Протоколы работы с почтой: POP3, IMAP4, SMTP

Электронная почта существуют уже более двух десятилетий: до 1990 года она использовалась преимущественно в научных организациях, в 90-е - получила широкую известность и стала использоваться повсеместно. По самым скромным оценкам в мире более 50 миллионов человек пользуются услугами электронной почты. В целом же трафик электронной почты занимает только 3.7% всего сетевого. Как и любой форме коммуникаций, электронной почте присущ определенный стиль и набор соглашений. В частности, общение по электронной почте носит неформальный и демократичный характер.

Электронная почта даёт возможность посылать и получать сообщения, отвечать на письма корреспондентов автоматически, используя их адреса, рассылать копии письма сразу нескольким получателям, переправлять полученное письмо по другому адресу, использовать вместо адресов (числовых или доменных имен) логические имена, создавать несколько подразделов почтового ящика для разного рода корреспонденции, включать в письма текстовые файлы, пользоваться системой "отражателей почты" для ведения дискуссий с группой ваших корреспондентов и т.д.

Развитие технологии Internet привело к появлению современных протоколов для обмена сообщениями, которые предоставляют большие возможности для обработки писем, разнообразные сервисы и удобство в работе. Так, например, протокол SMTP, работающий по принципу клиент-сервер, предназначен для отправки сообщений с компьютера к адресату. Обычно доступ к серверу SMTP не защищается паролем, так что можно использовать для отправки писем любой известный сервер в сети. В отличие от серверов для отправки писем, доступ к серверам для хранения сообщений защищается паролем. Поэтому необходимо использовать сервер или службу, в которой существует учётная запись. Эти серверы работают по протоколам POP и IMAP, которые различаются способом хранения писем.

В соответствии с протоколом POP3 поступающие на определенный адрес сообщения хранятся на сервере до того момента, пока они не будут в течение очередного сеанса загружены на компьютер. После загрузки сообщений, можно отключиться от сети и приступить к чтению почты. Таким образом, использование почты по протоколу POP3 является наиболее быстрым и удобным в использовании.

Протокол IMAP удобен тем людям, которые пользуются постоянным подключением к сети. Сообщения, поступившие на адрес, также хранятся на сервере, но, в отличие от POP3, при проверке почты сначала будут загружены только заголовки сообщений. Само письмо можно будет прочитать после выбора заголовка сообщения (оно загрузиться с сервера). Ясно, что при коммутируемом соединении работа с почтой по этому протоколу приводит к неоправданным потерям времени.

Существует несколько протоколов приема передачи почты между многопользовательскими системами.

Краткое описание некоторых из них:
SMTP (Simple Mail Transfer Protocol) - это сетевой протокол, предназначенный для передачи электронной почты в сетях TCP/IP, причем передача должна быть обязательно инициирована самой передающей системой.
POP, POP2, POP3 (Post Office Protocol) - три достаточно простых невзаимозаменяемых протокола, pазpаботанные для доставки почты пользователю с центрального mail-сеpвеpа, ее удаления с него и для идентификации пользователя по имени/паролю. POP включает в себя SMTP, который используется для передачи почты, исходящей от пользователя. Почтовые сообщения могут быть получены в виде заголовков, без получения письма целиком.
IMAP2, IMAP2bis, IMAP3, IMAP4, IMAP4rev1 (Internet Message Access Protocol).

o IMAP осуществляет хранение почты на сеpвеpе в файловых диpектоpиях, а также предоставляет клиенту возможность производить поиск строк в почтовых сообщениях на самом сеpвеpе.

o IMAP2 - используется в редких случаях.

o IMAP3 - несовместимое ни с чем pешение, не используется.

o IMAP2bis - pасшиpение IMAP2, позволяет сеpвеpам pазбиpаться в MIME-стpуктуpе (Multipurpose Internet Mail Extensions) сообщения, используется до сих пор.

o IMAP4 - пеpеpаботанный и pасшиpенный IMAP2bis, который можно использовать где угодно.

o IMAP4rev1 - pасшиpяет IMAP большим набором функций, включая те, котоpые используются в DMSP (Distributed Mail System for Personal Computers).

ACAP (Application Configuration Access Protocol) - протокол, pазpаботанный для работы с IMAP4; добавляет возможность поисковой подписки и подписки на доски объявлений, почтовые ящики и используется для поиска адресных книг.

