Протоколы и шифрование всех данных РРТР
Для соединений РРТР только четыре протокола аутентификации (MS-CHAP, MS-CHAP v2, EAP и PEAP) обеспечивают механизм генерации одинаковых ключей шифрования и на VPN-клиенте, и на VPN-сервере. Сквозное шифрование Microsoft (Microsoft Point-to-Point Encryption — MPPE) использует этот ключ для шифрования всех данных РРТР, передаваемых по VPN-соединению. MS-CHAP и MS-CHAP v2 являются протоколами аутентификации, использующими пароли.
В отсутствие сервера центра сертификации (Certificate Authority — СА) или смарт-карт настоятельно рекомендуется использовать MS-CHAP v2, так как он предоставляет более надежный протокол аутентификации, чем MS-CHAP. Протокол MS-CHAP v2 может также выполнять взаимную аутентификацию, позволяющую VPN-серверу аутентифицировать VPN-клиент, а VPN-клиенту аутентифицировать VPN-сервер.
Если нужно применять протокол аутентификации, использующий пароли, то лучше устанавливать надежные пароли (длиннее восьми символов), содержащие случайное сочетание букв верхнего и нижнего регистра, цифр и знаков пунктуации. Для надежных пользовательских паролей можно применять групповые политики Active Directory, чтобы принудительно требовать надежных пользовательских паролей.
Протоколы аутентификации ЕАР и РЕАР
Протоколы EAP (Extensible Authentication Protocol — расширяемый протокол аутентификации) и PEAP (Protected Extensible Authentication Protocol — защищенный расширяемый протокол аутентификации) созданы для применения с инфраструктурой сертификатов, использующей сертификаты пользователей или смарт-карты.
С помощью ЕАР клиент VPN отправляет на аутентификацию свой сертификат пользователя, а сервер VPN посылает на аутентификацию сертификат компьютера. Это наиболее надежный метод аутентификации, поскольку в нем не задействованы пароли. Могут использоваться и сторонние СА, если сертификат в справочнике компьютеров сервера IAS (Internet Authentication Service — служба Интернет-аутентификации) содержит назначение сертификата аутентификации сервера (Server Authentication certificate purpose), известное также как использование сертификата (certificate usage) или политика выпуска сертификатов (certificate issuance policy). Назначение сертификата определяется с помощью идентификатора объекта (Object Identifier — OID). Если OID для аутентификации сервера выглядит как 1.3.6.1.5.5.7.3.1, то сертификат пользователя, установленный на клиенте удаленного доступа Windows, должен содержать назначение сертификата аутентификации клиента (OID 1.3.6.1.5.5.7.3.2).
Протокол РЕАР сам по себе не определяет метод аутентификации, а лишь обеспечивает защиту ЕАР, создавая шифруемый канал между клиентом и сервером. То есть он просто усиливает защиту поверх ЕАР. Протокол РЕАР можно даже использовать с MS-CHAP v2 для повышения безопасности протокола аутентификации с помощью паролей.