Протоколы и шифрование всех данных РРТР

Для соединений РРТР только четыре протокола аутентификации (MS-CHAP, MS-CHAP v2, EAP и PEAP) обеспечивают механизм генерации одинаковых ключей шифрования и на VPN-клиенте, и на VPN-сервере. Сквозное шифрование Microsoft (Microsoft Point-to-Point Encryption — MPPE) использует этот ключ для шифрования всех данных РРТР, передавае­мых по VPN-соединению. MS-CHAP и MS-CHAP v2 являются протоколами аутентификации, использующими пароли.

В отсутствие сервера центра сертификации (Certificate Authority — СА) или смарт-карт настоятельно рекомендуется использовать MS-CHAP v2, так как он предоставляет более надежный протокол аутентификации, чем MS-CHAP. Протокол MS-CHAP v2 может также выполнять взаимную аутентификацию, позволяющую VPN-серверу аутентифицировать VPN-клиент, а VPN-клиенту аутентифицировать VPN-сервер.

Если нужно применять протокол аутентификации, использующий пароли, то лучше устанавливать надежные пароли (длиннее восьми символов), содержащие случайное соче­тание букв верхнего и нижнего регистра, цифр и знаков пунктуации. Для надежных поль­зовательских паролей можно применять групповые политики Active Directory, чтобы при­нудительно требовать надежных пользовательских паролей.

Протоколы аутентификации ЕАР и РЕАР

Протоколы EAP (Extensible Authentication Protocol — расширяемый протокол аутенти­фикации) и PEAP (Protected Extensible Authentication Protocol — защищенный расширяе­мый протокол аутентификации) созданы для применения с инфраструктурой сертифика­тов, использующей сертификаты пользователей или смарт-карты.

С помощью ЕАР клиент VPN отправляет на аутентификацию свой сертификат пользо­вателя, а сервер VPN посылает на аутентификацию сертификат компьютера. Это наибо­лее надежный метод аутентификации, поскольку в нем не задействованы пароли. Могут использоваться и сторонние СА, если сертификат в справочнике компьютеров сервера IAS (Internet Authentication Service — служба Интернет-аутентификации) содержит назначение сертификата аутентификации сервера (Server Authentication certificate purpose), известное также как использование сертификата (certificate usage) или политика выпуска сер­тификатов (certificate issuance policy). Назначение сертификата определяется с помощью идентификатора объекта (Object Identifier — OID). Если OID для аутентификации серве­ра выглядит как 1.3.6.1.5.5.7.3.1, то сертификат пользователя, установленный на клиенте удаленного доступа Windows, должен содержать назначение сертификата аутентификации клиента (OID 1.3.6.1.5.5.7.3.2).

Протокол РЕАР сам по себе не определяет метод аутентификации, а лишь обеспечива­ет защиту ЕАР, создавая шифруемый канал между клиентом и сервером. То есть он просто усиливает защиту поверх ЕАР. Протокол РЕАР можно даже использовать с MS-CHAP v2 для повышения безопасности протокола аутентификации с помощью паролей.