VPN的定义 问:Microsoft如何对虚拟专用网(VPN)进行定义?
答:Microsoft将虚拟专用网定义为专用网络的一个扩展,它跨越共享或公共网络(例如Internet)建立连接。通过VPN,您可以跨越一个共享或公共网络,模拟点对点专有连接(例如一个拨号连接,或者基于电信运营商的长距离WAN连接)在两台计算机间发送数据。虚拟专用网连接是创建和配置一个虚拟专用网络的具体行动。
为了模拟点对点连接,需要使用一个带有信息的数据包头进行封装。,以便通过共享或公共网络将数据发送到它的目的地。为了模拟一条专有连接,数据被进行加密以保证不会被他人窃取。如果没有密钥,即使在共享或公共网络截取到数据包也毫无用处。对私有数据进行封装和加密的连接便是VPN连接。
VPN有两种主要的使用情境--远程访问和站点到站点的数据传输。在远程访问应用情境中远程计算机(VPN客户端)和远程访问VPN网关(VPN)之间的通信经过加密。在站点到站点(又称路由器到路由器)的应用情境中,用来连接两个站点的两台路由器(VPN网关)之间的通信被加密。
问:使用VPN连接有何好处?
答:对于远程访问连接,组织可以使用VPN连接来利用Internet的全球连通性,并且将直接拨号远程访问解决方案(以及相应的设备和维护成本)交由一个Internet服务提供商(ISP)来负责,同时不牺牲专用拨号连接的保密性。
对于路由器连接,组织可以使用VPN连接对Internet的全球连通性加以利用,同时将简单连接的长途拨号或者线路租用工作交给Internet服务提供商负责,同时不牺牲拨号或专用站点间连接的保密性。
Microsoft对VPN的支持 问:哪些版本的操作系统提供了远程访问VPN客户端,Microsoft又为VPN客户端提供了哪些?
答:Microsoft在 98(所有版本)、 Millennium Edition、Windows NT? 4.0、Windows 2000、Windows XP以及Windows Server 2003中均提供了基于点对点隧道(Point-to-Point Tunneling Protocol,PPTP)的远程访问客户端。Microsoft在Windows 98、Windows Millennium Edition、Windows NT? Workstation 4.0 with Microsoft L2TP/IPSec VPN Client、Windows 2000、Windows XP以及Windows Server 2003中提供了基于L2TP/IPSec(Layer Two Tunneling Protocol with Internet Protocol security)的远程访问客户端。
问:Microsoft在哪些操作系统中提供了远程访问VPN?
答:Microsoft在Windows NT Server 4.0、Windows 2000 Server和Windows Server 2003中支持基于PPTP的远程访问VPN连接。并且在Windows 2000 Server和Windows Server 2003中支持基于L2TP/IPSec的远程访问VPN连接。
问:Microsoft在哪些操作系统中为站点到站点的VPN连接提供了支持,并且支持哪些相关?
答:Microsoft在安装了路由和远程访问服务(Routing and Remote Access Service,RRAS)的Windows NT Server 4.0、Windows 2000 Server以及Windows Server 2003中支持基于PPTP的站点到站点VPN连接。Microsoft在Windows 2000 Server和Windows Server 2003中对基于L2TP/IPSec和IPSec隧道模式的站点到站点VPN连接提供了支持。
问:在Windows CE和Pocket PC对VPN的支持方面,Microsoft有什么计划吗?
答:Windows CE 3.0包括了对PPTP的支持,其中包括了用于身份验证的MS-CHAP v2。Pocket PC 2002建立在Windows CE 3.0的基础之上,所以也包括了对PPTP的支持。在winn CE的未来版本中,对VPN的支持将得到扩展,以便将用于身份验证的扩展身验证协议(Extensible Authentication Protocol,EAP)f包括在内,同时,对PPTP和L2TP/IPSec的支持也将继续。在近期,如果需要获得强有力的身份验证能力,Microsoft建议用户使用一些来自第三方的VPN客户端,以支持L2TP/IPSec和EAP。
问:为什么Microsoft继续支持PPTP?和L2TP/IPSec相比,PPTP在性方面不是存在一些问题吗?
答:PPTP提供了能够满足大多数公司需要的性级别,同L2TP/IPSec以及基于IPSec的其它VPN解决方案相比,它使用的安全模型仍然具有一些优点。尽管IPSec具有更高的安全性,但是它的部署通常更加昂贵,而且受到一定的限制。
PPTP的一个优点就是:它不需要使用证书基础结构,许多组织至今仍未部署该基础结构。此外,它依靠用户的登录凭证来建立信任和与隧道连接,并为会话创建加密密钥。此外,用户名称和口令的管理工作的简易性也是众所周知的。
对于那些希望获得比用户口令更可靠的安全性的用户,PPTP可以同EAP配合使用,以便使用智能卡或者令牌卡进行身份验证。这不仅提高了加密密钥的强度,而且减少了网络遭受字典攻击的风险。此外,无需对客户机和服务器进行任何修改,PPTP就可以方便地用在大多数网络地址转换(Network Address Translators,NAT)环境中。另一方面,IPSec流量不能通过NAT,除非客户端和服务器都支持IPSec NAT穿越(IPSec NAT-T)。
在证书基础结构得到广泛普及和IPSec产品实现方式得到升级,能够为IPSec NAT-T提供支持之前,对于很多用户来说,PPTP仍然不失为一种重要的协议选择。
问:基于IPSec的VPN连接对网络地址转换(NAT)友好吗?
