تحديد شبكات ظاهرية خاصة وإعدادها
عند تخطيط الشبكات الظاهرية الخاصة، يجب على شركة Contoso مراعاة عدد من العوامل، بما في ذلك بروتوكول الاتصال النفقي المناسب وطريقة المصادقة. يجب عليهم أيضا التفكير في أفضل طريقة لإعداد خوادم VPN الخاصة بهم لدعم احتياجات الوصول عن بعد لمستخدميهم.
تحديد بروتوكول نفق
يمكن أن تختار Contoso تنفيذ الشبكات الظاهرية الخاصة باستخدام أحد بروتوكولات الاتصال النفقي المتعددة وأساليب المصادقة. يمكن لاتصالات VPN استخدام أحد بروتوكولات الاتصال النفقي التالية:
- بروتوكول الاتصال النفقي من نقطة إلى نقطة (PPTP)
- بروتوكول الاتصال النفقي للطبقة 2 مع أمان بروتوكول الإنترنت (L2TP/IPsec)
- بروتوكول نفق مأخذ التوصيل الآمن (SSTP)
- الإصدار 2 من Internet Key Exchange (IKEv2)
تشترك جميع بروتوكولات نفق VPN في ثلاث ميزات:
- التغليف. تغلف تقنية VPN البيانات الخاصة برأس يحتوي على معلومات التوجيه، ما يسمح للبيانات باجتياز شبكة النقل.
- المصادقة. هناك ثلاثة أنواع من المصادقة لاتصالات VPN، بما في ذلك:
- المصادقة على مستوى المستخدم باستخدام مصادقة بروتوكول نقطة إلى نقطة (PPP).
- المصادقة على مستوى الكمبيوتر باستخدام Internet Key Exchange (IKE).
- مصادقة مصدر البيانات وتكامل البيانات.
- تشفير البيانات. لضمان سرية البيانات أثناء اجتيازها لشبكة النقل المشتركة أو العامة، يقوم المرسل بتشفير البيانات، ويفك المتلقي تشفيرها.
يصف الجدول التالي بروتوكولات الاتصال النفقي المدعومة.
| البروتوكول | الوصف |
|---|---|
| بروتوكول الاتصال النفقي من نقطة إلى نقطة | يمكنك استخدام PPTP للوصول عن بعد واتصالات VPN من موقع إلى موقع (شبكة ظاهرية خاصة). عند استخدام الإنترنت كشبكة VPN عامة، يكون خادم PPTP هو خادم VPN ممكن ل PPTP يحتوي على واجهة واحدة على الإنترنت وواحدة على الإنترانت. |
| L2TP/IPsec | تمكنك L2TP من تشفير نسبة استخدام الشبكة متعددة البروتوكولات التي يتم إرسالها عبر أي وسيط يدعم تسليم مخطط البيانات من نقطة إلى نقطة، مثل IP أو وضع النقل غير المتزامن (ATM). L2TP هو مزيج من PPTP وإعادة توجيه الطبقة 2 (L2F). يمثل L2TP أفضل ميزات PPTP وL2F. |
| بروتوكول نفق مأخذ التوصيل الآمن | SSTP هو بروتوكول نفق يستخدم بروتوكول HTTPS عبر منفذ TCP 443 لتمرير نسبة استخدام الشبكة عبر جدران الحماية ووكلاء الويب، والتي قد تمنع حركة مرور PPTP وL2TP/IPsec. يوفر SSTP آلية لتغليف حركة مرور PPP عبر قناة SSL لبروتوكول HTTPS. يسمح استخدام PPP بدعم أساليب المصادقة القوية، مثل EAP-TLS. يوفر SSL أمان على مستوى النقل مع التفاوض الرئيسي المحسن والتشفير وفحص التكامل. |
| الإصدار 2 من Internet Key Exchange (مفتاح الإنترنت التبادلي) | يستخدم IKEv2 بروتوكول وضع نفق IPsec عبر منفذ UDP 500. يدعم الإصدار 2 من Internet Key Exchange (مفتاح الإنترنت التبادلي) التنقل، ما يجعله اختيار بروتوكول جيد للقوى العاملة المتنقلة. تمكن الشبكات الظاهرية الخاصة المستندة إلى IKEv2 المستخدمين من التنقل بسهولة بين نقاط الاتصال اللاسلكية أو بين الاتصالات اللاسلكية والسلكية. |
تنبيه
يجب عدم استخدام PPTP بسبب الثغرات الأمنية. بدلا من ذلك، استخدم IKEv2 حيثما أمكن ذلك لأنه أكثر أمانا ويوفر مزايا على L2TP.
