远程访问的类型使用的协议和身份验证方法介绍-白红宇

远程访问的类型使用的协议和身份验证方法介绍

阅读量：5747 次

发布时间：2019-06-18

本文共 5880 字，大约阅读时间需要 19 分钟。

1.1 远程访问

通过将“路由和远程访问”配置为充当远程访问服务器，可以将远程工作人员或流动工作人员连接到组织网络上。远程用户可以像其计算机物理连接到网络上一样进行工作。

利用远程访问连接可以使用通过 LAN 连接的用户通常可用的所有服务（包括文件共享和打印共享、Web 服务器访问和消息传递）。例如，在运行“路由和远程访问”的服务器上，客户端可以使用 Windows 资源管理器来建立驱动器连接和连接到打印机。由于远程访问完全支持驱动器号和通用命名约定 (UNC) 名称，所以，大多数商用应用程序和自定义应用程序不必进行修改即可使用。

运行“路由和远程访问”的服务器提供两种不同类型的远程访问连接：

? 虚拟专用网络 (×××)

××× 可以跨专用网络或公用网络（例如 Internet）创建安全的点对点连接。××× 客户端使用基于 TCP/IP 的特殊协议（称为隧道协议）对 ××× 服务器上的虚拟端口进行虚拟呼叫。虚拟专用网络的最佳示例是与连接到 Internet 的远程访问服务器建立 ××× 连接的 ××× 客户端。远程访问服务器应答虚拟呼叫，对呼叫者进行身份验证，并在 ××× 客户端与公司网络之间传输数据。

与拨号网络相反，××× 始终是通过公用网络（例如 Internet）在 ××× 客户端与 ××× 服务器之间建立的逻辑间接连接。为了确保隐私安全，必须对通过该连接发送的数据进行加密。

? 拨号网络

在拨号网络中，远程访问客户端使用电信提供商的服务（例如模拟电话和 ISDN）与远程访问服务器上的物理端口建立非永久的拨号连接。拨号网络的最佳示例是拨打远程访问服务器的一个端口的电话号码的拨号网络客户端。

基于模拟电话或 ISDN 的拨号网络是拨号网络客户端与拨号网络服务器之间的直接物理连接。可以对通过该连接发送的数据进行加密，但并非必须。

本章内容详细介绍如何使用Microsoft?Windows? Server 2008实现一个远程网络资源访问方案。讲述如何配置×××（虚拟专用网）隧道。他们如何进行身份验证。

1.2 ×××介绍

×××是当前应用较为广泛的技术，既可以使用×××技术使出差的用户或能够通过Internet访问内网，通过配置站点间×××将两个局域网通过Internet连接起来。

1.2.1 什么是×××

×××的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。顾名思义，虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。×××技术原是路由器具有的重要技术之一，目前在交换机，防火墙设备或WINDOWS2008等软件里也都支持×××功能，一句话，×××的核心就是在利用公共网络建立虚拟私有网。

虚拟专用网（×××）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。下面我们结合本站有关思科及微软关于×××方面的文章为大家介绍这方面的资讯，更多更丰富的相关方面内容我们将在以后日子里进行补充。

1.2.2 ×××的分类方案

针对不同的用户要求，×××有三种解决方案：远程访问虚拟网（Access ×××）、企业内部虚拟网（Intranet ×××）和企业扩展虚拟网（Extranet ×××），这三种类型的×××分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet（外部扩展）相对应。

1.2.3 ×××需求及可解决方案

虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。通过将数据流转移到低成本的压网络上，一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时，这将简化网络的设计和管理，加速连接新的用户和网站。另外，虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展，企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上，而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

目前很多单位都面临着这样的挑战：分公司、经销商、合作伙伴、客户和外地出差人员要求随时经过公用网访问公司的资源，这些资源包括:公司的内部资料、办公OA、ERP系统、CRM系统、项目管理系统等。现在很多公司通过使用IPSec ×××来保证公司总部和分支机构以及移动工作人员之间安全连接。