DMSP (или PCMAIL) - протокол для приема/отправки почты, особенность которого заключается в том, что пользователь может иметь более одной рабочей станции в своем пользовании. Рабочая станция содержит статусную информацию о почте, диpектоpию, через которую происходит обмен, которая при подключении к серверу обновляется до текущего состояния на mail-сеpвеpе.

MIME - стандарт, определяющий механизмы для отправки разного рода информации с помощью электронной почты, включая текст на языках, отличных от английского, для которых используются символьные кодировки, отличные от ASCII, а также 8-битный бинарный контент, такой как картинки, музыка, фильмы и программы.

2. Схема работы почтовых протоколов стека TCP/IP

a. SMTP

В Интернете для доставки электронной почты машина-источник устанавливает TCP-соединение с портом 25 машины приемника. Этот порт прослушивается почтовым демоном, и их общение происходит с помощью протокола SMTP (Simple Mail Transfer Protocol простой протокол электронной почты). Этот демон принимает входящие соединения и копирует сообщения из них в соответствующие почтовые ящики. Если письмо не возможно доставить, отправителю отправляется сообщение об ошибки, содержащее первую часть этого письма.

MTA (Mail Transfer Agent) - агент передачи почты - является основным компонентом системы передачи почты Internet, который представляет данный сетевой компьютер для сетевой системы электронной почты. Обычно пользователи работают не с MTA, а с программой MUA (Mail User Agent) - клиентом электронной почты. Схематично принцип взаимодействия показан на рисунке.

Протокол SMTP представляет собой простой ASCII протокол. Установив ТСР-соединение с портом 25. передающая машина выступающая в роли клиента, ждет запроса принимающей машины, работающей в режиме сервера. Сервер начинает диалог с того что посылает текстовую строку, содержащую его идентификатор и сообщающую о его готовности (или неготовности) к приему почты. Если сервер не готов, клиент разрывает соединение и продолжает попытку позднее.

Если сервер готов принимать почту, клиент объявляет, от кого поступила почта и кому она предназначается. Если получатель почты существует, сервер дает клиенту добро на пересылку сообщения. Затем клиент посылает сообщение. А сервер подтверждает его получение. Контрольные суммы не проверяются, так как протокол ТСР обеспечивает надежный байтовый поток. Если у отправителя есть еще почта. Она также отправляется. После передачи всей почты в обоих направлениях соединение разрывается.

В результате такой сессии письмо будет доставлено адресату user1@company.tld, но не будет доставлено адресату user2@company.tld, потому что такого адреса не существует.

Из-за проблем со спамом, почти все современные сервера игнорируют команды VRFY и EXPN, как раскрывающие информацию о пользователе.

Для решения некоторых проблем. Был разработан расширенный протокол SMTP, ESMTP. Клиенты, желающие использовать его, должны начинать сессию связи с посылки приветствия EHLO вместо HELO. Если команда не принимается сервером, значить, сервер поддерживает только обычный протокол SMTP и клиенту следует работать в обычном режиме. Если же EHLO принято, значить, установлена сессия ESMTP и возможна работа с новыми параметрами и командами.

b. POP

Post Office Protocol Version 3 - протокол почтового отделения, версия 3 - это сетевой протокол, используемый почтовым клиентом для получения сообщений электронной почты с сервера. Обычно используется в паре с протоколом SMTP.

Предыдущие версии протокола (POP, POP2) устарели. Альтернативным протоколом для сбора сообщений с почтового сервера является IMAP. По умолчанию использует TCP-порт 110. Существуют реализации POP3-серверов, поддерживающие TLS и SSL.

После установки соединения протокол РОР3 проходит три последовательных состояния

1. Авторизация клиент проходит процедуру аутентификации

2. Транзакция клиент получает информацию о состоянии почтового ящика, принимает и удаляет почту.

3. Обновление сервер удаляет выбранные письма и закрывает соединение.

Не смотря на то, что протокол РОР3 действительно поддерживает возможность получения одного или нескольких писем и оставления их на сервере, большинство программ обработки электронной почты просто скачивают все письма и опустошают почтовый ящик на сервере.

c. IMAP

Пользователю, имеющему одну учетную запись у одного провайдера и всегда соединяющегося с провайдером с одной и той же машины, вполне достаточно протокола РОР3. Этот протокол используется повсеместно благодаря его простоте и надежности. Но у многих пользователей есть одна учетная запись в учебном заведении или на работе, но они хотят иметь к ней доступ и из дома, и с места работы (учебы), и во время командировки те из разных мест. Хотя протокол РОР3 и позволяет разрешить такую ситуацию. Но проблема в том что при таком использовании электронной почты вся корреспонденция пользователя очень быстро распространится по случайным машинам, с которых он получал доступ в Интернет, и некоторые из этих компьютеров могут вообще не принадлежать пользователь.

