Akses Jarak Jauh dan Masalah Keamanan Server VPN

Remote Access Server (RAS) menyediakan akses ke jaringan untuk pengguna jarak jauh. Berbagai jenis koneksi akses jarak jauh adalah akses jarak jauh Dial-in, akses jarak jauh VPN, dan akses jarak jauh Nirkabel. Akses jarak jauh dial-in menggunakan caram, server yang menjalankan layanan Perutean dan Akses Jarak Jauh (RRAS), dan protokol Point-to-Point (PPP) untuk memungkinkan pengguna jarak jauh mengakses jaringan. Akses jarak jauh VPN menyediakan koneksi yang aman dan canggih melalui jaringan yang tidak aman. Akses VPN menggunakan enkripsi untuk membuat terowongan VPN antara klien akses jarak jauh dan jaringan perusahaan. Pengguna nirkabel terhubung ke jaringan dengan menghubungkan ke titik akses nirkabel (WAP). Jaringan nirkabel tidak memiliki keamanan fisik bawaan jaringan kabel, dan lebih rentan terhadap serangan dari penyusup. Untuk mengamankan jaringan nirkabel dan koneksi nirkabel, administrator dapat meminta semua komunikasi nirkabel untuk diautentikasi dan dienkripsi. Ada sejumlah teknologi keamanan nirkabel yang dapat digunakan untuk melindungi jaringan nirkabel.

Langkah-langkah keamanan dasar untuk mengamankan server akses jarak jauh tercantum di sini:

• Amankan server akses jarak jauh Anda secara fisik.
• Terapkan dan pertahankan solusi perlindungan virus yang kuat. Tambalan perangkat lunak harus selalu diperbarui.
• Sistem file NTFS harus digunakan untuk melindungi data pada volume sistem.
• Semua layanan dan aplikasi yang tidak perlu yang tidak digunakan pada server akses jarak jauh Anda harus dicopot pemasangannya.
• Amankan akun terkenal: akun Administrator, akun Tamu.
• Untuk melindungi server akses jarak jauh dari akses yang tidak sah, terapkan penggunaan kata sandi yang kuat.
• Anda dapat menggunakan salah satu dari metode ini untuk mengamankan lalu lintas antara server akses jarak jauh dan pengguna jarak jauh:
• Penandatanganan
• Enkripsi
• Terowongan
• Filter IPSec dapat digunakan untuk melindungi lalu lintas IP rahasia.
• Pertimbangkan untuk menggunakan kartu pintar untuk lebih meningkatkan strategi akses keamanan Anda.
• Pantau aktivitas server akses jarak jauh.

Langkah-langkah keamanan tambahan untuk mengamankan server akses jarak jauh tercantum di bawah ini:

• Anda dapat membuat dan mengonfigurasi kebijakan akses jarak jauh. Kebijakan akses jarak jauh dapat digunakan untuk membatasi koneksi jarak jauh setelah diotorisasi
• Anda dapat membuat dan mengonfigurasi profil akses jarak jauh.
• Anda dapat mengonfigurasi metode otentikasi akses jarak jauh.
• Anda dapat mengonfigurasi tingkat enkripsi untuk mengamankan komunikasi akses jarak jauh.
• Anda dapat mengontrol akses melalui Properti Dial-in dari akun pengguna individu yang digunakan klien akses jarak jauh untuk terhubung ke jaringan
• Anda dapat menggunakan Remote Authentication Dial-In User Service (RADIUS) untuk menyediakan otentikasi, otorisasi, dan akuntansi untuk infrastruktur akses jarak jauh Anda.
• Anda dapat meningkatkan tingkat fungsional domain untuk menyediakan fitur keamanan tambahan untuk infrastruktur akses jarak jauh Anda.

Menggunakan Metode Otentikasi dan Enkripsi untuk Mengamankan Akses ke Akses Jarak Jauh dan Server VPN

Ada sejumlah metode autentikasi berbeda yang didukung oleh Windows Server 2003 Routing and Remote Access Service (RRAS) yang dapat Anda konfigurasikan untuk mengotentikasi pengguna jarak jauh saat mereka mencoba menyambung ke server akses jarak jauh:

