Pupkin-Zade
Сообщений: 9398
Оценки: 1489
Присоединился: 2004-03-10 13:54:16
|
Как известно, PPTP не обеспечивает защиты от атак через посредника, способных вызвать нарушение целостности данных и подмену адресата. Но главный недостаток этого протокола в том, что он дает возможность выполнять процедуры аутентификации, основанные лишь на одном критерии (а именно на знании пользователем пароля). Иными словами, если злоумышленник выкрадет или разгадает пароль служащего, он сможет получить доступ к сети компании. Преодолеть барьер двухфакторной аутентификации, в ходе которой используются как некие знания пользователя (скажем, пароль), так и предметы (допустим, карта с защищенным ключом или сертификат), уже гораздо сложнее. В среде Windows XP и более поздних версиях Windows существует возможность заменить пароли пользовательскими сертификатами, для чего наряду с PPTP применяется протокол Extensible Authentication Protocol-Transport Layer Security (EAP-TLS). Но комбинация PPTP и EAP-TLS обеспечивает лишь однофакторную аутентификацию и не устраняет уязвимости PPTP в сетевой среде. Кроме того, нельзя забывать, что сертификаты не переносимы. А значит, если пользователю понадобится позаимствовать ноутбук коллеги или потребуется заменить вышедший из строя мобильный компьютер находящегося в отъезде сотрудника, осложнений не избежать, ведь для того, чтобы пользователь мог подключиться к VPN и войти в сеть компании, придется предварительно установить на его машине сертификат, созданный именно для этого пользователя. За последние годы разработчики Microsoft приложили немало усилий, чтобы удержать PPTP «на плаву». Однако понятно, что L2TP покоится на гораздо более прочном и совместимом с общепринятыми стандартами фундаменте: это и усиленная двухфакторная аутентификация, и шифрование, и целостность данных. Когда с помощью протокола L2TP выполняется подключение к серверу VPN, для аутентификации систем этот протокол использует сертификаты клиентских и серверных машин. После успешного завершения процедуры аутентификации L2TP устанавливает соединение по протоколу IP Security (IPSec) в режиме Encapsulating Security Payload (ESP). До этого момента L2TP зашифровывал все данные, проходящие через VPN в Internet, защитил соединение от «атак через посредника» и завершил первый уровень аутентификации. Если перспектива обеспечивать все компьютеры сети сертификатами не вызывает у вас энтузиазма, рекомендую воспользоваться одним из замечательных средств, разработанных специалистами Microsoft для решения этой проблемы, а также многих других задач, связанных с развертыванием VPN промышленного уровня с дистанционным доступом (скажем, Group Policy для автоматизации регистрации сертификатов или Connection Manager Administration Kit — CMAK — для автоматизации развертывания клиентов VPN).
|