Chociaż firma dołącza funkcje VPN bezpłatnie do swoich platform PC (począwszy od Windows 98), inni dostawcy - Check Point Software, Cisco, NetScreen, Nokia i Nortel Networks - od lat biją na głowę Microsoft w sprzedaży rozwiązań VPN.

Rozszerzenia wprowadzone w Windows Server 2003 dotyczą zarówno strony klienckiej jak i serwerowej. Nowe oprogramowanie ma zapewniać m.in. mechanizmy pozwalające na blokowanie dostępu do VPN dla PC, które nie są wyposażone w odpowiednio skonfigurowany zestaw aplikacji ochronnych, takich jak zapory ogniowe i oprogramowanie antywirusowe. Pakiet zawiera także poszerzoną zdolność przenoszenia ruchu VPN przez zapory ogniowe i stosuje silniejsze metody uwierzytelniania.

Zobacz również:

• Najnowsza aktualizacja Windows wpływa na działanie VPN
• AI: Google kontra Microsoft
• ChromeOS i biznes - takie połączenie ma coraz więcej sensu

Wielu dostawców już teraz obsługuje takie mechanizmy, tak więc Microsoft jest na pozycji "goniącego". Jednak przewagą Microsoftu jest powszechność użytkowania jego produktów. Serwery NT, 2000 i 2003 mogą funkcjonować jako bramy VPN kończące sesje VPN. Wsparcie klienta jest dostępne za pośrednictwem Windows 98, ME, 2000 Professional i XP Pro. Bramy Cisco, Enterasys, Nortel i NetScreen także obsługują klientów Windows VPN, a Check Point zamierza taką bramę VPN udostępnić niebawem.

Oprogramowanie serwerowe VPN Microsoftu może być korzystne dla małych firm, które mogą wykorzystywać swoje serwery w podwójnej roli: jako serwery wewnętrzne i bramy WAN.

Mechanizmy VPN zawarte w platformie Windows Server są dość atrakcyjne, choć niekoniecznie tak bogate, jak w innych rozwiązaniach. Na przykład możliwość przechodzenia ruchu VPN przez zapory ogniowe, które wykonują translację adresów sieciowych (NAT) jest mechanizmem dostępnym w większości urządzeń VPN, natomiast cecha ta w rozwiązaniach Microsoftu jest ciągle jeszcze w fazie projektowej.

Microsoft wynajął firmę SafeNet do napisania uaktualnienia dla klientów Windows 98, 2000 i ME, umożliwiającego obsługę NAT. Uaktualnienie związane z NAT dla Windows 2000 i XP Microsoft przygotowuje we własnym zakresie i powinno one być gotowe za dwa miesiące.

Zapory ogniowe zmieniają prywatne adresy IP, dostępne w ramach LAN, na adres publiczny IP - dla ruchu przechodzącego przez Internet, tak aby mógł on być poprawnie rutowany. NAT jest także sposobem na maskowanie adresów IP obowiązujących w infrastrukturze sieci prywatnej, dla ochrony przed penetracją z zewnątrz. Microsoft posiada wsparcie serwerowe NAT, ale nie jest ono tak silne jak u innych dostawców.

Chociaż NAT jest kluczowym elementem VPN, pożądane są także bardziej bezpieczne sposoby upewniania się, że zdalny użytkownik jest upoważniony do logowania się do VPN. W przypadku Windows Server 20003 ułatwione jest użytkowanie infrastruktury klucza publicznego (PKI), dającej możliwość stosowania bardziej bezpiecznych metod uwierzytelniania maszyn, wykorzystujących kryptografię.

Zamiast używać jednego zestawu kluczy do szyfrowania i deszyfrowania ruchu, użytkownicy mogą stosować parę kluczy: prywatny i publiczny, wykorzystując PKI. Ale do użytkowania tego rozwiązania w sposób bezpieczny, maszyny z nim związane musza być autoryzowane. Windows Server 2003 udostępnia urząd certyfikacji, który wystawia certyfikaty cyfrowe dla tych maszyn, tak więc ich tożsamość może być sprawdzona przed "wpuszczeniem" ich do VPN.

