Memilih dan menyiapkan VPN
Saat merencanakan VPN, Contoso harus mempertimbangkan sejumlah faktor, termasuk protokol penerowongan dan metode autentikasi yang sesuai. Mereka juga harus mempertimbangkan cara terbaik untuk menyiapkan server VPN mereka untuk mendukung kebutuhan akses jarak jauh pengguna mereka.
Pilih protokol penerowongan
Contoso dapat memilih untuk menerapkan VPN menggunakan salah satu dari beberapa protokol penerowongan dan metode autentikasi. Koneksi VPN dapat menggunakan salah satu protokol penerowongan berikut:
- Protokol Penerowongan Titik-ke-Titik (PPTP)
- Protokol Penerowongan Lapisan 2 dengan Keamanan Protokol Internet (L2TP/IPsec)
- Secure Socket Tunneling Protocol (SSTP)
- Internet Key Exchange versi 2 (IKEv2)
Semua protokol penerowongan VPN berbagi tiga fitur:
- Enkapsulasi. Teknologi VPN merangkum data privat dengan header yang berisi informasi perutean, yang memungkinkan data melintasi jaringan transit.
- Otentikasi. Ada tiga jenis autentikasi untuk koneksi VPN, termasuk:
- Autentikasi tingkat pengguna dengan menggunakan autentikasi Point-to-Point Protocol (PPP).
- Autentikasi tingkat komputer dengan menggunakan Internet Key Exchange (IKE).
- Autentikasi asal data dan integritas data.
- Enkripsi data. Untuk memastikan kerahasiaan data saat melintasi jaringan transit bersama atau publik, pengirim mengenkripsi data, dan penerima mendekripsinya.
Tabel berikut ini menjelaskan protokol penerowongan yang didukung.
| Protokol | Deskripsi |
|---|---|
| PPTP | Anda dapat menggunakan PPTP untuk akses jarak jauh dan koneksi VPN situs-ke-situs (jaringan privat virtual). Ketika Anda menggunakan internet sebagai jaringan publik VPN, server PPTP adalah server VPN yang mendukung PPTP yang memiliki satu antarmuka di internet dan satu di intranet Anda. |
| L2TP/IPsec | L2TP memungkinkan Anda mengenkripsi lalu lintas multiprotokol yang dikirim melalui media apa pun yang mendukung pengiriman datagram titik-ke-titik, seperti IP atau mode transfer asinkron (ATM). L2TP adalah kombinasi dari PPTP dan Layer 2 Forwarding (L2F). L2TP mewakili fitur terbaik PPTP dan L2F. |
| SSTP | SSTP adalah protokol penerowongan yang menggunakan protokol HTTPS melalui port TCP 443 untuk melewati lalu lintas melalui firewall dan proksi web, yang jika tidak mungkin memblokir lalu lintas PPTP dan L2TP/IPsec. SSTP menyediakan mekanisme untuk merangkum lalu lintas PPP melalui saluran SSL protokol HTTPS. Penggunaan PPP memungkinkan dukungan untuk metode autentikasi yang kuat, seperti EAP-TLS. SSL menyediakan keamanan tingkat transportasi dengan negosiasi kunci, enkripsi, dan pemeriksaan integritas yang ditingkatkan. |
| IKEv2 | IKEv2 menggunakan protokol Mode Terowongan IPsec melalui port UDP 500. IKEv2 mendukung mobilitas, menjadikannya pilihan protokol yang baik untuk pekerja jarak jauh. VPN berbasis IKEv2 memungkinkan pengguna untuk bergerak dengan mudah antara hotspot nirkabel atau antara koneksi nirkabel dan kabel. |
Perhatian
Anda tidak boleh menggunakan PPTP karena kerentanan keamanan. Sebagai gantinya, gunakan IKEv2 sedapat mungkin karena lebih aman dan menawarkan keuntungan daripada L2TP.