Это неудобство привело к созданию альтернативного протокола для получения почты, IMAP.

IMAP (англ. Internet Message Access Protocol) - интернет-протокол прикладного уровня для доступа к электронной почте.

IMAP предоставляет пользователю богатые возможности для работы с почтовыми ящиками, находящимися на центральном сервере. Почтовая программа, использующая этот протокол, получает доступ к хранилищу корреспонденции на сервере так, как будто эта корреспонденция расположена на компьютере получателя. Электронными письмами можно манипулировать с компьютера пользователя (клиента) без необходимости постоянной пересылки с сервера и обратно файлов с полным содержанием писем.

IMAP был разработан для замены более простого протокола POP3 и имеет следующие преимущества по сравнению с последним:

1. Письма хранятся на сервере, а не на клиенте. Возможен доступ к одному и тому же почтовому ящику с разных клиентов. Поддерживается также одновременный доступ нескольких клиентов. В протоколе есть механизмы с помощью которых клиент может быть проинформирован об изменениях, сделанных другими клиентами.

2. Поддержка нескольких почтовых ящиков (или папок). Клиент может создавать, удалять и переименовывать почтовые ящики на сервере, а также перемещать письма из одного почтового ящика в другой.

3. Возможно создание общих папок, к которым могут иметь доступ несколько пользователей.

4. Информация о состоянии писем хранится на сервере и доступна всем клиентам. Письма могут быть помечены как прочитанные, важные и т. п.

5. Поддержка поиска на сервере. Нет необходимости скачивать с сервера множество сообщений для того чтобы найти одно нужное.

6. Поддержка онлайн-работы. Клиент может поддерживать с сервером постоянное соединение, при этом сервер в реальном времени информирует клиента об изменениях в почтовых ящиках, в том числе о новых письмах.

7. Предусмотрен механизм расширения возможностей протокола.

Текущая версия протокола имеет обозначение IMAP4rev1 (IMAP, версия 4, ревизия 1). Протокол поддерживает передачу пароля пользователя в зашифрованном виде. Кроме того, IMAP-трафик можно зашифровать с помощью SSL.

Наиболее известные WEB-клиенты работы с почтой.

Eudora Mail - клиент электронной почты, который появился еще на заре Интернета, когда электронная почта была чуть ли не единственным средством общения.

Evolution - графическая клиентская программа управления электронной почтой, контактами и временем для платформы Linux. Разработана и поддерживается фирмой Novell. Содержит календарь, систему планирования временем, адресную книги, поддерживает все распространенные почтовые протоколы IMAP, POP, SMTP.

Fidolook- клиент электронной почты, который является встраиваемым дополнением к Outlook Express из состава пакета Internet Explorer. Существенно расширяет такие возможности Outlook Express, как цитирование сообщений, шаблоны сообщений, настройка заголовков сообщения, возможности работы с папками новостей, импорт и экспорт сообщений.

Foxmail! - бесплатная программа для работы с электронной почтой для ОС Windows. Разрабатывается китайской корпорацией TenCent. Поддерживает протоколы SMTP, POP3 и RSS. Основные возможности:

o отправка писем без участия SMTP-сервера (компьютер пользователя выступает в роли SMTP-сервера);

o возможность установки пароля на аккаунт;

o настройка приёма почты с нескольких E-mail адресов в один аккаунт;

o сортировщик писем на основе фильтров;

o создание и редактирование шаблонов новых писем;

o работа с диспетчером писем (управление сообщениями на сервере);

o возможность шифрования сообщений;

o удобная адресная книга, интегрированная в интерфейс;

o RSS-агрегатор .

KMail - клиент электронной почты, распространённый в операционных системах семейства *nix. Поддерживает SMTP, POP3, IMAP, локальные почтовые ящики, а также существует поддержка, антивирусов, антиспама, пользовательских фильтров.

M2 - внутреннее название почтового и новостного клиента, встроенного в браузер Opera и официально называемого Opera Mail. Его интерфейс отличается от остальных почтовых клиентов с целью обеспечения лучшей интеграции с Opera, а также имеется фильтр спама, поддержка POP3 и IMAP, новостных групп, RSS и Atom новостных лент.

