بررسی شبکه بندی خصوصى مجازى - Vpn تحت ویندوز سرور ۲۰۰۳(قسمت چهارم)

۳/ ویژگی قفل حساب دستیابى از دور
ویژگی قفل حساب دستیابى از دور برای تعیین کردن اینکه یک تصدیق دستیابی راه دور چند بار با یک حساب کاربر معتبر شکست خورده قبل از اینکه کاربر دستیابی راه دور را رد کند، بکار می رود. ویژگی قفل حساب دستیابى از دور مخصوصاً براى اتصالات دستیابى از دور VPN از طریق اینترنت مهم است. روى اینترنت کاربران داراى سوء قصد می توانند برای دسترسی به اینترانت یک سازمان با فرستادن اعتبار نامه (نام کاربری معتبر، پسورد حدسی) در طول پروسه تصدیق ارتباط VPN تلاش کنند. در طول یک حمله فرهنگ لغات، کاربر داراى سوء قصد صدها یا هزاران اعتبارنامه با استفاده از لیستی از کلمات عبور مبنى بر کلمات یا عبارات متداول می فرستد. با فعال کردن قفل حساب دستیابى از دور ، یک حمله فرهنگ لغات پس از یک تعداد مشخص‌شده تلاش ناموفق خنثى می شود.
ویژگی قفل حساب دستیابى از دور بین کاربری که به عنوان سوءقصد برای دسترسی به اینترانت شما تلاش می کند و کاربر معتبری که سعی بر دستیابى از دور دارد ولی پسورد خود را فراموش کرده است فرقی قائل نمی شود.کاربرانی که پسوردشان را فراموش کرده اند معمولا با کلمات عبوری که به خاطر می آورند سعی می کنند وارد شوند و امکان دارد حسابشان قفل شود.
اگر ویژگی قفل حساب دستیابى از دور را فعال کنید، یک کاربر داراى سوءقصد می تواند به طور عمدی با چندین بارتلاش برای تصدیق با حساب کاربر باعث قفل شدن حساب شود و در نتیجه از ورود کاربر معتبر جلوگیری شود.
ویژگی قفل حساب دستیابى از دور با عوض کردن تنظیماتی در رجیستری کامپیوتری که شناسایى و تصدیق را فراهم می کند پیکره‌بندى می شود. اگر سرور دسترسى از راه دور براى شناسای ویندوز پیکره‌بندى شده است، رجیستری کامپیوتر سرور دسترسى از راه دور را تغییر دهید. اگر سرور دسترسى از راه دور براى شناسایى RADIUS پیکره‌بندى شده است و سرویس شناسایی اینترنت (IAS) در حال استفاده باشد، رجیسترس را روی کامپیوتر سرور IAS تغییر دهید.
۴/ فیلترگذارى بسته‌اى پروفایل سیاست دستیابى از راه دور
رویه‌ها و خط مشی های دستیابى از دور که تصدیق و محدودیت های ارتباط را تعریف می کند،می توانند برای معیین کردن مجموعه ای از فیلترهای بسته IP که برای اتصالات دستیابی از راه دور بکار می رود، استفاده شود. وقتى که یک ارتباط پذیرفته می شود، فیلترهای بسته انواع ترافیک IP را که از کلاینت VPN و به کلاینت VPN مجاز هستند، تعریف می کند.
این ویژگى می تواند براى اتصالات اکسترانت (شبکه ارتباطی داخلی- خارجی) به کاررود. یک اکسترانت بخشی از شبکه سازمان شماست که برای کاربران بیرون از سازمان قابل دسترس می باشد، از قبیل شرکای تجاری و فروشندگان. با استفاده ازفیلترگذارى بسته‌اى پروفایل خط مشی دستیابى از راه دور شما می توانید رویه های دستیابی از راه دور جدیدی ایجاد کنید که اعضای گروه شریکان که فقط می توانند به وب سرورها در آدرس IP خاصی یا روی زیر شبکه خاصی دسترسی داشته باشند مشخص شوند.
همچنین این ویژگى می تواند از فرستادن بسته هایی که اورجینال نیستنند توسط کلاینت دستیابى از راه دور VPN جلوگیری کند. هنگامیکه کامپیوترکلاینت دستیابى از دور یک ارتباط VPN ایجاد می کند، به صورت پیش فرض یک مسیر قراردادی و پیش فرض ایجاد می کند بطوریکه تمام ترافیکی که روی مسیر پیش فرض مچ می شوند، روی اتصال VPN فرستاده می شوند. اگر کامپیوترهاى دیگر ترافیک را به کلاینت دستیابى از راه دور VPN بفرستند، کامپیوتر کلاینت دستیابى از دور به عنوان یک مسیریاب عمل می کند، سپس ترافیک از میان ارتباط VPN ارسال می شود. این یک مسئله امنیتی است چون سرورVPN، کامپیوتری که برای کلاینت دسترسی راه دور VPN ترافیک می فرستد ، تصدیق نمی کند. کامپیوترى که برای کلاینت دسترسی راه دور VPN ترافیک می فرستد دسترسی به شبکه یکسانی مثل کامپیوتر کلاینت VPN دارد.
براى جلوگیری از اینکه سرور VPN ترافیک از میان ارتباط VPN براى کامپیوترها و گذشته از آن کامپیوترهاى کلاینت دستیابى از دور VPN تصدیق ‌شده را دریافت کند،فیلترگذارى بسته‌اى خط مشی دستیابى از راه دور روی رویه دسترسی از راه دورکه برای اتصال VPN شما استفاده می شود، پیکره‌بندى کنید. رویه دسترسی از راه دور پیش فرض برای ویندوز سرور ۲۰۰۳ ، اتصال به مسیریابی ودسترسی راه دور میکروسافت نامیده‌ می شود که همواره فیلترهای بسته ورودی صحیح براى این پیکربندى دارد.
