for komponenter, der er nødvendige for at skabe et vpn - server

, vpn - kunde, en populære misforståelse om vpn - kunder, er, at de arbejdspladser, der forbinder til virksomhedernes net over et vpn.det er bestemt en type vpn - klient, men det er ikke den eneste form for vpn - klient.et vpn - klient kan være en computer, eller det kan være en router.den type vpn - kunde, som du skal bruge til deres net i virkeligheden afhænger af virksomhedens individuelle behov, f.eks. hvis de har en filial, som ikke har direkte forbindelse til kontoret, og ved hjælp af en router som et vpn - klient er sikkert en god mulighed for dig.ved at gøre det, du kan forbinde hele filial til kontoret via en indre sammenhæng.der er ikke behov for hver pc - at etablere en forbindelse individuelt.,, på den anden side, hvis du har et par ansatte, der rejser ofte og har behov for at få adgang til virksomhedernes net og på den, du nok ville drage fordel af, at arbejdstageren er bærbare computere, som vpn - kunder, teknisk set, en virksomhed kan fungere som et vpn - klient, så længe det støtter pptp, l2tp, eller ipsec protokol.i microsoft - kredse, betyder det, at du kunne bruge windows nt - 4, 0, 9, mig, 2000 og xp.selv om alle disse driftssystemer vil teknisk arbejde som kunder, anbefaler jeg, at med windows 2000 eller vinduer xp på grund af deres evne til at støtte l2tp og ipsec.,, vpn - server, vpn - server fungerer som et forbindelsesled til vpn - klient.teknisk set, kan du bruge windows nt - server 0, windows 2000 server eller windows server - 2003 som et vpn - server.af hensyn til sikkerhed, selvom, jeg antager, med henblik på anvendelsen af denne artikel, at du bruger windows server - 2003.,, en af de største misforståelser om vpn - servere, synes at være, at de kan gøre det helt af sig selv.jeg har ikke tal på, hvor mange gange, jeg har venner fortæller mig, at de var på vej til at investere i et vpn - serveren, uden at opdage, at den vpn - server kun er en af de nødvendige komponenter.,, vpn - server i sig selv er ret enkel.det er ikke mere end en hærdet vinduer 2003 - at dirigere og fjernadgang tjenesteydelser (denne).når en indkommende vpn - forbindelse er blevet bekræftet, vpn - server blot fungerer som en router, som giver vpn - klient med adgang til private net.,, ias - serveren, en af de yderligere krav til et vpn - serveren, er, at du har en radius server i stedet.i tilfælde af, at du ikke er bekendt med radius, radius er et akronym for fjerntliggende autentificering ring i bruger stående tjeneste.radius er den mekanisme, som udbyderne anvender typisk til at autentificere abonnenter, når de forsøger at etablere internetforbindelser.,,, hvorfor du har brug for en radius - - er fordi du har brug for en mekanisme til bekræftelse af klienter, der kommer i dit netværk gennem vpn - forbindelse.din domænecontrollere er ikke op til opgaven, og selv hvis de var, det er en dårlig idé at udsætte et område styreenhed til verden udenfor.,, så spørgsmålet er nu, hvor får du en radius server?nå, microsoft har deres egen version af radius kaldet internet - autentificering, service eller ias.ias - tjeneste er opført med windows server - 2003.det er den gode nyhed.den dårlige nyhed er, at det er ikke praktisk (sikkerhed) til ias i samme rubrik, som denne (vpn - komponent).selv hvis det var praktiske, jeg er ærligt talt ikke sikker på, om det ville være muligt uden for en virtuel server konfiguration.,, en firewall, de andre komponenter, der kræves i din vpn - er en god firewall.ja, din vpn - server accepterer forbindelser fra verden udenfor, men det betyder ikke, at verden skal have fuld adgang til deres vpn - server.du skal bruge en firewall, for at blokere for enhver uudnyttet havne. de grundlæggende krav for at etablere vpn - konnektivitet, er, at den vpn - serveren er ip - adresse skal være tilgængelig på internettet, og at vpn - trafik skal være i stand til at passere gennem deres firewall til vpn - server.der er imidlertid en valgfri del, som du kan bruge til at få din vpn - server mere sikre, hvis man mener det alvorligt med sikkerhed (og i budgettet), kan du lægge en isa - området mellem deres firewall og vpn - server.tanken er, at du kan få en firewall direkte alle vpn - relaterede trafik til isa - server snarere end til vpn - server.isa - server derefter fungerer som et vpn - indikator.både vpn - klient og vpn - server kun