VPN-сервер - это компьютер, принимающий VPN-соединения от VPN-клиентов. Он поддерживает как VPN-соединения удаленного доступа, так и VPN-соединения типа маршрутизатор-маршрутизатор. Имя и IP-адрес VPN-сервера должны быть разрешимы и доступны через корпоративные брандмауэры.
Создание VPN-соединений и туннелей
Туннель (tunnel) - это тот участок соединения, в который помещается блок данных для передачи. VPN-соединение - это участок соединения, в котором данные шифруются. Объединение этих подходов обеспечивает защищенное VPN-соединение.
Туннель без шифрования данных не является VPN-соединением, так как в этом случае данные, пересылаемые через Internet, могут быть легко прочитаны.
Инфраструктура Internet и intranet-сети
Для установки VPN-соединения требуется наличие сетевой структуры общего доступа. Для Windows Server 2003 средой для передачи данных через VPN всегда является сеть на базе протокола IP, которая включает в себя как Internet, так и intranet-сеть корпорации.
Варианты аутентификации в системе RRAS
В любом сетевом окружении пользователь должен пройти процесс аутентификации для того, чтобы получить права на доступ к сетевым ресурсам. Аутентификация является важным компонентом политики безопасности в Windows Server 2003. Аутентификация удаленного подключения пользователя в Windows Server 2003 может осуществляться через несколько протоколов аутентификации РРР, которые перечисляются ниже.
• Протокол аутентификации пароля (Password Authentication Protocol - PAP).
• Протокол аутентификации с предварительным согласованием вызова (Challenge Handshake Authentication Protocol - CHAP).
• Протокол аутентификации с предварительным согласованием вызова от компании Microsoft (Microsoft Challenge Handshake Authentication Protocol - MS-CHAP).
• Протокол аутентификации с предварительным согласованием вызова от компании Microsoft версии 2 (MS-CHAP v2).
• Расширяемый протокол идентификации с поддержкой алгоритма Message Digest 5 (Extensible Authentication Protocol - Message Digest 5, EAP-MD5).
• Расширяемый протокол идентификации - протокол транспортного уровня (Extensible Authentication Protocol - Transport Level Protocol, EAP-TLS).
Обзор протоколов аутентификации для PPTP соединений
Для PPTP-соединений только три протокола аутентификации (MS-CHAP, MS-CHAP v2 и EAP-TLS) поддерживают механизм генерации одинакового ключа шифрования на VPN-клиенте и VPN-сервере. Механизм шифрования соединения типа "точка-точка" от компании Microsoft (Microsoft Point-to-Point Encryption - MPPE) использует этот ключ для шифрования всего потока данных, передаваемых через VPN-соединение. MS-CHAP и MS-CHAP v2 - это протоколы аутентификации на основе паролей.
Если в окружении не используется сервер сертификатов (Certificate Authority server) или смарт-карты, рекомендуется применять более строгий протокол MS-CHAP v2. Кроме того, MS-CHAP v2 поддерживает взаимную аутентификацию, которая позволяет VPN-клиенту аутентифицировать VPN-сервер и наоборот.
Протоколы аутентификации EAP-TLS
Протоколы аутентификации EAP-TLS разработаны для применения в инфраструктуре с использованием сертификатов пользователей или смарт-карт. Через EAP-TLS VPN-клиент передает VPN-серверу для аутентификации сертификат пользователя, VPN-сервер в ответ отсылает свой сертификат. Такой способ проверки подлинности является самым надежным, так как в нем не используются пароли. Независимые центры сертификации можно использовать в том случае, когда сертификат в хранилище сервера IAS содержит объект certificate purpose - назначение сертификата (он также известен под названиями использование сертификата - certificate usage и политика выпуска сертификата - certificate issuance policy). Назначение сертификата определяется по идентификатору объекта (object identifier, OID). Если OID серверной аутентификации выглядит как 1.2.3.7.6.5.7.8.1, сертификат пользователя, установленный на клиенте удаленного доступа Windows 2000, должен иметь OID 1.2.3.7.6.5.7.8.2 (Client Authentication certificate purpose).
ТОП-10 популярных
Для работы с вещественными числами в MySQL предусмотрено три типа данных - это типы FLOAT, DOUBLE, DECIMAL. Числовой тип FLOAT...
БОЛЬШЕ БОЛЬШИХ LCD-мониторов
Процесс вытеснения с рынка мониторов с электронно-лучевой трубкой (CRT) продолжается. О смещении акцентов в пользу LCD-мониторов теперь заявляют даже те...
Процесс вытеснения с рынка мониторов с электронно-лучевой трубкой (CRT) продолжается. О смещении акцентов в пользу LCD-мониторов теперь заявляют даже те...
Больше больших LCD-мониторов
Процесс вытеснения с рынка мониторов с электронно-лучевой трубкой (CRT) продолжается. О смещении акцентов в пользу LCD-мониторов теперь заявляют даже те...
Процесс вытеснения с рынка мониторов с электронно-лучевой трубкой (CRT) продолжается. О смещении акцентов в пользу LCD-мониторов теперь заявляют даже те...
НОУТБУК с блестящим экраном
Eсли выпустившая ноутбук фирма предлагает его в качестве «замены настольному ПК», то это должно подразумевать под собой нечто большее, чем...
Eсли выпустившая ноутбук фирма предлагает его в качестве «замены настольному ПК», то это должно подразумевать под собой нечто большее, чем...
Иди и пиши. TravelMate C100
Планшетный компьютер платформы Tablet PC обязан в первую очередь быть легким, способным достаточно долго работать без подзарядки батарей. Эти требования...
Планшетный компьютер платформы Tablet PC обязан в первую очередь быть легким, способным достаточно долго работать без подзарядки батарей. Эти требования...
Магнито-оптический дисковод DynaMO
Cейчас, когда традиционные флоппи-дисководы на долгие годы замерли в своем развитии, поиск альтернативных носителей продолжается, и ситуация, казалось бы, разрешилась...
Cейчас, когда традиционные флоппи-дисководы на долгие годы замерли в своем развитии, поиск альтернативных носителей продолжается, и ситуация, казалось бы, разрешилась...
Компьютер для гурманов.«Эксимер ДМ»
Российская компания «Эксимер ДМ», известная как производитель настольных компьютеров, рабочих станций, серверов и ноутбуков, выступила техническим спонсором проведения торжеств, посвященных...
Российская компания «Эксимер ДМ», известная как производитель настольных компьютеров, рабочих станций, серверов и ноутбуков, выступила техническим спонсором проведения торжеств, посвященных...
Для длинных строк, т.е. строк длиннее 255 символов, в MySQL предусмотрены типы BLOB (Binary Large Object, большой двоичный объект) и...
В дополнение к календарным типам, предназначенным для хранения даты и времени отдельно, MySQL также поддерживает гибридные типы данных DATETIME и...
Вообще, к изменению настроек сервера прибегают очень редко. В MySQL программа заранее настроена так, чтобы соответствовать самым распространенным и основным...
Microsoft Exchange Server 2003. VPN-сервер
28-12-2009