MailMan - почтовый клиент для мобильных устройств и телефонов, является java приложением. Основные возможности:

o работа с файловой системой (сохранение, добавление вложений файлов любых форматов, работа с адресной книгой, сохранение истории загрузок на диск в .txt, проигрывание заданной мелодии);

o возможность работы с кодировками и транслитом;

o просмотр html, wml, pda и xml-подобных страниц в виде текста без ссылок и изображений с возможностью настройки шрифта;

o огромное количество параметров и гибкая настройка;

o программа распространяется бесплатно.

Microsoft Outlook - компьютерная программа-органайзер с функциями почтового клиента, входящая в пакет офисных программ Microsoft Office. Основные возможности:

o является полноценным Органайзером, предоставляющим функции календаря, планировщика задач, записной книжки и менеджера контактов;

o позволяет отслеживать работу с документами пакета Microsoft Office для автоматического составления дневника работы;

o может использоваться как отдельное приложение, так и выступать в роли клиента для почтового сервера Microsoft Exchange Server, что предоставляет дополнительные функции для совместной работы пользователей одной организации: общие почтовые ящики, папки задач, календари, конференции, планирование и резервирование времени общих встреч, согласование документов.

Mozilla Thunderbird - бесплатная, свободно распространяемая программа для работы с электронной почтой и группами новостей. Является составной частью проекта Mozilla. Поддерживает протоколы SMTP, POP3, IMAP, NNTP, RSS, работает в Windows, Mac OS X и Linux, причём набор возможностей и расположение элементов управления на всех платформах одинаковые.

Outlook Express - программа для работы с электронной почтой и группами новостей, которая поставляется в составе ОС Windows, начиная с Windows 95 OSR 2.5, а также вместе с браузером Internet Explorer, начиная с версии 4.0. Новая версия Outlook Express, включенная в состав Windows Vista вместе с Internet Explorer 7.0, носит название Windows Mail. Название Outlook Express предполагает, что эта программа является "облегчённой" версией Microsoft Outlook и, в отличие от Outlook Express, не имеет функций для работы с группами новостей.

The Bat! - условно-бесплатная программа для работы с электронной почтой для ОС Windows. Разрабатывается молдавской компаниией RitLabs. Поддерживает протоколы SMTP, POP3, IMAP, имеет довольно развитую систему фильтрации сообщений и поддерживает большое количество кириллических кодировок. Существуют две версии программы: Home и Professional. В версии Professional имеется возможность проверки орфографии, шифрации сообщений и биометрической аутентификации.

Настройки безопасности в почтовых системах: TLS, SSL, цифровая подпись, сертификат. Понятие СПАМ.
TLS ( англ. Transport Layer Security) — криптографический протокол, обеспечивающий безопасную передачу данных между пользователями в сети Интернет.
TLS-протокол основан на Netscape SSL-протоколе версии 3.0 и состоит из двух частей — TLS Record Protocol и TLS Handshake Protocol. Различие между SSL 3.0 и TLS 1.0 незначительные, поэтому далее в тексте термин «SSL» будет относиться к ним обоим.Большинство современных браузеров поддерживает данный протокол.TLS Working Group, основанная в 1996 году, продолжает работать над протоколом.
SSL, используя криптографию, предоставляет возможности аутентификации и безопасной передачи данных через Интернет. Часто происходит лишь аутентификация сервера, в то время как клиент остается неаутентифицированным. Для взаимной аутентификации каждая из сторон должна поддерживать инфраструктуру открытого ключа (PKI), которая позволяет защитить клиент-серверные приложения от перехвата сообщений, редактирования существующих сообщений и создания поддельных.
SSL включает в себя три основных фазы:

o Диалог между сторонами, целью которого является выбор алгоритма шифрования

o Обмен ключами на основе криптосистем с открытым ключом или аутентификация на основе сертификатов.

o Передача данных, шифруемых при помощи симметричных алгоритмов шифрования

В первой фазе клиент и сервер обсуждают выбор криптографического алгоритма для дальнейшего использования. В данной версии протокола доступны следующие алгоритмы:

o Для обмена ключами и проверки их подлинности применяются комбинации алгоритмов: RSA (асимметричный шифр), Diffie-Hellman (безопасный обмен ключами), DSA (алгоритм цифровой подписи) и алгоритмы технологии Fortezza.

o Для симметричного шифрования: RC2, RC4, IDEA, DES, Triple DES или AES;

o Для хэш-функций: MD5 или SHA.

