Auswählen und Einrichten von VPNs
Bei der Planung von VPNs muss Contoso eine Reihe von Faktoren berücksichtigen, einschließlich der geeigneten Tunnelingprotokoll- und Authentifizierungsmethode. Sie müssen auch berücksichtigen, wie sie ihre VPN-Server so einrichten können, dass sie die Anforderungen des Remotezugriffs ihrer Benutzer unterstützen.
Auswählen eines Tunnelingprotokolls
Contoso könnte sich entscheiden, VPNs mit einem von mehreren Tunnelingprotokollen und Authentifizierungsmethoden zu implementieren. VPN-Verbindungen können eines der folgenden Tunnelingprotokolle verwenden:
- Point-to-Point Tunneling Protocol (PPTP)
- Layer 2 Tunneling-Protokoll mit Internetprotokollsicherheit (L2TP/IPsec)
- Secure Socket Tunneling Protocol (SSTP)
- Internet Key Exchange Version 2 (IKEv2)
Alle VPN-Tunnelingprotokolle teilen drei Features:
- Verkapselung. Die VPN-Technologie kapselt private Daten mit einem Header, der Routinginformationen enthält, wodurch die Daten das Transitnetzwerk durchlaufen können.
- Authentifizierung. Es gibt drei Arten von Authentifizierung für VPN-Verbindungen, darunter:
- Authentifizierung auf Benutzerebene mithilfe der POINT-to-Point Protocol(PPP)-Authentifizierung.
- Authentifizierung auf Computerebene mithilfe von Internet Key Exchange (IKE).
- Datenursprungauthentifizierung und Datenintegrität.
- Datenverschlüsselung. Um die Vertraulichkeit der Daten beim Durchlaufen des freigegebenen oder öffentlichen Transitnetzwerks sicherzustellen, verschlüsselt der Absender die Daten, und der Empfänger entschlüsselt sie.
In der folgenden Tabelle werden die unterstützten Tunnelingprotokolle beschrieben.
| Protokoll | BESCHREIBUNG |
|---|---|
| PPTP | Sie können PPTP für Remotezugriff und Standort-zu-Standort-VPN-Verbindungen (virtuelles privates Netzwerk) verwenden. Wenn Sie das Internet als öffentliches VPN-Netzwerk verwenden, handelt es sich beim PPTP-Server um einen PPTP-fähigen VPN-Server mit einer Schnittstelle im Internet und einem im Intranet. |
| L2TP/IPsec | Mit L2TP können Sie Multiprotocol-Datenverkehr verschlüsseln, der über jedes Medium gesendet wird, das die Übermittlung von Point-to-Point-Datagrammen unterstützt, z. B. IP oder asynchroner Übertragungsmodus (ATM). L2TP ist eine Kombination aus PPTP und Layer 2 Forwarding (L2F). L2TP stellt die besten Features von PPTP und L2F dar. |
| SSTP | SSTP ist ein Tunnelprotokoll, das das HTTPS-Protokoll über TCP-Port 443 verwendet, um Datenverkehr über Firewalls und Webproxys zu übergeben, was andernfalls PPTP- und L2TP/IPsec-Datenverkehr blockieren kann. SSTP bietet einen Mechanismus zum Kapseln des PPP-Datenverkehrs über den SSL-Kanal des HTTPS-Protokolls. Die Verwendung von PPP ermöglicht die Unterstützung für starke Authentifizierungsmethoden, z. B. EAP-TLS. SSL bietet Sicherheit auf Transportebene mit verbesserter Schlüsselverhandlung, Verschlüsselung und Integritätsprüfung. |
| IKEv2 | IKEv2 verwendet das IPsec Tunnel Mode-Protokoll über UDP-Port 500. IKEv2 unterstützt Mobilität, sodass es eine gute Protokollwahl für mobile Mitarbeiter ist. IKEv2-basierte VPNs ermöglichen Es Benutzern, einfach zwischen drahtlosen Hotspots oder zwischen drahtlosen und kabelgebundenen Verbindungen zu wechseln. |
Vorsicht
Sie sollten PPTP aufgrund von Sicherheitsrisiken nicht verwenden. Verwenden Sie stattdessen IKEv2, wo möglich, da sie sicherer ist und Vorteile gegenüber L2TP bietet.
