Авторизация подключений удаленного доступа

Виртуальные частные подключения принимаются только от авторизованных пользователей и маршрутизаторов. В операционных системах семейства Windows Server 2003 авторизация VPN-подключений выполняется на основании параметров входящих вызовов учетной записи пользователя и политик удаленного доступа. Дополнительные сведения см. в разделе Политики удаленного доступа.

Не требуется создавать дополнительные учетные записи пользователей специально для VPN-подключений. VPN-серверы используют учетные записи пользователей из доступных баз данных учетных записей пользователей в соответствии с параметрами безопасности операционных систем Windows Server 2003.

Действия системы безопасности в процессе подключения

Описанные ниже действия выполняются при попытке подключения VPN-клиента, использующего протокол PPTP (Point-to-Point Tunneling Protocol, туннельный протокол «точка-точка»), к VPN-серверу с протоколом PPTP под управлением Windows Server 2003.

VPN-клиент создает туннель PPTP к VPN-серверу.

Сервер отправляет запрос клиенту.

Клиент отправляет зашифрованный ответ серверу.

Сервер сверяет ответ с базой данных учетных записей пользователей.

Если учетная запись действительна, а подключение авторизовано, сервер использует политику удаленного доступа и параметры учетной записи пользователя для VPN-клиента.

Примечание

Пункты 2 - 4 предполагают, что VPN-клиент и VPN-сервер используют протокол проверки подлинности MS-CHAP или CHAP. Отправка учетных данных пользователей для других протоколов проверки подлинности может отличаться от описанной выше.

Описанные ниже действия выполняются при попытке подключения VPN-клиента, использующего протокол L2TP/IPSec (Layer Two Tunneling Protocol over Internet Protocol security, туннельный протокол второго уровня поверх безопасности протокола IP), к VPN-серверу с протоколом L2TP/IPSec под управлением Windows Server 2003.

На основе сертификатов компьютеров и процесса согласования обмена ключами в Интернете создается сопоставление безопасности IPSec.

VPN-клиент создает туннель L2TP к VPN-серверу.

Сервер отправляет запрос клиенту.

Клиент отправляет зашифрованный ответ серверу.

Сервер сверяет ответ с базой данных учетных записей пользователей.

Если учетная запись действительна, а подключение авторизовано, сервер использует политику удаленного доступа и параметры учетной записи пользователя для VPN-клиента.

Примечание

Пункты 3 - 4 предполагают, что VPN-клиент и VPN-сервер используют протокол проверки подлинности MS-CHAP v1 или CHAP. Отправка учетных данных пользователей для других протоколов проверки подлинности может отличаться от описанной выше.

Безопасность после подключения

После авторизации, проверки подлинности и подключения к локальной сети VPN-клиенты удаленного доступа получают доступ только к тем сетевым ресурсам, на использование которых имеют разрешения. VPN-клиенты удаленного доступа обрабатываются системой безопасности в операционных системах Windows Server 2003 так же, как если бы они были подключены к локальной сети организации. Другими словами, VPN-клиенты удаленного доступа не могут выполнять никакие операции, для которых у них недостаточно прав, и не могут обращаться к ресурсам, на доступ к которым у них нет разрешений.

Перед тем как VPN-клиенты удаленного доступа получат доступ к сети и смогут работать с ее ресурсами, VPN-сервер должен проверить их подлинность. Проверка подлинности является отдельной процедурой, не связанной с входом в домен Windows Server 2003.

Для ограничения доступа по виртуальным частным подключениям с IP-трафиком используются фильтры пакетов на основе профиля политики удаленного доступа. С помощью фильтров пакетов в профиле можно ограничить исходящий IP-трафик (фильтры выхода) или входящий трафик (фильтры входа) методом исключения: разрешить весь трафик удаленного доступа, кроме указанного в фильтрах, либо запретить весь трафик, кроме указанного в фильтрах. Фильтрация на основе профиля политики удаленного доступа применяется для всех подключений удаленного доступа, которые соответствуют этой политике.

