بروتوكول Challenge Handshake Authentication Protocol الإصدار 2 من Microsoft (MS-CHAP v2) هو بروتوكول مصادقة يعتمد على استخدام كلمة المرور والذي يُستخدم كأسلوب للمصادقة على نطاق واسع في شبكات VPN المستندة على برتوكول PPTP (بروتوكول الاتصال النفقي من نقطة إلى نقطة). تحذر شركة Microsoft المنظمات التي تستخدم MS-CHAP v2 بدون تغليف مع أنفاق PPTP من أجل الاتصال بشبكة VPN من أنها تُشغّل تكوين قد يكون غير آمن.
مقدمة
تقترح Microsoft قيام المنظمات التي تستخدم MS-CHAP v2/PPTP، بتنفيذ "بروتوكول المصادقة القابل للتوسيع المحمي" (PEAP) في الشبكات الخاصة بها. وهذا يخفف هذه التقنية عن طريق تغليف حركة مرور المصادقة MS-CHAP v2 في TLS.
تكوين بروتوكول PPTP لاستخدام PEAP-MS-CHAP v2 للمصادقة
PEAP-MS-CHAP v2
استخدام بروتوكول PEAP مع MS-CHAP v2 لأن أسلوب مصادقة العميل هو الطريقة الوحيدة للمساعدة في تأمين مصادقة VPN. لفرض استخدام بروتوكول PEAP في أنظمة العميل، يجب تهيئة خوادم التوجيه والوصول من بعد بنظام Windows على أن تسمح باتصالات العملاء الذين الذين يستخدمون مصادقة بروتوكول PEAP وأن ترفض اتصالات من العملاء الذين يستخدمون MS-CHAP v2 أو EAP-MS-CHAP v2. يجب أن يتحقق المسؤولون من خيارات أسلوب المصادقة المقابلة على خادم RRAS وخادم نهج الشبكة (NPS).
يجب تأكيد المسؤولين أيضا على ما يلي:
-
التحقق من أن صحة شهادة الخادم قيد التشغيل. (السلوك الافتراضي هو التشغيل.)
-
التحقق من أن صحة اسم الخادم قيد التشغيل. (السلوك الافتراضي هو التشغيل.) يجب تحديد اسم الخادم الصحيح.
-
لقد تم تثبيت الشهادة الجذر التي تُصدر شهادة الخادم بطريقة صحيحة على مخزن نظام العميل وأنها قيد التشغيل. (تشغيل على الدوام).
-
على أنظمة التشغيل Windows 7 وWindows Vista وWindows XP، يجب تحديد خانة الاختيار عدم مطالبة المستخدم بتخويل خوادم جديدة أو المراجع المصدقة الجذر الموثوق بها التي تظهر في نافذة خصائص بروتوكول PEAP؛ فهي غير محددة في الوضع الافتراضي.
تكوين الخادم RRAS لأسلوب المصادقة PEAP-MS-CHAP v2
إن الإجراء الخاص بتكوين أسلوب المصادقة PEAP-MS-CHAP v2 للخادم RRAS وبإيقاف تشغيل الأساليب الأقل أمناً MS-CHAP v2 وEAP-MS-CHAP v2 موضح باختصار في الخطوات التالية.
تكوين أسلوب مصادقة لخادم RRAS
للقيام بذلك، اتبع الخطوات التالية:
-
في نافذة إدارة الخادم RRAS، افتح مربع الحوار الخاص بخصائص الخادم، ثم انقر على علامة التبويب الأمان.
-
انقر فوق أساليب المصادقة.
-
تأكد من تحديد خانة الاختيار EAP وعدم تحديد خانة الاختيار MS-CHAP v2.
تكوين اتصالات لخوادم NPS
قم بتكوين خادم نهج الشبكة (NPS) حتى تسمح فقط بالاتصالات التي تأتي من العملاء الذين يستخدمون أسلوب مصادقة PEAP-MS-CHAP v2. لتكوين خادم NPS، اتبع الخطوات التالية:
-
فتح NPS واجهة المستخدم، انقر فوق نهج، ثم انقر فوق نهج الشبكة.
-
انقر بالزر الأيمن فوق الاتصالات إلى خادم الوصول البعيد والتوجيه من Microsoft، ثم حدد الخصائص.
-
على واجهة المستخدم الخصائص، انقر فوق علامة التبويب القيود.
-
في جزء القيود الأيسر، حدد أساليب المصادقة، ثم انقر لإزالة التحديد من خانات الاختيار الخاصة بطرق MS-CHAP وMS-CHAP-v2.
-
قم بإزالة EAP-MS-CHAP v2 من قائمة أنواع EAP.
-
انقر فوق إضافة وحدد أسلوب مصادقة PEAP، ثم انقر فوق موافق.
ملاحظة يجب تثبيت شهادة خادم صالحة في المخزن "الشخصي"، ويجب تثبيت شهادة جذر صالحة في مخزن "مرجع مصدق (CA) جذري موثوق به" بالخادم قبل تكوين اتصال NPS. -
انقر فوق تحرير، ثم حدد EAP-MS-CHAP v2 كأسلوب للمصادقة.
تكوين عميل RRAS لأسلوب المصادقة PEAP-MS-CHAP v2
يمكن تكوين عملاء VPN بنظام Windows لاستخدام أسلوب المصادقة PEAP-MS-CHAP v2 عن طريق تحديد الأسلوب المقابل من واجهة المستخدم لخصائص اتصال شبكة VPN وعن طريق تثبيت شهادة الجذر المناسبة على نظام العميل.