Microsoft Karşılıklı Kimlik Doğrulama Protokolü sürüm 2 (MS-CHAP v2), PPTP tabanlı (Noktadan Noktaya Tünel Protokolü) VPN'lerinde bir kimlik doğrulaması yöntemi olarak yaygın şekilde kullanılan parola tabanlı bir kimlik doğrulaması protokolüdür. Microsoft, MS-CHAP v2'yi kapsülleme olmadan VPN bağlantısı için PPTP tünelleriyle birlikte kullanan bir kuruluşun potansiyel olarak güvenli olmayan bir yapılandırmada çalıştıkları konusunda uyarır.
GİRİŞ
Microsoft, MS-CHAP v2/PPTP kullanan kuruluşların ağlarında Korumalı Genişletilebilir Kimlik Doğrulama Protokolü'nü (PEAP) uygulamalarını önerir. Bu, MS-CHAP v2 kimlik doğrulaması trafiğini TLS'de kapsülleyerek bu tekniği hafifletir.
PPTP'yi kimlik doğrulaması için PEAP-MS-CHAP v2 kullanmak üzere yapılandırma
PEAP-MS-CHAP v2
İstemci kimlik doğrulaması yöntemi olarak MS-CHAP v2 ile PEAP kullanılması, VPN kimlik doğrulamasını güvenli hale getirmeye yardım etmenin bir yoludur. İstemci platformlarında PEAP kullanımını zorlamak için, Windows Yönlendirme ve Uzaktan Erişim Sunucusu (RRAS) sunucuları, sadece PEAP kimlik doğrulamasını kullanan bağlantılara izin verip, MS-CHAP v2 veya EAP-MS-CHAP v2 kullanan istemcilerden gelen bağlantıları reddetmek üzere yapılandırılmalıdır. Yöneticiler, RRAS sunucusu ve Ağ İlkesi Sunucusu (NPS) sunucusu üzerinde karşılık gelen kimlik doğrulaması yöntemi seçeneklerini denetlemelidir.
Yöneticiler ayrıca aşağıdakileri onaylamalıdır:
-
Sunucu sertifikası doğrulaması açıktır. (Varsayılan davranış AÇIK'tır.)
-
Sunucu Adı doğrulaması açıktır. (Varsayılan davranış AÇIK'tır.) Doğru sunucu adının belirtilmesi gerekir.
-
Sunucu sertifikasının yayımlandığı kök sertifika, istemci sisteminin deposuna doğru şekilde yüklenmiştir ve açıktır. (Her zaman AÇIK).
-
Windows 7, Windows Vista ve Windows XP'de, PEAP özellikleri penceresindeki Yeni sunuculara veya güvenilen sertifika yetkililerine yetki verirken kullanıcıya sorma onay kutusu etkin olmalıdır. Varsayılan olarak, devre dışıdır.
RRAS Sunucusu'nu PEAP-MS-CHAP v2 kimlik doğrulaması yöntemi için yapılandırma
RRAS sunucusu için PEAP-MS-CHAP v2 kimlik doğrulaması yöntemini yapılandırma ve daha az güvenli yöntemler olan MS-CHAP v2 ve EAP-MS-CHAP v2'nin kapatılması yordamı aşağıdaki adımlarda kısaca açıklanmaktadır.
RRAS için kimlik doğrulaması yöntemini yapılandırma
Bunu yapmak için şu adımları uygulayın:
-
RRAS Sunucu Yönetimi penceresinde, Sunucu Özellikleri iletişim kutusunu açın ve ardından Güvenlik sekmesini tıklatın.
-
Kimlik Doğrulama Yöntemleri'ni tıklatın.
-
EAP onay kutusunun seçili olduğundan ve MS-CHAP v2 onay kutusunun seçili olmadığından emin olun.
NPS için bağlantıları yapılandırma
Ağ İlkesi Sunucusu'nu (NPS), sadece PEAP-MS-CHAP v2 kimlik doğrulaması yöntemini kullanan istemcilerin bağlantılarına izin vermek üzere yapılandırın. NPS'yi yapılandırmak için, şu adımları izleyin:
-
NPS kullanıcı arabirimini açın, İlkeler'i tıklatın, ve ardından Ağ İlkeleri'ni tıklatın.
-
Microsoft Yönlendirme ve Uzaktan Erişim Sunucusuna Bağlantılar'ı sağ tıklatın ve ardından Özellikler'i seçin.
-
Özellikler kullanıcı arabiriminde, Kısıtlamalar sekmesini tıklatın.
-
Sol Kısıtlamalar bölmesinde, Kimlik Doğrulama Yöntemleri'ni seçin ve ardından MS-CHAP ve MS-CHAP-v2 yöntemlerinin onay kutularını temizlemek için tıklatın.
-
EAP Türleri listesinden EAP-MS-CHAP v2'yi kaldırın.
-
Ekle'yi tıklatın, PEAP kimlik doğrulaması yöntemini seçin ve ardından Tamam'ı tıklatın.
Not NPS bağlantısını yapılandırmadan önce, sunucunun "Kişisel" deposuna geçerli bir Sunucu sertifikası yüklenmelidir ve "Güvenilen Kök CA" deposuna geçerli bir kök sertifika yüklenmelidir. -
Düzenle'yi tıklatın ve kimlik doğrulaması yöntemi olarak EAP-MS-CHAP v2'yi seçin.
RRAS İstemcisini PEAP-MS-CHAP v2 kimlik doğrulaması yöntemi için yapılandırma
Windows VPN istemcileri, VPN bağlantısı özellikleri kullanıcı arabiriminden karşılık gelen yöntem seçilip istemci sisteminde uygun kök sertifikayı yükleyerek PEAP-MS-CHAP v2 kimlik doğrulaması yöntemini kullanmak üzere yapılandırılabilir.