Анализаторы протоколов

Анализаторы протоколов (Protocolanalyzers). Представляют собой программные или аппаратно-программные системы, которые ограничиваются в отличие от систем управления лишь функциями мониторинга и анализа трафика в сетях. Хороший анализатор протоколов может захватывать и декодировать пакеты большого количества протоколов, применяемых в сетях - обычно несколько десятков. Анализаторы протоколов позволяют установить некоторые логические условия для захвата отдельных пакетов и выполняют полное декодирование захваченных пакетов, то есть показывают в удобной для специалиста форме вложенность пакетов протоколов разных уровней друг в друга с расшифровкой содержания отдельных полей каждого пакета.

Оборудование для диагностики и сертификации кабельных систем. Условно это оборудование можно поделить на четыре основные группы: сетевые мониторы, приборы для сертификации кабельных систем, кабельные сканеры и тестеры (мультиметры).

Сетевые мониторы (называемые также сетевыми анализаторами) предназначены для тестирования кабелей различных категорий. Следует различать сетевые мониторы и анализаторы протоколов. Сетевые мониторы собирают данные только о статистических показателях трафика - средней интенсивности общего трафика сети, средней интенсивности потока пакетов с определенным типом ошибки и т.п.

Назначение устройств для сертификации кабельных систем, непосредственно следует из их названия. Сертификация выполняется в соответствии с требованиями одного из международных стандартов на кабельные системы.

Кабельные сканеры используются для диагностики медных кабельных систем.

Тестеры предназначены для проверки кабелей на отсутствие физического разрыва.

Экспертные системы. Этот вид систем аккумулирует человеческие знания о выявлении причин аномальной работы сетей и возможных способах приведения сети в работоспособное состояние. Экспертные системы часто реализуются в виде отдельных подсистем различных средств мониторинга и анализа сетей: систем управления сетями, анализаторов протоколов, сетевых анализаторов. Простейшим вариантом экспертной системы является контекстно-зависимая help-система. Более сложные экспертные системы представляют собой так называемые базы знаний, обладающие элементами искусственного интеллекта. Примером такой системы является экспертная система, встроенная в систему управления Spectrum компании Cabletron.

Многофункциональные устройства анализа и диагностики. В последние годы, в связи с повсеместным распространением локальных сетей возникла необходимость разработки недорогих портативных приборов, совмещающих функции нескольких устройств: анализаторов протоколов, кабельных сканеров и, даже, некоторых возможностей ПО сетевого управления. В качестве примера такого рода устройств можно привести Compas компании MicrotestInc. или 675 LANMeterкомпании FlukeCorp.

Оборудование для диагностики и сертификации кабельных систем.

Как определить причину нарушения работы кабельной системы ЛВС? Как определить место повреждения кабеля? Как проверить соответствие имеющегося кабеля предписываемой ему категории? Как проверить правильность установки кабельной системы? Эти и другие вопросы, связанные с установкой и эксплуатацией кабельных систем, часто встают практически перед каждым администратором ЛВС и сотрудниками сетевых фирм.

Табл. 2 Выбор оборудования

Условно, оборудование для диагностики и сертификации кабельных систем можно поделить на четыре основные группы: сетевые анализаторы, приборы для сертификации кабельных систем, кабельные сканеры и тестеры (мультиметры). Для выбора соответствующего оборудования нужно правильно представлять, для какой цели оно будет использоваться.

Сетевые анализаторы (не следует путать их с анализаторами протоколов) -это эталонные измерительные инструменты для диагностики и сертификации кабелей и кабельных систем. Например,сетевые анализаторы компании Hewlett-Packard - HP 4195A и HP 8510C.