• Kata Sandi Tidak Terenkripsi (PAP) ; menggunakan kata sandi teks biasa dan tidak ada enkripsi. PAP hanya disediakan sebagai metode otentikasi untuk klien yang tidak mendukung metode otentikasi yang lebih aman.
• Protokol Otentikasi Kata Sandi Shiva (SPAP) ; protokol otentikasi kata sandi sederhana yang tidak memberikan otentikasi nyata. SPAP adalah protokol otentikasi yang tidak aman.
• Otentikasi Terenkripsi (CHAP) ; protokol otentikasi tantangan-respons yang digunakan untuk koneksi PPP. Metode otentikasi ini menggunakan kata sandi pengguna untuk otentikasi.
• Otentikasi Terenkripsi Microsoft (MS-CHAP) ; satu kunci enkripsi digunakan untuk pesan terkirim dan pesan yang diterima, sehingga membuat metode ini menjadi metode autentikasi yang lebih lemah daripada MS-CHAPv2.
• Otentikasi Terenkripsi Microsoft Versi 2 (MS-CHAPv2) ; menyediakan otentikasi timbal balik untuk otentikasi jaringan dan dialup melalui penggunaan kata sandi terenkripsi. MS-CHAPv2 adalah salah satu metode otentikasi yang lebih aman untuk digunakan untuk mengontrol koneksi akses jarak jauh ke server akses jarak jauh Anda.
• Extensible Authentication Protocol (EAP) memungkinkan RRAS untuk menggunakan protokol otentikasi yang disediakan oleh Windows 2000 dan Windows Server 2003 bersama-sama dengan protokol otentikasi pihak ketiga seperti kartu pintar. EAP menawarkan otentikasi timbal balik, dan menyediakan negosiasi metode enkripsi.

Untuk mengkonfigurasi metode otentikasi,

1. Klik Mulai, Klik Mulai, Alat Administratif, lalu klik Perutean dan Akses Jarak Jauh untuk membuka konsol Perutean dan Akses Jarak Jauh.
2. Di pohon konsol, pilih server akses jarak jauh, lalu klik menu Tindakan untuk memilih perintah Properti.
3. Beralih ke tab Keamanan.
4. Klik tombol Metode Otentikasi.
5. Kotak dialog Metode Otentikasi terbuka.
6. Tentukan metode otentikasi yang ingin Anda gunakan.

Untuk menonaktifkan metode otentikasi berbasis kata sandi yang lebih lemah,

1. Klik Mulai, Alat Administratif, lalu klik Perutean dan Akses Jarak Jauh untuk membuka konsol Perutean dan Akses Jarak Jauh.
2. Di pohon konsol, pilih server akses jarak jauh yang ingin Anda konfigurasi, lalu klik menu Tindakan untuk memilih perintah Properti.
3. Beralih ke tab Keamanan.
4. Klik tombol Metode Otentikasi.
5. Kotak dialog Metode Otentikasi terbuka.
6. Kosongkan kotak centang Microsoft Encrypted Authentication (MS-CHAP).
7. Kosongkan kotak centang Otentikasi Terenkripsi (CHAP).
8. Kosongkan kotak centang Shiva Password Authentication Protocol (SPAP).
9. Kosongkan kotak centang untuk kotak centang Kata Sandi Tidak Terenkripsi (PAP).
10. Klik Oke.

Untuk mengamankan koneksi akses jarak jauh VPN, pertimbangkan untuk mengonfigurasi salah satu dari tingkat enkripsi berikut:

• Enkripsi dasar, level ini tidak boleh digunakan karena kunci 40-bit yang lemah digunakan untuk enkripsi.
• Enkripsi yang kuat; kunci 56-bit digunakan untuk enkripsi.
• Enkripsi terkuat; kunci a128-bit digunakan untuk enkripsi.

Menggunakan Kebijakan Akses Jarak Jauh dan Profil Akses Jarak Jauh untuk Mengamankan Akses Jarak Jauh

Kebijakan akses jarak jauh dapat digunakan untuk menentukan pengguna mana yang diizinkan untuk membuat koneksi ke server akses jarak jauh. Kebijakan akses jarak jauh memungkinkan Administrator untuk membatasi akses pengguna, berdasarkan pengguna sebenarnya, keanggotaan grup, dan waktu. Anda juga dapat menggunakan kebijakan akses jarak jauh untuk mengontrol protokol otentikasi dan metode enkripsi yang digunakan klien. Setelah sambungan dibuat ke server akses jarak jauh, Anda dapat melalui kebijakan akses jarak jauh juga mengonfigurasi pembatasan untuk sambungan.
Profil akses jarak jauh berisi sekumpulan properti yang diterapkan ke koneksi akses jarak jauh yang cocok dengan kondisi yang ditentukan dalam kebijakan akses jarak jauh. Melalui profil akses jarak jauh, Anda dapat menentukan tindakan apa yang harus terjadi setelah koneksi diotorisasi oleh server akses jarak jauh.

Untuk mengontrol koneksi ke server akses jarak jauh melalui kebijakan akses jarak jauh,

1. Klik Mulai, Alat Administratif, lalu klik Pengguna dan Komputer Direktori Aktif untuk membuka konsol manajemen Pengguna dan Komputer Direktori Aktif.
2. Di pohon konsol, perluas domain yang berisi akun pengguna yang ingin Anda aktifkan akses jarak jauhnya.
3. Pilih wadah Pengguna.
4. Di panel kanan, temukan akun pengguna yang ingin Anda konfigurasikan.
5. Klik kanan akun pengguna tertentu dan kemudian pilih Properties dari menu shortcut.
6. Klik tab Dial-in.
7. Di area Izin Akses Jarak Jauh, klik opsi Kontrol Akses Melalui Kebijakan Akses Jarak Jauh.
8. Klik Oke.