我们目前正在使用 Microsoft RAS 服务器,使用 PPTP 让人们通过 VPN 进入办公网络。它不是特别安全,因为人们的用户名是可预测的,并且许多用户没有选择安全密码。任何在密码中强制执行适度安全性的尝试都面临内部反抗。
我正在考虑设置 VPN 以使用 IPSEC,并使用证书进行身份验证。我需要的是关于合适的 IPSEC 服务器配置、管理证书和管理证书部署的建议——尤其是来自那些完全这样做的人。我有管理 Windows、Linux 以及在较小程度上管理 OpenBSD 操作系统的经验。
最后,我看到有关 XP 专业机器在其 IP 地址不固定时无法建立临时 IPSEC 连接的评论?这是一个真正的问题吗?
在此先感谢您的帮助,
您不会写出您正在为何种规模的组织工作 - 但根据我的经验,管理具有许多用户的远程访问解决方案证书并不是一个理想的方式。对于普通用户来说,证书很难理解,我还没有看到不需要非常好的书面指南或电话支持者的证书颁发和重新颁发过程。
我在任何时候都更喜欢基于硬件令牌的远程访问解决方案,而不是基于证书的解决方案。
我不管理我工作的远程访问网关,但我知道我们使用 Cisco VPN 和 RSA secureID 身份验证。我还看到了一家名为 Giritech 的公司提供的更轻量级的解决方案。但必须有数百个基于硬件 fobs 的类似解决方案。
伊尔多克