Протоколы проверки подлинности
Windows 2000 поддерживает множество протоколов для проверки подлинности пользователей, пытающихся установить PPP-подключение, включающие в себя:
- Протокол PAP (Password Authentication Protocol – Незашифрованный пароль)
- Протокол CHAP (Challenge-Handshake Authentication Protocol – Шифрованная проверка подлинности)
Протокол MS-CHAP (Microsoft Challenge Handshake Authentication Protocol – Шифрованная проверка подлинности Microsoft)- Протокол MS-CHAP v2 (Шифрованная проверка подлинности Microsoft, версия 2)
- Протокол EAP-MD5 (Extensible Authentication Protocol-Message Digest 5 – Протокол расширенной проверки подлинности по методу MD5-Challenge)
- Протокол EAP-TLS (Extensible Authentication Protocol-Transport Level Protocol – Расширенный протокол проверки подлинности на основе сертификата)
Для PPTP-подключений Вы должны использовать протоколы MS-CHAP, MS-CHAP v2 или EAP-TLS. Только эти три протокола проверки подлинности предоставляют механизм создания одинаковых ключей шифрования как на VPN-клиенте, так и на VPN-сервере. Шифрование MPPE использует этот ключ для шифрования всех данных, передаваемых по протоколу PPTP через VPN-подключение. Протоколы MS-CHAP и MS-CHAP v2 являются протоколами проверки подлинности с использованием паролей.
При отсутствии сертификатов пользователя или смарт-карт настоятельно рекомендуется использовать протокол MS-CHAP v2, поскольку он обеспечивает лучшую безопасность по сравнению с протоколом MS-CHAP, а также обеспечивает взаимную проверку подлинности (VPN-сервер выполняет проверку подлинности VPN-клиента и наоборот).
Примечание
Если Вы используете протокол проверки подлинности на основе пароля, настройте использование в Вашей сети только надежных паролей. Надежными являются длинные (более 8 знаков) пароли, содержащие случайный набор символов в верхнем и нижнем регистрах, цифр и спецсимволов. Пример надежного пароля: "f3L*q02~>xR3w#4o". При наличии домена Active Directory примените параметры групповой политики, чтобы задать обязательное использование стойких паролей.
Протокол EAP-TLS разработан для использования совместно с инфраструктурой сертификата, сертификатами пользователя или смарт-картами. При использовании протокола EAP-TLS для проверки подлинности VPN-клиент отправляет свой сертификат пользователя, а VPN-сервер – сертификат компьютера. Это наиболее надежный метод проверки подлинности, поскольку он не использует пароли.
Примечание
Вы можете использовать сторонние центры сертификации до тех пор, пока в сертификат, находящийся в хранилище компьютера сервера проверки подлинности в Интернете (Internet Authentication Service, IAS), содержит цель (также известную как Enhanced Key Usage, EKU – использование расширенного ключа или политика выдачи сертификатов (certificate issuance policy)) "Проверка подлинности сервера". Цель сертификата определяется идентификатором объекта (object identifier, OID). OID для сертификата, используемого для проверки подлинности сервера имеет значение "1.3.6.1.5.5.7.3.1". В дополнение к этому условию сертификат пользователя, установленный на клиент удаленного доступа Windows 2000, должен содержать цель "Проверка подлинности клиента" (OID "1.3.6.1.5.5.7.3.2").
Для L2TP/IPSec-подключений может использоваться любой протокол проверки подлинности, потому что проверка подлинности происходит после создания защищенного канала между VPN-клиентом и VPN-сервером известное также, как сопоставление безопасности IPSec (IPSec security association, SA). Тем не менее, рекомендуется использовать протоколы MS-CHAP v2 или EAP-TLS, как предоставляющие наиболее надежную проверку подлинности пользователей.
Вопросы проектирования: выбор протокола проверки подлинности
При выборе протокола проверки подлинности для VPN-подключений обратите внимание на следующие моменты:
- При использовании смарт-карт или наличии инфраструктуры сертификатов, выдающей сертификаты пользователей, используйте протокол проверки подлинности EAP-TLS как для PPTP-, так и для L2TP-подключений. EAP-TLS поддерживается только клиентами ОС Windows XP и Windows 2000.
- Если необходимо использовать протокол проверки подлинности на основе паролей, используйте MS-CHAP v2 и задайте обязательное использование надежных паролей при помощи групповой политики. MS-CHAP v2 поддерживается компьютерами, работающими под управлением Windows XP, Windows 2000, Windows NT 4.0 с установленным пакетом обновлений 4 (SP4) или более поздним, Windows ME, Windows 98, и Windows 95 с установленным Windows обновлением Dial-Up Networking 1.3 или более поздними обновлениями производительности и безопасности.