เลือกและตั้งค่า VPNs
เมื่อวางแผน VPNs Contoso ต้องพิจารณาหลายปัจจัย รวมถึงโพรโทคอล tunneling ที่เหมาะสมและวิธีการรับรองความถูกต้อง พวกเขายังต้องพิจารณาวิธีที่ดีที่สุดในการตั้งค่าเซิร์ฟเวอร์ VPN เพื่อสนับสนุนความต้องการเข้าถึงระยะไกลของผู้ใช้
เลือกโพรโทคอล Tunneling
Contoso สามารถเลือกใช้ VPNs โดยใช้หนึ่งในหลายโพรโทคอลการเชื่อมต่อและวิธีการรับรองความถูกต้อง การเชื่อมต่อ VPN สามารถใช้โพรโทคอล Tunneling ตัวใดตัวหนึ่งต่อไปนี้:
- โพรโทคอล Tunneling แบบจุดต่อจุด (PPTP)
- โพรโทคอล Tunneling Layer 2 พร้อม Internet Protocol Security (L2TP/IPsec)
- โปรโตคอลอุโมงค์ซ็อกเก็ตที่ปลอดภัย (SSTP)
- Internet Key Exchange เวอร์ชัน 2 (IKEv2)
โพรโทคอล VPN tunneling ทั้งหมดใช้คุณลักษณะสามอย่างร่วมกัน:
- การห่อหุ้ม เทคโนโลยี VPN ย่อส่วนข้อมูลส่วนบุคคลด้วยส่วนหัวที่ประกอบด้วยข้อมูลการกําหนดเส้นทาง ซึ่งช่วยให้ข้อมูลสามารถสํารวจเครือข่ายแบบส่งต่อได้
- การรับรองความถูกต้อง การรับรองความถูกต้องสําหรับการเชื่อมต่อ VPN มีสามชนิด รวมถึง:
- การรับรองความถูกต้องระดับผู้ใช้โดยใช้การรับรองความถูกต้อง Point-to-Point Protocol (PPP)
- การรับรองความถูกต้องระดับคอมพิวเตอร์โดยใช้ Internet Key Exchange (IKE)
- การรับรองความถูกต้องด้วยจุดข้อมูลและความสมบูรณ์ของข้อมูล
- การเข้ารหัสข้อมูล เพื่อให้แน่ใจว่าข้อมูลเป็นความลับในขณะที่กําลังสํารวจเครือข่ายขนส่งสาธารณะหรือเครือข่ายที่ใช้ร่วมกัน ผู้ส่งจะเข้ารหัสลับข้อมูล และผู้รับจะถอดรหัสลับข้อมูลดังกล่าว
ตารางต่อไปนี้อธิบายถึงโพรโทคอล Tunneling ที่สนับสนุน
| พิธีสาร | คำอธิบาย |
|---|---|
| PPTP | คุณสามารถใช้ PPTP สําหรับการเข้าถึงระยะไกลและการเชื่อมต่อ VPN แบบไซต์ต่อไซต์ (เครือข่ายส่วนตัวเสมือน) เมื่อคุณใช้อินเทอร์เน็ตเป็นเครือข่ายสาธารณะ VPN เซิร์ฟเวอร์ PPTP เป็นเซิร์ฟเวอร์ VPN ที่เปิดใช้งาน PPTP ที่มีอินเทอร์เฟซหนึ่งรายการบนอินเทอร์เน็ตและอีกหนึ่งบนอินทราเน็ตของคุณ |
| L2TP/IPsec | L2TP ช่วยให้คุณสามารถเข้ารหัสการรับส่งข้อมูลหลายคอลัมน์ที่ส่งผ่านสื่อใด ๆ ที่สนับสนุนการส่งมอบดาต้าแกรมแบบจุดต่อจุด เช่น IP หรือโหมดการถ่ายโอนแบบอะซิงโครนัส (ATM) L2TP คือการรวมกันของ PPTP และ Layer 2 Forwarding (L2F) L2TP เป็นตัวแทนคุณสมบัติที่ดีที่สุดของ PPTP และ L2F |