SSL (англ. Secure Sockets Layer — протокол защищённых сокетов) — криптографический протокол, обеспечивающий безопасную передачу данных по сети Интернет. При его использовании создаётся защищённое соединение между клиентом и сервером. SSL изначально разработан компанией Netscape Communications, в настоящее время принят IETF как стандарт. Поддерживается всеми популярными браузерами.
Использует шифрование с открытым ключом для подтверждения подлинности передатчика и получателя. Поддерживает надёжность передачи данных за счёт использования корректирующих кодов и безопасных хэш-функций.
SSL состоит из двух уровней. На нижнем уровне многоуровневого транспортного протокола (например, TCP) он является протоколом записи и используется для инкапсуляции (то есть формирования пакета) различных протоколов. Для каждого инкапсулированного протокола он обеспечивает условия, при которых сервер и клиент могут подтверждать друг другу свою подлинность, выполнять алгоритмы шифрования и производить обмен криптографическими ключами, прежде чем протокол прикладной программы начнёт передавать и получать данные.
Для доступа к страницам, защищённым протоколом SSL, в URL вместо обычного префикса (schema) http, как правило, применяется префикс https (порт 443), указывающий на то, что будет использоваться SSL соединение. Так как операции шифрования / расшифрования требуют много вычислительных ресурсов, чтобы снизить нагрузку на веб-серверы, используют аппаратные SSL-ускорители.
Для работы SSL требуется, чтобы на сервере имелся SSL-сертификат.
Электронная цифровая подпись (ЭЦП)— реквизит электронного документа, предназначенный для удостоверения источника данных и защиты данного электронного документа от подделки.

Цифровая подпись обеспечивает:

o Удостоверение источника документа. В зависимости от деталей определения документа могут быть подписаны такие поля, как «автор», «внесённые изменения», «метка времени» и т. д.

o Защиту от изменений документа. При любом случайном или преднамеренном изменении документа (или подписи) изменится хэш, следовательно, подпись станет недействительной.

o Невозможность отказа от авторства. Так как создать корректную подпись можно лишь, зная закрытый ключ, а он известен только владельцу, то владелец не может отказаться от своей подписи под документом.

Возможны следующие угрозы цифровой подписи:

o Злоумышленник может попытаться подделать подпись для выбранного им документа.

o Злоумышленник может попытаться подобрать документ к данной подписи, чтобы подпись к нему подходила.

o Злоумышленник может попытаться подделать подпись для хоть какого-нибудь документа.

При использовании надёжной хэш-функции, вычислительно сложно создать поддельный документ с таким же хэшем, как у подлинного. Однако, эти угрозы могут реализоваться из-за слабостей конкретных алгоритмов хэширования, подписи, или ошибок в их реализациях.
Тем не менее, возможны ещё такие угрозы системам цифровой подписи:

o Злоумышленник, укравший закрытый ключ, может подписать любой документ от имени владельца ключа.

o Злоумышленник может обманом заставить владельца подписать какой-либо документ, например используя протокол слепой подписи.

o Злоумышленник может подменить открытый ключ владельца (см. управление ключами) на свой собственный, выдавая себя за него.

Сертификат (сертификат открытого ключа, сертификат ЭЦП) — цифровой или бумажный документ, подтверждающий соответствие между открытым ключом и информацией, идентифицирующей владельца ключа. Содержит информацию о владельце ключа, сведения об открытом ключе, его назначении и области применения, название центра сертификации и т. д.
Открытый ключ может быть использован для организации защищённого канала связи с владельцем двумя способами:

o для проверки подписи владельца (аутентификация)

o для шифрования посылаемых ему данных (конфиденциальность)

Существует две модели организации инфраструктуры сертификатов: централизованная (PKI) и децентрализованная (PGP). В централизованной модели существуют корневые центры сертификации, подписи которых обязан доверять каждый пользователь. В децентрализованной модели каждый пользователь самостоятельно выбирает, каким сертификатам он доверяет и в какой степени.

Спам (англ. spam) — сообщения, массово рассылаемые людям, не выразившим желание их получать. В первую очередь термин «спам» относится к электронным письмам.

21. Протоколы удаленного доступа и интерактивного взаимодействия.

