MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol version 2) to oparty na hasłach protokół uwierzytelniania, który jest popularną metodą uwierzytelniania w sieciach VPN opartych na protokole PPTP (Point to Point Tunneling Protocol). Firma Microsoft przestrzega organizacje korzystające z łączności VPN zabezpieczanej protokołem MS-CHAP v2 bez hermetyzacji z tunelami PPTP, że ta konfiguracja nie jest w pełni bezpieczna.
WPROWADZENIE
Firma Microsoft zaleca organizacjom używającym technologii MS-CHAP v2/PPTP wdrożenie w ich sieciach protokołu PEAP (Protected Extensible Authentication Protocol). Ogranicza to zagrożenia, hermetyzując ruch uwierzytelniania MS-CHAP v2 w protokole TLS.
Konfigurowanie uwierzytelniania PEAP-MS-CHAP v2 dla protokołu PPTP
PEAP-MS-CHAP v2
Jedną z metod zabezpieczenia uwierzytelniania w sieci VPN jest zastosowanie jako metody uwierzytelniania klienta protokołu PEAP z protokołem MS-CHAP v2. Aby wyegzekwować stosowanie protokołu PEAP na platformach klienckich, na serwerach usługi routingu i dostępu zdalnego (RRAS, Routing and Remote Access Server) systemu Windows należy skonfigurować zezwalanie tylko na połączenia z uwierzytelnianiem PEAP i odrzucanie połączeń z klientami używającymi protokołu MS-CHAP v2 lub EAP-MS-CHAP v2. Administratorzy muszą sprawdzić odpowiednie opcje metod uwierzytelniania na serwerze RRAS i serwerze zasad sieciowych (NPS, Network Policy Server).
Administratorzy muszą też potwierdzić następujące ustawienia:
-
Weryfikacja certyfikatów serwerów jest WŁĄCZONA. (Działanie domyślne: WŁĄCZONA).
-
Weryfikacja nazw serwerów jest WŁĄCZONA. (Działanie domyślne: WŁĄCZONA). Musi być określona właściwa nazwa serwera.
-
Certyfikat główny, za pomocą którego wystawiono certyfikat serwera, jest poprawnie zainstalowany w magazynie systemu klienckiego i jest zawsze WŁĄCZONY. (Zawsze WŁĄCZONY).
-
W systemach Windows 7, Windows Vista i Windows XP w oknie właściwości protokołu PEAP powinno być włączone pole wyboru Nie monituj użytkownika o autoryzowanie nowych serwerów lub zaufanych urzędów certyfikacji. Domyślnie jest wyłączone.
Konfigurowanie metody uwierzytelniania PEAP-MS-CHAP v2 na serwerze RRAS
Poniżej krótko opisano czynności wchodzące w skład procedury konfigurowania metody uwierzytelniania PEAP-MS-CHAP v2 na serwerze RRAS i wyłączania mniej bezpiecznych metod MS-CHAP v2 i EAP-MS-CHAP v2.
Konfigurowanie metody uwierzytelniania na serwerze RRAS
W tym celu wykonaj następujące czynności:
-
W oknie zarządzania serwerem RRAS otwórz okno dialogowe Właściwości serwera i kliknij kartę Zabezpieczenia.
-
Kliknij pozycję Metody uwierzytelniania.
-
Upewnij się, że jest zaznaczone pole wyboru EAP i że jest wyczyszczone pole wyboru MS-CHAP v2.
Konfigurowanie połączeń serwera NPS
Należy skonfigurować na serwerze zasad sieciowych zezwalanie tylko na połączenia z klientami używającymi metody uwierzytelniania PEAP-MS-CHAP v2. Aby skonfigurować serwer NPS, wykonaj następujące czynności:
-
Otwórz interfejs użytkownika serwera NPS, kliknij pozycję Zasady, a następnie kliknij pozycję Zasady sieciowe.
-
Kliknij prawym przyciskiem myszy pozycję Połączenia z serwerem usługi routingu i dostępu zdalnego firmy Microsoft, a następnie kliknij pozycję Właściwości.
-
W interfejsie użytkownika Właściwości kliknij kartę Ograniczenia.
-
W lewym okienku Ograniczenia wybierz pozycję Metody uwierzytelniania, a następnie wyczyść kliknięciami pola wyboru metod MS-CHAP i MS-CHAP-v2.
-
Usuń pozycję EAP-MS-CHAP v2 z listy Typy protokołu EAP.
-
Kliknij pozycję Dodaj, wybierz pozycję Metoda uwierzytelniania PEAP, a następnie kliknij przycisk OK.
Uwaga Przed skonfigurowaniem połączenia serwera NPS w magazynie osobistych musi być zainstalowany ważny certyfikat serwera, a w magazynie zaufanych głównych urzędów certyfikacji serwera musi być zainstalowany ważny certyfikat główny. -
Kliknij pozycję Edytuj, a następnie wybierz jako metodę uwierzytelniania pozycję EAP-MS-CHAP v2.
Konfigurowanie metody uwierzytelniania PEAP-MS-CHAP v2 na kliencie RRAS
Na klientach sieci VPN z systemem Windows można skonfigurować używanie metody uwierzytelniania PEAP-MS-CHAP v2, wybierając odpowiednią metodę w interfejsie użytkownika właściwości połączenia VPN i instalując odpowiedni certyfikat główny w systemie klienckim.