Selezionare e configurare connessioni VPN
Durante la pianificazione delle VPN, Contoso deve prendere in considerazione diversi fattori, tra cui il protocollo di tunneling e il metodo di autenticazione appropriati. Devono anche considerare il modo migliore per configurare i server VPN per supportare le esigenze di accesso remoto degli utenti.
Selezionare un protocollo di tunneling
Contoso potrebbe scegliere di implementare VPN usando uno dei diversi protocolli di tunneling e metodi di autenticazione. Le connessioni VPN possono usare uno dei protocolli di tunneling seguenti:
- Protocollo PPTP (Point-to-Point Tunneling Protocol)
- Protocollo di tunneling di livello 2 con sicurezza del protocollo Internet (L2TP/IPsec)
- Secure Socket Tunneling Protocol (SSTP)
- Internet Key Exchange versione 2 (IKEv2)
Tutti i protocolli di tunneling VPN condividono tre funzionalità:
- Incapsulamento. La tecnologia VPN incapsula i dati privati con un'intestazione che contiene informazioni di routing, che consente ai dati di attraversare la rete di transito.
- Autenticazione. Esistono tre tipi di autenticazione per le connessioni VPN, tra cui:
- Autenticazione a livello di utente tramite l'autenticazione PPP (Point-to-Point Protocol).
- Autenticazione a livello di computer tramite Internet Key Exchange (IKE).
- Autenticazione dell'origine dati e integrità dei dati.
- Crittografia dei dati. Per garantire la riservatezza dei dati durante l'attraversamento della rete di transito condivisa o pubblica, il mittente crittografa i dati e il ricevitore la decrittografa.
Nella tabella seguente vengono descritti i protocolli di tunneling supportati.
| Protocollo | Descrizione |
|---|---|
| PPTP | È possibile usare PPTP per l'accesso remoto e le connessioni VPN da sito a sito (rete privata virtuale). Quando si usa Internet come rete pubblica VPN, il server PPTP è un server VPN abilitato per PPTP che ha un'interfaccia su Internet e una nella intranet. |
| L2TP/IPsec | L2TP consente di crittografare il traffico multiprotocolo inviato su qualsiasi supporto che supporta il recapito di datagrammi da punto a punto, ad esempio la modalità di trasferimento IP o asincrona (ATM). L2TP è una combinazione di PPTP e Layer 2 Forwarding (L2F). L2TP rappresenta le migliori caratteristiche di PPTP e L2F. |
| SSTP | SSTP è un protocollo di tunneling che usa il protocollo HTTPS sulla porta TCP 443 per passare il traffico attraverso firewall e proxy Web, che altrimenti potrebbero bloccare il traffico PPTP e L2TP/IPsec. SSTP fornisce un meccanismo per incapsulare il traffico PPP sul canale SSL del protocollo HTTPS. L'uso di PPP consente il supporto per metodi di autenticazione avanzata, ad esempio EAP-TLS. SSL offre sicurezza a livello di trasporto con negoziazione, crittografia e controllo dell'integrità della chiave avanzata. |
| IKEv2 | IKEv2 usa il protocollo IPsec Tunnel Mode sulla porta UDP 500. Supporta inoltre la mobilità, rappresentando così il protocollo ideale per una forza lavoro mobile. Le VPN basate su IKEv2 consentono agli utenti di spostarsi facilmente tra hotspot wireless o tra connessioni wireless e cablate. |
Attenzione
Non è consigliabile usare PPTP a causa di vulnerabilità di sicurezza. Usare invece IKEv2 laddove possibile perché è più sicuro e offre vantaggi rispetto a L2TP.
Selezionare un'opzione di autenticazione
L'autenticazione dei client di accesso è un importante problema di sicurezza. I metodi di autenticazione usano in genere un protocollo di autenticazione negoziato durante il processo di definizione della connessione. Il ruolo del server Accesso remoto supporta i metodi descritti nella tabella seguente.
| Metodo | Descrizione |
|---|---|
| PAP | Il protocollo PAP (Password Authentication Protocol) usa password in testo non crittografato ed è il protocollo di autenticazione meno sicuro. In genere viene negoziato se il client di accesso remoto e il server di accesso remoto non possono negoziare una forma di convalida più sicura. Windows Server include PAP per supportare sistemi operativi client meno recenti che non supportano altri metodi di autenticazione. |
| CHAP | Challenge Handshake Authentication Protocol (CHAP) è un protocollo di autenticazione challenge-response che usa lo schema hash MD5 standard del settore per crittografare la risposta. Vari fornitori di server e client di accesso alla rete usano CHAP. Tuttavia, poiché CHAP richiede l'uso di una password crittografata reversibile, è consigliabile usare un altro protocollo di autenticazione, ad esempio MS-CHAPv2. |
| MS-CHAPv2 | Microsoft Challenge Handshake Authentication Protocol versione 2 (MS-CHAPv2) è una password unidirezionale, una password crittografata, un protocollo di autenticazione reciproca e offre miglioramenti rispetto a CHAP. |
| EAP | Se si usa Extensible Authentication Protocol (EAP), un meccanismo di autenticazione arbitrario autentica una connessione di accesso remoto. Il client di accesso remoto e l'autenticatore, ovvero il server di accesso remoto o il server RADIUS (Remote Authentication Dial-In User Service), negoziano lo schema di autenticazione esatto che useranno. Il routing e l'accesso remoto includono il supporto per l'autenticazione estendibile Protocol-Transport Layer Security (EAP-TLS) per impostazione predefinita. È possibile collegare altri moduli EAP al server che esegue Routing e Accesso remoto per fornire altri metodi EAP. |
Considerazioni aggiuntive
Oltre al protocollo di tunneling e al metodo di autenticazione, prima di distribuire la soluzione VPN dell'organizzazione, è necessario considerare quanto segue:
- Assicurarsi che il server VPN abbia due interfacce di rete. È necessario determinare quale interfaccia di rete si connetterà a Internet e quale si connetterà alla rete privata. Durante la configurazione, è necessario scegliere l'interfaccia di rete che si connette a Internet. Se si specifica l'interfaccia di rete non corretta, il server VPN di accesso remoto non funzionerà correttamente.
- Determinare se i client remoti ricevono indirizzi IP da un server DHCP nella rete privata o dal server VPN di accesso remoto che si sta configurando. Se si dispone di un server DHCP nella rete privata, il server VPN di accesso remoto può ottenere in prestito 10 indirizzi alla volta dal server DHCP e quindi assegnare tali indirizzi ai client remoti. Se non si dispone di un server DHCP nella rete privata, il server VPN di accesso remoto può generare e assegnare automaticamente indirizzi IP ai client remoti. Se si vuole che il server VPN di accesso remoto assegni indirizzi IP da un intervallo specificato, è necessario determinare quale intervallo deve essere.
- Determinare se si vuole un server RADIUS (Remote Authentication Dial-In User Service) o un server VPN di accesso remoto configurato per autenticare le richieste di connessione dai client VPN. L'aggiunta di un server RADIUS è utile se si prevede di installare più server VPN di accesso remoto, punti di accesso wireless o altri client RADIUS nella rete privata.