Служба удаленного доступа, входящая в состав Windows XP, позволяет удаленным или мобильным работникам подключаться к корпоративным вычислительным сетям, например по телефонной коммутируемой линии, и работать с ресурсами сети как обычно. Удаленный доступ также обеспечивает поддержку виртуальных частных сетей (Virtual Private Network, VPN), чтобы пользователи могли устанавливать безопасное соединение с корпоративной сетью через общественные сети, например через Интернет

Служба удаленного доступа в Windows XP является частью интегрированной службы Маршрутизация и удаленный доступ (раньше называющейся Routing and Remote Access Service, RRAS, а сейчас просто — Routing and Remote Access; имя — RemoteAccess, исполняемый файл svchost.exe, запускаемый с параметрами -k netsvcs). Пользователи устанавливают соединение с сервером удаленного доступа (так называется любой компьютер, обслуживающий входящие подключения) с помощью клиентского программного обеспечения удаленного доступа. Все службы, доступные пользователю, подключенному к LAN (включая совместное использование файлов и принтеров, доступ к веб-серверам и передачу сообщений по электронной почте), доступны и пользователю, подключенному удаленно. Сервер удаленного доступа под управлением Windows XP предоставляет два различных типа соединения удаленного доступа.

Коммутируемый доступ. Это соединение,, при котором клиент удаленного доступа устанавливает коммутируемую связь для подключения к физическому порту на сервере удаленного доступа, используя службу-посредник для передачи данных, например аналоговый телефон, ISDN или Х.25.

Наиболее типичный пример коммутируемого доступа — установление соединения клиентом удаленного доступа при помощи модема, т. е. путем набора телефонного номера одного из портов сервера удаленного доступа.
Виртуальное частное соединение (VPN-соединение). Это защищенное соединение типа «точка-точка» через сеть общего пользования (например, Интернет) или большую корпоративную сеть. Чтобы послать виртуальный запрос к виртуальному порту на VPN-сервере, VPN-клиент использует специальные протоколы на базе стека TCP/IP, которые называются протоколами туннелирования (tunneling protocols). Наиболее типичный пример организации виртуальной частной сети — установление соединения VPN-клиента с частной сетью через сервер удаленного доступа, который подключен к Интернету. Сервер удаленного доступа отвечает на виртуальный запрос, затем аутентифицирует вызывающую программу и осуществляет обмен данными между клиентом VPN и корпоративной сетью. В отличие от коммутируемого доступа, VPN-соединение не является непосредственным, «прямым» соединением между VPN-клиентом и VPN-сервером. Чтобы гарантировать безопасность, данные, передаваемые по соединению, нужно шифровать.

Возможности удаленного доступа в Windows XP
Основные возможности службы удаленного доступа Windows XP были реализованы уже в Windows 2000; они кратко перечислены

MS CHAP версии 2
MS CHAP (Microsoft Challenge Handshake Authentication Protocol, Протокол проверки подлинности запроса-подтверждения Microsoft) версии 2 предназначен для обмена идентификационной информацией и порождения ключей шифрования во время установления соединения удаленного доступа. MS CHAP версии 2 поддерживает VPN
EAR
Расширяемый протокол идентификации (ЕАР, Extensible Authentication Protocol) позволяет использовать новые методы проверки подлинности для удаленного доступа, включая реализацию защиты, основанную на смарт-картах. Интерсрейс ЕАР позволяет подключать модули проверки подлинности сторонних производителей
Помимо РРТР, сервер удаленного доступа Windows XP поддерживает протокол L2TP (Layer 2 Tunneling Protocol, Протокол туннелирования второго уровня), являющийся промышленным стандартом, который используется вместе с протоколом IPSec для создания безопасных VPN-соединений Поддержка широковещания IP (IP Multicast)
Используя IGMP router и proxy версии 2 (маршрутизатор и посредник IGMP), сервер удаленного доступа поддерживает обмен групповым 1Р-трасриком между клиентами удаленного доступа и Интернетом или корпоративной сетью
Блокировка учетной записи (Account lockout)
Блокировка учетной записи — функция защиты, которая отменяет разрешение удаленного доступа для учетной записи пользователя после определенного числа неудавшихся попыток проверки подлинности, например, в случае попыток подбора пароля по словарю

Базовые понятия

На сервере удаленного доступа под управлением Windows XP установленное сетевое оборудование отображается в виде ряда устройств и портов. Устройство — аппаратура или программное обеспечение, которое предоставляет службе удаленного доступа порты для установки соединений «точка-точка». Устройства бывают физические, например модем, или виртуальные, например VPN-соединение. Устройства могут поддерживать один порт, на-пример модем, или несколько портов, например банк модемов, который может предоставить 64 независимых входящих аналоговых коммутируемых соединений. Протоколы РРТР или L2TP — примеры виртуальных много-портовых устройств. Каждый из этих туннельных протоколов поддерживает несколько одновременных VPN-соединений.

