Выбор наилучшего протокола VPN
Выбор наилучшего протокола аутентификации
Организации уделяют очень мало внимания выбору наиболее подходящего протокола аутентификации для использования в своих VPN-соединениях. Во многих случаях причиной неверного выбора являются недостаточные знания об отличиях между протоколами аутентификации. В других случаях повышенная безопасность не выбрана как часть решений, касающихся протоколов аутентификации, из-за стремления к упрощению. В любом случае рекомендуется придерживаться следующих положений, которые предназначены для помощи в выборе наилучшего протокола аутентификации для VPN-соединений.
- Применение протокола аутентификации ЕАР или РЕАР для соединений РРТР, L2TP и SSTP настоятельно рекомендуется при выполнении следующих условий в организации. Если используются смарт-карты или существует инфраструктура сертификатов, выпускающая сертификаты пользователей, то наиболее безопасным выбором является ЕАР. Обратите внимание, что ЕАР поддерживается только VPN-клиентами, работающими под управлением Windows ХР, Windows 2000 client, Windows Vista, Windows 7, Windows 2000 Server, Windows Server 2003, Windows Server 2008 Windows Server 2008 R2.
- Протокол PEAP с EAP-MS-CHAP v2 применяется для облегчения развертывания. В такой конфигурации сертификаты нужны только для инфраструктуры VPN-сервера, но не для клиентов. Однако для усиления защиты ключи генерируются с помощью протокола защиты транспортного уровня (Transport Level Security — TLS) с взаимной аутентификацией.
- Если нужно применять протокол аутентификации, использующий пароли, используйте MS-CHAP v2 и групповую политику надежных паролей. Хотя MS-CHAP v2 не является столь же надежным протоколом безопасности, как РЕАР или ЕАР, он поддерживается компьютерами, работающими под управлением Windows Server 2008, Windows Server 2008 R2, Windows Server 2003, Windows 2000 Server, Windows Vista, Windows 7, Windows XP, Windows 2000 client, Windows NT 4.0 с Service Pack 4 и выше, Windows Me, Windows 98 и Windows 95 с обновлением производительности и безопасности Windows Dial-Up Networking 1.3 или выше.
Рекомендуем для просмотра: