ТОП-10 популярных


НОУТБУК с блестящим экраном
Eсли выпустившая ноутбук фирма предлагает его в качестве «замены настольному ПК», то это должно подразумевать под собой нечто большее, чем...


Для работы с вещественными числами в MySQL предусмотрено три типа данных - это типы FLOAT, DOUBLE, DECIMAL. Числовой тип FLOAT...

Магнито-оптический дисковод DynaMO
Cейчас, когда традиционные флоппи-дисководы на долгие годы замерли в своем развитии, поиск альтернативных носителей продолжается, и ситуация, казалось бы, разрешилась...

БОЛЬШЕ БОЛЬШИХ LCD-мониторов
Процесс вытеснения с рынка мониторов с электронно-лучевой трубкой (CRT) продолжается. О смещении акцентов в пользу LCD-мониторов теперь заявляют даже те...

Больше больших LCD-мониторов
Процесс вытеснения с рынка мониторов с электронно-лучевой трубкой (CRT) продолжается. О смещении акцентов в пользу LCD-мониторов теперь заявляют даже те...


Какую только информацию мы не помещаем на компакт-диски: резервные копии важных данных, музыку, фильмы... Многие полагают, что главное - «купить...

Иди и пиши. TravelMate C100
Планшетный компьютер платформы Tablet PC обязан в первую очередь быть легким, способным достаточно долго работать без подзарядки батарей. Эти требования...

Размер объему не помеха.
С тех пор как компания Fujitsu отказалась от производства жестких дисков для настольных компьютеров, многие пользователи начали забывать о том,...

ПОД ЛИТЕРОЙ «N»
Aтаку LCD-мониторов не остановить, а масштабы этого наступления даже немного пугают. Судите сами — многие пользователи только начинают приглядываться к новому для...

Internet2, или cтарые песни о новом
Когда-то на заре Интернета, тогдаеще военно-научной сетиAPRAnet, были заложены основныепринципы функционирования«Сети сетей». В их числе — использованиепротокола, называемого сейчасIPv4. В...

Microsoft Exchange Server 2003. Работа с протоколами аутентификации в соединениях L2TP/IPSec


28-12-2009

Для соединений L2TP/IPSec может использоваться любой протокол аутентификации, поскольку проверка подлинности выполняется после того, как VPN-клиент и VPN-сервер устанавливают защищенное соединение, известное как IPSec security association (IPSec SA). Использование протоколов MS-CHAP или EAP-TLS обеспечивает дополнительную защиту процесса аутентификации пользователя.
Выбор наилучшего протокола аутентификации
Обычно выбору наиболее подходящего протокола аутентификации для VPN-соединений уделяется мало времени. Чаще всего причина этому состоит в недостатке знаний об отличиях между разными протоколами. Иногда невысокий уровень безопасности вызван нежеланием усложнять структуру использования протоколов аутентификации.
Приведенные ниже советы помогут в выборе подходящего протокола аутентификации для VPN-соединений.
• Настоятельно рекомендуется использовать протоколы EAP-TLS для соединений L2TP и IPSec, если это позволяет инфраструктура предприятия. В случае применения смарт-карт или пользовательских сертификатов протоколы EAP-TLS будут лучшим выбором, обеспечивающим самую высокую безопасность соединений. Следует отметить, что EAP-TLS поддерживается только VPN-клиентами, выполняющимися под управлением Windows XP и Windows 2000.
• Если есть необходимость в аутентификации на основе паролей, рекомендуется использовать протокол MS-CHAP v2 и групповые политики применения паролей. MS-CHAP v2 менее устойчив с точки зрения безопасности, нежели EAP-TLS, зато он обладает другим преимуществом - этот протокол поддерживается практически всеми версиями Windows (Windows XP, Windows 2000, Windows NT 4.0 с установленным пакетом обновления версии 4 и выше, Windows ME, Windows 98 и Windows 95 с установленным обновлением Windows Dial-Up Networking Performance and Security Update версии 1.3 и выше).
Обзор протоколов VPN
Протоколы PPTP и L2TP являются стандартными протоколами для создания туннелей и инкапсуляции личных данных при передаче через туннель. Чтобы соединение считалось VPN-соединением, передаваемые данные должны быть зашифрованы. Операционная система Windows Server 2003 поддерживает оба протокола туннелирования - PPTP и L2TP.
Для создания туннеля и клиент и сервер должны использовать один и тот же протокол. Технология туннелирования может базироваться на протоколах уровня канала передачи данных или сетевого уровня (уровни 2 и 3 соответственно) модели OSI (Open System Interconnection - Взаимодействие открытых систем). В качестве единицы передаваемой информации протокол уровня канала передачи использует кадр (frame). PPTP и L2TP - протоколы 2-го уровня. Перед отправкой через Internet они инкапсулируют информацию в РРР-кадр. Протоколы 3 уровня используют для передачи пакеты. Таким протоколом является IPSec в туннельном режиме. Этот протокол добавляет к пакету IP дополнительный заголовок перед отправкой через Internet.
Создание туннелей в сетевом окружении Windows Server 2003
С точки зрения технологий туннелирования на базе протоколов 2-го уровня, подобных PPTP и L2TP, туннель похож на сетевой сеанс - обе стороны туннеля должны быть согласны на установку соединения и должны обменяться конфигурационной информацией, например, параметрами сжатия и шифрования данных. В большинстве случаев данные передаются через туннель с использованием протокола на основе дейтаграмм. Для поддержки стабильности соединения используется протокол поддержки туннеля.
Технологии туннелирования 3-го уровня обычно предполагают, что все настройки были сделаны предварительно, возможно вручную. Такие протоколы могут не проходить этапа поддержки работоспособности туннеля, в отличие от протоколов 2-го уровня, когда туннель должен быть создан, поддерживаться в рабочем состоянии, и впоследствии уничтожен.

После создания туннеля данные могут передаваться. Для подготовки данных к передаче используется туннельный протокол передачи данных. Например, как показано на рис. 9.3, клиент перед отправкой через туннель пакета данных к серверу добавляет к пакету заголовок туннельного протокола передачи, после чего передает инкапсулированный пакет серверу. Сервер принимает пакет данных, удаляет заголовок туннельного протокола передачи данных и передает пакет в сеть получателя. Передача от сервера к клиенту выполняется аналогично.
Работа с протоколами аутентификации в соединениях L2TP/IPSec
Протокол туннелирования "точка-точка"
Протокол туннелирования "точка-точка" (Point-to-Point Tunneling Protocol, PPTP) - это протокол 2-го уровня, инкапсулирующий РРР-кадры в IP-дейтаграммы для последующей передачи через Internet. PPTP может использоваться для удаленного доступа и установки VPN-соединений между маршрутизаторами. Он использует TCP-соединение для поддержки туннеля и модифицированную версию общей инкапсуляции маршрутной информации (Generic Routing Encapsulation - GRE) для инкапсуляции PPP-кадров.

Понравился материал? Поделитесь с друзьями!



<< Предыдущая статьяСледующая статья >>
Microsoft Exchange Server 2003. VPN-сервер Microsoft Exchange Server 2003. Протокол туннелирования 2-го уровня