Udostępnianie własnego urzędu certyfikacji jest znacznym ulepszeniem w stosunku do metod obsługi certyfikacji oferowanych przez obecne serwery Microsoftu.

Windows Server 2003 obsługuje także więcej sposobów uwierzytelniania nie tylko maszyn, ale również osób próbujących logować się do VPN. Wsparcie EAP (Extensible Authentication Protocol) w Windows Server 2003 pozwala użytkownikom stosować m.in. metody uwierzytelniania tokenem - w formie karty czipowej, wymagającej także użycia PIN. Takie dwuskładnikowe uwierzytelnianie jest uważane za bardziej bezpieczne niż używanie prostego identyfikatora i hasła. EAP jest protokołem pozwalającym na negocjowanie mechanizmu uwierzytelniania.

Mechanizm o nazwie Quarantine jest kolejnym "strażnikiem" dołączonym do Windows Server 2003, przeznaczonym do ochrony VPN. Quarantine blokuje dostęp do zdalnych maszyn, jeżeli nie są poprawnie skonfigurowane. Tak więc serwer odrzuci sesje VPN z maszyn, które nie mają uaktualnionych sygnatur wirusowych lub z niewłaściwym skonfigurowaniem osobistych zapór ogniowych. Użytkownicy mogą uzyskać podpowiedź, jak mają uaktualnić swoje maszyny lub mogą być automatycznie kierowani do ośrodka webowego, z którego mogą sprowadzić wszystko co jest niezbędne.

Quarantine jest ustawiana przez kreator wdrażania Windows Server 2003 o nazwie Conection Manager Administration Kit (CMAK), przeznaczony do ustawiania klientów. CMASK odpytuje o adresy IP serwerów VPN, nazwy dla połączeń, typ uwierzytelniania i szereg innych parametrów. Proces ten tworzy plik wykonywalny o nazwie "connectoid", wysyłany do zdalnych maszyn za pośrednictwem Weba, dyskietki lub System Management Server. Connectoid jest plikiem samoistalującym.

Szereg dostawców VPN oferuje taki mechanizm w kooperacji z dostawcami oprogramowania wymuszającego zdalnie reguły polityki, takimi jak InfoExpress, Sygate i Zone Labs.

Architektura VPN Microsoftu różni się od innych dostawców tym, że skupia się wokół technologii IPSec. Oprogramowanie obsługuje PPTP (Point to Point Tunneling Protocol) i L2TP/IPSec (IPSec and Layer 2 Tunneling Protocol running over IPSec) - każdy z nich ma rożne zastosowania. PPTP jest przeznaczony dla małych organizacji, potrzebujących zdalnego dostępu, który można ustanowić łatwo i szybko. Wykonywane jest to za pośrednictwem serwera ISA i nie wymaga certyfikatów cyfrowych.

L2TP/IPSec jest bezpieczniejszą metodą tworzenia zdalnego dostępu VPN. L2TP zapewnia standardowe metody uwierzytelniania użytkownika, natomiast tunel IPSec używany jest do przenoszenia szyfrowanego ruchu.

IPSec jest przeznaczony do połączeń serwer - serwer dla VPN typu site-to-site, pozwalających wielu użytkownikom jednego ośrodka łączyć się tunelem z zasobami w innym.

Windows Server 2003 zawiera również inne mechanizmy związane z VPN, w tym m.in.:

przechowywanie logów VPN w formacie XML;

klastrowany mechanizm serwera Remote Authentication Dial-in Service o nazwie Internet Authentication Service (IAS). IAS może być instalowany na oddzielnych platformach sprzętowych w formie klastra.

Microsoft jest też gotowy do dołączenia drugiego typu VPN dla klienta PDA. Obecnie klient ten obsługuje jedynie VPN typu PPTP, nowa wersja ma także obsługiwać L2TP/IPSec.