تحديد خيار المصادقة
تعد مصادقة عملاء الوصول مصدر قلق أمني مهم. تستخدم أساليب المصادقة عادة بروتوكول مصادقة يتم التفاوض عليه أثناء عملية إنشاء الاتصال. يدعم دور خادم Remote Access الأساليب التي يصفها الجدول التالي.
| الطريقة | الوصف |
|---|---|
| PAP | يستخدم بروتوكول مصادقة كلمة المرور (PAP) كلمات مرور نص عادي وهو بروتوكول المصادقة الأقل أمانا. يتم التفاوض عليه عادة إذا لم يتمكن عميل الوصول عن بعد وخادم الوصول عن بعد من التفاوض على شكل أكثر أمانا للتحقق من الصحة. يتضمن Windows Server PAP لدعم أنظمة تشغيل العميل القديمة التي لا تدعم أي أسلوب مصادقة آخر. |
| بروتوكول CHAP | بروتوكول مصادقة تأكيد اتصال التحدي (CHAP) هو بروتوكول مصادقة استجابة للتحدي يستخدم نظام تجزئة MD5 القياسي في الصناعة لتشفير الاستجابة. يستخدم العديد من موردي خوادم الوصول إلى الشبكة والعملاء CHAP. ومع ذلك، نظرا لأن CHAP يتطلب استخدام كلمة مرور مشفرة بشكل عكسي، يجب أن تفكر في استخدام بروتوكول مصادقة آخر، مثل MS-CHAPv2. |
| بروتوكول Challenge Handshake Authentication Protocol الإصدار 2 من Microsoft | Microsoft Challenge Handshake Authentication Protocol الإصدار 2 (MS-CHAPv2) هو كلمة مرور مشفرة أحادية الاتجاه وبروتوكول مصادقة متبادلة ويوفر تحسينات على CHAP. |
| EAP | إذا كنت تستخدم بروتوكول مصادقة قابل للتوسيع (EAP)، فإن آلية المصادقة العشوائية تصادق اتصال الوصول عن بعد. يتفاوض عميل الوصول عن بعد والمصدق، وهو إما خادم الوصول عن بعد أو خادم خدمة مستخدم طلب المصادقة عن بعد (RADIUS)، على نظام المصادقة الدقيق الذي سيستخدمونه. يتضمن التوجيه والوصول عن بعد دعم المصادقة القابلة للتوسيع Protocol-Transport أمان الطبقة (EAP-TLS) بشكل افتراضي. يمكنك توصيل وحدات EAP النمطية الأخرى بالخادم الذي يقوم بتشغيل التوجيه والوصول عن بعد لتوفير أساليب EAP أخرى. |
اعتبارات إضافية
بالإضافة إلى بروتوكول النفق وطريقة المصادقة، قبل نشر حل VPN الخاص بمؤسستك، يجب مراعاة ما يلي:
- تأكد من أن خادم VPN الخاص بك يحتوي على واجهتين للشبكة. يجب تحديد واجهة الشبكة التي ستتصل بالإنترنت وأيها سيتصل بشبكتك الخاصة. أثناء التكوين، يجب عليك اختيار واجهة الشبكة التي تتصل بالإنترنت. إذا حددت واجهة الشبكة غير الصحيحة، فلن يعمل خادم VPN للوصول عن بعد بشكل صحيح.
- حدد ما إذا كان العملاء البعيدون يتلقون عناوين IP من خادم DHCP على شبكتك الخاصة أو من خادم VPN للوصول عن بعد الذي تقوم بتكوينه. إذا كان لديك خادم DHCP على شبكتك الخاصة، يمكن لخادم VPN للوصول عن بعد تأجير 10 عناوين في كل مرة من خادم DHCP ثم تعيين هذه العناوين للعملاء عن بعد. إذا لم يكن لديك خادم DHCP على شبكتك الخاصة، يمكن لخادم VPN الوصول عن بعد إنشاء عناوين IP وتعيينها تلقائيا للعملاء عن بعد. إذا كنت تريد أن يقوم خادم VPN للوصول عن بعد بتعيين عناوين IP من نطاق تحدده، يجب تحديد ما يجب أن يكون عليه هذا النطاق.
- حدد ما إذا كنت تريد خادم خدمة مستخدم طلب مصادقة عن بعد (RADIUS) أو خادم VPN للوصول عن بعد تقوم بتكوينه لمصادقة طلبات الاتصال من عملاء VPN. تعد إضافة خادم RADIUS مفيدة إذا كنت تخطط لتثبيت عدة خوادم VPN للوصول عن بعد أو نقاط وصول لاسلكية أو عملاء RADIUS آخرين إلى شبكتك الخاصة.