Сетевые анализаторы содержат высокоточный частотный генератор и узкополосный приемник. Передавая сигналы различных частот в передающую пару и измеряя сигнал в приемной паре, можно измерить затухание и NEXT. Сетевые анализаторы - это прецизионные крупногабаритные и дорогие (стоимостью более $20.000) приборы, предназначенные для использования в лабораторных условиях специально обученным персоналом. Поэтому мы не будем подробно останавливаться на описании конкретных устройств, отсылая читателя к технической документации фирм-производителей, а рассмотрим портативные диагностические устройства, доступные практически каждому администратору ЛВС.

Экспертные системы

В начале восьмидесятых годов в исследованиях по искусственному интеллекту сформировалось самостоятельное направление, получившее название "экспертные системы" (ЭС). Цель исследований по ЭС состоит в разработке программ, которые при решении задач, трудных для эксперта-человека, получают результаты, не уступающие по качеству и эффективности решениям, получаемым экспертом. Исследователи в области ЭС для названия своей дисциплины часто используют также термин "инженерия знаний", введенный Е.Фейгенбаумом как "привнесение принципов и инструментария исследований из области искусственного интеллекта в решение трудных прикладных проблем, требующих знаний экспертов".

Программные средства (ПС), базирующиеся на технологии экспертных систем, или инженерии знаний (в дальнейшем будем использовать их как синонимы), получили значительное распространение в мире. Важность экспертных систем состоит в следующем:

технология экспертных систем существенно расширяет круг практически значимых задач, решаемых на компьютерах, решение которых приносит значительный экономический эффект;

технология ЭС является важнейшим средством в решении глобальных проблем традиционного программирования: длительность и, следовательно, высокая стоимость разработки сложных приложений;

высокая стоимость сопровождения сложных систем, которая часто в несколько раз превосходит стоимость их разработки; низкий уровень повторной используемости программ и т.п.;

объединение технологии ЭС с технологией традиционного программирования добавляет новые качества к программным продуктам за счет: обеспечения динамичной модификации приложений пользователем, а не программистом; большей "прозрачности" приложения (например, знания хранятся на ограниченном ЕЯ, что не требует комментариев к знаниям, упрощает обучение и сопровождение); лучшей графики; интерфейса и взаимодействия.

По мнению ведущих специалистов , в недалекой перспективе ЭС найдут следующее применение:

· ЭС будут играть ведущую роль во всех фазах проектирования, разработки, производства, распределения, продажи, поддержки и оказания услуг;

· технология ЭС, получившая коммерческое распространение, обеспечит революционный прорыв в интеграции приложений из готовых интеллектуально-взаимодействующих модулей.

· ЭС предназначены для так называемых неформализованных задач, т.е. ЭС не отвергают и не заменяют традиционного подхода к разработке программ, ориентированного на решение формализованных задач.

Неформализованные задачи обычно обладают следующими особенностями:

· ошибочностью, неоднозначностью, неполнотой и противоречивостью исходных данных;

· ошибочностью, неоднозначностью, неполнотой и противоречивостью знаний о проблемной области и решаемой задаче;

· большой размерностью пространства решения, т.е. перебор при поиске решения весьма велик;

· динамически изменяющимися данными и знаниями.

Следует подчеркнуть, что неформализованные задачи представляют большой и очень важный класс задач. Многие специалисты считают, что эти задачи являются наиболее массовым классом задач, решаемых ЭВМ.

Экспертные системы и системы искусственного интеллекта отличаются от систем обработки данных тем, что в них в основном используются символьный (а не числовой) способ представления, символьный вывод и эвристический поиск решения (а не исполнение известного алгоритма).

