NAS Routing and Remote acces servisini konfigure ederek kurulan uzaktan erisimi sağlayan servislere veya serverlara verilen addır. NAS'ın kurulus amacı küçük bir subeyi (Eğer internet hızı yüksekese büyük bir yapı da olabilir) bir kullanı 626g64g ;cıyı, kullanıcı grubunu veya uzaktan network'e erismesi gereken kullnıcıları, internet üzerinden networke eristirip ağdaymısçasına, paylasılmıs kaynaklardan yararlanmalarını sağlamaktır. NAS'lar vpn, wireles point, Dial UP server olabilir. Bir RAS'ı VPN, DIAL-UP, veya WIRELES POINT olarak veya hepsini de içerecek sekilde konfigure edebiliriz..
NAS'a standart araçlarla (Örneğin internet explorer'la veya run'dan NAS'ın IP'sini Local areadaymısçasına yazarak) ulasarak uzaktan network kaynaklarından yararlanan bilgisayardır. Bu clientlar internete çıkıs sekillerine göre VPN, Dial-Up veya wireles client olarak adlnaldırılır. Dial-Up clientlar PSTN dediğimiz 56k modemler, ISDN modemler veya DSL modemler ile numara çevirerek networke ulasırlarken, VPN için doğrudan numara çevirmeden bir tünelle de bu erisim sağlanabilir. Dial-UP ile VPN'in en önemli farkı VPN'de hat hep açıkken, Dial-Up ta sadece bağlantı süresince açık kalır.
Uzaktan erisimlerde kaynakları ve networkü yetkisiz (unauthorize) erisimlerden korumak gereklidir. Bu nedenle güçlü bir kimlik doğrulama (Authantication) ve onaylama (validate) ile datalar için güçlü bir kriptolama gerekmektedir.
Authanticetion method tipik authantication prtokollerini kullanrak bağlantı gerçeklesmesi esnasında bir doğrulama yapma islemidir. RAS, belirlenen bir metodla client ve DC arasındaki kimlik doğrulamayı denetler.
Eğer çok sayıda network acces servisisimiz varsa kimlik doğrulama islemini herbirinde ayrı ayrı gerçeklestirip, denetlemeyi de ayrı ayrı yapmak yerine yine Routing and Remote Acces ile bir RADIUS kurarak ve NAS'ları RADIUS ile iliskilendirerek, tüm NAS'ların authantication islemlerini merkezi olarak kurduğumuz RADIUSTAN' da yönetebiliriz.
Authantication bir kullanıcının networkte tanımlı olup olmadığının belirlenmesi islemidir. Bu islemle tanımlı olmayan kullanıcılar kesinlikle network'e erisemez. Authorization ise; kullanıcının kimlik doğrulamasından geçtikten sonra network kaynakları üzerindeki yetkilerinin tanımlanması islemidir. Kullanıcı yetkilerinin elverdiği ölçüde kaynaklardan yararlanabilir veya bağlantı yetkisi verilmemisse bağlantı yine gerçeklesmeyecektir. Windows server 2003 bu islemeleri iki asamada yapar
Interactive Logon : Network'e ulasmak isteyen kullnıcının kimlik bilgilerinin (kullanıcı adı ve password) onaylanması yani authantication.
Network authorization : Erismek isteyen ve athorize olmus kullanıcının yetkilerinin tespiti islemidir.
Yani authorization Authanticationdan sonra gelen basamaktır. Bu iki islem de, yapılandırılan Network Acces Server tarafından gerçeklestirilir. Bağlantı tesebüsünün onaylanması için authantication ve authorization kesinlikle sağlanmalıdır. Client bu iki islem de düzgün birsekilde tamamlandığı zaman network kaynaklarına erisebilir.
CHAP (Chalenge Handshake Authantication protokol) : Birçok değisik üretici tarafından desteklenen bir protokoldür Windows routing and remote acces'ta bu protokolü destekler
PAP (Password authantication Protokol) : En az sofistike olan ve password-lar'in plain text formatında yani açık bir sekilde gitmesi esasına dayanan tamamen güvensiz bir protokoldür.
SPAP (Shiva Password authantication Protokol) : Shiva firmasının zamanında kendi ürettiği remote acces aygıtlarında kullanmak için gelistirdiği protokollerden biridir. Pek ağır olmayan bir kriptolama metodu kullanır ve Windows tarafından da desteklenir.
Microsoft Chalenge Handshake Authantication protokol (MS-Chap) : Pre-2000 isletim sistemleri kullanan clientların kullandığı protokoldür. Yalnızca microsoft tarafından desteklenir
Microsof Chalenge Handshake Authantication protokol version 2(MS-Chap v2) : Karsılıklı Authantication esasına dayanır. Sağlam bir protokoldür. 2000 ve sonrası microsoft isletim sistemlerinin remote acces için defaultta kullandıkları protokoldür.
Extensible Authantication Protokol - Transport Layer Security (EAP -TLS) : EAP, remotote acces servere seçeneklendirilmis, özellestirilmis bir authantication iskeleti sağlar. Özellestirilmis bu authantication, server ve client arasındaki pazarlıkta (Negotiation) da kullanılır. Bunun için Hem RAS'ta hem de clientta EAP modülü yüklü olmalıdır. EAP - TLS te EAP'ın daha fazla güvenli hale getirilmis halidir. Authantication için bir smart kart sertifika altyapısı gerektirir Bu sertifikalar TLS sertifikalarıdır ve bu protokolde, EAP yanında bu sertifikalarda kullanılır. Bu sertifikalar sertifika sağlayıcı sirketlerden (Verisign gibi) sağlanır. EAP - TLS karsılıklı authantication gerçeklestirir. Çok güçlü bir protokoldür.
Protected Extensible Authantication Protokol (PEAP) : Wireles ersimlerin güvenliğinde kullanılır. Sadece 802.1x destekleyen wireles networkler bunu kullanabilir. Erisim kullanıcı kimliği onayı temeline dayanır. Wireles networkün güvenliğini kriptolama ile arttırır.
MD-5 Chalenge : Standart isim - password kombinasyonu ile EAP protokolünü kullanır.
Windows 2003 ailesi remote acces authanticationlarında, smart kart sertifikaları kullanmak, (EAP -TLS) authorizarization güvenliğini güçlendirir.Samart kartlar windows 2003 domainlerine login olmak, remote acces serverlarına bağlanmak ve güvenli e-mail gibi çesitli isler için tasınabilir ve dayanıklı bir çözüm sağlar. Authantication'da smart card sertifikiları kullanmak bir public key infrastructure (Public key altyapısı) gerektirir. PKI Microsoft XP ve 2003 ailesine entegre edilmis bir özelliktir.
NAS clientlar için network'e doğru bir gateaway gibi davranır. Kurarken bilmemiz gereken seyler;
NAS olusturmak için kullanacağımız Wizard serverdaki hangi özel aygıtların konfigure edileceği bilgisinide ister. Bu noktada bu aygıtları teker teker veya grupsal olarakta konfigre edebiliriz. Wizard tamamlandıktan sonra konfigure etmemiz gereken bir değisiklik olursa, PORT PROPERTIES'ten bunu yapabiliriz.
|