对于很多IPSec ×××用户来说，IPSec ×××的解决方案的高成本和复杂的结构是很头疼的。存在如下事实：在部署和使用软硬件客户端的时候，需要大量的评价、部署、培训、升级和支持，对于用户来说，这些无论是在经济上和技术上都是个很大的负担，将远程解决方案和昂贵的内部应用相集成，对任何IT专业人员来说都是严峻的挑战。由于受到以上IPSec ×××的限制，大量的企业都认为IPSec ×××是一个成本高、复杂程度高，甚至是一个无法实施的方案。为了保持竞争力，消除企业内部信息孤岛，很多公司需要在与企业相关的不同的组织和个人之间传递信息，所以很多公司需要找一种实施简便，不需改变现有网络结构，运营成本低的解决方案。

×××是Virtual Private Network的缩写，中文译为虚拟专用网。Virtual Network的含义有两个，一是×××是建立在现有物理网络之上，与物理网络具体的网络结构无关，用户一般无需关心物理网络和设备；二是×××用户使用×××时看到的是一个可预先设定义的动态的网络。Private Network的含义也有两个，一是表明×××建立在所有用户能到达的公共网络上，特别是Internet，也包括PSTN、帧中继、ATM等，当在一个由专线组成的专网内构建×××时，相对×××这也是一个“公网”；二是×××将建立专用网络或者称为私有网络，确保提供安全的网络连接，它必须具备几个关键功能：认证、访问控制、加密和数据完整。

1.2.4 ×××使用的协议

×××中的隧道是由隧道协议形成的，×××使用的隧道协议主要有三种：点到点隧道协议（PPTP）、第二层隧道协议（L2TP）以及IPSec。

PPTP封装了PPP数据包中包含的用户信息，支持隧道交换。隧道交换可以根据用户权限，开启并分配新的隧道，将PPP数据包在网络中传输。另外，隧道交换还可以将用户导向指定的企业内部服务器。PPTP便于企业在防火墙和内部服务器上实施访问控制。位于企业防火墙的隧道终端器接受包含用户信息的PPP数据包，然后对不同来源的数据包实施访问控制。

L2TP协议综合了PPTP协议和L2F（Layer 2 Forwarding）协议的优点，并且支持多路隧道，这样可以使用户同时访问Internet和企业网。

IPSec是用来增强×××安全性的标准协议。IPSec包含了用户身份认证、查验和数据完整性等内容。该协议标准由IETF组织制订，其中规定了用以在两个IP工作站之间进行加密、数字签名等而使用的一系列IP级协议。IPSec实现来自不同厂商的设备在进行隧道开通和终止时的互操作。另外，由于IPSec的安全×××与密钥管理系统松散耦合，所以当密钥管理系统发生变化时，IPsec的安全机制不需要进行修改。

PPTP和L2TP都使用PPP协议对数据进行封装，然后添加附加包头用于数据在互联网络上的传输。尽管两个协议非常相似，但是仍存在以下几方面的不同：

? PPTP要求互联网络为IP网络。L2TP只要求隧道媒介提供面向数据包的点对点的连接。L2TP可以在IP（使用UDP），帧中继永久虚拟电路（PVCs)，X.25虚拟电路（VCs）或ATM VCs网络上使用。

? PPTP只能在两端点间建立单一隧道。L2TP支持在两端点间使用多隧道。使用L2TP，用户可以针对不同的服务质量创建不同的隧道。

? L2TP可以提供包头压缩。当压缩包头时，系统开销（overhead）占用4个字节，而PPTP协议下要占用6个字节。

? L2TP可以提供隧道验证，而PPTP则不支持隧道验证。但是当L2TP或PPTP与IPSEC共同使用时，可以由IPSEC提供隧道验证，不需要在第2层协议上验证隧道

1.2.5 新的协议SSTP的支持及介绍

随着windows server 2008的发布，相信新的功能和特性让IT专家们兴奋不已，在新的功能中，SSTP协议支持让通过WINDOWS 2008进行SSL-×××访问成为了可能。

SSTP是微软提供的新一代的虚拟专用网（×××）技术，它的全称是安全套接层隧道协议（Secure Socket Tunneling Protocol;sstp），和PPTP L2TP OVER IPsec一样，也是微软所提供的×××技术。在拥有最大弹性发挥的同时，又确保信息安全达到了一定程度。

