Выбор и настройка VPN
При планировании виртуальных сетей Компания Contoso должна учитывать ряд факторов, включая соответствующий протокол туннелирования и метод проверки подлинности. Они также должны учитывать, как лучше всего настроить VPN-серверы для поддержки потребностей удаленного доступа пользователей.
Выбор протокола туннелирования
Компания Contoso может реализовать виртуальные сети с помощью одного из нескольких протоколов туннелирования и методов проверки подлинности. VPN-подключения могут использовать один из следующих протоколов туннелирования:
- Протокол туннелирования точка-точка (PPTP)
- Протокол туннелирования уровня 2 с безопасностью протокола Интернета (L2TP/IPsec)
- Протокол безопасного туннелирования сокетов (SSTP)
- Обмен ключами Интернета версии 2 (IKEv2)
Все протоколы туннелирования VPN используют три функции:
- Инкапсуляция. Технология VPN инкапсулирует частные данные с заголовком, содержащим сведения о маршрутизации, что позволяет данным проходить через транзитную сеть.
- Аутентификация. Существует три типа проверки подлинности для VPN-подключений, в том числе:
- Проверка подлинности на уровне пользователя с помощью проверки подлинности протокола "точка — точка" (PPP).
- Аутентификация на уровне компьютера с использованием обмена ключами через Интернет (IKE).
- Проверка подлинности источника данных и целостность данных.
- Шифрование данных. Чтобы обеспечить конфиденциальность данных по мере прохождения общей или общедоступной транзитной сети, отправитель шифрует данные, а получатель расшифровывает его.
В следующей таблице описаны поддерживаемые протоколы туннелирования.
| Протокол | Описание |
|---|---|
| Протокол PPTP (Point-to-Point Tunneling Protocol) | Вы можете использовать PPTP для подключения удаленного доступа и VPN типа "сеть — сеть" (виртуальная частная сеть). При использовании Интернета в качестве общедоступной сети VPN сервер PPTP — это VPN-сервер с поддержкой PPTP, имеющий один интерфейс в Интернете и один в интрасети. |
| L2TP/IPsec | L2TP позволяет шифровать многопротокольный трафик, который отправляется через любой носитель, поддерживающий доставку гистограмм точки к точке, например IP-адрес или асинхронный режим передачи (ATM). L2TP — это сочетание PPTP и пересылки уровня 2 (L2F). L2TP представляет лучшие функции PPTP и L2F. |
| SSTP | SSTP — это протокол туннелирования, использующий протокол HTTPS через TCP-порт 443 для передачи трафика через брандмауэры и веб-прокси, которые в противном случае могут блокировать трафик PPTP и L2TP/IPsec. SSTP предоставляет механизм инкапсулировать трафик PPP через SSL-канал протокола HTTPS. Использование PPP позволяет поддерживать надежные методы проверки подлинности, такие как EAP-TLS. SSL обеспечивает безопасность на уровне транспорта с расширенным согласованием ключей, шифрованием и проверкой целостности. |
| Протокол IKEv2 (Интернет обмен ключами, версия 2) | IKEv2 использует протокол режима туннелирования IPsec через порт UDP 500. IKEv2 поддерживает мобильность, поэтому подходит для мобильных сотрудников. Виртуальные сети на основе IKEv2 позволяют пользователям легко перемещаться между беспроводными хот-точками или между беспроводными и проводными подключениями. |
Осторожность
Не следует использовать PPTP из-за уязвимостей безопасности. Вместо этого используйте IKEv2 везде, где это возможно, так как это более безопасно и предлагает преимущества по сравнению с L2TP.
Выбор способа проверки подлинности
Проверка подлинности клиентов доступа является важной проблемой безопасности. Методы проверки подлинности обычно используют протокол проверки подлинности, согласованный во время процесса создания подключения. Роль сервера удаленного доступа поддерживает методы, описанные в следующей таблице.
| Метод | Описание |
|---|---|
| ПАП | Протокол проверки подлинности паролей (PAP) использует пароли с открытым текстом и является наименее безопасным протоколом проверки подлинности. Обычно он согласовывается, если клиент удаленного доступа и сервер удаленного доступа не могут согласовывать более безопасную форму проверки. Windows Server включает ПАП для поддержки старых клиентских операционных систем, не поддерживающих другие методы проверки подлинности. |
| ПАРЕНЬ | Протокол аутентификации с рукопожатием (CHAP) — это протокол аутентификации с вызовом-ответом, использующий стандартную схему хэширования MD5 для шифрования ответа. Различные поставщики серверов и клиентов доступа к сети используют CHAP. Тем не менее, поскольку CHAP требует, чтобы вы использовали обратимый зашифрованный пароль, следует рассмотреть возможность использования другого протокола проверки подлинности, например MS-CHAPv2. |
| MS-CHAPv2 | Протокол проверки подлинности Microsoft Challenge Handshake 2 (MS-CHAPv2) — это односторонний, зашифрованный пароль, протокол взаимной проверки подлинности и обеспечивает улучшения по сравнению с CHAP. |
| EAP | При использовании расширенного протокола проверки подлинности (EAP) произвольный механизм проверки подлинности проходит проверку подлинности подключения к удаленному доступу. Клиент удаленного доступа и аутентификатор, который является сервером удаленного доступа или сервером службы пользователей удаленной проверки подлинности (RADIUS), согласовывает точную схему проверки подлинности, которую они будут использовать. Маршрутизация и удаленный доступ включают поддержку расширяемой проверки подлинности Protocol-Transport уровня безопасности (EAP-TLS) по умолчанию. Вы можете подключить другие модули EAP к серверу, на котором выполняется маршрутизация и удаленный доступ, чтобы предоставить другие методы EAP. |
Дополнительные рекомендации
В дополнение к протоколу туннелирования и методу проверки подлинности перед развертыванием VPN-решения организации необходимо учитывать следующее:
- Убедитесь, что VPN-сервер имеет два сетевых интерфейса. Необходимо определить, какой сетевой интерфейс будет подключаться к Интернету и который будет подключаться к частной сети. Во время настройки необходимо выбрать, какой сетевой интерфейс подключается к Интернету. Если указать неправильный сетевой интерфейс, vpn-сервер удаленного доступа не будет работать правильно.
- Определите, получают ли удаленные клиенты IP-адреса с DHCP-сервера в частной сети или с настраиваемого VPN-сервера удаленного доступа. Если у вас есть DHCP-сервер в частной сети, VPN-сервер удаленного доступа может арендовать 10 адресов за раз с DHCP-сервера, а затем назначить эти адреса удаленным клиентам. Если у вас нет DHCP-сервера в частной сети, VPN-сервер удаленного доступа может автоматически создавать и назначать IP-адреса удаленным клиентам. Если вы хотите, чтобы VPN-сервер удаленного доступа назначит IP-адреса из указанного диапазона, необходимо определить, какой диапазон должен быть.
- Определите, нужен ли вам сервер удаленной проверки подлинности (RADIUS) или VPN-сервер удаленного доступа, который настраивается для проверки подлинности запросов на подключение от VPN-клиентов. Добавление сервера RADIUS полезно, если планируется установить несколько VPN-серверов удаленного доступа, беспроводных точек доступа или других клиентов RADIUS в частную сеть.