Экспертные системы применяются для решения только трудных практических (не игрушечных) задач. По качеству и эффективности решения экспертные системы не уступают решениям эксперта-человека. Решения экспертных систем обладают "прозрачностью", т.е. могут быть объяснены пользователю на качественном уровне. Это качество экспертных систем обеспечивается их способностью рассуждать о своих знаниях и умозаключениях. Экспертные системы способны пополнять свои знания в ходе взаимодействия с экспертом. Необходимо отметить, что в настоящее время технология экспертных систем используется для решения различных типов задач: (интерпретация, предсказание, диагностика, планирование, конструирование, контроль, отладка, инструктаж, управление ) в самых разнообразных проблемных областях, таких, как финансы, нефтяная и газовая промышленность, энергетика, транспорт, фармацевтическое производство, космос, металлургия, горное дело, химия, образование, целлюлозно-бумажная промышленность, телекоммуникации и связь и др.

Коммерческие успехи к фирмам-разработчикам систем искусственного интеллекта (СИИ) пришли не сразу. На протяжении 1960 - 1985 гг. успехи ИИ касались в основном исследовательских разработок, которые демонстрировали пригодность СИИ для практического использования. Начиная примерно с 1985 г. (в массовом масштабе с 1988 - 1990 гг.), в первую очередь ЭС, а в последние годы системы, воспринимающие естественный язык (ЕЯ-системы), и нейронные сети (НС) стали активно использоваться в коммерческих приложениях.

Следует обратить внимание на то, что некоторые специалисты (как правило, специалисты в программировании, а не в ИИ) продолжают утверждать, что ЭС и СИИ не оправдали возлагавшихся на них ожиданий и умерли. Причины таких заблуждений состоят в том, что эти авторы рассматривали ЭС как альтернативу традиционному программированию, т.е. они исходили из того, что ЭС в одиночестве (в изоляции от других программных средств) полностью решают задачи, стоящие перед заказчиком. Надо отметить, что на заре появления ЭС специфика используемых в них языков, технологии разработки приложений и используемого оборудования (например, Lisp-машины) давала основания предполагать, что интеграция ЭС с традиционными, программными системами является сложной и, возможно, невыполнимой задачей при ограничениях, накладываемых реальными приложениями. Однако в настоящее время коммерческие инструментальные средства (ИС) для создания ЭС разрабатываются в полном соответствии с современными технологическими тенденциями традиционного программирования, что снимает проблемы, возникающие при создании интегрированных приложений.

Причины, приведшие СИИ к коммерческому успеху, следующие.

Интегрированность. Разработаны инструментальные средства искусственного интеллекта (ИС ИИ), легко интегрирующиеся с другими информационными технологиями и средствами (с CASE, СУБД, контроллерами, концентраторами данных и т.п.).

Открытость и переносимость. ИС ИИ разрабатываются с соблюдением стандартов, обеспечивающих открытость и переносимость [14].

Использование языков традиционного программирования и рабочихстанций. Переход от ИС ИИ, реализованных на языках ИИ (Lisp, Prolog и т.п.), к ИС ИИ, реализованным на языках традиционного программирования (С, C++ и т.п.), упростил обеспечение интегриро-ванности, снизил требования приложений ИИ к быстродействию ЭВМ и объемам оперативной памяти. Использование рабочих станций (вместо ПК) резко увеличило круг приложений, которые могут быть выполнены на ЭВМ с использованием ИС ИИ.

Архитектура клиент-сервер. Разработаны ИС ИИ, поддерживающие распределенные вычисления по архитектуре клиент-сервер, что позволило:снизить стоимость оборудования, используемого в приложениях, децентрализовать приложения, повысить надежность и общую производительность (так как сокращается количество информации, пересылаемой между ЭВМ, и каждый модуль приложения выполняется на адекватном ему оборудовании).

Проблемно/предметно-ориентированные ИС ИИ. Переход от разработок ИС ИИ общего назначения (хотя они не утратили свое значение как средство для создания ориентированных ИС) к проблемно/предметно-ориентированным ИС ИИ обеспечивает: сокращение сроков разработки приложений; увеличение эффективности использования ИС; упрощение и ускорение работы эксперта; повторную используемость информационного и программного обеспечения (объекты, классы, правила, процедуры).