1. Location:
  2. / Computer learning >> Datamaskin læring >> system >> windows 2003 >>

Skisserte komponentene som trengs for å lage en VPN Server


VPN Client

En populær misforståelse om VPN-klienter er at de er arbeidsstasjoner som kobles til bedriftens nettverk over en VPN. Riktignok er det en type av VPN-klienten, men det er ikke den eneste typen av VPN-klienten. En VPN-klient kan være en datamaskin eller det kan være en ruter. Den type VPN-klient som du bør bruke for nettverket er egentlig avhengig av bedriftens individuelle behov.

For eksempel, hvis du tilfeldigvis har et avdelingskontor som mangler direkte tilkobling til kontoret, deretter bruke en ruter som en VPN-klient er sannsynligvis et godt alternativ for deg. Ved å gjøre dette, kan du koble hele avdelingskontoret til kontoret gjennom en enkelt tilkobling. Det er ikke behov for hver PC for å etablere en forbindelse individuelt.

På den annen side, hvis du har noen få ansatte som reiser mye og trenger tilgang til bedriftens nettverk mens du er på farten, vil du sannsynligvis ha nytte av sette den ansattes bærbare datamaskiner opp som VPN-klienter.

Teknisk sett kan hvilken som helst operativsystem fungere som en VPN-klient så lenge det støtter PPTP, L2TP eller IPSec-protokollen. I Microsoft sirkler, betyr dette at du kan bruke Windows NT 4.0, 9X, ME, 2000 og XP. Selv om alle disse operativsystemene vil teknisk sett fungerer som klienter, anbefaler jeg stikker med Windows 2000 eller Windows XP på grunn av deres evne til å støtte L2TP og IPSec.

VPN-serveren

VPN-serveren fungerer som et koblingspunkt for VPN-klienten. Teknisk sett kan du bruke Windows NT Server 4.0, Windows 2000 Server eller Windows Server 2003 som en VPN-server. I interesse av sikkerhet selv, vil jeg anta, i forbindelse med denne artikkelen, at du bruker Windows Server 2003.

En av de største misforståelsene om VPN-servere synes å være at de kan gjøre jobben alle alene. Jeg har mistet tellingen på hvor mange ganger jeg har hatt venner forteller meg at de skulle investere i en VPN-server, uten å innse at VPN Server er bare en av de nødvendige komponentene.

VPN Server i seg selv er ganske enkel. Det er ikke noe mer enn en herdet Windows 2003 Server som kjører Routing and Remote Access Services (RRAS). Når en innkommende VPN-tilkobling er godkjent, er det bare fungerer VPN-serveren som en router som gir VPN-klienten med tilgang til private nettverk.

IAS Server

En av de tilleggskrav for en VPN-server er at du har en RADIUS-server på plass. I tilfelle du ikke er kjent med RADIUS, er RADIUS et akronym som står for Remote Authentication Dial In User Service. RADIUS er den mekanismen som Internett-leverandører bruker vanligvis å autentisere abonnenter når de forsøker å etablere Internett-tilkobling.

Grunnen til at du trenger en RADIUS-server er fordi du trenger noen mekanisme for autentisering av kunder som kommer inn i nettverket gjennom VPN-tilkobling. Dine domenekontrollere er egentlig ikke opp til oppgaven, og selv om de var, er det en dårlig idé å eksponere en domenekontroller til omverdenen.

Så spørsmålet er nå hvor får du en RADIUS-server ? Vel, har Microsoft sin egen versjon av RADIUS heter Internet Authentication Service eller IAS. IAS er inkludert med Windows Server 2003. Det er gode nyheter. Den dårlige nyheten er at det egentlig ikke er praktisk (av sikkerhetshensyn) å kjøre IAS på samme boks som RRAS (VPN Server-komponenten). Selv om det var praktisk, jeg er ærlig talt ikke engang sikker på om det ville være mulig utenfor en virtuell server konfigurasjon.

Brannmuren

Den andre komponenten som kreves av VPN er en god brannmur. Ja, godtar VPN-serveren tilkoblinger fra omverdenen, men det betyr ikke at omverdenen må ha full tilgang til VPN-serveren. Du må bruke en brannmur til å blokkere alle ubrukte porter.

Det grunnleggende forutsetning for å etablere VPN-tilkobling er at VPN-serverens IP-adresse må være tilgjengelig over Internett, og at VPN-trafikk må være i stand til å passere gjennom brannmuren til nå VPN-serveren. Det er imidlertid en mer valgfri komponent som du kan bruke til å lage din VPN-serveren mye sikrere.

Hvis du er seriøs om sikkerhet (og du har budsjettet), kan du plassere en ISA Server mellom perimeter brannmur og VPN-serveren. Tanken er at du kan konfigurere brannmuren til å dirigere all VPN relatert trafikk til ISA Server snarere enn til VPN-serveren. ISA Server fungerer da som en VPN proxy. Både VPN-klienten og VPN-serveren bare kommunisere med ISA Server. De har aldri kommunisere direkte med hverandre. Dette betyr at ISA Server er skjerming VPN-serveren fra direkte klienttilgang, og dermed gi din VPN-serveren et ekstra lag av beskyttelse.

