Selectați protocolul VPN
VPN creează un canal securizat de comunicare prin Internet între computer și rețea privată a organizației sale utilizatorului la distanță. Dacă reprezentăm Internetul în formă de conducte, VPN creează în interiorul tubului de diametru mai mic accesibil numai utilizatorilor din organizație. VPN oferă utilizatorului acces securizat la rețeaua sa privată prin practic orice tip de conexiune la Internet. Disponibilitatea rețelei bazate pe IP între client și serverul VPN este singura cerință pentru punerea în aplicare Microsoft VPN. Este suficient ca atât clientul și serverul sunt conectate la Internet.
Care sunt asemănările și deosebirile dintre PPTP și L2TP? Dacă luăm în considerare structura pachetului, va fi evident că atât PPTP și protocolul L2TP bazat pe punct-la-punct Protocol (PPP) și extensiile sale sunt. Aceste niveluri superioare modelului OSI este primul încapsulate în PPP și apoi PPTP sau L2TP tunel pentru transmiterea printr-o rețea partajată.
PPP-ul are mai multe avantaje în comparație cu omologii lor mai mari Serial Line Internet Protocol (SLIP). Ca un exemplu de autentificare folosind CHAP și compresia datelor. Setul de PPP include protocolul Link Control Protocol (LCP), este responsabil pentru configurarea, instalarea, operarea și închidere punct-la-punct și protocol de rețea Control Protocol (NCP), posibilitatea de a îngloba PPP protocoalele de strat de rețea de transport de peste conexiune punct la punct. Acest lucru face posibil să se transmită simultan pachete Novell IPX și Microsoft IP printr-o singură conexiune PPP.
Desigur, PPP este o parte importantă a PPTP și L2TP. Datorită PPP a devenit posibilă utilizarea PPTP și L2TP pentru aplicații la distanță care depind de protocoale non-rutabile. Pe link-ul fizic și straturile PPTP și L2TP sunt identice, dar asemănările se încheie și să înceapă diferențele.
Pentru livrarea de date confidențiale de la un punct la altul printr-o rețea publică, a făcut mai întâi încapsularea datelor folosind PPP, atunci protocoalele PPTP și L2TP efectua criptarea datelor și încapsulare proprii.
În conformitate cu modelul OSI unități de date de protocol incapsulat unit de date de protocol (PDU) de păpuși nested principiu: TCP (strat) de transport este încapsulat protocolul IP (strat de rețea), care este apoi încapsulat PPP (strat link).
După protocolul de tunelare livrează pachete din punctul de start la capătul tunelului, de-încapsulare este realizată.
PPTP încapsulează pachete IP pentru transmiterea prin rețea bazată pe IP. clienții PPTP folosesc portul de destinație 1723 pentru crearea unei conexiuni tunel de control. Acest proces are loc la stratul de transport al modelului OSI. După crearea unui tunel la calculatorul client și serverul începe să pachete de servicii de schimb.
În plus față de conexiune de control PPTP, care asigură canal operabilitate, o conexiune pentru tunelul de date de expediere. încapsulare datelor înainte de transmiterea prin tunel există un pic diferit decât o transmisie convențională (de exemplu, operarea telnet). Încapsularea de date înainte de a trimite-l la tunelul este format din două etape. Mai întâi, creați o piesă de informații PPP. Acestea sunt de sus în jos, de la nivelul aplicației OSI la canal. Ulterior, datele rezultat este trimis modelul OSI și protocoalele încapsulate straturile superioare.
Astfel, în a doua trecere de date atinge nivelul de transport. Cu toate acestea, informațiile nu pot fi trimise la destinație, așa cum este responsabil pentru acest strat OSI canal. De aceea PPTP criptează sarcina utilă a câmpului de pachete și preia al doilea nivel de funcții de obicei aparțin PPP, t. E. Adaugă la pachet PPTP-PPP-header (antet) și capăt (remorcă). La crearea de legături de date capete cadru strat. Mai mult, PPTP încapsulează PPP-frame din pachetul Generic Routing încapsularea (GRE), care face parte din stratul de rețea. GRE încapsulează protocoalele de strat de rețea, cum ar fi IPX, AppleTalk, DECnet, pentru a le permite să rețele bazate pe IP pentru transmisie. Cu toate acestea, GRE nu are nici o modalitate de a seta sesiunea și să ofere protecție de date rău intenționate. În acest scop, capacitatea de a crea o conexiune PPTP pentru gestionarea tunel. Metoda de încapsulare utilizare GRE ca limitând domeniul de acțiune numai prin PPTP rețelelor IP.
Figura 1. Structura de date pentru transferul PPTP tunel.
Sistemul Trimiterea trimite datele prin tunel. Sistemul destinatarului șterge toate titlurile oficiale, lăsând doar datele PPP.
Un nou jucător pe teren
L2TP a fost rezultatul protocolului PPTP asociațiilor și Layer 2 Forwarding (L2F). PPTP vă permite să transferați prin tunel PPP pachete și pachete L2F-SLIP și PPP. Pentru a evita confuzia și problemele de interoperabilitate pe piața de telecomunicații, comisia de Internet Engineering Task Force (IETF) a recomandat Cisco Systems combină PPTP și L2F. protocolul L2TP incorporeaza cele mai bune reputația de caracteristici ale PPTP și L2F.
