Dela via


Улучшения IPsec VPN в Windows 7 и Windows Server 2008 R2

Если вы не провели последние несколько недель в гордом одиночестве в пещере, то уже знаете что вышел Windows 7 RC. Улучшений в этом релизе достаточно много. Написано о них уже преизрядное количество статей. Сегодня хотелось бы поговорить об одной малоизвестной возможности Windows 7 RC и Windows Server 2008 R2. А именно об изменениях в механизмах работы VPN и криптографии. Кроме этого хочется кратко рассказать про новый функционал который появился в подсистеме повторного восстановления VPN соединений (VPN Reconnect) так же известной как Agile VPN.

Что же такое это таинственный Agile VPN? Традиционные VPN системы страдают весьма неприятным недостатком они не защищены от разрыва сетевых соединений и выхода из строя сетевых устройств на всем маршруте от клиента до сервера. Такими устройствами к примеру могут быть маршрутизатор провайдера или сетевой интерфейс клиента или сервера. В этом случае VPN прекращает свое существование до тех пор пока системе не удастся его восстановить, что приводит к разрыву сессий передачи данных защищаемых VPN. При использовании Agile VPN у вас появляется возможность задействовать множество альтернативных путей передачи трафика VPN. Таким образом при внезапной неработоспособности одного из путей VPN канал не разрывается и продолжает работать абсолютно прозрачно для пользователя задействовав альтернативные сетевые маршруты.  Подробнее об прочих возможностях Agile VPN напишу позже.

Еще одно достойное упоминание изменение затронет многих. Дабы улучшить соответствии стандарту RFC 4306 описывающему реализацию  IKEv2 и тем самым повысить безопасность работы IPsec, мы изменили механизм расчета MSK для режима EAP-MSCHAPv2. Подробнее читайте здесь. На что это повлияет можете спросить вы?

Данное изменение сделает невозможным соединение между beta версией клиентской ОС Windows 7 и RC версией серверной ОС Windows Server 2008 R2 в случае если вы используете механизм аутентификации EAP-MSCHAPv2. Соединение от сервера к клиенту также работать не будет.

Второе изменение касается механизма проверки сертификатов в IKEv2 на клиентской стороне. Теперь клиентская ОС Windows 7 RC при инициации VPN соединения проверяет сертификат сервера VPN. Это позволит повысить безопасность IKEv2 и защититься от MITM атак. Отключить данный механизм безопасности на клиентской стороне невозможно.

Надеюсь это поможет вам сделать ваши системы более надежными, защищенными и упростит интеграцию с реализациями IPsec от других производителей.