Порт — отдельный канал устройства, который может поддерживать одно соединение «точка-точка». Для однопортовых устройств типа модемов «уст-ройство» и «порт» не различаются. Для многопортовых устройств порт - часть устройства, при помощи которого может быть установлено отдельное соединение «точка-точка». Например, адаптер ISDN имеет два В-канала: адаптер ISDN — устройство; каждый В-канал — порт, поскольку соедине-ние «точка-точка» может быть установлено раздельно по каждому В-каналу. Виртуальное частное соединение, иначе называемое VPN-соединением (Vir-tual Private Network Connection, соединение виртуальной частной сети) эму-лирует соединение «точка-точка». Для эмуляции прямого соединения дан-ные инкапсулируются специальным способом, т. е. снабжаются специальным заголовком, который предоставляет информацию о маршрутизации, чтобы пакет мог достигнуть адресата. Получателем пакета является VPN-клиент, либо VPN-сервер. Часть пути, по которому данные следуют в инкапсулиро-ванном виде, называется туннелем.

Для организации безопасной виртуальной частной сети перед инкапсуляци-ей данные шифруются. Перехваченные по пути следования пакеты невоз-можно прочитать без ключей шифрования. Участок VPN-соединения, на котором данные передаются в зашифрованном виде, и называется, собст-венно, виртуальной частной сетью.
VPN-соединения создаются, управляются и уничтожаются с использованием специальных туннельных протоколов или протоколов туннелирования. VPN-клиент и VPN-сервер должны поддерживать один и тот же протокол тунне-лирования, чтобы создать VPN-соединение. Сервер удаленного доступа под управлением Windows XP — VPN-сервер, работающий по протоколам РРТР и L2TP.

Серверы коммутируемого доступа
Можно настроить сервер удаленного доступа, работающий под управлением Windows XP, чтобы он предоставлял доступ ко всей сети или только к ресурсам сервера удаленного доступа Клиенты коммутируемого доступа Клиенты удаленного доступа, работающие под управлением Windows NT и Windows XP, Windows 98, Windows 95, Windows for Workgroups, MS-DOS, LAN Manager или Apple Macintosh могут устанавливать соединения с сервером удаленного доступа под управлением Windows XP

Транспортные протоколы и протоколы удаленного пользователя Транспортные протоколы служат для базовой поддержки обмена информацией. Протоколы удаленного доступа используются для установления соединения и поддержки кадрирования дан-ных транспортного протокола, которые передаются по WAN. Удаленный доступ Windows XP поддерживает протоколы TCP/IP, IPX, AppleTalk, и NetBEUI, которые обеспечивают доступ к Ин-тернету, UNIX, Apple Macintosh и ресурсам Novell NetWare. Уда-ленный доступ Windows XP поддерживает протоколы удаленно-го доступа РРР, SLIP, ARAP и протокол Microsoft RAS (только для NetBEUI)

Параметры WAN
Клиенты могут подключаться к серверу, используя стандартные телефонные линии и модем или группу модемов. Большим быстродействием обладают ISDN-подключения; можно подключать клиентов удаленного доступа к серверам удаленного доступа, используя Х.25. Также поддерживаются прямые соединения при помощи нуль-модема RS-232C или параллельного кабеля

Параметры защиты
Безопасность на основе шифрования данных, смарт-карт и ответного вызова предоставляют надежную основу для организации безопасной службы удаленного доступа

Серверы коммутируемого доступа
Как уже говорилось, для управления службой маршрутизации и удаленного доступа в Windows XP используется Мастер сетевого подключения (New Connection Wizard) и папка Сетевые подключения (Network Connections); возможностей непосредственного конфигурирования этой службы в Windows XP нет. Для коммутируемого доступа компьютер должен иметь многопорто-вый адаптер, модем и аналоговую телефонную линию или другое соедине-ние с WAN. Если сервер удаленного доступа предоставляет доступ к сети, необходимо установить отдельный сетевой адаптер, подключенный к тому сегменту сети, к которому сервер удаленного доступа предоставляет доступ. Нужно определить протоколы, используемые в локальной сети (IPX, TCP/IP и NetBEUI), и будет ли предоставляться доступ ко всей сети или только к серверу удаленного доступа. Также необходимо выбрать параметры шифрования и проверки подлинности.

