CHAP. SPAP. PAP. ARAP.
Протокол проверки подлинности CHAP – протокол проверки подлинности типа "запрос-ответ", использующий схему хэширования MD-5 (Message Digest, дайджест сообщения) для шифрования ответа. CHAP используется различными производителями ПО серверов и клиентов удаленного доступа. Сервер удаленного доступа Windows 2000 поддерживает CHAP для проверки подлинности клиентов удаленного доступа сторонних поставщиков.
SPAP
SPAP (Shiva Password Authentication Protocol, протокол проверки подлинности пароля Shiva) использует реверсивный механизм шифрования Shiva. Windows 2000 использует SPAP при соединении с Shiva LAN Rover. Также поступает и клиент Shiva, который соединяется с сервером удаленного доступа под управлением Windows 2000 Server. Эта схема проверки подлинности более безопасна, чем передача данных открытым текстом, но менее безопасна, чем CHAP или MS CHAP.
PAP
Протокол PAP использует пароли, передаваемые открытым текстом, и является наименее сложным протоколом проверки подлинности. Обычно соединение на его основе устанавливается, если клиент удаленного доступа и сервер удаленного доступа не могут договориться о более безопасной форме проверки подлинности.
Когда РАР устанавливается в качестве опознавательного протокола, пароли пользователей передаются открытым текстом. Всякий, кто перехватит пакеты процесса проверки подлинности, может легко прочитать пароль и использовать его для несанкционированного доступа к корпоративной сети. Нежелательно использовать РАР, особенно для соединений VPN. После отключения проверки подлинности на базе РАР на сервере удаленного доступа пароли никогда не будут передаваться открытым текстом. Отключение РАР увеличивает защиту проверки подлинности, но после этого клиенты удаленного доступа, которые поддерживают только РАР, не смогут установить соединение.
ARAP
Клиенты Apple Macintosh могут подключаться к серверу удаленного доступа Windows 2005 при помощи протоколов ARAP (AppleTalk Remote Access Protocol, протокол удаленного доступа AppleTalk) и AppleTalk. Когда удаленный доступ разрешен для гостевой учетной записи ARAP-клиента, сервер будет опрашивать подключающихся пользователей, действительно ли они хотят входить в систему в качестве гостя. Если разрешен доступ без проверки подлинности, пользователи удаленного доступа могут устанавливать соединения без передачи идентификационной информации. Чтобы запретить такой доступ для всех учетных записей, кроме гостевой записи пользователей AppleTalk, нужно создать политику удаленного доступа для пользователей AppleTalk и установить атрибут Framed-Protocol равным AppleTalk Remote Access Protocol (ARAP).