Version 4 von Windows NT unterstützt mehrere Authentifizierungsprotokolle zur Überprüfung der Anmeldedaten von Benutzern, die eine Verbdinung zu einem Netzwerk aufbauen. Es handelt sich um folgende Protokolle:
 

• Password Authendication Protocol (PAP)
• Challenge Handshake Authendication Protokol (CHAP)
• Microsoft Challenge Handshake Authendication Protokol (MS-CHAP)
• Shiva Password Authendication Protokol (SPAP)
• Point-to-Point Tunneling Protocol (PPTP)

Windows 2000 unterstützt zusätzlich einige weitere Protokolle, die in Puncto Authentifizierung, Verschlüsslung und Mehrfachverbindungen wesentlich mehr Optionen bieten.
Es handelt sich um folgende Protokolle:
 

• Extensible Authendication Protocol (EAP)
• Remote Authendication Dial-in User Service (RADIUS)
• Internet Protocol Security (IPSec)
• Layer-2-Tunneling-Protocol(L2TP)

Extensible Authendication Protocol (EAP)

Das Extensible Authendication Protocol (EAP) ist eine Erweiterung des Point-to-Point-Protokolls(PPP), das für das DFÜ-, PPTP- und L2PT verwendet wird. Durch EAP kann eine DFÜ-Verbindung mittels einer beliebigen Authentifizierungsmethode überprüft werden. Welche Art der Authentifizierung im Einzelfall verwendet wird, wird zwischen dem DFÜ-Client und dem Remote-Server ausgehandelt. EAP unterstützt folgende Authentifizierungsmethoden:
 

• Generische Tokenkarten:

Eine physische Karte, die Kennwörter zur Verfügung stellt. Tokenkarten können mehrere Authentifizierungsmethoden unterstützen, beispielsweise auch Codes, die sich bei erneuten Verwendung verändern.
 
• MD5-CHAP:

Das Message Digest 5 Challenge Handshake Authendication Protocol. Dieses Protokoll verschlüsselt Benutzernamen und Kennwörter mit einem MD5-Algorithmus.
 
• Transport Level Security (TLS):

TLS unterstützt Smartcards oder andere Zertifikate. Bei der Verwendung von Smartcard sind eine Karte und ein Lesegerät erforderlich. Auf der Smartcard sind das Zertifikat und der private Schlüssel eines Benutzers elektronisch gespeichert.
 

Unabhängige Softwarehersteller, die EAP-Anwenderschnittstellen verwenden, können ihre Software neue Client/Server-Authentifizierungsmodule für diese Technologien wie Tokenkarten, Smartcards, biometrische Hardware wie Beispiel Netzhautscanner oder nur einmal nutzbare Kennwortsysteme generieren.

Weitere Infos zu EAP sind im RFC 2284 zu finden.

Remote Authentication Dial-in User Service

Da in den Netwerken verschiedene Hardware und unterschiedliche Betriebssysteme eingesetzt werden, muss die Authentifizierung unabhängig davon passieren. Der von Windows2000 unterstützte Remote Authentication Dial-in User Service (RADIUS) ermöglicht diese Art der Benutzerüberprüfung.

RADIUS stellt Authentifizierungs- und Kontoführungsdienste für verteilte DFÜ-Netzwerke zur Verfügung. Windows2000 kann als RADIUS-Client, als RADIUS-Server oder als beides gliechzeitig fungieren.

Ein RADIUS-Server ist in der Regel ein ISP-DFÜ-Server, ist ein RAS-Server, der die Authentifizierunganforderungen empfängt und an einen RADIUS-Server weiterleitet. Als RADIUS-Client gibt Windows2000 zudem Kontoführungsinformationen an einen RADIUS-Kontoführungsserver weiter.

Ein RADIUS-Server überprüft die Anfragen des RADIUS-Client. Die Windows2000 Authentication Services (IAS) führen die Authentifizierung durch. In der Funktion als RADIUS-Server speichert IAS die Kontoinformationen der RADIUS-Clients in Protokolldateien.

Weitere Informationen zu RADIUS sind im RFC 2138 / 2139 zu finden.

Internet Protocl Security

Internet Protocol Security (IPSec) ist ein Satz von Sicherheitsprotokollen und kryptograpischen Diensten, der die Sicherheit von privaten Verbindungen in IP-Netzwerken garantiert. IPSec bietet einen agressiven Schutz vor Angriffen auf private Netzwerke und das Internet, ist aber denoch leicht zu bedienen. Die Clients handeln dabei als eine Sicherheitszuordnungn (Security Association , SA) aus, die als privater Schlüssel zur Verschlüsselung der Daten verwendet wird.

Zur Konfiguration der IPSec-Sicherheitsdienste werden keinerlei Anwendungen bzw. Betriebssysteme verwendet, sondern die IPSec-Richttlinien. Diese stellen variable Sicherheitsniveaus für fast alle Datenübertragungensarten in den meisten Netzwerken zur Verfügung.

Die Sicherheistmeachanismen für IP sind in RFC 1825 definiert.

Layer 2-Tunnelprotokoll

Das Layer 2-Tunnelprotokoll (L2TP) ist dem PPTP insofern ähnlich, denn auch sein Zwech besteht darin einen Tunnel durch ein nichtvertrauenswürdiges Netzwerk zu schaffen. Sie unterscheiden sich aber in einem Punkt, PPTP ist unverschlüsselt. Hingegen schaft L2TP erstens einen Tunnel und zweitens arbeitet sie noch mit Verschlüsselungstechnologien wie IPsec zusammen.

Sowohl PPTP als auch L2TP verwenden PPP als ursprüngliche Verpackung die Daten und fügen dann für die Übertragung durch das Transitnetzwerk zusätzliche Header hinzu. Die hauptsächlichen Unterschiede werden in folgender Liste beschrieben:
 

• PPTP erfordert ein Transitnetzwerk auf IP-Basis. Bei L2TP muss nur gewährleistet sein, dass das Tunnelmedium eine peketorientierte Punkt-zu Punkt-Verbindung herstellt. L2PT kann in einem IP-Netzwerk mit dem User Datagramm Protocol, mit permanenten virtuellen Verbindungen(PVCs) auf Frame Relay-Basis oder auch in asynchronem Übertragungsmodus arbeiten.

 
• L2TP unterstützt im Gegensatz zu PPTP die Headerkomprimierung. Wenn die Headerkomprimierung aktiv ist, arbeitet L2TP mit einem Overhead von 4 Byte. PPTP arbeitet mit 6 Byte Overhead.

 
• L2TP unterstützt im Gegensatz zu PPTP die Tunnelauthentifizierung. Wenn jedoch entweder L2TP oder PPTP mit IPSec zusammen verwendet wird, wird die Tunnelauthentifizierung auf jeden Fall von IPSec zur Verfügung gestellt, so dass die L2TP-Tunnelauthentifizierung entfallen kann.

 
• PPTP verwendet PPP-Verschlüsselung, während L2TP zum Verschlüsseln IPSec benötigt.