Pilih opsi autentikasi
Autentikasi klien akses adalah masalah keamanan penting. Metode autentikasi biasanya menggunakan protokol autentikasi yang dinegosiasikan selama proses pembentukan koneksi. Peran server Akses Jarak Jauh mendukung metode yang dijelaskan tabel berikut ini.
| Metode | Deskripsi |
|---|---|
| PAP | Protokol Autentikasi Kata Sandi (PAP) menggunakan kata sandi teks biasa dan merupakan protokol autentikasi yang paling tidak aman. Biasanya dinegosiasikan jika klien akses jarak jauh dan server Akses Jarak Jauh tidak dapat menegosiasikan bentuk validasi yang lebih aman. Windows Server menyertakan PAP untuk mendukung sistem operasi klien lama yang tidak mendukung metode autentikasi lainnya. |
| CHAP | Challenge Handshake Authentication Protocol (CHAP) adalah protokol autentikasi respons tantangan yang menggunakan skema hashing MD5 standar industri untuk mengenkripsi respons. Berbagai vendor server akses jaringan dan klien menggunakan CHAP. Namun, karena CHAP mengharuskan Anda menggunakan kata sandi terenkripsi balik, Anda harus mempertimbangkan untuk menggunakan protokol autentikasi lain, seperti MS-CHAPv2. |
| MS-CHAPv2 | Protokol Autentikasi Jabat Tangan Microsoft Challenge versi 2 (MS-CHAPv2) adalah kata sandi terenkripsi satu arah, protokol autentikasi bersama, dan memberikan peningkatan atas CHAP. |
| EAP | Jika Anda menggunakan Extensible Authentication Protocol (EAP), mekanisme autentikasi arbitrer mengautentikasi koneksi akses jarak jauh. Klien akses jarak jauh dan pengautentikasi, yang merupakan server Akses Jarak Jauh atau server Layanan Pengguna Dial-In Autentikasi Jarak Jauh (RADIUS), menegosiasikan skema autentikasi yang tepat yang akan mereka gunakan. Routing dan Akses Jarak Jauh mencakup dukungan untuk Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) secara default. Anda dapat menyambungkan modul EAP lain ke server yang menjalankan Perutean dan Akses Jarak Jauh untuk menyediakan metode EAP lainnya. |
Pertimbangan tambahan
Selain protokol penerowongan dan metode autentikasi, sebelum Anda menyebarkan solusi VPN organisasi, Anda harus mempertimbangkan hal berikut:
- Pastikan server VPN Anda memiliki dua antarmuka jaringan. Anda harus menentukan antarmuka jaringan mana yang akan terhubung ke internet dan mana yang akan terhubung ke jaringan privat Anda. Selama konfigurasi, Anda harus memilih antarmuka jaringan mana yang terhubung ke internet. Jika Anda menentukan antarmuka jaringan yang salah, server VPN akses jarak jauh Anda tidak akan beroperasi dengan benar.
- Tentukan apakah klien jarak jauh menerima alamat IP dari server DHCP di jaringan privat Anda atau dari server VPN akses jarak jauh yang Anda konfigurasi. Jika Anda memiliki server DHCP di jaringan privat Anda, server VPN akses jarak jauh dapat menyewakan 10 alamat sekaligus dari server DHCP lalu menetapkan alamat tersebut ke klien jarak jauh. Jika Anda tidak memiliki server DHCP di jaringan privat Anda, server VPN akses jarak jauh dapat secara otomatis membuat dan menetapkan alamat IP ke klien jarak jauh. Jika Anda ingin server VPN akses jarak jauh menetapkan alamat IP dari rentang yang Anda tentukan, Anda harus menentukan rentang tersebut.
- Tentukan apakah Anda menginginkan server Layanan Pengguna Dial-In Autentikasi Jarak Jauh (RADIUS) atau server VPN akses jarak jauh yang Anda konfigurasi untuk mengautentikasi permintaan koneksi dari klien VPN. Menambahkan server RADIUS berguna jika Anda berencana untuk menginstal beberapa server VPN akses jarak jauh, titik akses nirkabel, atau klien RADIUS lainnya ke jaringan privat Anda.