Выбор и настройка VPN
При планировании виртуальных частных сетей компания Contoso должна учитывать ряд факторов, в том числе соответствующий протокол туннелирования и метод проверки подлинности. Она также должна учитывать, как лучше настроить VPN-серверы для поддержки требований удаленного доступа пользователей.
Выбор протокола туннелирования
Компания Contoso может выбрать реализацию VPN с помощью одного из нескольких протоколов туннелирования и методов проверки подлинности. VPN-подключения могут использовать один из следующих протоколов туннелирования:
- Протокол туннелирования точек (PPTP)
- Протокол туннелирования уровня 2 с IPsec (L2TP/IPsec)
- По протоколу SSTP (Secure Sockets Tunneling Protocol).
- Обмен ключами Интернета версии 2 (IKEv2)
Все протоколы туннелирования VPN используют три функции:
- Инкапсуляции. Технология VPN инкапсулирует частные данные с заголовком, содержащим сведения о маршрутизации, что позволяет данным перемещаться по транзитной сети.
- Проверка подлинности. Существует три типа проверки подлинности для VPN-подключений, в том числе:
- Проверка подлинности на уровне пользователя с помощью аутентификации по протоколу PPP.
- Проверка подлинности на уровне компьютера с помощью протокола IKE.
- Проверка подлинности источника данных и целостность данных.
- Шифрование данных. Чтобы обеспечить конфиденциальность данных во время передачи по общей или общедоступной транзитной сети, отправитель шифрует данные, а получатель расшифровывает их.
В следующей таблице описываются поддерживаемые протоколы туннелирования.
| Протокол | Description |
|---|---|
| PPTP | Вы можете использовать протокол PPTP для удаленного доступа и подключений VPN типа "сеть — сеть". При использовании Интернета в качестве общедоступной сети VPN сервер PPTP — это VPN-сервер с поддержкой протокола PPTP, имеющий один интерфейс в Интернете и один в интрасети. |
| L2TP/IPsec | Протокол L2TP позволяет шифровать трафик с несколькими протоколами, а затем отправлять его с помощью любого носителя, который поддерживает доставку датаграмм типа "точка — точка", например протокол IP или асинхронный режим передачи (ATM). L2TP — это сочетание протокола PPTP и переадресации на уровне 2 (L2F). Протокол L2TP представляет лучшие возможности протоколов PPTP и L2F. |
| SSTP | SSTP — это протокол туннелирования, использующий протокол HTTPS через TCP-порт 443 для передачи трафика через брандмауэры и веб-прокси, которые в противном случае могут блокировать трафик PPTP и L2TP/IPsec. SSTP предоставляет механизм инкапсулировать трафик PPP через SSL-канал протокола HTTPS. Использование PPP позволяет поддерживать надежные методы проверки подлинности, такие как EAP-TLS. Протокол SSL обеспечивает безопасность на транспортном уровне благодаря улучшенному согласованию ключа, шифрованию и проверке целостности. |
| IKEv2 | IKEv2 использует протокол туннельного режима IPsec через UDP-порт 500. IKEv2 поддерживает мобильность, поэтому подходит для мобильных сотрудников. VPN на основе IKEv2 позволяет пользователям легко перемещаться между беспроводными точками доступа или между беспроводными и проводными подключениями. |
Внимание
Не следует использовать PPTP из-за уязвимостей системы безопасности. Вместо этого используйте IKEv2 везде, где это возможно, так как он является более безопасным и имеет преимущества по сравнению с L2TP.
Выбор способа проверки подлинности
Проверка подлинности клиентов, запрашивающих доступ, — это важный вопрос безопасности. Методы проверки подлинности обычно используют протокол проверки подлинности, согласованный в процессе установки соединения. Роль сервера удаленного доступа поддерживает методы, описанные в следующей таблице.
| Метод | Description |
|---|---|
| PAP | Протокол PAP использует пароли в виде обычного текста и является наименее защищенным протоколом проверки подлинности. Как правило, он используется, если клиент удаленного доступа и сервер удаленного доступа не могут согласовать более безопасную форму проверки. Windows Server включает протокол PAP для поддержки старых клиентских операционных систем, которые не поддерживают другие методы проверки подлинности. |
| CHAP | Протокол CHAP — это протокол проверки подлинности типа "запрос — ответ", использующий схему хэширования MD5 по стандартам отрасли для шифрования ответа. Различные поставщики серверов сетевого доступа и клиентов используют протокол CHAP. Однако, поскольку для CHAP требуется использовать обратимо зашифрованный пароль, следует рассмотреть возможность использования другого протокола проверки подлинности, например MS-CHAPv2. |
| MS-CHAPv2 | Протокол проверки подлинности Microsoft CHAP версии 2 (MS-CHAPv2) является односторонним протоколом взаимной проверки подлинности с зашифрованным паролем и имеет преимущества по сравнению с обычным протоколом CHAP. |
| EAP | Если используется протокол EAP, произвольный механизм проверки подлинности выполняет проверку подлинности удаленного доступа. Клиент удаленного доступа и средство проверки подлинности, которое является либо сервером удаленного доступа, либо сервером протокола RADIUS, согласовывают точную схему проверки подлинности, которую они будут использовать. Служба маршрутизации и удаленного доступа включает поддержку протокола EAP-TLS по умолчанию. Вы можете подключить другие модули EAP к серверу, на котором выполняется маршрутизация и удаленный доступ, чтобы предоставить другие методы EAP. |
Дополнительные рекомендации
В дополнение к протоколу туннелирования и методу проверки подлинности перед развертыванием решения VPN в организации необходимо учитывать следующее.
- Убедитесь, что VPN-сервер имеет два сетевых интерфейса. Необходимо определить, какой сетевой интерфейс будет подключаться к Интернету, а какой — к частной сети. Во время настройки необходимо выбрать сетевой интерфейс, который подключается к Интернету. Если указан неверный сетевой интерфейс, VPN-сервер удаленного доступа будет работать неправильно.
- Определите, будут ли удаленные клиенты получать IP-адреса с DHCP-сервера в частной сети или с настраиваемого VPN-сервера с удаленным доступом. Если у вас есть DHCP-сервер в частной сети, VPN-сервер удаленного доступа может получить от DHCP-сервера 10 адресов за раз, а затем назначить их удаленным клиентам. Если у вас нет DHCP-сервера в частной сети, VPN-сервер с удаленным доступом может автоматически создавать и назначать IP-адреса удаленным клиентам. Если требуется, чтобы VPN-сервер с удаленным доступом назначал IP-адреса из указанного диапазона, необходимо определить этот диапазон.
- Определите, нужен ли вам RADIUS-сервер или VPN-сервер с удаленным доступом, настроенный для проверки подлинности запросов на подключение от VPN-клиентов. Добавление RADIUS-сервера полезно, если планируется установить несколько VPN-серверов удаленного доступа, точек беспроводного доступа или других RADIUS-клиентов в частной сети.