مدیریت VPN
در انتخاب یک تکنولوژى شبکه خصوصى مجازى، مهم است که به موضوع مدیریت رسیدگی شود. شبکه‌هاى بزرگ نیاز دارند که اطلاعات راهنمای مربوط به هر کاربر را در یک منبع ذخیره متمرکز،ذخیره کنند، به طوریکه مدیران و برنامه های کاربردی بتوانند این اطلاعات را اضافه کنند، اصلاح کنند یا مورد پرس و جو قرار دهند. هر سرور دسترسى یا سرور تونل می تواند پایگاه داده داخلی خود از مشخصات کاربران از قبیل نام‌ها، کلمات عبور و مجوز های دسترسی شماره گیری (dial-in ) را نگهداری کنند . اما، چون نگهداری حساب های کاربری متعدد روی سرورهای متعدد و اداره کردن آنها گران است، بسیاری از مدیران یک پایگاه داده حساب را در سرور راهنما یا کنترلر اصلی دامنه یا روی یک سرور RADIUS نصب می کنند.
حسابدارى، پیگیرى و هشدار دادن
برای مدیریت صحیح یک سیستم VPN، مدیران شبکه‌ باید قادر باشند تا پیگیری کنند که چه اشخاصی از سیستم استفاده می کنند، چه تعداد اتصال درست ‌شده است و نیز قادر باشند فعالیت غیرعادی،حالت خطا، و موقعیت هایی که ممکن است خرابی تجهیزات را نشان دهد، پیگیری کنند. این اطلاعات می تواند براى صدور صورت‌حساب ، پیگیرى و هشدار در مورد خطا به کار روند.
براى مثال، یک مدیر ممکن است احتیاج داشته باشد که بداند چه کسی و برای چه مدت به سیستم وصل‌ شده تا داده های صدور صورت حساب را طرح ریزی کند. فعالیت غیرمعمول ممکن است نشانگراستفاده نادرست از سیستم یا کسری منابع سیستم باشد. مانیتورینگ Real-time از تجهیزات (براى مثال، فعالیت زیاد غیرعادی روى یک مودم و بیکارى روى دیگری) می تواند مدیر را از نقص یک مودم آگاه سازد. سرور تونل باید همه این اطلاعات را فراهم کند و سیستم باید امکان ثبت وقایع ، گزارشها و یک مکان ذخیره سازی برای اداره مناسب داده ها را فراهم کند.
پروتکل RADIUS یک مجموعه از درخواست های مبتنی بر مکالمه را تعریف می کند که از درخواست های تصدیق که در بالا بحث شد مستقل هستند. این پیغام‌ها از NAS به سرور RADIUS تقاضای ایجاد اسناد حسابدارى در شروع یک مکالمه، پایان مکالمه و در فواصل از پیش تعیین‌ شده در طول یک مکالمه را می کند .سرویس مسیریابى و دستیابى از راه دور (RRAS)، که عملکرد سرور شبکه خصوصى مجازى را در ویندوز سرور ۲۰۰۳ فراهم می کند، می تواند پیکره‌بندى شود تا درخواست های حسابرسیRADIUS را به صورت جداگانه از درخواست‌هاى ارتباط تولید کند ( که می تواند به کنترل ‌کننده دامنه یا به یک سرورRADIUS برود ). این به یک مدیر اجازه می دهد تا یک سرور حسابدارى RADIUS را پیکره‌بندى بکند، چه RADIUS براى تصدیق سندیت به کاررفته باشد و چه به کار نرفته باشد. بنابراین یک سرور حسابدارى می تواند رکوردها را براى هر ارتباط شبکه خصوصى مجازى برای تحلیل جمع‌آورى بکند.
IAS در ویندوز سرور ۲۰۰۳ یک سرور حسابرسی RADIUS است و ثبت اطلاعات حسابدارى ارتباط را در یک فایل log یا فرستادن مستقیم آن به یک پایگاه داده سرور SQL پشتیبانى می کند.
در پایان
VPNها به کاربران یا شرکت ‌ها اجازه می دهد به سرورهای راه دور، دفاتر شعبه‌ ها یا به کمپانیهاى دیگر روى یک شبکه عمومى تا وقتی که ارتباطات امن را پشتیبانی می کند، وصل شوند. در همه این موارد، ارتباط امن برای کاربر به عنوان یک شبکه خصوصى به نظر می رسد در حالیکه این ارتباط روى یک شبکه عمومى اتفاق می افتد. تکنولوژى شبکه خصوصى مجازى برای رساندن فعالیت های تجاری جاری به این مرحله طراحی شده است که آنها به صورت روزافزون تر از ارتباط راه دور و انتشار وسیع عملیات سراسری استفاده کنند‏؛ جایى که شاغلین باید قادر باشند به منابع مرکزى وصل شده و قادر باشند با یکدیگر ارتباط برقرار بکنند.
شبکه‌ سازى خصوصى مجازى با ویندوز سرور ۲۰۰۳ و ویندوز XP پروتکلهای استاندارد PPTP وL2TP/IPSec ، ویژگی های امنیتی پیشرفته‌ از قبیل شناسایى مبنى بر گواهینامه‌ و کنترل قرنطینه دسترسی شبکه، و ویژگیهای مدیریت از قبیل شناسایى متمرکز و حسابدارى با RADIUS و مدیریت گسترش کلاینت VPN با مدیر اتصال را پشتیبانی می کند.