Динамика систем, механизмов и машин, № 4, 2014
УДК 004.056.52
И.Н. Шишкин, I.N. Shishkin, e-mail: [email protected]
Томский государственный университет систем управления и радиоэлектроники, г. Томск, Россия
Tomsk state university of control systems and radioelectronics, Tomsk, Russia
ИСПОЛЬЗОВАНИЕ NETWORK POLICY SERVER ДЛЯ УПРАВЛЕНИЯ VPN-СОЕДИНЕНИЯМИ
USING NETWORK POLICY SERVER FOR VPN-CONNECTIONS MANAGEMENT
В статье представлен обзор возможностей Network Policy Server для организации управления VPN-соединениями на основе доменной структуры Active Directory. Приведена схема взаимодействия VPN-клиентов, VPN-сервера, Active Directory и Network policy Server.
The article includes review of functions of Network Policy Server for VPN-connections management using Active Directory structure. Article contains interaction scheme between VPN-clients, VPN-Server, Active Directory and Network Policy Server.
Ключевые слова: Network Policy Server, VPN, Active Directory, RADIUS
Keywords: VPN, Active Directory, Network Policy Server, RADIUS
Технология VPN (Virtual Private Network) нашла широкое применение для организации доступа удаленных сотрудников или офисов к корпоративной сети, доступа в сеть Internet, организации защищенных каналов связи. Однако управление доступом к VPN и разграничением доступа является актуальной задачей.
В большинстве организаций существует доменная структура, основанная на Active Directory. При наличии данной структуры целесообразно объединить разграничение доступа к VPN с правами пользователя в Active Directory.
Для данной задачи возможно использование такой роли Windows Server как Network Policy Server. При этом не обязательно выделение отдельного физического или виртуального сервера, роль Network Policy Server может быть развернута на контроллере домена.
При добавлении роли Network Policy Server и регистрации NPS-сервера в Active Directory можно получить следующий функционал для управления VPN-соединениями:
1) разграничение доступа пользователей Active Directory к VPN-соединению, как для конкретного пользователя, так и для группы пользователей;
2) ограничение доступа к VPN-соединению по времени;
3) задание IP адресов для каждого пользователя VPN в Active Directory.
Ограничение доступа к VPN-соединению по времени позволяет не допустить использование VPN-соединений во внерабочее время и выходные дни.
Задание IP адресов позволят закреплять за каждым пользователем VPN-соединений конкретный IP адрес, что в свою очередь упрощает процесс отслеживания действий пользователя с VPN-соединением.
Для реализации данных функций необходимо выполнение следующих требований:
1) наличие возможности авторизации по RADIUS на VPN-сервере;
2) Network Policy Server должен быть зарегистрирован в Active Directory;
3) Network Policy Server должен быть сконфигурирован как RADIUS-сервер.
Схема взаимодействия компонентов системы представлена на рис. 1.
106
Динамика систем, механизмов и машин, № 4, 2014
Запрос авторизации по RADIUS
Запрос на подключение
Рис. 1. Взаимодействие компонентов системы
Клиент инициирует соединение с VPN-сервером, при этом в качестве логина и пароля используются учетные данные пользователя Active Directory с указанием домена.
VPN-сервер, который выступает в качестве RADIUS-клиента, передает RADIUS-запрос авторизации на Network Policy Server. Network Policy Server определяет - зарегистрирован ли данный RADIUS-клиент, и, в случае положительного результата, обращается к Active Directory для подтверждения учетных данных пользователя.
Если пользователь принадлежит к группе, которой разрешено использование VPN-соединений, и в данный момент времени разрешено использование VPN-соединений, служба каталогов Active Directory разрешает доступ и передает NPS IP адрес, который нужно присвоить VPN-клиенту. IP адрес является атрибутом пользователя в AD. Если IP адрес не указан, будет использоваться DHCP на VPN-сервере. Если же DHCP отсутствует - указание IP адреса является обязательным.
После подтверждения разрешения подключения от Active Directory NPS направляет ответ VPN-серверу с разрешением установки VPN-соединения и передает ему IP-адрес, который должен быть присвоен клиенту. После подтверждения VPN-сервер устанавливает соединение с клиентом.
Достоинства данного метода заключаются в том, что аутентификация пользователей осуществляется с использованием Active Directory, что позволяет не хранить отдельную базу пользователей для VPN-сервера, кроме того при наличии нескольких контроллеров домена повышает отказоустойчивость системы и позволяет использовать усиленные методы аутентификации пользователей [1-3]. Кроме того данный метод не зависит от используемого в организации VPN-сервера, единственное ограничение - наличие возможности авторизации по унифицированному протоколу RADIUS.
Работа выполнена при финансовой поддержке Министерства образования и науки РФ в рамках базовой части государственного задания ТУСУР на 2014 год (проект № 1200).
Библиографический список
1. Исхаков, А. Ю. Двухфакторная аутентификация на основе программного токена / А. Ю.Исхаков, Р. В. Мещеряков, И. А. Ходашинский // Вопросы защиты информации. -2013. № 3 (102). - С. 23-28.
2. Ходашинский, И. А. Технология усиленной аутентификации пользователей информационных процессов / И. А. Ходашинский, М. В.Савчук, И. В. Горбунов, Р. В. Мещеряков // Доклады ТУСУРа. - 2011. - № 2-3. - С. 236-248.
107
Динамика систем, механизмов и машин, № 4, 2014
3. Савчук М.В. Методы усиленной аутентификации пользователей / М.В. Савчук, Р. В. Мещеряков, Е.М. Давыдова // Безопасность информационных технологий. - 2007. - № 4. -С. 60-68.