се промени registry-то на remote access сървъра, а ако е за RADIUS автентикация и се използва Internet Authentication Service (IAS), променят се регистрите на IAS сървъра. Изтегляне 2.17 Mb. Сподели с приятели:
|