| SSTP | SSTP คือโพรโทคอล tunneling ที่ใช้โพรโทคอล HTTPS บนพอร์ต TCP 443 เพื่อส่งผ่านการรับส่งข้อมูลผ่านไฟร์วอลล์และพร็อกซีเว็บ ซึ่งอาจบล็อกการรับส่งข้อมูล PPTP และ L2TP/IPsec ได้ SSTP มีกลไกในการห่อหุ้มการรับส่งข้อมูล PPP ผ่านช่องทาง SSL ของโพรโทคอล HTTPS การใช้ PPP ช่วยให้การสนับสนุนสําหรับวิธีการรับรองความถูกต้องที่เข้มแข็ง เช่น EAP-TLS SSL มีการรักษาความปลอดภัยระดับการขนส่งพร้อมด้วยการปรับปรุงการเจรจาข้อมูลคีย์ การเข้ารหัส และการตรวจสอบความสมบูรณ์ |
| IKEv2 | IKEv2 ใช้โพรโทคอล IPsec Tunnel Mode มากกว่าพอร์ต UDP 500 IKEv2 สนับสนุนการใช้งานที่คล่องตัว ทําให้เป็นตัวเลือกโปรโตคอลที่ดีสําหรับบุคลากรเคลื่อนที่ VPN ที่ใช้ IKEv2 ช่วยให้ผู้ใช้สามารถย้ายได้อย่างง่ายดายระหว่างฮอตสปอตไร้สายหรือระหว่างการเชื่อมต่อแบบไร้สายและแบบมีสาย |
ข้อควรระวัง
คุณไม่ควรใช้ PPTP เนื่องจากช่องโหว่ด้านความปลอดภัย แต่ใช้ IKEv2 ทุกที่ที่เป็นไปได้เพราะมีความปลอดภัยมากขึ้นและนําเสนอข้อดีมากกว่า L2TP
เลือกตัวเลือกการรับรองความถูกต้อง
การรับรองความถูกต้องของไคลเอ็นต์การเข้าถึงเป็นข้อกังวลด้านความปลอดภัยที่สําคัญ โดยทั่วไปวิธีการรับรองความถูกต้องจะใช้โพรโทคอลการรับรองความถูกต้องที่ถูกเจรจาในระหว่างกระบวนการสร้างการเชื่อมต่อ บทบาทเซิร์ฟเวอร์การเข้าถึงระยะไกลสนับสนุนวิธีการที่ตารางต่อไปนี้อธิบายไว้
| วิธีการ | คำอธิบาย |
|---|---|
| PAP | Password Authentication Protocol (PAP) ใช้รหัสผ่าน plaintext และเป็นโพรโทคอลการรับรองความถูกต้องที่มีความปลอดภัยน้อยที่สุด โดยทั่วไปจะถูกเจรจาถ้าไคลเอ็นต์การเข้าถึงระยะไกลและเซิร์ฟเวอร์การเข้าถึงระยะไกลไม่สามารถเจรจารูปแบบความปลอดภัยมากขึ้นของการตรวจสอบ Windows Server มี PAP เพื่อสนับสนุนระบบปฏิบัติการไคลเอ็นต์รุ่นเก่าที่สนับสนุนไม่มีวิธีการรับรองความถูกต้องอื่น ๆ |
| CHAP | Challenge Handshake Authentication Protocol (CHAP) เป็นโปรโตคอลการรับรองความถูกต้องแบบตอบสนองความท้าทายที่ใช้แผนการแฮชชิ่ง MD5 มาตรฐานอุตสาหกรรมเพื่อเข้ารหัสการตอบสนอง ผู้จําหน่ายที่หลากหลายของเซิร์ฟเวอร์การเข้าถึงเครือข่ายและไคลเอ็นต์ใช้ CHAP อย่างไรก็ตาม เนื่องจาก CHAP กําหนดให้คุณใช้รหัสผ่านที่เข้ารหัสลับแบบย้อนกลับ คุณควรพิจารณาใช้โพรโทคอลการรับรองความถูกต้องอื่น เช่น MS-CHAPv2 |
| MS-CHAPv2 | Microsoft Challenge Handshake Authentication Protocol เวอร์ชัน 2 (MS-CHAPv2) เป็นรหัสผ่านเข้ารหัสแบบทางเดียวเข้ารหัสโปรโตคอลการรับรองความถูกต้องร่วมกันและการปรับปรุงเหนือ CHAP |