Velge
en Tunneling Protocol

Når VPN-klienter tilgang til en VPN-server , gjør de det over en virtuell tunnel. En tunnel er noe mer enn en trygg passasje gjennom et usikkert medium (vanligvis Internett). Men det betyr tunneling ikke skje ved et trylleslag. Det krever anvendelse av en tunneleringsprotokoll. Tidligere nevnte jeg at eldre Windows-klienter kan koble til en VPN via PPTP (Point to Point Tunneling Protocol), men at jeg anbefalt å bruke nyere klienter som Windows 2000 og Windows XP fordi de støttet L2TP (Layer 2 Tunneling Protocol). Faktum er at det ene av disse protokollene vil fungere, forutsatt at kundene støtte dem. Men det er klare fordeler og ulemper for hver protokoll. Velge tunneling protokoll som er riktig for din organisasjon er en av de viktigste avgjørelsene du vil gjøre når du planlegger din VPN.

Den største fordelen at L2TP har over PPTP er at det er avhengig av IPSec. IPSec krypterer data, men også gir data autentisering. Dette betyr at IPSec beviser at dataene ble sendt av den personen som den hevder å være fra, og at det ikke ble endret i transitt. Videre er IPSec utformet for å hindre omspillingsforsøk. Omspillingsforsøk referere til en hacker fange autentiserings pakker og videresende dem senere i et forsøk på å få tilgang til systemet.

L2TP gir også mye sterkere autentisering enn PPTP. Både brukeren og datamaskinen er autentisert, og PPP-pakker som utveksles under brukernivå godkjenning er alltid kryptert.

Selv om det kan virke som L2TP er tunneling protokoll av valget, er det et par fordeler som PPTP har over det. Jeg har allerede snakket om en av disse fordelene; kompatibilitet. PPTP fungerer med måten flere Windows-operativsystemer enn L2TP gjør. Hvis du har mange potensielle VPN-klienter som kjører eldre versjoner av Windows, så du ikke kan ha et annet valg enn å bruke PPTP.

Den andre fordelen at PPTP har over L2TP er at L2TP er basert på IPSec . I avsnittet om fordelene med L2TP, jeg snakket om IPSec som om det var en god ting, og det er. Men det er en stor ulempe med å bruke IPSec. IPSec krever nettverket skal ha en sertifiseringsinstans.

Den gode nyheten er at Windows Server 2003 kommer med sin egen sertifiseringsinstans. Sertifiseringsinstansen er selv relativt enkel å konfigurere. Den dårlige nyheten er at fra et sikkerhetsmessig ståsted en sertifiseringsinstans er ikke noe du ønsker å leke seg med. Den eneste måten å bevare integriteten til en sertifiseringsinstans er å kjøre den på en dedikert server som har blitt herdet til max. Dette betyr at du vil ha til Shell ut kontanter for en ekstra server boks, en ekstra Windows Server-lisens, og du vil ha den ekstra administrative byrden forbundet med å ha en annen server i nettverket. Etter min mening om, er den ekstra kostnaden og administrative byrden definitivt verdt det. L2TP gir deg mye bedre sikkerhet enn PPTP gjør. Dessuten kan du bruke din sertifiseringsinstans for andre ting også, som for eksempel kryptere lokal trafikk gjennom IPSec.

Authentication
Protocol

Mens jeg er på temaet protokoller, ønsker jeg å ta et øyeblikk og snakke om godkjenningsprotokoller. I løpet av å sette opp en VPN, vil du bli bedt om å velge en godkjenningsprotokoll. De fleste velger MS-CHAP v2 alternativet. MS-CHAP er relativt sikker, og det fungerer med VPN-klienter kjører nesten hvilken som helst Windows-operativsystemet som ble gjort i de siste ti årene. Best av alt, er enkelt å sette opp MS-CHAP.

Hvis du har planer om å bruke L2TP og du vil bedre sikkerheten selv, bør du bruke EAP-TLS som autentiseringsprotokollen. EAP-TLS støttes kun når VPN-klienter kjører Windows 2003 eller Windows XP. Videre må VPN Server settes opp slik at en sertifikatutsteder utsteder brukersertifikater. EAP-TLS kan være litt vanskelig å sette opp, og det fungerer best hvis sluttbrukerne har blitt utstedt smartkort, men det gir deg den beste sikkerheten. For å si det enkelt, MS-CHAP er passordbasert, er EAP-TLS sertifikat basert.

Konklusjon

Før du kan opprette en VPN, det er mye planlegging som må gjøres . I denne artikkelen har jeg snakket om noen av planleggingen som må gå inn å utforme en VPN og om noen av de beslutninger som du må gjøre. Anmeldelser



Previous:
Next Page: