RRAS Routing and Remote Access Service (Farsi User Guide)
Resource: Windows 2000 Server Resource kit Internetworking Guide

Winteacher.com > Part2 > RRAS > Step1 > Elements Of Secure Remote Access

Elements of Secure Remote Access

بدلبل اینکه امکان دارد بین RAS Serv و Client ها اطلاعات محرمانه و حساس ردوبدل شود Microsoft چندین روش برای ایجاد امنیت بین این دو در نظر گرفته  که در زیر شرح داده می شود .

.
Secure User Authentication

یکی ار بهترین موارد  برای ایجاد بک Secure Connection بین دو سیستم استفاده از اطلاعات کد شده و یا Encrypt شده می باشد .

از این مورد در زمانی که یک PPP Remote Access Client بخواهد با یک سرور ارتباط برقرارکند از Protocol های مانند MS-CHAP v1 و MS-CHAP v2 و EAP و SPAP و CHAP

استفاده می کند .

Extensible Authentication Protocol (EAP)

Microsoft Challenge Handshake Authentication Protocol (MS-CHAP) version 1 and version 2

Shiva Password Authentication Protocol (SPAP)

Challenge Handshake Authentication Protocol (CHAP)

.
Mutual Authentication

در این نوع برای برقراری ارتباط باید هر دو End System یکدیگر را شناسایی کنند یعنی سرور باید توسط Client شناسایی شود و Client نیز توسط سرور باید شناسایی شود در این نوع اطلاعات نیز بصورت

Encrypt شده Transfer می شود و از Protocol های معروف  مانند MS-CHAP V2 و یا EAP-TLS استفاده می شود .اگر سرور به درخواست Client مبنی بر معرفی خود برای Authentication

جواب ندهد Connection از طرف Client قطع می شود .

 
.
Data Encryption

در دو روش بالا سیستم ها برای Authentication از Encryption استفاده می کنند  . در این روش علاوه برآن Packet های ارسالی بین دو End System نیز بصورت کد شده ارسال می شود .

برای ارتباط End-to-End در Remote Access Client و RAS Server یک Protocol که دارای امنیت بسیار بالای می باشد بنام IPSec وجود دارد که خود آن در WAN از L2TP

استفاده می کند .Layer 2 Tunneling Protocol برای ارتباط از طریق VPN طراحی شده  و دارای امنیت بسیار بالای  می باشد .

 
.
CALLBACK

می توان سرور RAS را بگونه برنامه ریزی کرد که در زمانی که یک User با آن ارتباط برقرار کرد ار User یک Phone Number دریافت کند و Server برای برقراری ارتباط به Client متصل شود این عمل

موجب می شود که مکان Client برای سرور توسط شماره تلفن مشخص شود و فقط با آن شماره ارتباط با  User را به رسمیت بشناسد .

 
.
Caller-ID

می توان در Property یک User Account مشخص کرد که این فرد باید با چه شماره تلفنی با سرور ارتباط برقرارکند اگر در زمان شناسایی User سرور متوجه شود که Phone Number آن فرد با

اطلاعات موجود در Property آن User یکی نیست Connection برقرار نمی کند .Caller-ID در قسمت Dial-in Property  یک User Account می توان معرفی کرد .

 
.
Remote Access Account Lockout

از این امکان برای ایجاد امنیت یک Account با Password آن استفاده می شود .Malicious Users افرادی در Internet می باشند که با حمله کردن به سرور برای هر Account یک سری شاید هزار تا

Password را که از قبل آماده کرده اند بطور مداوم Send می کنند و یا ارسال می کنند تا Password را بدست آورند .Account Lockout به اشتباه وارد کردن Password حساس می باشد و می تواند

یک Account  را اگر چندین بار رمز آن اشتباه وارد شد آن را Disable کند .تعداد اینکه چند بار می توان Password را اشتباه وارد کرد  توسط Admin باید مشخص شود .

 

البته ایجاد این مورد برای سرور ممکن است موجب شود که Malicious Users عمدا با چند بار وارد کردن Password اشتباه موجب Disable شدن کلیه   Account های سرور شما بشوند .

تذکر این Account Lockout ربطی به Policy موجود در GPO ندارد .

As the network administrator, you must decide on two remote access account lockout variables:
  1. The number of failed attempts before future attempts are denied.

    After each failed attempt, a failed attempts counter for the user account is incremented. If the user account's failed attempts counter reaches the configured maximum, future attempts to connect are denied.

    A successful authentication resets the failed attempts counter when its value is less than the configured maximum. In other words, the failed attempts counter does not accumulate beyond a successful authentication.

  2. How often the failed attempts counter is reset.

    You must periodically reset the failed attempts counter to prevent inadvertent lockouts due to normal mistakes by users when typing in their passwords.

Remote access account lockout feature is configured by changing settings in the Windows 2000 registry on the computer that provides the authentication. If the remote access server is configured for Windows authentication, modify the registry on the remote access server computer. If the remote access server is configured for RADIUS authentication and Windows 2000 Internet Authentication Service (IAS) is being used, modify the registry on the IAS server computer.

To enable account lockout, you must set the MaxDenials entry in the registry (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \RemoteAccess\Parameters\AccountLockout) to 1 or greater. MaxDenials is the maximum number of failed attempts before the account is locked out. By default, MaxDenials is set to 0, which means that account lockout is disabled.

To modify the amount of time before the failed attempts counter is reset, you must set the ResetTime (mins) entry in the registry (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \RemoteAccess\Parameters\AccountLockout) to the required number of minutes. By default, ResetTime (mins) is set to 0xb40, or 2,880 minutes (48 hours).

To manually reset a user account that has been locked out before the failed attempts counter is automatically reset, delete the following registry subkey that corresponds to the user's account name:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout\domain name:user name

 
RRAS Routing and Remote Access Service (Farsi User Guide)

LastUpdate:2005/04/05

Winteacher.com > Part2 > RRAS > Step1 > Elements Of Secure Remote Access