L2TP / IPSec: autenticación mutua ANTES de que el usuario pueda acceder a VPN

Navega tus respuestas
4

Me encontré con una pregunta

  

Usted es el administrador de red de su empresa. Has desplegado   Windows Server 2008 en todos los servidores de su empresa.

     

Ha implementado el rol de Servicio de acceso y política de red en un   Servidor Windows Server 2008 R2 denominado SRV_NPS. Necesitas configurar   SRV_NPS como un servidor de red privada virtual (VPN). Necesitas asegurarte   que tanto el usuario como la máquina se requieren autenticación ANTES de ganar   acceso al servidor VPN.

     

¿Qué método de autenticación debes usar?

Las opciones son

  

L2TP / IPSec

     

EAP-TLS

     

SSTP

     

SSTP

Elegí EAP-TLS porque pensé que tanto el usuario como la máquina se autentican, pero la respuesta es L2TP / IPSec porque dicen que el usuario y la máquina se autentican ANTES de que el usuario pueda acceder a la VPN.

Pero no puedo entender en qué se diferencia esto de EAP-TLS. ¿Cómo permitiría EAP-TLS el acceso del usuario a VPN antes de la autenticación mutua? Por favor aclarar.

    
pregunta Glowie 03.11.2014 - 00:04
fuente

1 respuesta

3

EAP-TLS es solo una implementación de SSL / TLS. Lo que no une a ningún cliente en particular a una máquina. EAP-TLS usa certificados X.509 para autenticar clientes en un servidor. Pero los certificados no están vinculados a una máquina específica. El certificado de ClientA no está vinculado a la dirección IP 1.1.1.1, es solo lo que se presenta para identificar al cliente.

Sin embargo, L2TP / IPSec proporciona autenticación de usuario y de máquina. IPSec establece un túnel seguro mediante el uso de políticas de seguridad. Una política de seguridad IPSec se almacena en una tabla y se hace referencia mediante un índice de parámetros de seguridad (SPI). Cada SPI está vinculado a una dirección IP. Si un paquete cifrado entrante no tiene el SPI y la dirección IP correctos, no se procesará. L2TP proporciona el mecanismo de autenticación del usuario. Una vez que se establece el túnel IPSec, se activa un túnel L2TP.

RFC2661 Sección 9.4 de L2TP :

  

IPsec también define las funciones de control de acceso que se requieren para una implementación compatible con IPsec. Estas características permiten el filtrado de paquetes según las características de la red y la capa de transporte, como la dirección IP, los puertos, etc. . En el modelo de tunelización L2TP, el filtrado análogo se realiza lógicamente en la capa PPP o capa de red por encima de L2TP. Estas funciones de control de acceso a la capa de red pueden manejarse en el LNS a través de funciones de autorización específicas del proveedor basadas en el usuario PPP autenticado, o en la propia capa de red utilizando el modo de transporte IPsec de extremo a extremo entre los hosts que se comunican. Los requisitos para los mecanismos de control de acceso no son parte de la especificación L2TP y, como tales, están fuera del alcance de este documento .

Esto implica que IPSec proporciona controles de acceso a la capa de red como lo dije anteriormente, pero no realizados por L2TP.

L2TP proporciona autenticación de usuario en una especie de primo primo dos veces una vez que se elimina el tipo de vía. L2TP es un protocolo de tunelización que ejecuta Protocolo punto a punto (PPP) a través de ese túnel. PPP proporciona mecanismos para la autenticación del usuario; usando Protocolo de autenticación de contraseña (PAP, que está en desuso) o Challenge Handshake Authentication Protocol (CHAP).

    
respondido por el RoraΖ 03.11.2014 - 14:16
fuente

Lea otras preguntas en las etiquetas

Construyendo un proyecto en ARM Cortex-M, ¿puedo hacer algo para mantener la IP segura? Tratar con imitaciones chinas y harto de eso. ¿Es seguro usar preyproject?