答:为了让NAT发挥作用,它必须对它所转发数据包中的IP地址和端口号进行转换。如果某个NAT转换了Internet Key Exchange(Internet密钥,IKE)流量(它被用来进行与IPSec安全有关的协商)或者受保护的IPSec流量中的IP地址或端口号,数据包的完整性将受到破坏。
为了防止NAT转换IPSec流量,某些NAT能够支持IPSec流量,以便通过NAT建立一条连接。另一种解决办法是IPSec NAT穿越(NAT-T),这是一个新的标准,允许被Encapsulating Security Payload(ESP)封装的流量通过一个或多个NAT设备。IPSec NAT-T将在题为"IPSec数据包的UDP封装"(UDP Encapsulation of IPSec Packets)的Internet草案(draft-ietf-ipsec-udp-encaps-02.txt)中进行介绍。IPSec NAT-T对IPSec协议以及两台IPSec NAT-T-capable设备之间的新的Internet Key Exchange消息和有效负载进行了一些修改。IPSec NAT-T必须同时被客户机和服务器支持。
Windows Server 2003和Microsoft L2TP/IPSec VPN Client支持IPSec NAT-T。Microsoft 计划在将来为Windows 2000和Windows XP 中的VPN客户端提供对IPSec NAT-T的支持。
问:我听说PPTP存在很多安全问题,新的标准正在开发过程之中,这些消息是真的吗?
答:对PPTP的负面评价在三年多之前就已经发布了。安全分析人士发现了三个问题,而且这三个问题立即得到了纠正。从那时起,没有新的问题被发现。人们抱怨最多的不是它的具体实现方式,而且认为在VPN连接上使用用户名和口令没有那些使用证书进行身份验证的方法安全。Microsoft同意上述观点,这也是为什么Windows 2000 Server和Windows Server 2003支持公共密钥基础结构(PKI)和提供证书办法服务的原因之一。如果您必须使用用户名和口令,请要求用户使用复杂的口令。复杂口令是指那些长度较长(至少8个字符)而且包含混合使用大小写字母、数字和标点符号的口令。复杂口令的一个很好的例子是:f*3L~qO2>xR3w#4o。
VPN标准和互操作性 问:Microsoft支持虚拟专用网方面的标准协议吗?
答:Microsoft仅仅支持那些经实践证明具有互操作性的标准协议。Windows XP和Windows 2000 Professional集成了一个VPN客户端。Windows Server 2003和Windows 2000 Server 则包括了一个集成化的VPN服务器(又被称作VPN网关)。
对于远程访问VPN,Windows提供了对点对点隧道协议(PPTP)(RFC 2637)以及第二层隧道协议(Layer Two Tunneling Protocol,L2TP)(RFC 2661,一种尚处于提议状态的标准)的支持,在传输模式中使用IPSec Encapsulating Security Payload(ESP),其中LATP使用Internet协议安全(Internet Protocol Security,IPSec)(RFC 2401-2409, 提议标准)保证安全性。RFC 3193(提议标准)介绍了L2TP和IPSec的集成。客户端和服务器都使用符合行业标准的方法实现IPSec信任(X.509证书),并使用行业标准的用户身份验证,包括问询-握手身份验证协议(Challenge-Handshake Authentication Protocol,CHAP)(RFC 1994,提议标准)、Microsoft Challenge-Handshake Authentication Protocol version 2(MS-CHAP v2)(RFC 2759)以及扩展身份验证协议(Extensible Authentication Protocol,EAP)(RFC 2284,提议标准)。
对于站点到站点的VPN连接,Windows Server 2003和Windows 2000 Server均支持PPTP、L2TP/IPSec以及IPSec隧道模式。
所有受支持的协议已经证明能够在多个厂商的产品之间提供出色的互操作性。
问:为什么其它厂商宣称,他们支持标准的VPN技术,而Microsoft的VPN技术是一些专有技术?
答:做出这种声明的大多数厂商正在使用IPSec隧道模式实现远程访问。不幸的是,IPSec RFC并没有针对远程客户端访问提出使用IPSec隧道这种模式。特别地,RFC没有为用户身份验证、IP地址分配以及名称服务器地址分配提供任何机制。
所以,基于IPSec隧道模式实现远程访问解决方案的厂商必须对该协议进行扩展。这些扩展都不是标准的,而向IETF提出相关草案以定义相关标准的工作也停滞不前。所以,在使用IPSec隧道模式进行远程客户端访问方面,目前没有任何标准可以遵循。所以,各个厂商所实现的远程访问解决方案不具备互操作性。
作为对比,Microsoft严格遵循了几个相关标准,使用L2TP(RFC 2662,提议标准)作为远程访问协议,并且使用IPSec(RFC 2401-2409,
【责编:admin】
--------------------next---------------------