Auswählen einer Authentifizierungsoption
Die Authentifizierung von Zugriffsclients ist ein wichtiges Sicherheitsproblem. Authentifizierungsmethoden verwenden in der Regel ein Authentifizierungsprotokoll, das während des Verbindungserstellungsprozesses ausgehandelt wird. Die Remotezugriffsserverrolle unterstützt die methoden, die in der folgenden Tabelle beschrieben werden.
| Methode | BESCHREIBUNG |
|---|---|
| PAP | Password Authentication Protocol (PAP) verwendet Nur-Text-Kennwörter und ist das am wenigsten sichere Authentifizierungsprotokoll. Es wird in der Regel ausgehandelt, wenn der Remotezugriffsclient und der Remotezugriffsserver keine sicherere Form der Überprüfung aushandeln können. Windows Server enthält PAP zur Unterstützung älterer Clientbetriebssysteme, die keine andere Authentifizierungsmethode unterstützen. |
| CHAP | Das Challenge Handshake Authentication Protocol (CHAP) ist ein Abfrageantwort-Authentifizierungsprotokoll, das das standardmäßige MD5-Hashingschema zum Verschlüsseln der Antwort verwendet. Verschiedene Anbieter von Netzwerkzugriffsservern und Clients verwenden CHAP. Da CHAP jedoch erfordert, dass Sie ein reversibisch verschlüsseltes Kennwort verwenden, sollten Sie ein anderes Authentifizierungsprotokoll wie MS-CHAPv2 verwenden. |
| MS-CHAPv2 | Microsoft Challenge Handshake Authentication Protocol Version 2 (MS-CHAPv2) ist ein unidirektionales, verschlüsseltes Kennwort, gegenseitige Authentifizierungsprotokoll und bietet Verbesserungen gegenüber CHAP. |
| EAP | Wenn Sie extensible Authentication Protocol (EAP) verwenden, authentifiziert ein beliebiger Authentifizierungsmechanismus eine Remotezugriffsverbindung. Der Remotezugriffsclient und der Authentifikator, der entweder der Remotezugriffsserver oder der RADIUS-Server (Remote Authentication Dial-In User Service) ist, verhandeln das genaue Authentifizierungsschema, das sie verwenden werden. Routing und Remotezugriff (Remote Access, RAS) enthalten standardmäßig Unterstützung für Extensible Authentication Protocol-Transport Layer Security (EAP-TLS). Sie können andere EAP-Module an den Server anschließen, auf dem Routing und Remotezugriff ausgeführt werden, um andere EAP-Methoden bereitzustellen. |
Weitere Überlegungen
Zusätzlich zur Tunnelingprotokoll- und Authentifizierungsmethode müssen Sie vor der Bereitstellung der VPN-Lösung Ihrer Organisation Folgendes berücksichtigen:
- Stellen Sie sicher, dass Ihr VPN-Server über zwei Netzwerkschnittstellen verfügt. Sie müssen bestimmen, welche Netzwerkschnittstelle eine Verbindung mit dem Internet herstellt und welche eine Verbindung mit Ihrem privaten Netzwerk herstellen soll. Während der Konfiguration müssen Sie auswählen, welche Netzwerkschnittstelle mit dem Internet verbunden ist. Wenn Sie die falsche Netzwerkschnittstelle angeben, funktioniert ihr VPN-Server für den Remotezugriff nicht ordnungsgemäß.
- Ermitteln Sie, ob Remoteclients IP-Adressen von einem DHCP-Server in Ihrem privaten Netzwerk oder vom VPN-Server des Remotezugriffs empfangen, den Sie konfigurieren. Wenn Sie über einen DHCP-Server in Ihrem privaten Netzwerk verfügen, kann der VPN-Server für den Remotezugriff jeweils 10 Adressen vom DHCP-Server leasen und diese Adressen dann Remoteclients zuweisen. Wenn Sie keinen DHCP-Server in Ihrem privaten Netzwerk haben, kann der VPN-Server für den Remotezugriff automatisch IP-Adressen generieren und Remoteclients zuweisen. Wenn der VPN-Server für den Remotezugriff IP-Adressen aus einem von Ihnen angegebenen Bereich zuweisen soll, müssen Sie bestimmen, was dieser Bereich sein soll.
- Entscheiden Sie, ob Sie einen Remote Authentication Dial-In User Service (RADIUS)-Server oder einen VPN-Server für den Remotezugriff benötigen, den Sie so konfigurieren, dass Verbindungsanforderungen von VPN-Clients authentifiziert werden. Das Hinzufügen eines RADIUS-Servers ist nützlich, wenn Sie beabsichtigen, mehrere VPN-Server für den Remotezugriff, drahtlose Zugriffspunkte oder andere RADIUS-Clients in Ihrem privaten Netzwerk zu installieren.