在Windows系统环境下虚拟专用网服务器
2007-06-08 12:25:09 来源:WEB开发网选择一个隧道协议
当VPN客户机访问一台VPN服务器的时候,它们是通过一个虚拟的隧道进行访问的。一个隧道实际上就是通过一个不安全的媒介(通常是互联网)的安全通道。然而,隧道并不是用魔术变出来的。隧道需要使用一个隧道协议。
我以前曾讲过老式的Windows客户机能够通过PPTP(点对点隧道协议)协议连接到一个VPN网络。但是,我建议使用比较新的客户端软件,如Windows 2000和Windows XP,因为它们支持L2TP(2层隧道协议)。事实是这两个协议中的任何一个协议都可以工作,而且客户机都支持这些协议。然而,每一个协议都有其优点和缺点。选择一个适合你的机构的隧道协议是你规划VPN网络时应做出的最重要的决策之一。
同PPTP协议相比,L2TP协议最大的优势在于它依赖IPSec。IPSec加密数据,也提供数据身份识别。这意味着IPSec证明这个数据确实是由发送者发送的并且在传输的过程中没有被修改。而且IPSec可以防止重播攻击。重播攻击指的是黑客捕捉身份识别数据包,然后在晚些时候重新发送这个数据包以便获得这个系统的访问权限。
L2TP还可以提供比PPTP更强大的身份识别功能。L2TP能够对用户和计算机都进行身份识别。而且在用户级身份识别期间交换的数据包总是被加密的。
虽然表面上看L2TP也许是隧道协议的选择,但是,PPTP也有一些超过L2TP的优点。我已经谈到过这些优点之一,就是兼容性。PPTP比 L2TP兼容更多的Windows系统。如果你有一些仍在使用版本比较老的Windows操作系统的VPN用户,那么,除了使用PPTP之外,你没有别的选择。
PPTP优于L2TP的另一个优势是L2TP是以IPSec为基础的。在L2TP的优点这一节,我谈到IPSec喜欢L2TP是一件好事,而且事情确实如此。然而,使用IPSec有一个重大缺陷。IPSec要求你的网络具有认证中心。
这个好消息是Windows Server 2003有自己的认证中心。认证中心的设置是相对简单的。坏消息是,从安全的观点看,认证中心不是你要处理的事情。保持认证中心完整性的惟一方法是在一台安全保护增强到最大限度的专用服务器上运行认证中心。这就意味着必须要额外投资购买一台服务器、额外的Windows服务器软件许可证、以及增加与你的网络增加一台服务器有关的额外管理负担。
不过,按照我的意见,额外的成本和管理负担是值得的。L2TP能够为你提供比PPTP更好的安全性。此外,你还可以利用认证中心做其它的事情,如通过IPSec加密本地通信等。
身份识别协议
在我谈论协议话题的时候,我要用一些时间谈一谈身份识别协议的问题。在设置VPN的过程中,系统将要求你选择一个身份识别协议。大多数人会选择 MS-CHAP v2选项。MS-CHAP是一个相对安全的选项,它兼容运行在过去的10年里制作的任何版本的Windows操作系统的VPN客户机。MS-CHAP最大的优点是容易设置。
如果你计划使用L2TP并且要更好的安全性,你应该选择EAP-TLS作为你的身份识别协议。只有运行Windows 2003或者Windows XP操作系统的客户机才能支持EAP-TLS协议。而且,必须设置VPN服务器之后认证中心才能办法用户认证。
EAP-TLS协议的设置比较复杂,如果最终用户已经获得了智能卡,这个协议会工作得更好。但是,EAP-TLS协议确实能够为你提供最佳的安全。简单地说,MS-CHAP是基于口令的协议。EAP-TLS是基于证书的协议。
结论
在你创建一个VPN之前,需要做许多规划工作。在这篇文章中,我谈了设计一个VPN必须要做的一些规划,还谈了一些你必须要做出的一些决策。
更多精彩
赞助商链接