книги хакеры / журнал хакер / 123_Optimized

УЛЬЯНА СМЕЛАЯ

/ CORE@SYNACK.RU /

ПОЧЕМУИМЕННОPPTP?

ТуннельныйпротоколPPTPпозволяетзашифроватьмультипротокольный трафик, азатеминкапсулировать(упаковать) еговIP-заголовок, который будетотправленполокальнойилиглобальнойсети. PPTP использует:

•TCP-подключениедляуправлениятуннелем;

•модифицированнуюверсиюGRE (общаяинкапсуляциямаршрутов) для инкапсулированияPPP-фреймовтуннелированныхданных.

Полезнаянагрузкапередаваемыхпакетовможетбытьзашифрована(спомощьюпротоколашифрованияданныхMPPE), сжата(используяалгоритм MPPC) илизашифрованаисжата. PPTP легоквразвертывании, нетребует инфраструктуры сертификатов и совместим с подавляющим большинс-

твомNAT-устройств. ВсеверсииMicrosoft Windows, начинаясWindows 95 OSR2, включают в свой состав PPTP-клиент. Также клиенты для подключения по PPTP есть в Linux, xBSD и Mac OS X. Провайдеры знают об этих преимуществах,иименнопоэтомудляорганизацииподключениякинтер-

нету часто используют PPTP, даже несмотря на то, что изначально у него защищенностьниже, чемуL2TP, IPSec иSSTP (PPTP чувствителенксловарныматакам, крометого, VPN-подключение, основанноена протоколе PPTP, обеспечиваетконфиденциальность, нонецелостностьпередаваемыхданных, таккакотсутствуютпроверки, чтоданныенебылиизменены припересылке). Стоитотметить: вбольшихсетяхPPTP предпочтительнее PPPoE. Ведьприиспользованиипоследнегопоисксерверапроизводится путем рассылки широковещательных пакетов, которые могут потеряться насвичах, даисетьтакиепакеты«наводняют» весьмаприлично.

АУТЕНТИФИКАЦИЯИШИФРОВАНИЕ

ВVista иWin2k8 списокопознавательныхпротоколовPPP заметносокращен. ИсключеныSPAP, EAP-MD5-CHAP иMS-CHAP, которыедавнопризнанынебезопасными(внихиспользуютсяалгоритмыхешированияMD4 и шифрования DES). Список доступных протоколов теперь выглядит так:

>>

Установка RRAS сервера для работы PPTP

PAP, CHAP, MSCHAP-v2 и EAP-TLS (требует наличия пользовательских сертификатов или смарт-карт). Настоятельно рекомендуется использовать MSCHAP-v2, поскольку он надежнее и обеспечивает взаимную аутентификациюклиентаисервера. Такжепосредствомгрупповойполитикипредпишиобязательноеприменениесильныхпаролей.

Для шифрования VPN-соединения при помощи MPPE используются 40, 56 и 128-битные RSA RC4 ключи. В первых версиях Windows из-за огра- ниченийнаэкспортвоенныхтехнологийбылдоступентолько40-битный ключ и с некоторыми оговорками — 56-битный. Они уже давно признаны недостаточными, и, начиная с Vista, поддерживается исключительно 128-битнаядлинаключа. Можетвозникнутьситуация, чтоуклиентаподдержкитакойвозможностинет, поэтомудлястарыхверсийWindows надо накатить все сервис-паки или обновления безопасности. Например, WinXP SP2 безпроблемподключитсяксерверуWin2k8.

Чтобысамостоятельнопросмотретьсписокподдерживаемыхсистемойалгоритмовидлинключей,обратиськветкереестраHKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL. В част-

ности, настройкиалгоритмовшифрованиянаходятсявветкеCiphers\RC4. Принудительно активировать нужную опцию можно, создав параметр dword «Enabled» иустановивегозначениев«ffffffff». Естьидругойспособ, который Microsoft не рекомендует, — активировать поддержку 40/56-бит- ных RC4 ключей на сервере Win2k8. Для этого необходимо установить в

«1» параметрреестраHKLM\System\CurrentControlSet\Services\Rasman\ Parameters\AllowPPTPWeakCrypto иперезапуститьсистему.

НАСТРОЙКАСЕРВЕРАPPTP ВWIN2K8

Типичная конфигурация для работы VPN состоит из контроллера доме-

на, серверов RRAS (Routing and Remote Access) и NPS (Network Policy

Server). ВпроцессенастройкиэтихролейдополнительнобудутактивированысервисыDHCP иDNS. Сервер, которомупредстоитвыполнятьроль VPN, передустановкойролиRRAS долженбытьприсоединенкдомену. В отличиеотL2TP иSSTP, сертификатыприработеPPTP ненужны, поэтому сервер сертификатов (Certificate Services) не потребуется. Сетевые устройства, которыебудутучаствоватьвпостроенииVPN (втомчисле, ADSL иподобныемодемы), должныбытьподсоединеныинастроенысоответствующим образом (Пуск ÆПанель управления ÆДиспетчер устройств).

