VPN 的安全建议
当使用 ISA Server 2004 作为虚拟专用网络 (VPN) 服务器时,遵循最佳安全操作很重要。下面列出了保护作为 VPN 服务器的 ISA 服务器计算机安全性的建议:
- 当确定启用哪些身份验证方法时,请遵循下列准则。有关身份验证方法的更多信息,请参阅 VPN 身份验证。
- 使用能够提供足够安全性的身份验证方法。最安全的身份验证方法是将可扩展的身份验证协议 - 传输层安全性 (EAP-TLS) 与智能卡结合起来使用。尽管使用 EAP-TLS 与智能卡(需要公钥基础结构 (PKI))需要解决一些部署上的问题,但这仍然被认为是一种最安全的身份验证方法。
- 如果采用基于密码的身份验证,那么在网络上强制采用强密码策略将使得词典攻击实施起来更困难。
- 应该考虑要求远程 VPN 客户端使用更安全的身份验证协议来通过身份验证,如 Microsoft 质询握手身份验证协议版本 2 (MS-CHAP v2) 或可扩展的身份验证协议 (EAP),而不要允许它们使用密码身份验证协议 (PAP)、Shiva 密码身份验证协议 (SPAP) 以及质询握手身份验证协议 (CHAP) 等协议。
- 我们强烈推荐禁用密码身份验证协议 (PAP)、Shiva 密码身份验证协议 (SPAP) 以及质询握手身份验证协议 (CHAP)。PAP、SPAP 和 CHAP 是默认禁用的。
- 在远程访问策略的配置文件上启用 EAP-TLS。该协议在默认情况下被禁用。使用 EAP-TLS 身份验证协议时,必须在 Internet 验证服务 (IAS) 服务器上安装计算机证书。为进行客户端和用户身份验证,可以在客户端计算机上安装证书,或者可以使用智能卡。部署证书之前,必须设计满足适当要求的证书。
- 要实现最强的加密,建议采用 Internet 协议安全 (IPSec) 上的第 2 层隧道协议 (L2TP) 连接。
注意
- 建议您执行并强制采用强密码策略,以减小词典攻击的可能性。当执行此类策略时,可以禁用帐户锁定,以减小攻击者触发帐户锁定的可能性。
- 考虑要求远程 VPN 客户端运行特定的操作系统(如 Microsoft® Windows Server™ 2003 家族的成员、Windows® 2000 和 Windows XP)。不是所有操作系统的文件系统和用户记帐系统都具有同等级别的安全性。同样,不是所有操作系统都具有所有远程访问功能。
- 使用 ISA 服务器隔离控制功能为远程 VPN 客户端提供阶段性的网络访问。通过使用隔离控制,客户端在被允许访问网络之前处于隔离模式。尽管隔离控制并不防范攻击者,但是已授权的用户在访问网络前,其计算机配置可以得到验证,如有必要,也可以得到更正。有关详细信息,请参阅 VPN 和隔离。
- 不会自动阻止已感染病毒的 VPN 客户端计算机通过不断发送请求来溢出 ISA 服务器计算机或它所保护的网络。要防止这种情况的发生,请实施监视措施,以检测通讯负载中的异常(如警报或非正常高峰),并配置警报通知使用电子邮件。如果确定了受感染的 VPN 客户端计算机,请采取下列措施之一:
- 通过采用远程访问策略 (RAP) 来按用户名限制 VPN 访问,以便将该用户从被允许连接的 VPN 客户端中排除。
- 按 IP 地址限制 VPN 访问。方法是:创建包含要阻止的外部 IP 地址的新网络,并将该客户端的 IP 地址从外部网络移动到新网络。