Выбор между традиционными технологиями VPN и DirectAccess
Одним из выборов, которые приходится делать при развертывании удаленного доступа на основе Windows Server 2008 R2, является выбор между традиционной технологией VPN и новой технологией DirectAccess.
Внутри технологий VPN также имеется ряд вариантов для выбора — прежде всего, между L2TP/IPSec и РРТР.
Преимущества L2TP/IPSec
Хотя пользователей РРТР существенно больше, чем пользователей L2TP/IPSec, благодаря более высокому уровню безопасности L2TP/IPSec, а также ряду других его преимуществ, организации, стремящиеся к повышенной безопасности удаленных соединений, начинают отдавать предпочтение VPN-сетям L2TP/IPSec в качестве стандарта удаленного и мобильного доступа. Преимущества L2TP/IPSec перед РРТР перечислены ниже.
- IPSec предлагает аутентификацию данных на уровне пакетов (т.е. требуя доказательства, что данные были отправлены авторизованным пользователем), целостности данных (доказательства, что данные не были модифицированы в пути), защиты ответа (предотвращения повторной отправки потока захваченных пакетов) и конфиденциальности данных (предотвращения интерпретации захваченных пакетов без ключа шифрования). Протокол РРТР обеспечивает только конфиденциальность данных на уровне пакета.
- Соединения L2TP/IPSec обеспечивают более строгую аутентификацию, требуя как аутентификации уровня компьютера через сертификаты, так и аутентификации уровня пользователя — через протокол аутентификации РРР.
- Пакеты РРР, передаваемые в процессе аутентификации уровня пользователя, никогда не пересылаются незашифрованными, потому что процесс соединения РРР для L2TP/IPSec происходит после настройки сопоставлений безопасности IPSec. В случае перехвата обмен аутентификацией РРР для некоторых типов протоколов аутентификации может использоваться для проведения автономных атак с помощью словаря и определения пользовательских паролей. Если обмен аутентификацией РРР зашифрован, автономные атаки с помощью словаря возможны только после успешного взлома зашифрованных пакетов.
Преимущества РРТР
Хотя VPN-соединение на основе L2TP/IPSec более безопасно, чем VPN-сеанс РРТР, имеются существенные аргументы в пользу выбора организациями РРТР, а не L2TP/IPSec. Ниже перечислены преимущества РРТР.
- РРТР не требует наличия инфраструктуры сертификатов. L2TP/IPSec, SSTP и DirectAccess требуют такой инфраструктуры, чтобы использовать сертификаты компьютеров для серверов VPN (или любого другого аутентифицируемого сервера) и всех клиентских компьютеров VPN.
- РРТР может использоваться всеми настольными платформами Windows (Windows Server 2008, Windows Server 2008 R2, Windows Server 2003, Windows 2000 Server, Windows 7, Windows Vista, Windows XP, Windows 2000 client, Windows NT 4.0, Windows Me, Windiws 98 и Windows 95 с установленным обновлением Windows Dial-Up Networking 1.3 Performance and Security Update). VPN-клиенты Windows Server 2008 R2, Windows Server 2008, Windows 2000 Server, Windows 7, Windows Vista, Windows XP и Windows 2000 Workstation — это единственные клиенты, поддерживающие L2TP/ IPSec и использующие сертификаты. Windows 7 — единственный клиент, поддерживающий DirectAccess.
- IPSec работает на уровне ниже стека TCP/IP. Этот уровень контролируется политикой безопасности на каждом компьютере и согласовывает сопоставления безопасности между отправителем и получателем. Политика состоит из набора фильтров и ассоциированного поведения безопасности. Если IP-адрес, протокол и номер порта пакета соответствует фильтру, пакет является субъектом ассоциированного поведения безопасности.