Protocolli di autenticazione VPN di Windows 7
Windows 7 supporta diversi protocolli di autenticazione per le connessioni dial-up e per le connessioni VPN. Questi protocolli si dividono in due macro categorie:
- Password-based
- Certificate-based
I protocolli di autenticazione basati sull’utilizzo di certificati richiedono l’implementazione dia una soluzione PKI come può essere Active Directory Certificate Services. In generale è necessario rilasciare un certificato digitale al computer, all’utente o a entrambi.
Questi protocolli di autenticazione sono:
- PAP (password Authentication Protocol) – Questo protocollo usa password non criptate per l’autenticazione e non è abilitato di default su Windows 7 e non è supportato per l’accesso remoto a Windows Server 2008. L’abilitazione di questo protocollo è necessaria solo in caso di connessioni con server VPN legcy di terze parti che non supportano protocolli di autenticazione più sicuri.
- CHAP (Challenge Handshake Authentication Protocol) – Questo protocollo è basato sull’utilizzo di una password non criptata e fornisce protezione contro gli attacchi del tipo replay attack tramite l’utilizzo di identificativi variabili nel corso della connessione. Windows Server 2008 non supporta questo protocollo ma è attivo di default su Windows 7.
- MS-CHAPv2 (Microsoft Challenge Handshake Authentication Protocol version 2) – MS-CHAPv2 è un protocollo di autenticazione basato su password. Le credenziali dell’utente loggato nel sistema possono essere utilizzate per l’autenticazione remota a un server VPN.
- PEAP/PEAP-TLS (Protected Extensible Authentication Protocol with Transport Layer Security) – Protocollo di autenticazione basato sull’utilizzo di certificati. L’utente si autentica utilizzando il certificato associato. Nel server VPN è necessario installare un certificato computer.
- EAP-MS-CHAPv2/PEAP-MS-CHAPv2 – Questo è il protocollo di autenticazione basato su password pià sicuro disponibile su un client VPN Windows 7. Richiede l’installazione di un certificato computer nel server VPN. Nessun certificato computer è richiesto lato client.
- Smart Card or Other Certificate – Utilizzare questo protocollo quando l’utente si autentica in una sessione VPN tramite l’utilizzo di una smart card o tramite certificato installato nel computer.