|
|
PPTP是PPP的扩展,它增加了一个新的安全等级,并且可以通过Internet 进行多协议通信,它支持通过公共
M6 e b% ^2 I" ]& t网络(如Internet)建立按需的、多协议的、虚拟专用网络。PPTP 可以建立隧道或将 IP、IPX 或 NetBEUI 协
v1 T8 H' z7 U0 }/ ?, H议封装在 PPP 数据包内,因此允许用户远程运行依赖特定网络协议的应用程序。PPTP在基于 TCPIP 协议的数
. m5 h$ G: }: ?1 _$ Y9 f% |2 W据网络上创建 VPN连接,实现从远程计算机到专用服务器的安全数据传输。VPN服务器执行所有的安全检查和验
! h+ B7 T( Q) x) K0 T: e1 i0 h证,并启用数据加密,使得在不安全的网络上发送信息变得更加安全。尤其是使用EAP后,通过启用 PPTP 的 " ~9 M$ B, L g2 }" A5 U7 ~0 F/ `3 c
VPN传输数据就象在企业的一个局域网内那样安全。另外还可以使用 PPTP 建立专用 LAN 到 LAN 的网络。
! p& H' N, V3 a4 B& C- ?- }. o) N' m( V
下面介绍一下海蜘蛛中PPTP VPN进行身份验证的几种方法。
* w( i3 m$ \5 n7 ^2 t/ L1 Q5 b9 a* q) R- c
PAP 口令验证协议 是一种简单的明文验证方式。NAS(网络接入服务器,Network Access Server)要求用
: r( a+ L% T+ T; r* U户提供用户名和口令,PAP以明文方式返回用户信息。很明显,这种验证方式的安全性较差,第三方可以很容易
* n9 z( F, J4 f的获取被传送的用户名和口令,并利用这些信息与NAS建立连接获取NAS提供的所有资源。所以,一旦用户密码被
6 P* k8 f0 d+ w+ d+ X第三方窃取,PAP无法提供避免受到第三方攻击的保障措施。# N, _6 @ G5 B8 z* X
CHAP CHAP通过使用MD5(一种工业标准的散列方案)来协商一种加密身份验证的安全形式。CHAP 在响应时
' ]& k& ]& j9 O" s使用质询-响应机制和单向 MD5 散列。用这种方法,可以向服务器证明客户机知道密码,但不必实际地将密码发4 B4 t) A7 u+ x# p6 j
送到网络上。
1 [' ]! l0 F& X2 L0 _- ?9 e3 w5 \! R8 X4 t! [
MS-CHAP 同CHAP相似,微软开发MS-CHAP 是为了对远程 Windows 工作站进行身份验证,它在响应时使用质
9 _- L! _& }9 @, B; s. T询-响应机制和单向加密。而且 MS-CHAP 不要求使用原文或可逆加密密码。
; p2 _$ @- ?3 U- I2 E
- ^; H9 M5 J1 r% r2 U* { MS-CHAP v2 MS-CHAP v2是微软开发的第二版的质询握手身份验证协议,它提供了相互身份验证和更强大的2 H- @: F5 Z! u P& V
初始数据密钥,而且发送和接收分别使用不同的密钥。如果将VPN连接配置为用 MS-CHAP v2 作为唯一的身份验
3 J' @( I; c1 K6 X9 j i证方法,那么客户端和服务器端都要证明其身份,如果所连接的服务器不提供对自己身份的验证,则连接将被断
3 t. E9 \) b N$ `+ H) ]开。
$ y8 o* M$ v c2 y. d 值得注意的是。VPN服务端和VPN客户端之间一定要采用相同的身份验证,比如VPN服务端选择了MS-CHAP2,3 r) C7 \3 N8 B! @+ |5 G
那么相应的VPN客户端也要选择MS-CHAP2,否则无法连接。PAP口令验证协议。由于是明文的。极为不安全,一般
* E. H; z* D Q) P# I不采取这个方式!有人问海蜘蛛的PPTP和ROS的PPTP如何连接,其实也是一样的。开好VPN用户。选择相同的身份
4 ^* c! f+ J" \# g1 f验证协议。同样是没有问题的! |
|
粤公网安备44152102000001号 
发表于 2008-10-22 09:25:28