目前，支持SSTP技术的仅限于如下OS：Windows XP Sp3、Windows Vista Sp1以及Windows 2008。通使用此项新技术，可以使防火墙管理员能更容易的配置策略使SSTP流量通过其防火墙。它提供了一种机制，将PPP数据包封装在HTTPS的SSL通讯中，从而使PPP支持更加安全身份验方法，如EAP-TLS等。

PPTP及L2TP OVER IPSEC在使用过程中的不足

新的SSTP协议的支持，并没有完全否决PPTP及L2TP OVER IPSEC在微软产品所组成的解决方案中的作用，当企业使用基于WINDOWS 平台的×××解决方案时，这种协议仍是被常用来解决或是提升企业网络安全性。但两者的数据包通过防火墙、NAT、WEB PROXY时却都有可能发生一些连线方面的问题。

PPTP数据包通过防火墙时，防火墙需被设定成同时充许TCP连接以及GRE封装的数据通过，但大部分ISP都会阻止这种封包，从而造成连线的问题；而当你的机器位于NAT之后，NAT亦必需被设定成能转发GRE协议封装的数据包。否则就会造成只能建立PPTP的TCP连接，而无法接收GRE协议封装的数据包；WEB PROXY是不支持PPTP 协议的。

L2TP OVER IPSEC的情况和此类似，需要在防火墙上充许IKE 数据和ESP封装的数据同时通过，否则也会出现连接问题。且WEB PROXY也是不支持L2TP OVER IPSEC协议的。

SSTP的执行过程：

上面简要介绍了SSTP协议的优势以及PPTP等之前两种协议的不足，下面就来说下XP WITH SP3 或是VISTA WITH SP1等客户端是如何连接到WINDOWS 2008 SSL（SSTP）×××服务器的：

1. SSTP ×××客户端以随机的TCP端口建立TCP连接至SSTP ×××服务器（常常是SSTP ××× 网关服务器）上的TCP 443端口。

2. SSTP ×××客户端发送一个SSL "Client-Hello"消息给SSTP ×××服务器，表明想与此建立一个SSL会话。

3. SSTP ×××服务器发送"其机器证书"至SSTP ×××客户端。

4. SSTP ×××客户端验证机器证书，决定SSL会话的加密方法，并产生一个以SSTP ×××服务器公钥加密的SSL会话密钥，然后发送给SSTP ×××服务器。

5. SSTP ×××服务器使用此机器证书私钥来解密收到的加密的SSL会话，之后两者之间所有的通讯都以协商的加密方法和SSL 会话密钥进行加密。

6. SSTP ×××客户端发送一个基于SSL的HTTP（HTTPS）请求至SSTP ×××服务器。

7. SSTP ×××客户端与SSTP ×××服务器协商SSTP隧道。

8. SSTP ×××客户端与SSTP ×××服务器协商包含"使用PPP验证方法验（或EAP验证方法）证使用者证书以及进行IPV4或IPV6通讯"的PPP连接。

9. SSTP ×××客户端开始发送基于PPP连接的IPV4或IPV6通讯流量（数据）。

1.2.6 远程访问身份验证方法

Windows Server? 2008 中的远程访问支持下表中列出的点对点协议 (PPP) 身份验证协议。

协议	说明	安全级别
PAP（密码身份验证协议）	使用纯文本密码。如果远程访问客户端和远程访问服务器无法协商更安全的验证形式，则通常使用 PAP。	最不安全的身份验证协议。不抵御重播***、远程客户端模拟和远程服务器模拟。
CHAP（质询握手身份验证协议）	一种质询-响应身份验证协议，使用行业标准的 Message Digest 5 (MD5) 哈希方案来对响应加密。	优于 PAP 的是不会通过 PPP 链路发送密码。要求使用纯文本版本的密码来验证质询响应。不抵御远程服务器模拟。
MS-CHAP v2（Microsoft 质询握手身份验证协议第 2 版）	MS-CHAP 的升级。提供双向身份验证，也称为相互身份验证。远程访问客户端收到其拨入的远程访问服务器有权访问用户密码的验证。	安全性强于 CHAP。
EAP（可扩展的身份验证协议）	允许使用身份验证方案（称为 EAP 类型）对远程访问连接进行随意身份验证。	可以最灵活地改变身份验证，安全性最强。