L2TP foloseste UDP ca protocol de transport și utilizează același format ca mesaj tunel de management, precum și pentru transferul de date. L2TP în implementarea Microsoft utilizează ca pachetele UDP batailor inimii care conțin pachete PPP criptate. asigură o secvență de încredere de pachete de control de livrare. Mesajele L2TP au un câmp următor asreceived și Next-a trimis. Aceste domenii au aceleași funcții ca și câmpurile de ordine Numarul de confirmare număr în protocolul TCP.
Calculatorul de recepție primește date, procesează antetul și rezilierea PPP, elimină antetul IP. Cu ajutorul de autentificare IPSec autentifică câmp informații IP, precum și IPSec ESP-antet ajută pentru a decripta pachetul.
Apoi, computerul procesează antetul UDP, și utilizează antetul L2TP pentru a identifica tunel. Pachetul PPP conține acum numai datele utile care sunt prelucrate sau transmise destinatarului.
Pentru autentificare, utilizatorii PPTP pot utiliza oricare dintre protocoalele utilizate pentru PPP, inclusiv Extensible Authentication Protocol (EAP), Microsoft Challenge Handshake Authentication Protocol (MSCHAP) versiunea 1 și 2, Challenge Handshake Authentication Protocol (CHAP), Shiva Password Authentication Protocol (SPAP) și parolă Authentication protocol (PAP). Cele mai bune sunt MSCHAP de protocol v2 și Layer Security transport (EAP-TLS), deoarece acestea oferă autentificare reciprocă, adică. E. VPN-server și client este identificat reciproc. Pentru toate celelalte protocoale, numai serverul autentifică clienții.
Criptarea folosind PPTP asigură că nimeni nu poate avea acces la datele în tranzit pe Internet. protocol de criptare MPPE (Microsoft punct-la-punct de criptare) este compatibil doar cu MSCHAP (V1 și V2) și EAP-TLS, și este capabil să selecteze automat lungimea cheii de criptare atunci când negocierea parametrilor între client și server. MPPE suportă o lungime a cheii de 40, 56 sau 128 biți. sisteme de operare mai vechi Windows sprijină lungimea cheii de criptare a doar 40 de biți, astfel încât într-un mediu mixt pentru Windows ar trebui să aleagă o lungime minimă a cheii.
PPTP schimbă valoarea cheii de criptare după fiecare pachet recepționat. protocol MMPE proiectat pentru canalele de comunicație punct-la-punct, în care pachetele sunt transmise secvențial, iar pierderea de date este foarte mică. În această situație, valoarea cheie pentru următorul pachet depinde de rezultatele decodificarea pachetului anterior. Atunci când construirea unei rețele virtuale prin intermediul rețelei publice de a respecta aceste condiții nu este posibilă, deoarece pachetele de date de multe ori ajung la destinatar nu este în ordinea în care au fost trimise. Prin urmare, PPTP este folosit pentru a schimba pachete numărul de ordine al cheii de criptare. Acest lucru permite decodarea indiferent de pachetele primite anterior.
Deși PPTP oferă un grad suficient de securitate, dar încă de încredere L2TP prin IPSec. L2TP prin IPSec oferă autentificare „utilizator“ și nivelurile „de calculator“, și efectuează criptarea datelor de autentificare și.
La prima etapă de autentificare client și serverele VPN, L2TP peste IPSec utilizează certificate locale de la o autoritate de certificare. Certificatele și client și server de schimb a crea o conexiune securizată ESP SA (asociație de securitate).
După L2TP (peste IPSec) completează procesul de autentificare a computerului, autentificarea se realizează la nivel de utilizator. Pentru autentificare, puteți utiliza orice protocol, chiar și PPA, un nume de utilizator și o parolă în clar. Este destul de sigur ca L2TP peste IPSec criptează întreaga sesiune. Cu toate acestea, efectuarea de autentificarea utilizatorului folosind MSCHAP, aplicând chei de criptare diferite pentru autentificarea computerului și utilizatorul, poate spori de protecție.
L2TP peste IPSec oferă un grad mai ridicat de securitate a datelor decât PPTP, deoarece algoritmul de criptare utilizează Tripla Data Encryption Standard (3DES). 3DES a fost conceput pentru a proteja datele deosebit de sensibile, iar utilizarea lor este permisă numai în America de Nord. În cazul în care nu este nevoie de un astfel de nivel ridicat de protecție, puteți utiliza algoritmul DES cu o cheie de 56 de biți, care poate reduce costurile de criptare (3DES foloseste trei chei de 56 de biți).
L2TP prin criptarea datelor de autentificare IPSec și pentru nivelul calculatorului și utilizator. Mai mult, folosind L2TP algoritmul Hash Mesaj Cod de Autentificare (HMAC) Mesaj Digest 5 (MD5) furnizează date de autentificare. Pentru autentificarea datelor, acest algoritm creează un hash de lungime 128 biti.
Funcționalitatea PPTP și L2TP sunt diferite. L2TP pot fi utilizate nu numai în rețelele bazate pe IP, mesaje de serviciu pentru crearea unui tunel și transmiterea datelor pe care le utilizează același format și protocoale. PPTP poate fi utilizat numai în rețelele bazate pe IP, și necesită o conexiune separată TCP pentru a face și de a folosi tunelul. L2TP peste IPSec oferă niveluri mai mari de securitate decât PPTP, și poate garanta aproape 100 la suta de securitate este important pentru datele organizației.