Маршрутизация, шлюзы и брандмауэры

Клиентам RAS, использующим сетевые протоколы, можно разрешить доступ ко всей сети или ограничить его сервером RAS. Если доступ клиентов RAS ограничивается сервером RAS, то RAS выполняет функции брандмауэра (firewall), то есть предотвращает любой внешний доступ за пределами сервера. Если клиентам RAS разрешен доступ ко всей сети, RAS используется как маршрутизатор. Если единственным используемым протоколом является NetBEUI, RAS выступает в роли шлюза, который обеспечивает доступ к сети для немаршрути-зируемого протокола NetBEUI.

Телефонная книга RAS

Для управления и работы с модемной связью RAS используется телефонная книга RAS. Эта утилита, Dial-Up Networking (DUN), находится в папке Programs >• Accessories меню Start. При первом запуске DUN запускается мастер RAS Wizard, который поможет вам создать первый элемент телефонной книги. При каждом последующем запуске открывается диалоговое окно Phonebook. В нем можно создать и модифицировать параметры удаленного доступа для каждого соединения RAS.

Элементы телефонной книги содержат следующую информацию:

• Имя, номер телефона и используемый модем.

• Тип сервера и параметры протокола.

• Сценарии подключения.

• Параметры системы безопасности.

• Параметры Х.25 (в случае необходимости).

Безопасность RAS

RAS предусматривает несколько уровней и типов безопасности, которые защищают сеть от неуполномоченного удаленного доступа. В следующих разделах средства безопасности рассматриваются более подробно.

Шифрование

Для повышения или понижения уровня безопасности соединения Windows NT применяются следующие средства:

• Вкладку Security элемента телефонной книги для исходящих соединений RAS.

• Диалоговое окно Network Protocol Configuration для входящих соединений RAS (см. рис. 10.1).

 

Внимание

Параметр, определяющий шифрование данных в RAS, может принимать три значения:

1. Любые пароли, включая обычный текст. Значение обладает минимальными ограничениями. Оно используется в тех случаях, когда пользователи не слишком беспокоятся о своих паролях. Допускается соединение с любой проверкой подлинности, обеспечиваемой сервером, следовательно, оно пригодится при подключениях к серверам без программного обеспечения Microsoft.

2. Шифрование паролей. Значение пригодится в тех ситуациях, когда пересылка пароля в текстовом виде нежелательна, и при подключении к серверам без программного обеспечения Microsoft.

3. Шифрование паролей Microsoft. При выборе этого значения должен использоваться протокол MS-CHAP (Microsoft Challenge Authentication Handshake Protocol), следовательно, оно пригодится при подключении к серверам Microsoft. Если установлен флажок шифрования данных (Require Data Encryption), все пересылаемые по сети данные шифруются. Шифрование в Windows NT осуществляется с помощью алгоритма RSA (Rivest-Shamir-Adleman) Data Security Incorporated RC4. Если пересылаемые данные не удастся правильно дешифровать, соединение автоматически разрывается.

Ответный вызов

Ответный вызов (callback) — средство безопасности, при котором соединение RAS устанавливается лишь после того, как сервер отключается от входящего звонка и затем перезванивает пользователю. Настройка ответного вызова осуществляется командой User >• Properties в программе User Manager For Domains или одноименной командой Remote Access Manager. Параметр принимает следующие значения:

• Запрет ответного вызова (No Call Back). Значение принимается по умолчанию. Оно означает, что при установлении пользователем соединения RAS он не получит ответного вызова.

• Номер задается вызывающей стороной (Set By Caller). Номер ответного вызова задается пользователем. Это хороший способ сэкономить на междугородных звонках, потому что сервер перезванивает клиенту по номеру, задаваемому пользователем.

• Номер задан ранее (Preset To). Настройка ответного вызова осуществляется заранее. Уровень безопасности при этом повышается, потому что пользователь может звонить лишь с предварительно заданных телефонных номеров.

Вход в систему через RAS

В Windows NT 4 RAS может использоваться для входа в домен — для этого следует установить флажок Connect Via Dial-In и ввести имя нужного домена. Это позволяет установить соединение RAS с удаленной сетью без предварительного локального входа.

 

Совет

Если вы используете TCP/IP для соединений RAS по медленной линии, файл LMHOSTS поможет ускорить сетевой доступ и процесс преобразования имен. Поместите файл LMHOSTS на клиентский компьютер RAS и проследите за тем, чтобы в нем присутствовал тэг #PRE — он обеспечивает кэширование адресов IP.