Сначала настроим RRAS при помощи мастера

Для некоторых схем VPN (с использованием NAT и при соединениидвухсетей) потребуется, какминимум, двасетевых устройства.

Используя мастер установки ролей (Диспетчер сервера Æ Роли Æ Установить роль), устанавливаем роль «Службы политики сети и доступа» (Network Access Services) и пере-

ходим к выбору служб ролей, где отмечаем все компоненты «Службымаршрутизациииудаленногодоступа»(Routingand Remote Access Services). Нажимаем«Далее» ивследующем окнеподтверждаемнастройкищелчкомпо«Установить».

Служба удаленного доступа и маршрутизации установлена, но еще не настроена и не запущена. Для настройки пара-

Некоторыми настройками RRAS-сервера можно управлять при помощи утилиты Netsh (network shell). Добавить тип проверки подлинности учетной записи можно при помощи команды:

> Netsh ras add authtype PAP|MD5CHAP|MSCHAPv2|EAP

Для ранних версий Windows еще и MSCHAP|SPAP. Режим проверки:

> Netsh ras set authmode STANDARD|NODCC|BYPASS

Зарегистрировать компьютер как RRAS-сервер в AD:

> Netsh ras add registeredserver

Добавить расширение PPP:

> Netsh ras add link SWC|LCP

Расширение SWC обеспечивает программное сжатие, а LCP активи-

рует одноименное расширение протокола PPP. Типы многоканальной связи поддерживаемых PPP:

> Netsh ras add multilink MULTI|BACP

Свойства учетной записи задаются следующим образом:

> Netsh ras set user

При помощи «set client» можно просмотреть статистику или отклю- чить клиента. Сохранить и восстановить конфигурацию RRAS при помощи Netsh также просто:

>Netsh ras dump > «filename»

>Netsh exec «filename»

Кроме этого, очень много настроек содержит контекст «ras aaaa». Подробно о Netsh смотри в статье «Командный забег в лагерь Лонгхорна» в февральском номере журнала за 2009 год.

>>

>>

зователи его увидят после установки пакета) и имя файла, куда будет сохранен профиль. При создании профиля службы мастер CMAK копирует все входящие в этот про-

филь файлы в Program Files\CMAK\Profiles. В некоторых сетяхприпроверкеподлинностииспользуетсяимяобласти (Realm name), например, в Windows это имя AD домена (user@domain.com). Мастер позволяет задать такое имя области, которое будет автоматически добавлено к логину. И, наконец, добавляем поддержку VPN-подключений. Активируемфлажок«Телефоннаякнигаизэтогопрофиля»

изатем выбираем «Всегда использовать один VPN-сер- вер» или «Разрешить пользователю выбирать VPN-сер- вер перед соединением». Во втором случае требуется заранее подготовить txt-файл со списком серверов (формат файла go.microsoft.com/fwlink/?LinkId=80962). На этапе

«Создать или изменить» выбираем «Изменить», чтобы появилосьокно«ПравкаVPN». Здесьтривкладки(приактивном IPv6 — четыре). В «Общие» отмечаем «Отключить общийдоступкфайламипринтерам» (вбольшинствеслучаевтакаяфункциональностьнетребуется). ВIPv4 указываются адреса основного и дополнительного DNS и WINS серверов. Установкой соответствующих флажков можно указать на использование PPTP-подключения как шлюза по умолчанию и активировать сжатие IP-заголовков. Настройки безопасности производятся в одноименной вкладке. Здесь указываем, обязательно ли использовать шифрование, и отмечаем необходимые методы аутентификации. Список «Стратегия VPN» позволяет указать, какой метод будет использован при подключении к VPNсерверу. Возможно два варианта: только один протокол или перебор протоколов до успешной активации соединения. В контексте статьи нас интересует «Использовать только PPTP» или «Сначала PPTP». Здесь все, — закрываем окно и двигаемся дальше.

