Пратакол | Асноўныя характарыстыкі | Уразлівасці | Рэкамендуемыя альтэрнатывы |
---|---|---|---|
PPTP | Шырока выкарыстоўваецца, простая канфігурацыя | Успрымальны да пазасеткавых атак грубай сілы | SSTP, IKEv2 |
L2TP | У спалучэнні з IPsec для шыфравання | Няправільная канфігурацыя можа падвергнуць сістэмы атакам | SSTP, IKEv2 |
SSTP | Выкарыстоўвае SSL/TLS для бяспечнага шыфравання, сумяшчальны з брандмаўэрам | Бяспечны і надзейны | Рэкамендуецца ў якасці альтэрнатывы |
IKEv2 | Хуткае злучэнне, бяспечнае, зручнае для мабільных прылад | Высокая бяспека і адаптыўнасць да змен сеткі | Рэкамендуецца для выканання |
Агляд рашэння Microsoft
Microsoft абвясціла аб сваім плане спыніць падтрымку PPTP (пратакол тунэлявання кропка-кропка) і L2TP (пратакол тунэлявання ўзроўню 2) у будучых версіях Windows Server. Гэтыя пратаколы, якія шырока выкарыстоўваліся больш за 20 гадоў для аддаленага доступу да карпаратыўных сетак, цяпер лічацца менш бяспечнымі з-за сучасных кіберпагроз. Microsoft заклікае адміністратараў выкарыстоўваць больш бяспечныя альтэрнатывы, такія як пратакол тунэлявання бяспечных сокетаў (SSTP) і Інтэрнэт-абмен ключамі версіі 2 (IKEv2).
Чаму Microsoft спыняе падтрымку PPTP і L2TP?
Уразлівасці PPTP
PPTP доўгі час быў папулярным пратаколам VPN для многіх арганізацый дзякуючы прастаце канфігурацыі і шырокай даступнасці. Аднак яго бяспека састарэла. Адной з асноўных праблем PPTP з'яўляецца яго ўразлівасць да пазасеткавых атак грубай сілы. Зламыснікі могуць выкарыстоўваць слабыя месцы, перахопліваючы хэшы аўтэнтыфікацыі, палягчаючы ўзлом уліковых даных. Гэта робіць PPTP непрыдатным для бяспечных сеткавых асяроддзяў сёння.
Абмежаванні L2TP
L2TP сам па сабе не забяспечвае шыфраванне, што робіць яго залежным ад спалучэння з IPsec для бяспечнай сувязі. Аднак, калі L2TP і IPsec настроены няправільна, гэта адкрывае дзверы для патэнцыйных рызык бяспекі. Складанасць правільнай наладжвання гэтых пратаколаў разам з узрослай складанасцю сучасных атак прывялі да рашэння Microsoft паступова адмовіцца ад іх выкарыстання.
Рэкамендуемыя альтэрнатывы PPTP і L2TP
SSTP: Пратакол тунэлявання бяспечнага сокета
SSTP - адзін з пратаколаў, якія Microsoft прапануе ў якасці замены PPTP і L2TP. Гэты пратакол выкарыстоўвае шыфраванне SSL/TLS, якое добра вядома тым, што забяспечвае вельмі бяспечны канал сувязі. Вось некаторыя ключавыя перавагі SSTP:
- Надзейнае шыфраванне: SSTP выкарыстоўвае SSL/TLS, які гарантуе бяспеку даных, якія перадаюцца праз VPN.
- Сумяшчальны з брандмаўэрам: SSTP можа абыходзіць большасць брандмаўэраў і проксі-сервераў, забяспечваючы бясшвоўнае злучэнне.
- Прастата выкарыстання: Дзякуючы ўбудаванай падтрымцы ў Windows, SSTP лёгка наладзіць і разгарнуць для адміністратараў.
IKEv2: Інтэрнэт-абмен ключамі, версія 2
Яшчэ адной моцнай альтэрнатывай з'яўляецца IKEv2, які прапануе некалькі пераваг перад сваімі папярэднікамі:
- Палепшаная бяспека: IKEv2 падтрымлівае надзейныя алгарытмы шыфравання і метады аўтэнтыфікацыі, забяспечваючы бяспечную сувязь.
- Зручны для мабільных прылад: IKEv2 асабліва эфектыўны для мабільных карыстальнікаў, паколькі ён падтрымлівае злучэнне VPN нават пры змене сеткі, напрыклад, пры пераходзе паміж Wi-Fi і сотавай сеткай.
- Высокая прадукцыйнасць: IKEv2 хутка стварае VPN-тунэлі з меншай затрымкай, забяспечваючы лепшую прадукцыйнасць у параўнанні з PPTP і L2TP.
Графік Microsoft для спынення падтрымкі
Важна адзначыць, што спыненне падтрымкі PPTP і L2TP не азначае, што гэтыя пратаколы будуць неадкладна выдалены з усіх сістэм. Microsoft удакладніла, што працэс зойме час, што дазволіць адміністратарам зрабіць неабходныя пераходы. Будучыя версіі сервера Windows RRAS (сервер VPN) больш не будуць прымаць уваходныя злучэнні PPTP і L2TP. Аднак карыстальнікі па-ранейшаму змогуць ствараць выходныя злучэнні з выкарыстаннем гэтых пратаколаў у агляднай будучыні.
Як адміністратары павінны падрыхтавацца?
Адміністратары павінны пачаць планаваць пераход на больш бяспечныя пратаколы, такія як SSTP або IKEv2. Паступаючы такім чынам, арганізацыі могуць пераканацца, што яны выкарыстоўваюць сучасныя стандарты бяспекі і пазбегнуць уразлівасцяў, звязаных з састарэлымі пратаколамі. Microsoft прадаставіла дастаткова часу для адміністратараў, каб зрабіць зрух, таму выкарыстанне пераваг гэтага акна вельмі важна.
Параўнанне пратаколаў | Бяспека | Прастата ўстаноўкі | Прадукцыйнасць |
---|---|---|---|
PPTP | Нізкі | Высокі | Умераны |
L2TP (з IPsec) | Умераны | Нізкі (складаная ўстаноўка) | Умераны |
SSTP | Высокі | Высокі | Высокі |
IKEv2 | Высокі | Умераны | Высокі |
Заключныя думкі
Рашэнне аб паступовым адмове ад PPTP і L2TP азначае неабходны крок да ўмацавання бяспекі ў асяроддзі Windows Server. Гэтыя састарэлыя пратаколы больш не адпавядаюць патрабаванням сучасных складаных сеткавых пагроз, і арганізацыі павінны развівацца, каб абараняць свае канфідэнцыяльныя даныя. SSTP і IKEv2 прапануюць надзейныя сучасныя рашэнні для падключэння да VPN, забяспечваючы бяспеку і прадукцыйнасць.
Для адміністратараў, якія кіруюць асяроддзем Windows Server, гэта змяненне дае магчымасць перагледзець бягучыя канфігурацыі і прыняць больш бяспечныя метады. Паколькі падтрымка PPTP і L2TP згортваецца, прыйшоў час прыняць будучыню бяспечных пратаколаў тунэлявання.