| EAP | ถ้าคุณใช้โพรโทคอลการรับรองความถูกต้องแบบขยายได้ (EAP) กลไกการรับรองความถูกต้องตามอําเภอใจจะรับรองความถูกต้องของการเชื่อมต่อการเข้าถึงระยะไกล ไคลเอ็นต์การเข้าถึงระยะไกลและตัวรับรองความถูกต้อง ซึ่งเป็นเซิร์ฟเวอร์การเข้าถึงระยะไกลหรือเซิร์ฟเวอร์ Remote Authentication Dial-In User Service (RADIUS) ข้อตกลงแบบแผนการรับรองความถูกต้องที่แน่นอนที่พวกเขาจะใช้ การกําหนดเส้นทางและการเข้าถึงระยะไกลรวมถึงการสนับสนุนสําหรับการรับรองความถูกต้องที่สามารถขยายได้ Protocol-Transport Layer Security (EAP-TLS) ตามค่าเริ่มต้น คุณสามารถเสียบโมดูล EAP อื่น ๆ เข้ากับเซิร์ฟเวอร์ที่กําลังเรียกใช้การกําหนดเส้นทางและการเข้าถึงระยะไกลเพื่อให้วิธีการ EAP อื่น ๆ |
ข้อควรพิจารณาเพิ่มเติม
นอกเหนือจากโพรโทคอล tunneling และวิธีการรับรองความถูกต้อง ก่อนที่คุณจะปรับใช้โซลูชัน VPN ขององค์กรของคุณ คุณต้องพิจารณาสิ่งต่อไปนี้:
- ตรวจสอบให้แน่ใจว่าเซิร์ฟเวอร์ VPN ของคุณมีสองอินเทอร์เฟซเครือข่าย คุณต้องตรวจสอบว่าอินเทอร์เฟซเครือข่ายใดจะเชื่อมต่อกับอินเทอร์เน็ตและอันไหนจะเชื่อมต่อกับเครือข่ายส่วนตัวของคุณ ในระหว่างการกําหนดค่า คุณต้องเลือกอินเทอร์เฟซเครือข่ายที่เชื่อมต่อกับอินเทอร์เน็ต ถ้าคุณระบุอินเทอร์เฟซเครือข่ายไม่ถูกต้อง
- กําหนดว่าไคลเอนต์ระยะไกลจะได้รับ IP แอดเดรสจากเซิร์ฟเวอร์ DHCP บนเครือข่ายส่วนตัวของคุณ หรือจากเซิร์ฟเวอร์ VPN การเข้าถึงระยะไกลที่คุณกําลังกําหนดค่าหรือไม่ ถ้าคุณมีเซิร์ฟเวอร์ DHCP บนเครือข่ายส่วนตัวของคุณ เซิร์ฟเวอร์ VPN การเข้าถึงระยะไกลสามารถเช่าที่อยู่ 10 แห่งต่อครั้งจากเซิร์ฟเวอร์ DHCP จากนั้นกําหนดที่อยู่เหล่านั้นให้กับไคลเอนต์ระยะไกล ถ้าคุณไม่มีเซิร์ฟเวอร์ DHCP บนเครือข่ายส่วนตัวของคุณ เซิร์ฟเวอร์ VPN การเข้าถึงระยะไกลสามารถสร้างและกําหนดที่อยู่ IP ให้กับไคลเอ็นต์ระยะไกลได้โดยอัตโนมัติ หากคุณต้องการให้เซิร์ฟเวอร์ REMOTE-access VPN กําหนดที่อยู่ IP จากช่วงที่คุณระบุ คุณต้องกําหนดช่วงนั้นว่าควรเป็นช่วงใด
- กําหนดว่าคุณต้องการเซิร์ฟเวอร์ Dial-In User Service (RADIUS) หรือเซิร์ฟเวอร์ REMOTE-access VPN ที่คุณกําหนดค่าเพื่อรับรองความถูกต้องของคําขอการเชื่อมต่อจากไคลเอ็นต์ VPN การเพิ่มเซิร์ฟเวอร์ RADIUS จะมีประโยชน์หากคุณวางแผนที่จะติดตั้งเซิร์ฟเวอร์ VPN การเข้าถึงระยะไกลหลายเครื่อง จุดเข้าใช้งานแบบไร้สาย หรือไคลเอนต์ RADIUS อื่นๆ ไปยังเครือข่ายส่วนตัวของคุณ