Страница «Добавить телефонную книгу» позволяет задать номера, используемые для подключения к dial-up серверу. При необходимости можно также настроить автоматическое обновление списка номеров. Страница «Настроить записи удаленного доступа к сети», а также окно, появляющееся при нажатии «Изменить», сходны по содержанию с «Создать или изменить». Следующий шаг позволяет модифицировать таблицы маршрутизации на подключившихся клиентах: в большинстве случаев лучше оставить «Не изменять таблицы маршрутизации». Если нужно, указываем параметры прокси для IE. Кроме стандартных установок, мастерпозволяетустановитьдействия, которыемогутбыть выполнены на разных этапах подключения клиента (например, запустить программу). Далее задаем значки для разных ситуаций (окна подключения, телефонной книги

итак далее), выбираем файл справки, сведения о поддержке. При необходимости включаем в профиль диспетчер подключений. Этоможетбытьполезнодляклиентскихсистем, накоторыхустановленаОС, несодержащаядиспетчер. Сюда же можно добавить текстовый файл с лицензионным соглашениемидополнительныефайлы, которыебудутпоставлятьсяспрофилем. Наэтомработамастераокончена— в резюмебудетпоказанпутькустановочномуфайлу. Копируем его в общедоступную папку, чтобы пользователи могли свободноскачать.

Теперь юзерам достаточно запустить исполняемый файл и ответить на один-единственный вопрос: сделать это подключениедоступнымдля«Всехпользователей»или«Только мне». Послечегозначокновогосоединениябудетдобавлен в «Сетевых подключениях», и появится окно регистрации, в котором необходимо ввести свой логин и пароль. Очень удобно! z

XÀÊÅÐ 03 /123/ 09

СЕРГЕЙ «GRINDER» ЯРЕМЧУК

/ GRINDER@UA.FM /

КАКПРОДЛИТЬОЦЕНОЧНЫЙПЕРИОД?

ДистрибутивможносвободноскачатьссайтаMicrosoft, ионбудетполностью работоспособен в течение 60 дней, после чего появится окно с сообщениемонеобходимостирегистрации. Проверитьколичестводнейдо окончаниятекущего60-дневногопериодаможно, введякоманду«slmgr. vbs -dli». Но если срок окажется мал, можно продлить оценочный период еще три раза по 60 дней, — то есть, суммарно он может составлять до 240 дней. Механизм продления прост. По окончании 60 дней для сброса периода вводим команду «slmgr.vbs -rearm» и перезагружаем систему. ВсеподробностиописанывдокументеKB948472 (support.microsoft.com/ kb/948472). Тамжеможнонайтипримерскрипта, которыйпозволитавтоматизировать эту задачу с использованием планировщика. Но использовать такой сервер в производственной среде нежелательно, режим предназначентолькодлятестирования.

КАКЛОКАЛИЗОВАТЬWIN2K8?

Версия Win2k8, доступная для закачки на сайте Microsoft, предлагаетсятолькосанглийским, немецким, французским, испанскимияпонским языкамиинтерфейса(хотякорпоративнымпользователямужепоставляетсялокализованныйдистрибутив). ЧтобысамостоятельнорусифицироватьWin2k8, первымделомнужноскачать«Пакетмногоязыковогоинтер-

фейсапользователядляWindows Server 2008» (Windows Server 2008 MUI Language Pack) вцентрезагрузкиwww.microsoft.com. Русскийсодержит-

сявтретьейгруппе.Взависимостиотразрядностисистемы(32и64)требу-

етсявыбратьсвойвариант: XXX_x86fre_Server_LP_4-KRMSLP4_DVD.img или XXX_amd64fre_Server_LP_4-KRMSLPX4_DVD.img. Для Itanium (ia64)

покатакойпакетнедоступен. Установканескольконестандартна, но, воб- щем-то, проста. Записываем IMG-образ на диск или извлекаем каталог нужного языка. Вызываем консоль «Regional and Language Options». Во вкладке«KeyboardsandLanguages»нажимаемInstall/uninstalllanguages

ивпоявившемсяменеджереуказываемнакаталогсязыковымифайлами. Еслиприходитсячастоустанавливатьсистему,толучшимвариантомбудет пересборкаобразаприпомощиWAIK. ДляHyper-V такжевыпущенпакет локализацииHyper-V Language Pack (support.microsoft.com/kb/951636).

ВОЗМОЖНОЛИОБНОВИТЬAD СWIN2K3 ДОWIN2K8?

Перевести домен с Win2k3 на Win2k8 можно тремя способами. Первый

— обновить систему. Из-за большой разницы в архитектуре и функциях здесьзаложеномногоподводныхкамней.Так,Win2k3обязательнодолжен быть с SP1/SP2 или версии R2. Обновить систему можно только до «Full installation», до Server Core — нельзя. Не поддерживается апдейт перекрестнойархитектурыиразныхверсий. Тоесть, наx86 Win2k3 нельзяпос-

тавить x64, а из Enterprise Edition нельзя сделать Standard Edition. Хотя в последнем случае есть одно исключение: поддерживается обновление Standard до Enterprise. Также следует помнить об отличиях в системных требованиях, ресурсныхограниченияхинастройкахсистемы. Некоторые

>>