VPN-протоколы
Windows 2000 поддерживает два VPN-протокола удаленного доступа:
- Протокол PPTP (Point-to-Point Tunneling Protocol – Туннельный протокол "точка-точка")
- Протокол L2TP (Layer Two Tunneling Protocol – Протокол туннелирования второго уровня)
Протокол PPTP
Поддержка протокола PPTP впервые была реализована в ОС Windows NT 4.0. Протокол PPTP использует протокол PPP (Point-to-Point Protocol) для проверки подлинности на уровне пользователей и шифрование MPPE (Microsoft Point-to-Point Encryption) для инкапсуляции и шифрования IP-, IPX-, и NetBEUI-трафика. При использовании протокола MS-CHAP v2 с надежными паролями PPTP является безопасной технологией VPN. При проверке подлинности без использования паролей в Windows 2000 может использоваться протокол EAP-TLS для поддержки смарт-карт. Протокол PPTP широко поддерживается, прост в развертывании и может использоваться совместно с NAT.
Протокол L2TP совместно с IPSec
Протокол L2TP использует протокол PPP для проверки подлинности на уровне пользователей и шифрование IPSec для инкапсуляции и шифрования IP-, IPX-, и NetBEUI-трафика. Это сочетание называется L2TP/IPSec и использует проверку подлинности на уровне компьютеров при помощи сертификатов для создания сопоставления безопасности IPSec, в дополнение к проверке подлинности на уровне пользователей на основе протокола PPP. L2TP/IPSec обеспечивает целостность данных и проверку подлинности для каждого пакета. Однако, L2TP/IPSec требует наличия инфраструктуры сертификата для размещения сертификатов компьютеров, и поддерживается только ОС Windows XP, Windows 2000 и L2TP-клиентом Microsoft L2TP/IPSec VPN Client.
Вопросы проектирования: выбор между протоколами PPTP и L2TP
При выборе между протоколами PPTP и L2TP для подключений удаленного доступа обратите внимание на следующие моменты:
- PPTP может быть использован с различными клиентскими ОС Microsoft, в том числе: Windows XP, Windows 2000, Windows NT 4.0, Windows ME, Windows 98 и Windows 95 с установленным обновлением Windows Dial-Up Networking 1.3 или более поздними обновлениями производительности и безопасности. PPTP не требует наличия инфраструктуры сертификатов для выдачи сертификатов компьютера.
- VPN-подключения на основе протокола PPTP обеспечивают конфиденциальность информации (перехваченные пакеты не могут быть прочитаны без ключей шифрования). Тем не менее, VPN-подключения на основе протокола PPTP не обеспечивают целостности данных (доказательства того, что данные не были изменены при передаче) или проверки подлинности данных (доказательства того, что данные были отправлены авторизованным пользователем).
- VPN-клиенты, использующие протокол PPTP, могут быть расположены за NAT в том случае, если NAT включает в себя редактор NAT, который умеет правильно преобразовывать данные PPTP-туннелей. Например, функция общего доступа к подключению Интернета (Internet connection sharing, ICS) компонента операционной системы Сеть и удаленный доступ к сети(Network and Dial-up Connections) и протокол маршрутизации NAT, являющийся компонентом службы маршрутизации и удаленного доступа, содержат редактор NAT, который преобразовывает PPTP-трафик от PPTP-клиентов, расположенных за NAT.
VPN-серверы могут располагаться за NAT лишь в следующих случаях:
- Если имеется несколько внешних IP-адресов, и каждому внешнему IP-адресу сопоставлен отдельный внутренний IP-адрес VPN-сервера.
- Если имеется единственный внешний IP-адрес, когда NAT настроен на преобразование и перенаправление данных PPTP-туннелей VPN-серверу.
Для большинства трансляторов сетевых адресов, использующих один внешний IP-адрес (включая такие компоненты, как общий доступ подключения к Интернету (ICS) и протокол маршрутизации NAT), можно настроить обработку входящего трафика на основе IP-адреса и портов TCP и UDP. Однако, данные PPTP-туннелей не используют заголовки TCP или UDP. Поэтому в случае использования одного IP-адреса VPN-сервер не может быть расположен за компьютером, на котором используются такие компоненты, как общий доступ подключения к Интернету или протокол маршрутизации NAT.
- VPN-клиенты или VPN-серверы на основе L2TP не могут находиться за NAT кроме тех случаев, когда они оба поддерживают IPSec с прохождением преобразователя сетевых адресов NAT-T (NAT Traversal). IPSec с прохождением NAT-T поддерживается Windows Server 2003, Microsoft L2TP/IPSec VPN Client и VPN-клиентами с обновлением L2TP/IPSec NAT-T для Windows XP и Windows 2000. Windows 2000 Server не поддерживает IPSec с прохождением NAT-T.
- Протокол L2TP можно использовать вместе с ОС Windows XP, Windows 2000 и VPN-клиентом Microsoft L2TP/IPSec. В качестве рекомендованного метода проверки подлинности для IPSec клиенты L2TP поддерживают сертификаты компьютера. Данный метод проверки подлинности требует наличия инфраструктуры сертификата для выдачи сертификатов компьютера VPN-серверу и всем компьютерам VPN-клиентов.
- При использовании VPN-подключений на основе L2TP/IPSec обеспечивается конфиденциальность, целостность, проверка подлинности и защита информации от воспроизведения в случае перехвата.
- Использование PPTP и L2TP не является взаимоисключающим. По умолчанию VPN-сервер Windows 2000 поддерживает одновременно PPTP- и L2TP-подключения. Для одних VPN-подключений удаленного доступа Вы можете использовать протокол PPTP (для VPN-клиентов Windows XP или Windows 2000, и не имеющих установленного сертификата компьютера), а для других подключений использовать протокол L2TP (для VPN-клиентов Windows XP, Windows 2000, или использующих Microsoft L2TP/IPSec VPN Client, с установленным сертификатом компьютера).
- Если Вы одновременно используете протоколы PPTP и L2TP, то Вы можете создать отдельные политики удаленного доступа, определяющие разные параметры для PPTP- и L2TP-подключений.