Клиенты коммутируемого доступа
Клиентом коммутируемого доступа, который подключается к серверу уда-ленного доступа под управлением Windows XP, может быть компьютер с Windows NT, Windows 2000, Windows XP, Windows 98, Windows 95, Windows for Workgroups, MS-DOS, LAN Manager или любой РРР-клиент. Клиент должен иметь установленный модем, аналоговую телефонную линию или другое соединение WAN и программное обеспечение удаленного доступа. Можно автоматически соединяться с серверами удаленного доступа, исполь-зуя Диспетчер автоподключений удаленного доступа (AutoRAS) Windows XP. Диспетчер автоподключений исследует каждое соединение, производимое через службу удаленного доступа, и автоматически повторно подключает к серверу удаленного доступа при повторном обращении к ресурсу. Для клиентов Windows XP можно автоматизировать процесс соединения, используя простой язык командных файлов и команду Rasdial.exe.

Протоколы коммутируемого доступа
Протоколы удаленного доступа управляют передачей данных через глобальную сеть (например, через телефонную сеть или сеть Х.25). Операционная система и транспортные протоколы, используемые клиентами и серверами удаленного доступа, определяют, какой протокол удаленного доступа могут использовать клиенты

Протокол
Поддержка

Windows ХР поддерживает РРР— набор промышленных стандартов и протоколов проверки подлинности, позволяющих работать в сетях с продуктами нескольких производителей. Microsoft рекомендует использовать РРР из-за его гибкости и статуса промышленного стандарта. Применение РРР дает возможность компьютерам под управлением Windows XP устанавливать соединение с удаленными сетями через любой сервер, соответствующий стандарту РРР. Гибкость РРР также позволяет компьютеру под управлением Windows XP принимать входящие соединения и обеспечивать доступ к сети для программного обеспечения удаленного доступа других поставщиков. Архитектура РРР также позволяет клиентам удаленного доступа использовать любую комбинацию IPX, TCP/ P, NetBEUI и AppleTalk. На компьютере, работающем под управлением Windows NT/2000, Windows 98 или Windows 95 и обращающемся к службе удаленного доступа, можно устанавливать любую комбинацию протоколов TCP/IP, IPX и NetBEUI, a также запускать программы, использующие интерфейсы Windows Sockets, NetBIOS или IPX. Клиенты удаленного доступа Microsoft не поддерживают работу протокола AppleTalk по коммутируемому соединению

SLIP
SLIP — устаревший стандарт удаленного доступа, обычно используемый серверами удаленного доступа на базе UNIX. Клиенты удаленного доступа под управлением Windows XP поддерживают SLIP и могут соединяться с любым сервером удаленного доступа, используя стандарт SLIP. Это позволяет клиентам Windows NT 3.5 или выше устанавливать соединение с большим количеством коммуникационных серверов UNIX. Сервер удаленного доступа под управлением Windows XP не поддерживает клиентов SLIP
Конфигурирование службы удаленного доступа Установка программного обеспечения При инсталляции Windows XP автоматически устанавливается и служба Маршрутизация и удаленный доступ (Routing and Remote Access). Непосред-ственно ею управлять нельзя. Вся работа по созданию подключений (в том числе и входящих) осуществляется при помощи Мастера сетевого подключе-ния (Network Connection Wizard). Настройка параметров подключений осу-ществляется в окне их свойств, а для настройки общих дополнительных па-раметров используется меню Дополнительно (Advanced) в окне Сетевые под-ключения (Network Connections).

Аппаратные требования
Перед работой со службами удаленного доступа необходимо подключить все аппаратные средства и проверить их функционирование. В зависимости от размеров и конфигурации сети и требований к удаленному доступу, могут понадобиться: сетевой адаптер с драйвером, соответствующим спецификации NDIS; один или несколько модемов и свободные СОМ-порты; многопортовый адаптер для достижения требуемой производительности (если необходимо поддерживать несколько соединений одновременно); адаптер ISDN (если используется линия ISDN); смарт-карта Х.25 (для сетей Х.25).

Защита удаленного доступа
Проверка подлинности клиентов удаленного доступа — важная часть системы безопасности. Методы проверки подлинности обычно используют протокол проверки подлинности во время установления соединения. Windows ХР также поддерживает доступ без проверки подлинности. Чтобы указать, кто сможет пользоваться входящим (incoming) подключением на изолированном компьютере, нужно в окне свойств этого подключения перейти на вкладку Пользователи (Users) и установить/сбросить флажок около имени локального пользователя. Для каждого пользователя можно индивидуально установить пароль и параметры ответного вызова.

22. Протоколы защищенной передачи данных. Создание VPN. Цифровые сертификаты.

23. Классификация сетевых угроз и методы защиты информации.

Поиск по сайту: