В настоящее время мы используем сервер Microsoft RAS, используя PPTP для подключения людей к VPN в офисной сети. Это не особенно безопасно, поскольку имена пользователей предсказуемы, а многие пользователи не выбирают безопасные пароли. Любая попытка обеспечить умеренную безопасность паролей наталкивается на внутреннее восстание.
Я подумываю о настройке VPN для использования IPSEC и аутентификации с помощью сертификатов. Что мне нужно, так это советы по подходящим конфигурациям серверов IPSEC, управлению сертификатами и управлению развертыванием сертификатов - особенно от людей, которые сделали именно это. У меня есть опыт управления Windows, Linux и, в гораздо меньшей степени, операционными системами OpenBSD.
Наконец, я видел комментарии о том, что профессиональные машины XP не могут устанавливать специальные соединения IPSEC, если их IP-адрес не фиксирован? Это настоящая проблема?
Заранее спасибо за вашу помощь,
Вы не пишете, на какой размер организации вы работаете, но, судя по моему опыту, управление сертификатами для решения удаленного доступа с большим количеством пользователей - нежелательный путь. Сертификаты трудно понять среднему пользователю, и мне еще предстоит увидеть процесс выпуска и перевыпуска сертификатов, который не требует очень хорошего письменного руководства или помощника по телефону.
Я бы в любое время предпочел решение удаленного доступа на основе аппаратных токенов решению на основе сертификатов.
Я не управляю шлюзами удаленного доступа, где работаю, но знаю, что мы используем Cisco VPN с аутентификацией RSA secureID. Я также видел более легкое решение от компании Giritech. Но подобных решений на основе аппаратных брелков должны быть сотни.
ildoc