Я собираюсь настроить сеть в центре обработки данных, и мне было интересно, можно ли использовать Windows Server 2008 R2 в качестве сервера VPN.
Кроме того, я слышал, что существует 3 основных типа VPN: PPTP, L2TP / IPSec и SSTP. После некоторого расследования похоже, что для поддержки собственной (на уровне ОС) поддержки Mac OS X, Linux и Windows я бы использовал PPTP или L2TP / IPSec. Я также читал, что L2TP более безопасен, чем PPTP, это правда?
Наконец, стоит ли устанавливать VPN-сервер на основном контроллере домена (PDC), если нет, то почему?
PPTP - самый «наименее безопасный» из всех; но он по-прежнему достаточно безопасен для всех данных, кроме данных FIPS-140, когда вы используете протоколы EAP- * auth. MS-CHAPv2 также очень безопасен. Но он полагается на пароли, что почти всегда является слабым местом (это и социальная инженерия, которая удивительно эффективна).
L2TP более безопасен, и вы должны развертывать его с сертификатами, а не с PSK. Для этого требуется PKI, который не так уж сложно настроить. Это более безопасно, чем PPTP, но только за счет требования сертификата или PSK.
SSTP в основном так же безопасен, как L2TP, он снова использует сертификаты, все еще нуждается в PKI. Его главное преимущество заключается в том, что он работает с дешевыми межсетевыми экранами (или жестко настроенными), которые блокируют трафик GRE и UDP (для PPTP и L2TP соответственно).
Лучше всего устанавливать AD только отдельно (или с DNS) на сервере; но люди часто устанавливают другие службы без значительных проблем. Имейте в виду, что если этот сервер, подключенный к Интернету, будет скомпрометирован, ваша база данных AD также будет автоматически скомпрометирована.
Это компромисс между безопасностью / совместимостью / накладными расходами на настройку
PPTP вероятно, наиболее совместим и хорошо работает с такими вещами, как NAT, если вы можете настроить пересылку пакетов GRE и переадресацию портов TCP 1723. Пока вы используете MSCHAPv2 (который может быть на сервере Windows 2008), это, вероятно, нормально.
L2TP требует настройки PKI, и есть некоторые дополнительные шаги вам нужно это сделать, если вы хотите, чтобы ваш VPN-сервер находился в сети NAT.
SSTP - новичок в блоке и, вероятно, где-то посередине для накладных расходов на настройку / взаимодействие. Если вы хотите защитить себя в будущем, то это правильный путь. Не знаю, есть ли работающая поддержка Mac OS.
Использование AD в качестве VPN-сервера, вероятно, не лучшая практика, но в среде SOHO сервером VPN обычно является DC (подумайте, SBS).