Для соединений L2TP/IPSec может использоваться любой протокол аутентификации, поскольку проверка подлинности выполняется после того, как VPN-клиент и VPN-сервер устанавливают защищенное соединение, известное как IPSec security association (IPSec SA). Использование протоколов MS-CHAP или EAP-TLS обеспечивает дополнительную защиту процесса аутентификации пользователя.
Выбор наилучшего протокола аутентификации
Обычно выбору наиболее подходящего протокола аутентификации для VPN-соединений уделяется мало времени. Чаще всего причина этому состоит в недостатке знаний об отличиях между разными протоколами. Иногда невысокий уровень безопасности вызван нежеланием усложнять структуру использования протоколов аутентификации.
Приведенные ниже советы помогут в выборе подходящего протокола аутентификации для VPN-соединений.
• Настоятельно рекомендуется использовать протоколы EAP-TLS для соединений L2TP и IPSec, если это позволяет инфраструктура предприятия. В случае применения смарт-карт или пользовательских сертификатов протоколы EAP-TLS будут лучшим выбором, обеспечивающим самую высокую безопасность соединений. Следует отметить, что EAP-TLS поддерживается только VPN-клиентами, выполняющимися под управлением Windows XP и Windows 2000.
• Если есть необходимость в аутентификации на основе паролей, рекомендуется использовать протокол MS-CHAP v2 и групповые политики применения паролей. MS-CHAP v2 менее устойчив с точки зрения безопасности, нежели EAP-TLS, зато он обладает другим преимуществом - этот протокол поддерживается практически всеми версиями Windows (Windows XP, Windows 2000, Windows NT 4.0 с установленным пакетом обновления версии 4 и выше, Windows ME, Windows 98 и Windows 95 с установленным обновлением Windows Dial-Up Networking Performance and Security Update версии 1.3 и выше).
Обзор протоколов VPN
Протоколы PPTP и L2TP являются стандартными протоколами для создания туннелей и инкапсуляции личных данных при передаче через туннель. Чтобы соединение считалось VPN-соединением, передаваемые данные должны быть зашифрованы. Операционная система Windows Server 2003 поддерживает оба протокола туннелирования - PPTP и L2TP.
Для создания туннеля и клиент и сервер должны использовать один и тот же протокол. Технология туннелирования может базироваться на протоколах уровня канала передачи данных или сетевого уровня (уровни 2 и 3 соответственно) модели OSI (Open System Interconnection - Взаимодействие открытых систем). В качестве единицы передаваемой информации протокол уровня канала передачи использует кадр (frame). PPTP и L2TP - протоколы 2-го уровня. Перед отправкой через Internet они инкапсулируют информацию в РРР-кадр. Протоколы 3 уровня используют для передачи пакеты. Таким протоколом является IPSec в туннельном режиме. Этот протокол добавляет к пакету IP дополнительный заголовок перед отправкой через Internet.
Создание туннелей в сетевом окружении Windows Server 2003
С точки зрения технологий туннелирования на базе протоколов 2-го уровня, подобных PPTP и L2TP, туннель похож на сетевой сеанс - обе стороны туннеля должны быть согласны на установку соединения и должны обменяться конфигурационной информацией, например, параметрами сжатия и шифрования данных. В большинстве случаев данные передаются через туннель с использованием протокола на основе дейтаграмм. Для поддержки стабильности соединения используется протокол поддержки туннеля.
Технологии туннелирования 3-го уровня обычно предполагают, что все настройки были сделаны предварительно, возможно вручную. Такие протоколы могут не проходить этапа поддержки работоспособности туннеля, в отличие от протоколов 2-го уровня, когда туннель должен быть создан, поддерживаться в рабочем состоянии, и впоследствии уничтожен.

После создания туннеля данные могут передаваться. Для подготовки данных к передаче используется туннельный протокол передачи данных. Например, как показано на рис. 9.3, клиент перед отправкой через туннель пакета данных к серверу добавляет к пакету заголовок туннельного протокола передачи, после чего передает инкапсулированный пакет серверу. Сервер принимает пакет данных, удаляет заголовок туннельного протокола передачи данных и передает пакет в сеть получателя. Передача от сервера к клиенту выполняется аналогично.
Работа с протоколами аутентификации в соединениях L2TP/IPSec
Протокол туннелирования "точка-точка"
Протокол туннелирования "точка-точка" (Point-to-Point Tunneling Protocol, PPTP) - это протокол 2-го уровня, инкапсулирующий РРР-кадры в IP-дейтаграммы для последующей передачи через Internet. PPTP может использоваться для удаленного доступа и установки VPN-соединений между маршрутизаторами. Он использует TCP-соединение для поддержки туннеля и модифицированную версию общей инкапсуляции маршрутной информации (Generic Routing Encapsulation - GRE) для инкапсуляции PPP-кадров.