Протоколы проверки подлинности
Windows 2000 поддерживает различные протоколы, с помощью которых осуществляется проверка подлинности вызывающего маршрутизатора, пытающегося установить PPP-подключение. К этим протоколам относятся:
- Незашифрованный пароль (PAP)
- Протокол проверки пароля Shiva (SPAP)
- Шифрованная проверка подлинности (CHAP)
- Шифрованная проверка подлинности Microsoft (MS-CHAP)
- Шифрованная проверка (Microsoft, версия 2, MS-CHAP v2)
- Протокол расширенной проверки подлинности по методу MD5-Challenge (EAP-MD5)
- Протокол проверки подлинности на основе сертификата (EAP-TLS)
При использовании PPTP-подключений Вам необходимо задействовать протоколы MS-CHAP, MS-CHAP v2 или EAP-TLS. Только эти три протокола обеспечивают механизм генерации одинаковых ключей шифрования на обоих маршрутизаторах – как на вызывающем, так и на отвечающем. Шифрование MPPE использует этот ключ для шифрования всех PPTP-данных, передающихся через VPN-подключение. Протоколы MS-CHAP и MS-CHAP v2 являются протоколами проверки подлинности на основе паролей.
При отсутствии сертификатов пользователя в высшей степени рекомендуется использовать протокол MS-CHAP v2, поскольку он обеспечивает более высокий уровень безопасности по сравнению с протоколом MS-CHAP, а также производит взаимную проверку подлинности (вызывающий маршрутизатор выполняет проверку подлинности отвечающего маршрутизатора, и наоборот)..
Примечание
Если Вам необходимо использовать протокол проверки подлинности на основе паролей, убедитесь, что в Вашей сети используются стойкие пароли. Стойкие пароли – это длинные (более 8 символов) пароли, содержащие случайную комбинацию букв верхнего и нижнего регистров, цифр и знаков пунктуации. Примером стойкого пароля является "f3L*q02~>xR3w#4o". Используйте параметры групповой политики службы каталогов Active Directory™, чтобы задать обязательное использование стойких паролей.
Протокол EAP-TLS разработан для использования совместно с инфраструктурой сертификата и сертификатами пользователей. При использовании EAP-TLS вызывающий маршрутизатор предоставляет для проверки подлинности сертификат пользователя, а отвечающий маршрутизатор или RADIUS-сервер – сертификат компьютера. Этот метод проверки подлинности обеспечивает наиболее стойкую защиту, поскольку он не предполагает использования паролей. Если сервер, осуществляющий проверку подлинности, является IAS-сервером или VPN-маршрутизатором Windows 2000, использование EAP-TLS возможно лишь в том случае, если этот сервер является членом домена Active Directory.
Примечание
Вы можете использовать сторонние центры сертификации при условии, что в сертификате, расположенном в хранилище компьютера отвечающего маршрутизатора или RADIUS-сервера, содержится цель "Проверка подлинности сервера" ("Server Authentication") (эта функциональная составляющая может также упоминаться как использование сертификата, политика выдачи сертификатов или использование расширенных ключей (Enhanced Key Usage, EKU)). Цель сертификата определяется идентификатором объекта для цели (OID). Идентификатор объекта для цели "Проверка подлинности сервера" имеет значение "1.3.6.1.5.5.7.3.1". В дополнение к этому условию сертификат пользователя, установленный на вызывающем маршрутизаторе под управлением Windows 2000, должен содержать цель "Проверка подлинности клиента" ("Client Authentication") с идентификатором объекта для цели "1.3.6.1.5.5.7.3.2".
При работе с подключениями L2TP/IPSec может использоваться любой протокол проверки подлинности PPP, потому что проверка подлинности пользователя происходит после того, как вызывающий и отвечающий маршрутизаторы устанавливают безопасный канал для взаимодействия (этот процесс также известен как установление безопасной связи IPSec – IPSec security association, SA). Тем не менее, рекомендуется использовать протоколы MS-CHAP v2 или EAP-TLS, что позволяет обеспечить взаимную проверку подлинности пользователей.
Вопросы проектирования: выбор протокола для проверки подлинности
При выборе протокола проверки подлинности для работы с VPN-подключениями необходимо иметь в виду следующее:
- Если используется инфраструктура сертификата, выдающая сертификаты пользователей, используйте протокол EAP-TLS как для PPTP-, так и для L2TP-подключений. Маршрутизаторы под управлением Windows NT 4.0 RRAS не поддерживают EAP-TLS.
- Если Вам необходимо использовать протоколы проверки подлинности на основе паролей, используйте протокол MS-CHAP v2 и задайте обязательное использование стойких паролей, используя групповую политику. Протокол MS-CHAP v2 поддерживается компьютерами под управлением Windows 2000 и Windows NT 4.0 с установленными пакетом обновлений SP4 (или более поздним) и службами RRAS.