Windows Server 2008 R2 como servidor VPN

5

Vou configurar uma rede em um data center e gostaria de saber se é possível ter o Windows Server 2008 R2 como servidor VPN.

Além disso, ouvi dizer que existem 3 tipos principais de VPN: PPTP, L2TP / IPSec e SSTP. Após algumas investigações, parece que é possível permitir suporte nativo (no nível do SO) para Mac OS X, Linux e Windows. Eu usaria PPTP ou L2TP / IPSec. Eu também li que o L2TP é mais seguro que o PPTP, isso é verdade?

Por último, é uma boa ideia instalar o servidor VPN no controlador de domínio primário (PDC), se não, por quê?

    
por Chad Moran 23.07.2010 / 02:53

2 respostas

3

PPTP é o 'menos' seguro do grupo; mas ainda é seguro o suficiente para todos os dados, exceto FIPS-140, quando você usa os protocolos de autenticação EAP- *. O MS-CHAPv2 também é muito seguro. Mas depende de senhas, que é quase sempre o ponto fraco (isso e engenharia social, que é incrivelmente eficaz).

O L2TP é mais seguro e você deve implantá-lo com certificados, não um PSK. Isso requer uma PKI, que não é muito difícil de configurar. É mais seguro que o PPTP, mas apenas por requerer o certificado ou o PSK.

O SSTP é basicamente tão seguro quanto o L2TP, ele usa certificados novamente, ainda precisa de uma PKI. A principal vantagem é que ele funciona com firewalls baratos (ou com configuração restrita) que bloqueiam o tráfego de GRE e UDP (para PPTP e L2TP, respectivamente).

A melhor prática é ter o AD instalado sozinho (ou com DNS) em um servidor; mas as pessoas freqüentemente instalam outros serviços sem problemas significativos. Tenha em mente que, se esse servidor conectado à Internet estiver comprometido, seu banco de dados do AD será automaticamente comprometido.

    
por 23.07.2010 / 03:31
1

É um compromisso entre segurança / interoperabilidade / sobrecarga de configuração

PPTP é provavelmente o mais interoperável & funciona bem sobre coisas como NAT, se você pode configurar o encaminhamento de pacotes do GRE e o TCP 123 de porta para a frente. Contanto que você esteja usando o MSCHAPv2 (que você poderia estar no servidor do Windows 2008), provavelmente está ok.

L2TP requer a configuração de PKI e há algumas etapas adicionais que você precisa fazer se você quer que seu servidor VPN esteja em uma rede NAT.

SSTP é o novo garoto no bloco e, provavelmente, em algum lugar intermediário para overhead / interop de configuração. Se você está olhando para provas futuras, então este é o caminho a percorrer. Não sei se existe algum suporte funcional do Mac OS.

Usar o AD como um servidor VPN provavelmente não é a melhor prática, mas em um ambiente SOHO o servidor VPN geralmente é o DC (think SBS).

    
por 23.07.2010 / 03:55