Обеспечение оптимальной безопасности для ваших VPN-подключений

Чтобы обеспечить оптимальную безопасность VPN-подключений, следуйте советам в следующих разделах.

Ограничьте до минимума число пользователей VPN

Разрешите иcпoльзoвaниe

Используйте L2TP вместо РРТР

Используйте L2TP вместо РРТР, поскольку первый лучше защищен. Если на клиентах установлены Windows ХР или 2000, то единственной причиной выбора РР2Р является то, что VPN-cepeep работает под Windows ХР (чего быть не должно, поскольку ХР ограничивает сервер поддержкой одного одновременного подключения) либо на компьютерах клиентов не установлены сертификаты.

Закройте все ненужные порты VPN

По умолчанию при включении RRAS Windows 2000 Server настраивает пять портов для РРТР-подключений и пять портов для Е2ТР-подключений. Уменьшите их количество до минимально необходимого для обеспечения потребностей подключения. К примеру, если серверу не нужна возможность поддержки более трех одновременных VPN-подключений и все клиенты будут использовать Windows 2000 или ХР, отключите РРТР-лорты и уменьшите количество портов L2TP до трех.

Для изменения открытых портов щелкните правой кнопкой по элементу Порты (Ports) в консоли маршрутизации и удаленного доступа (Routing And Remote Access Console) и выберите в контекстном меню пункт Свойства (Properties), чтобы открыть диалоговое окно свойств порта; затем дважды щелкните по записи Минипорт WAN (WAN Miniport) и выполните настройки в окне Configure Device (Конфигурация устройства):

для отключения портов снимите флажок Подключения удаленного доступа (Только входящие) (Remote Access Connections (Inbound Only));

для уменьшения число портов измените параметры в окне Максимальное число портов (Maximum Ports).

Как я говорил ранее, ХР обеспечивает для VPN-подключений только один

порт. Если VPN не нужен, отключите его, сняв флажок Разрешить другим пользователям устанавливать частное подключение к моему компьютеру с помощью туннеля в Интернете или в другой сети (Allow Others То Make Private Connections To My Computer By Tunneling Though The Internet Or Another Network) на вкладке Общие (General) диалогового окна Входящие подключения — свойства (Incoming Connections Properties).