Windows Server 2008 R2 作为 VPN 服务器

Windows Server 2008 R2 作为 VPN 服务器

我将在数据中心建立一个网络,我想知道是否可以让 Windows Server 2008 R2 充当 VPN 服务器。

另外,我听说 VPN 主要有 3 种类型:PPTP、L2TP/IPSec 和 SSTP。经过一番调查,似乎为了允许对 Mac OS X、Linux 和 Windows 进行本机(操作系统级别)支持,我会使用 PPTP 或 L2TP/IPSec。我还读到 L2TP 比 PPTP 更安全,这是真的吗?

最后,在主域控制器(PDC)上安装 VPN 服务器是个好主意吗?如果不是,为什么?

答案1

PPTP 是所有协议中“最不”安全的;但当您使用 EAP-* 身份验证协议时,它对于除 FIPS-140 数据之外的所有数据都足够安全。MS-CHAPv2 也非常安全。但它依赖于密码,这几乎总是弱点(还有社会工程学,它非常有效)。

L2TP 更安全,您应该使用证书而不是 PSK 来部署它。这需要 PKI,设置起来并不太难。它比 PPTP 更安全,但只是因为需要证书或 PSK。

SSTP 基本上与 L2TP 一样安全,它再次使用证书,仍然需要 PKI。它的主要优势在于它可与廉价防火墙(或严格配置的防火墙)配合使用,这些防火墙可阻止 GRE 和 UDP 流量(分别用于 PPTP 和 L2TP)。

最佳做法是仅在服务器上单独安装 AD(或与 DNS 一起安装);但人们经常安装其他服务而不会出现重大问题。请记住,如果此 Internet 连接服务器受到威胁,您的 AD DB 也会自动受到威胁。

答案2

这是安全性/互操作性/设置开销之间的权衡

点对点隧道协议如果您可以设置 GRE 数据包转发和端口转发 TCP 1723,则可能是最具互操作性的并且可以通过 NAT 之类的方式很好地运行。只要您使用 MSCHAPv2(您可以在 Windows Server 2008 上使用),那么它可能就没问题。

L2TP需要 PKI 设置,并且有一些额外步骤如果您希望 VPN 服务器位于 NAT 网络上,则需要执行以下操作。

顺时针是新手,可能介于设置开销/互操作性之间。如果您希望面向未来,那么这就是您的选择。但不知道它是否支持 Mac OS。

使用 AD 作为 VPN 服务器可能不是最佳做法,但在 SOHO 环境中,VPN 服务器通常是 DC(想想 SBS)。

相关内容