Протокол MSCHAP (Microsoft Challenge-Handshake Authentication Protocol) версии 2.0 - это протокол проверки подлинности, работающий на основе паролей. Он широко применяется как метод проверки подлинности для VPN на базе протоколов PPTP (Point-to-Point Tunneling Protocol). Корпорация Майкрософт предупреждает, что любое использование MS-CHAP v2 без формирования пакета данных совместно с тоннелями PPTP для соединения VPN потенциально является небезопасным.
ВВЕДЕНИЕ
Корпорация Майкрософт рекомендует организациям, использующим MS-CHAP v2/PPTP, выполнять в своих сетях протокол PEAP (Protected Extensible Authentication Protocol) Таким образом можно смягчить подобную технику путем формирования трафика проверки подлинности MS-CHAP v2 в TLS.
Конфигурирование PPTP для использования PEAP-MS-CHAP v2 для проверки подлинности
PEAP-MS-CHAP v2
PEAP и MS-CHAP v2 в качестве способа проверки подлинности клиента - это один из способов обеспечения проверки подлинности VPN. Для того чтобы сделать выполнение PEAP на клиентских платформах обязательным серверы RRAS (Windows Routing and Remote Access Server) должны быть сконфигурированы так, чтобы разрешать только одно подключение, использующее проверку подлинности PEAP, и должны отказывать в подключении клиентам, использующим MS-CHAP v2 или EAP-MS-CHAP v2. Администраторы должны проверять настройки соответствующего способа проверки подлинности на сервере RRAS и сервере NPS (Network Policy Server).
Администраторы также должны подтвердить следующее:
-
Подтверждение сертификата сервера включено. (По умолчанию включено).
-
Подтверждение имени сервера включено. (По умолчанию включено). Должно быть указано правильное имя сервера.
-
Корневой сертификат, который выдал сертификат сервера, установлен правильно на системе клиента и включен. (Всегда включен).
-
В Windows 7, Windows Vista и Windows XP должен быть поставлен флажок Не запрашивать пользователя авторизовать новые серверы или доверенные центры сертификации. По умолчанию, отключено.
Конфигурирование сервера RRAS для способа проверки подлинности PEAP-MS-CHAP v2
Процесс конфигурации способа проверки подлинности PEAP-MS-CHAP v2 для сервера RRAS и отключения менее надежных методов - MS-CHAP v2 и EAP-MS-CHAP v2 - кратко описан далее.
Конфигурация способа проверки подлинности для RRAS
Для этого выполните следующие действия.
-
В окне управления сервером RRAS откройте окно Свойства и выберите вкладку Безопасность.
-
Выберите Способы проверки подлинности.
-
Убедитесь, что флажок EAP поставлен, а MS-CHAP v2 отключен.
Конфигурация соединений для NPS
Сконфигурируйте сервер политики сети так, чтобы он разрешал только подключения от клиентов, использующих способ проверки подлинности PEAP-MS-CHAP v2. Для конфигурации NPS выполните следующие действия:
-
Откройте интерфейс пользователя NPS, щелкните политик и выберите политики сети.
-
Щелкните правой кнопкой мыши Подключения к серверу маршрутизации и удаленного доступа и выберите Свойства.
-
В пользовательском интерфейса Свойства выберите вкладку Ограничения.
-
В левой части выберите способы проверки подлинности, а затем уберите флажки способов MS-CHAP и MS-CHAP-v2.
-
Удалите EAP-MS-CHAP v2 из списка типов EAP.
-
Нажмите Добавить, выберите способ проверки подлинности PEAP и нажмите OK.
Примечание Действительный сертификат сервера должен быть установлен в личном хранилище, и действительный корневой сертификат должен быть установлен в хранилище "Trusted Root CA" перед конфигурацией соединения NPS. -
Щелкните Редактировать и выберите EAP-MS-CHAP v2 в качестве способа проверки подлинности.
Конфигурирование клиента RRAS для способа проверки подлинности PEAP-MS-CHAP v2
Клиенты Windows VPN должны быть сконфигурированы для использования способа проверки подлинности PEAP-MS-CHAP v2. Для этого нужно выбрать соответствующий способ из свойств соединения VPN и установить подходящий корневой сертификат на систему клиента.
