Выбор наилучшего протокола аутентификации

Организации уделяют очень мало внимания выбору наиболее подходящего протокола аутентификации для использования в своих VPN-соединениях. Во многих случаях причи­ной неверного выбора являются недостаточные знания об отличиях между протоколами аутентификации. В других случаях повышенная безопасность не выбрана как часть реше­ний, касающихся протоколов аутентификации, из-за стремления к упрощению. В любом случае рекомендуется придерживаться следующих положений, которые предназначены для помощи в выборе наилучшего протокола аутентификации для VPN-соединений.

• Применение протокола аутентификации ЕАР или РЕАР для соединений РРТР, L2TP и SSTP настоятельно рекомендуется при выполнении следующих условий в органи­зации. Если используются смарт-карты или существует инфраструктура сертифика­тов, выпускающая сертификаты пользователей, то наиболее безопасным выбором является ЕАР. Обратите внимание, что ЕАР поддерживается только VPN-клиентами, работающими под управлением Windows ХР, Windows 2000 client, Windows Vista, Windows 7, Windows 2000 Server, Windows Server 2003, Windows Server 2008 Windows Server 2008 R2.
  
• Протокол PEAP с EAP-MS-CHAP v2 применяется для облегчения развертывания. В такой конфигурации сертификаты нужны только для инфраструктуры VPN-сервера, но не для клиентов. Однако для усиления защиты ключи генерируются с помощью протокола защиты транспортного уровня (Transport Level Security — TLS) с взаимной аутентификацией.
• Если нужно применять протокол аутентификации, использующий пароли, исполь­зуйте MS-CHAP v2 и групповую политику надежных паролей. Хотя MS-CHAP v2 не является столь же надежным протоколом безопасности, как РЕАР или ЕАР, он под­держивается компьютерами, работающими под управлением Windows Server 2008, Windows Server 2008 R2, Windows Server 2003, Windows 2000 Server, Windows Vista, Windows 7, Windows XP, Windows 2000 client, Windows NT 4.0 с Service Pack 4 и выше, Windows Me, Windows 98 и Windows 95 с обновлением производительности и безо­пасности Windows Dial-Up Networking 1.3 или выше.