kommunikere med isa - server.de har aldrig kommunikere direkte med hinanden.det betyder, at isa - server er beskytter vpn - server fra direkte klient adgang, således at deres vpn - server en ekstra beskyttelseslag,.,, at vælge et uden protokol, når vpn - kunder adgang til et vpn - serveren, gør de det i en virtuel tunnel.en tunnel er intet mere end en sikker passage gennem en usikker medium (normalt på internettet).men uden ikke sker med magi.det kræver anvendelse af en uden protokol.jeg nævnte tidligere, at ældre vinduer kunder kan forbindes til et vpn - via pptp (punkt til punkt - uden protokol), men at jeg anbefalede ved hjælp af nye kunder, som f.eks. windows 2000 og vinduer xp, fordi de støttede l2tp (prioritet 2 uden protokol).faktum er, at en af disse protokoller vil arbejde, forudsat at de kunder, støtte dem.der er imidlertid forskellige fordele og ulemper for hver enkelt protokol.at vælge at grave protokol, som er godt for din virksomhed er en af de vigtigste beslutninger, som du vil få, når de planlægger deres vpn. den største fordel, at l2tp har over pptp er, at den bygger på ipsec.ipsec encrypts data, men også giver data godkendelse.det betyder, at ipsec viser, at oplysninger blev sendt af den person, der hævder at være fra, og at det ikke var ændret i transit.desuden ipsec er beregnet til at forhindre, at afspille angreb.replay - angreb, henviser til en hacker sig autentificering, pakker og dsv dem senere i et forsøg på at få adgang til systemet,.,, l2tp giver også meget stærkere autentificering, end pptp.både brugere og computeren er bekræftet, og opp - pakker, der er udvekslet i løbet af brugerniveauet autentificering, altid er krypteret.,, selv om det kan forekomme, at l2tp er uden protokol af valg, der er et par fordele, som pptp er over det.jeg har allerede talt om en af disse fordele og kompatibilitet.pptp arbejder med mere end l2tp windowsoperativsystemer.hvis du har en masse potentiale vpn - kunder, der styrer ældre versioner af vinduer, så kan du ikke har et valg, men at bruge pptp.,, den anden fordel, at pptp har over l2tp er, at l2tp er baseret på ipsec.i afsnittet om fordelene ved l2tp, jeg talte om ipsec, som om det var en god ting, og det er.der er imidlertid en stor ulempe ved hjælp af ipsec.ipsec kræver dit netværk, at have et certifikat, myndighed, den gode nyhed er, at windows server - 2003 kommer med sin egen attest myndighed.certifikatet myndighed er forholdsvis let at få.den dårlige nyhed er, at ud fra et sikkerhedsmæssigt synspunkt, et certifikat myndighed ikke er noget, du vil lege med.den eneste måde at bevare integriteten af et certifikat myndighed til at køre det på en specifik server, som er blevet skærpet på max. det betyder, at du bliver nødt til at punge ud med penge til en ekstra server kasse, en ekstra windows server - kørekort, og du vil have den ekstra administrative byrde, der er forbundet med at have en server på din netværk.i min udtalelse om, at de ekstra omkostninger og administrative byrder, er det værd.l2tp giver dig meget bedre end pptp gør.og du kan bruge din certifikat myndighed for andre ting, såsom kryptering lokal trafik gennem ipsec.,, autentificering protokol, mens jeg er om protokoller, vil jeg gerne tage et øjeblik og tale om autentificering af protokollerne.i løbet af at oprette et vpn, vil du blive bedt om at vælge en autentificering protokol.de fleste vælger den ms-chap v2 mulighed.ms-chap er relativt sikre, og det fungerer med vpn - kunder, at praktisk talt alle windows - styresystem, der er gjort i de sidste ti år.og bedst af alt, ms-chap er let at fælde.,, hvis du har planer om at bruge l2tp, og du vil have bedre sikkerhed, bør du bruge eap-tls som din autentificering protokol.eap-tls støttes, når den vpn - kunder kører vinduer 2003 eller vinduer xp.de vpn - server skal nedsættes, således at et certifikat myndighed udsteder brugeren af certifikater.eap-tls kan være lidt vanskeligt at etablere, og det fungerer bedst, hvis de endelige brugere er blevet udstedt, smart cards, men det giver dig den bedste sikkerhed.for at sige det enkelt, ms-chap er kodeordet, baseret på, eap-tls er certifikat baseret.,, konklusioner, før du kan skabe et vpn, der er en masse planlægning, der skal gøres.i denne artikel, jeg har talt med nogle af de planer, der skal gå til at designe et vpn - og om nogle af de beslutninger, de skal træffe.



Previous:
Next Page: