Выбор между традиционными технологиями VPN и DirectAccess

Одним из выборов, которые приходится делать при развертывании удаленного доступа на основе Windows Server 2008 R2, является выбор между традиционной технологией VPN и новой технологией DirectAccess.

Внутри технологий VPN также имеется ряд вариантов для выбора — прежде всего, ме­жду L2TP/IPSec и РРТР.

Преимущества L2TP/IPSec

Хотя пользователей РРТР существенно больше, чем пользователей L2TP/IPSec, благо­даря более высокому уровню безопасности L2TP/IPSec, а также ряду других его преиму­ществ, организации, стремящиеся к повышенной безопасности удаленных соединений, начинают отдавать предпочтение VPN-сетям L2TP/IPSec в качестве стандарта удаленного и мобильного доступа. Преимущества L2TP/IPSec перед РРТР перечислены ниже.

• IPSec предлагает аутентификацию данных на уровне пакетов (т.е. требуя доказатель­ства, что данные были отправлены авторизованным пользователем), целостности данных (доказательства, что данные не были модифицированы в пути), защиты отве­та (предотвращения повторной отправки потока захваченных пакетов) и конфиден­циальности данных (предотвращения интерпретации захваченных пакетов без клю­ча шифрования). Протокол РРТР обеспечивает только конфиденциальность данных на уровне пакета.
• Соединения L2TP/IPSec обеспечивают более строгую аутентификацию, требуя как аутентификации уровня компьютера через сертификаты, так и аутентификации уровня пользователя — через протокол аутентификации РРР.
• Пакеты РРР, передаваемые в процессе аутентификации уровня пользователя, нико­гда не пересылаются незашифрованными, потому что процесс соединения РРР для L2TP/IPSec происходит после настройки сопоставлений безопасности IPSec. В слу­чае перехвата обмен аутентификацией РРР для некоторых типов протоколов аутен­тификации может использоваться для проведения автономных атак с помощью сло­варя и определения пользовательских паролей. Если обмен аутентификацией РРР зашифрован, автономные атаки с помощью словаря возможны только после успеш­ного взлома зашифрованных пакетов.

Преимущества РРТР

Хотя VPN-соединение на основе L2TP/IPSec более безопасно, чем VPN-сеанс РРТР, имеются существенные аргументы в пользу выбора организациями РРТР, а не L2TP/IPSec. Ниже перечислены преимущества РРТР.

• РРТР не требует наличия инфраструктуры сертификатов. L2TP/IPSec, SSTP и DirectAccess требуют такой инфраструктуры, чтобы использовать сертификаты ком­пьютеров для серверов VPN (или любого другого аутентифицируемого сервера) и всех клиентских компьютеров VPN.
• РРТР может использоваться всеми настольными платформами Windows (Windows Server 2008, Windows Server 2008 R2, Windows Server 2003, Windows 2000 Server, Windows 7, Windows Vista, Windows XP, Windows 2000 client, Windows NT 4.0, Windows Me, Windiws 98 и Windows 95 с установленным обновлением Windows Dial-Up Networking 1.3 Performance and Security Update). VPN-клиенты Windows Server 2008 R2, Windows Server 2008, Windows 2000 Server, Windows 7, Windows Vista, Windows XP и Windows 2000 Workstation — это единственные клиенты, поддерживающие L2TP/ IPSec и использующие сертификаты. Windows 7 — единственный клиент, поддержи­вающий DirectAccess.
• IPSec работает на уровне ниже стека TCP/IP. Этот уровень контролируется политикой безопасности на каждом компьютере и согласовывает сопоставления безопасности между отправителем и получателем. Политика состоит из набора фильтров и ассоциированно­го поведения безопасности. Если IP-адрес, протокол и номер порта пакета соответствует фильтру, пакет является субъектом ассоциированного поведения безопасности.