ТОП-10 популярных


НОУТБУК с блестящим экраном
Eсли выпустившая ноутбук фирма предлагает его в качестве «замены настольному ПК», то это должно подразумевать под собой нечто большее, чем...


Для работы с вещественными числами в MySQL предусмотрено три типа данных - это типы FLOAT, DOUBLE, DECIMAL. Числовой тип FLOAT...

Магнито-оптический дисковод DynaMO
Cейчас, когда традиционные флоппи-дисководы на долгие годы замерли в своем развитии, поиск альтернативных носителей продолжается, и ситуация, казалось бы, разрешилась...

БОЛЬШЕ БОЛЬШИХ LCD-мониторов
Процесс вытеснения с рынка мониторов с электронно-лучевой трубкой (CRT) продолжается. О смещении акцентов в пользу LCD-мониторов теперь заявляют даже те...

Больше больших LCD-мониторов
Процесс вытеснения с рынка мониторов с электронно-лучевой трубкой (CRT) продолжается. О смещении акцентов в пользу LCD-мониторов теперь заявляют даже те...


Какую только информацию мы не помещаем на компакт-диски: резервные копии важных данных, музыку, фильмы... Многие полагают, что главное - «купить...

Иди и пиши. TravelMate C100
Планшетный компьютер платформы Tablet PC обязан в первую очередь быть легким, способным достаточно долго работать без подзарядки батарей. Эти требования...

Размер объему не помеха.
С тех пор как компания Fujitsu отказалась от производства жестких дисков для настольных компьютеров, многие пользователи начали забывать о том,...

ПОД ЛИТЕРОЙ «N»
Aтаку LCD-мониторов не остановить, а масштабы этого наступления даже немного пугают. Судите сами — многие пользователи только начинают приглядываться к новому для...

Internet2, или cтарые песни о новом
Когда-то на заре Интернета, тогдаеще военно-научной сетиAPRAnet, были заложены основныепринципы функционирования«Сети сетей». В их числе — использованиепротокола, называемого сейчасIPv4. В...

Microsoft Exchange Server 2003. VPN-сервер


28-12-2009

VPN-сервер - это компьютер, принимающий VPN-соединения от VPN-клиентов. Он поддерживает как VPN-соединения удаленного доступа, так и VPN-соединения типа маршрутизатор-маршрутизатор. Имя и IP-адрес VPN-сервера должны быть разрешимы и доступны через корпоративные брандмауэры. 

Создание VPN-соединений и туннелей
Туннель (tunnel) - это тот участок соединения, в который помещается блок данных для передачи. VPN-соединение - это участок соединения, в котором данные шифруются. Объединение этих подходов обеспечивает защищенное VPN-соединение.

Туннель без шифрования данных не является VPN-соединением, так как в этом случае дан­ные, пересылаемые через Internet, могут быть легко прочитаны.

Инфраструктура Internet и intranet-сети
Для установки VPN-соединения требуется наличие сетевой структуры общего доступа. Для Windows Server 2003 средой для передачи данных через VPN всегда является сеть на базе протокола IP, которая включает в себя как Internet, так и intranet-сеть корпорации.
Варианты аутентификации в системе RRAS
В любом сетевом окружении пользователь должен пройти процесс аутентификации для того, чтобы получить права на доступ к сетевым ресурсам. Аутентификация является важным компонентом политики безопасности в Windows Server 2003. Аутентификация удаленного подключения пользователя в Windows Server 2003 может осуществляться через несколько протоколов аутентификации РРР, которые перечисляются ниже.
• Протокол аутентификации пароля (Password Authentication Protocol - PAP).
• Протокол аутентификации с предварительным согласованием вызова (Challenge Handshake Authentication Protocol - CHAP).
• Протокол аутентификации с предварительным согласованием вызова от компании Microsoft (Microsoft Challenge Handshake Authentication Protocol - MS-CHAP).
• Протокол аутентификации с предварительным согласованием вызова от компании Microsoft версии 2 (MS-CHAP v2).
• Расширяемый протокол идентификации с поддержкой алгоритма Message Digest 5 (Extensible Authentication Protocol - Message Digest 5, EAP-MD5).
• Расширяемый протокол идентификации - протокол транспортного уровня (Extensible Authentication Protocol - Transport Level Protocol, EAP-TLS).
Обзор протоколов аутентификации для PPTP соединений
Для PPTP-соединений только три протокола аутентификации (MS-CHAP, MS-CHAP v2 и EAP-TLS) поддерживают механизм генерации одинакового ключа шифрования на VPN-клиенте и VPN-сервере. Механизм шифрования соединения типа "точка-точка" от компании Microsoft (Microsoft Point-to-Point Encryption - MPPE) использует этот ключ для шифрования всего потока данных, передаваемых через VPN-соединение. MS-CHAP и MS-CHAP v2 - это протоколы аутентификации на основе паролей.
Если в окружении не используется сервер сертификатов (Certificate Authority server) или смарт-карты, рекомендуется применять более строгий протокол MS-CHAP v2. Кроме того, MS-CHAP v2 поддерживает взаимную аутентификацию, которая позволяет VPN-клиенту аутентифицировать VPN-сервер и наоборот.
Протоколы аутентификации EAP-TLS
Протоколы аутентификации EAP-TLS разработаны для применения в инфраструктуре с использованием сертификатов пользователей или смарт-карт. Через EAP-TLS VPN-клиент передает VPN-серверу для аутентификации сертификат пользователя, VPN-сервер в ответ отсылает свой сертификат. Такой способ проверки подлинности является самым надежным, так как в нем не используются пароли. Независимые центры сертификации можно использовать в том случае, когда сертификат в хранилище сервера IAS содержит объект certificate purpose - назначение сертификата (он также известен под названиями использование сертификата - certificate usage и политика выпуска сертификата - certificate issuance policy). Назначение сертификата опреде­ляется по идентификатору объекта (object identifier, OID). Если OID серверной аутентификации выглядит как 1.2.3.7.6.5.7.8.1, сертификат пользователя, установленный на клиенте удаленного доступа Windows 2000, должен иметь OID 1.2.3.7.6.5.7.8.2 (Client Authentication certificate purpose).

Понравился материал? Поделитесь с друзьями!



<< Предыдущая статьяСледующая статья >>
Microsoft Exchange Server 2003. Широковещательный модуль переадресации пакетов IP Microsoft Exchange Server 2003. Работа с протоколами аутентификации в соединениях L2TP/IPSec