Иллюстрированный самоучитель по развертыванию виртуальных частных сетей

VPN-протоколы

Windows 2000 поддерживает два VPN-протокола на основе PPP::

  1. Протокол PPTP (Point-to-Point Tunneling Protocol – туннельный протокол "точка-точка")
  2. Протокол L2TP (Layer Two Tunneling Protocol – протокол туннелирования второго уровня) совместно с IPSec

Протокол PPTP (Point-to-Point Tunneling Protocol))

Протокол PPTP, поддержка которого впервые была реализована в операционной системе Windows NT 4.0, является расширением протокола PPP (Point-to-Point Protocol) и MPPE (Microsoft Point-to-Point Encryption) и использует механизмы проверки подлинности, сжатия и шифрования IP- и IPX-трафика. В случае использования стойких паролей при работе с MS-CHAP v2, протокол PPTP является безопасной технологией VPN. Чтобы избежать проверки подлинности на основе паролей, Windows 2000 позволяет использовать протокол EAP-TLS, поддерживающий работу с сертификатами пользователя (что является более безопасным методом проверки подлинности). PPTP является широко распространенным, простым в развертывании протоколом и может использоваться с большинством трансляторов сетевых адресов (NAT).

Протокол L2TP совместно с IP IPSec (Layer Two Tunneling Protocol with IPSec))

Протокол L2TP расширяет возможности проверки подлинности протокола PPP, а также транспортного режима IPSec ESP (Encapsulating Security Payload), обеспечивающего инкапсуляцию и шифрование IP- и IPX-трафика. Эту комбинацию L2TP и IPSec называют L2TP/IPSec. В дополнение к механизмам проверки подлинности пользователей, которые предоставляет протокол PPP, L2TP/IPSec использует основанные на сертификатах средства проверки подлинности компьютеров для создания сопоставления безопасности IPSec. L2TP/IPSec обеспечивает целостность и проверку подлинности данных каждого пакета, но при этом требует наличия инфраструктуры сертификата для распределения сертификатов компьютеров. L2TP/IPSec поддерживается как VPN-маршрутизаторами под управлением Windows 2000, так и сторонними VPN-маршрутизаторами.

Вопросы проектирования: выбор между PPTP и L2TP

При выборе протокола (PPTP или L2TP) для VPN-подключений "маршрутизатор-маршрутизатор" необходимо иметь в виду следующее:

  • Протокол PPTP может использоваться с операционными системами Windows 2000 и Windows NT 4.0 с установленной службой RRAS. PPTP не требует выдачи сертификатов и, следовательно, наличия инфраструктуры сертификата.
  • VPN-подключения на основе PPTP обеспечивают конфиденциальность данных (перехваченные пакеты нельзя расшифровать, не имея ключа шифрования). Тем не менее VPN-подключения на основе PPTP не обеспечивают целостность (доказательство того, что данные не были изменены при передаче) или проверку подлинности (доказательство того, что данные были переданы авторизованным компьютером) данных.
  • Вызывающие VPN-маршрутизаторы на основе PPTP могут быть доступны, располагаясь за трансляторами сетевых адресов (NAT), потому что большинство из них содержат редактор NAT (NAT editor), который умеет правильно перенаправлять данные PPTP-туннелей. Например, функция общего доступа подключения к Интернету (Internet connection sharing, ICS) компонента ОС Сеть и удаленный доступ к сети(Network and Dial-up Connections) и протокол маршрутизации NAT, являющийся компонентом службы маршрутизации и удаленного доступа Windows 2000, содержат редактор NAT, который перенаправляет трафик от PPTP-клиентов, находящихся за NAT.

    Отвечающие маршрутизаторы могут располагаться за NAT лишь в следующих случаях:

    • Если имеется несколько внешних IP-адресов, и каждому внешнему IP-адресу сопоставлен отдельный внутренний IP-адрес отвечающего маршрутизатора.
    • Если имеется единственный внешний IP-адрес, когда NAT настроен на преобразование и перенаправление данных PPTP-туннелей VPN-маршрутизатору.

    Для большинства трансляторов сетевых адресов, использующих один внешний IP-адрес (включая такие компоненты, как ICS и протокол маршрутизации NAT), можно настроить обработку входящего трафика на основе IP-адреса и портов TCP и UDP, однако данные PPTP-туннелей не используют заголовки TCP или UDP. Поэтому отвечающий маршрутизатор не может располагаться за компьютером, на котором используются такие компоненты, как ISC или протокол маршрутизации NAT, и который имеет при этом единственный внешний IP-адрес.

  • VPN-маршрутизаторы на основе L2TP не могут располагаться за NAT, потому что протокол обмена ключами в Интернете (Internet Key Exchange, IKE – протокол для работы с сопоставлением безопасности IPSec Windows 2000 и IPSec-защищенным трафиком) не может транслироваться с помощью NAT.
  • Протокол L2TP может использоваться только VPN-маршрутизаторами Windows 2000 и сторонними VPN-маршрутизаторами. Для проверки подлинности службами IPSec протокол L2TP использует сертификаты компьютера. Этот метод проверки подлинности требует наличия инфраструктуры сертификата для выдачи сертификатов компьютеру отвечающего маршрутизатора и всем компьютерам вызывающих маршрутизаторов.
  • При помощи службы IPSec VPN-подключения на основе L2TP обеспечивают конфиденциальность, целостность и проверку подлинности данных, а также их защиту от воссоздания в случае перехвата.
  • Протоколы PPTP и L2TP не являются взаимоисключающими. По умолчанию VPN-маршрутизаторы под управлением Windows 2000 поддерживают одновременно и PPTP, и L2TP подключения. Вы можете использовать PPTP для некоторых VPN-подключений между маршрутизаторами (вызывающие маршрутизаторы под управлением Windows NT 4.0 RRAS или маршрутизаторы Windows 2000, не имеющие установленных сертификатов компьютера), и L2TP – для остальных подключений (вызывающие маршрутизаторы под управлением Windows 2000 с установленными сертификатами компьютера).
  • Если Вы используете одновременно протоколы PPTP и L2TP, Вы можете создать отдельные политики удаленного доступа, в которых будут определены различные параметры для PPTP- и L2TP-подключений.
Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.