Справочник по Windows Server 2003 (MCSE)

         

Шифрование данных


По соображениям безопасности удаленный доступ к любой конфиденциальной информации должен осуществляться только по защищенному каналу. В ситуации, когда для организации удаленного доступа используются общественные телефонные линии (либо линии, по которым нельзя исключить "снятие" информации), для создания защищенного канала необходимо применять специальные механизмы шифрования. Эти механизмы позволя ют шифровать весь сетевой трафик, передаваемый между клиентом и сервером удаленного доступа. Сервер удаленного доступа должен быть настроен на использование только шифрованного обмена данными. Любой клиент, устанавливающий соединение с подобным сервером, должен поддерживать заявленные механизмы шифрования, иначе соединение не производится.

При коммутируемом соединении можно защитить данные, зашифровав их на пути между клиентом и сервером удаленного доступа. Для коммутируемых сетевых соединений Windows Server 2003 использует собственный механизм шифрования "точка-точка" (Microsoft Point-to-Point Encryption, МРРЕ). Для применения механизма МРРЕ необходимо активизировать протоколы аутентификации MS-CHAP или EAP-TLS.

В случае соединения с виртуальной частной сетью (VPN-подключение) данные могут быть защищены путем их шифрования на пути между концами виртуальной частной сети. Необходимо применять шифрование данных для VPN-подключения, если частные данные передаются по сети общего пользования (например, через Интернет), где всегда есть риск перехвата данных. В Windows Server 2003 выбор схемы шифрования данных, передаваемых через VPN-подключение, определяется используемым протоколом туннелиро-вания. Для протокола РРТР шифрование осуществляется с помощью механизма МРРЕ, а в случае протокола L2TP посредством протокола IPSec. Следует заметить, что в последнем случае не требуется использования каких-то специальных протоколов аутентификации удаленных пользователей (в случае механизма МРРЕ, напомним, обязательно использование протокола аутентификации MS-CHAP или EAP-TLS).

Поскольку шифрование данных выполняется между VPN-клиентом и VPN-сервером, то на соединении между клиентом удаленного доступа и интернет-провайдером оно уже не является необходимым.



Содержание раздела