这些年来,我已经使用了一些VPN解决方案。大多数都难以设置,连接速度慢和/或行为异常(更换系统驱动程序,互相干扰等)。
我以前从未使用过的一种解决方案是Windows内置的解决方案。这主要是因为基础设施人员总是声称不安全,因此拒绝使用它。
现在,我终于有机会使用它(在Windows 7上),哇,这很容易!易于设置,行为良好,它几乎可以立即连接,可以使用我登录的凭据自动进行身份验证,并且可以与UI完美集成。我不得不说,除非它确实不安全,否则如果我永远不必再次使用另一种VPN产品,我将感到高兴。
我收集了过去依赖于PPTP的Windows VPN,这并不安全。但是在Windows 7/2008中,它支持L2TP / IPSec,SSTP和IKEv2,并通过EAP或CHAP / CHAPv2进行身份验证。对我来说,这似乎是最新的。
但是我只是一个低级的开发人员。知道的人可以给我这个低调吗?
Answers:
像所有安全性一样,它取决于您如何配置它。
可以将其设置为非常安全。在某个时间点(大约Win98),它出现了问题。从那时起,MS对其进行了修复(大约1999年)。这里有一个密码分析。最重要的是,用户密码是最弱的链接(应该如此)。
通过使用客户端身份验证证书可以缓解某些用户密码问题。如果您已经具有良好的PKI基础结构,则可能已经自动颁发了客户端(计算机)证书。PPTP可以使用这些来证明应该允许计算机尝试使用用户名和密码对。但是,不需要证书,PPTP仍然和密码一样安全。
MS提供了有关如何设置PPTP(包括EAP / TLS)以及L2TP(L2TP确实需要证书/ PKI)的文章。这两个都是针对Win2003的,但是它们足够了解所需的内容。并有关于2008年的文件。如评论中所述,PAP和CHAP的任何变体都是不安全的(因为它们可能会被琐碎的资源强行压迫)。
如果您的IT部门告诉您PPTP不安全,那么他们要么没有跟上问题的发生(自<1999年起),要么由于其他原因将“不安全”作为应对措施。
同时,克里斯的答案已经过时。Moxie Marlinspike证明了PPTP是不安全的。因此,仅应使用L2TP / IPSec,带IKEv2的IPSec或OpenVPN。