第17章-网络安全

计算机网络安全本章学习目标掌握虚拟专用网络（VPN）技术的基本原理理解VPN的关键性技术——隧道技术掌握PPP、PPTP、L2F、L2TP等隧道协议熟悉IPSec协议，掌握AH协议与ESP协议的结构特点掌握常用的安全技术，包括加密技术、密钥管理、认证技术等理解网络地址转换（NAT）技术的基本原理与类型17.1虚拟专用网VPN技术虚拟专用网（VPN）指的是依靠ISP（Internet服务提供商）和其他NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。从定义上看，VPN首先是虚拟的，也就是说VPN并不是某个公司专有的封闭线路或者是租用某个网络服务商提供的封闭线路。但VPN同时又具有专线的数据传输功能，虽然VPN通讯建立在公共互联网络的基础上，但是用户在使用VPN时感觉如同在使用专用网络进行通信，所以称为虚拟专用网络。VPN的模型由以下部分组成：（1）VPN客户：将VPN连接初始化为VPN服务器的计算机。（2）隧道：连接中封装数据的部分。（3）VPN连接：连接中加密数据的部分。（4）隧道协议：用来管理隧道及压缩专用数据的协议。包括PPTP和L2TP隧道协议。（5）隧道数据：数据经常在专用点对点的链接间发送。（6）传输互联网络：压缩数据所通过的共享的或公共的网络，通常是IP网络。基于建立的对象，VPN可分为企业内部VPN和企业外部VPN：（1）内部VPN：在敏感部门的网络和企业主网络之间建立的VPN连接，这种VPN在通过验证机制提供安全性的同时，还保证了连通性。该验证机制是在管理网络连接的VPN服务器上实现的。（2）企业外部VPN：企业外部VPN连接的是公司网络和商业伙伴，供应商或者客户所属的外部网络。基于建立通信的方法，VPN又可分为路由器到路由器VPN和远程访问VPN：（1）路由器到路由器VPN：客户端与一个路由器相连，而路由器再和VPN服务器相连。这种连接只有在客户端和服务器互相验证时才能建立。（2）远程访问VPN：VPN客户端不需要使用路由器就可以和远程访问VPN服务器直接建立一个连接，远程访问VPN服务器验证该客户端。客户端被验证后，才被允许访问网络以及远程访问服务器管理的资源。17.1虚拟专用网VPN技术17.2隧道技术隧道技术对于构建VPN来说，是一个关键性技术。它是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据（或负载）可以是不同协议的数据帧或数据报。它的基本过程是：在源局域网与公网的接口处，将这些协议的数据帧或数据报重新封装在新的报头中发送。新的报头提供了路由信息，从而使封装的负载数据能够通过互联网络传递。被封装的数据报在隧道的两个端点之间通过公共互联网络进行路由。在目的局域网与公网的接口处将数据解封装，取出负载，并转发到最终目的地。注意隧道技术是指包括数据封装、传输和解包在内的全过程。被封装的数据报在公共互联网络上传递时所经过的逻辑路径称为“隧道”。17.2.1隧道类型1.自愿隧道（Voluntarytunnel）用户或客户端计算机可以通过发送VPN请求配置和创建一条自愿隧道。此时，用户端计算机作为隧道客户方成为隧道的一个端点。自愿隧道需要有一条IP连接（通过局域网或拨号线路），客户端计算机必须安装适当的隧道协议。使用拨号方式时，客户端必须在建立隧道之前创建与公共互联网络的拨号连接。2.强制隧道（Compulsorytunnel）由支持VPN的拨号接入服务器配置和创建一条强制隧道。此时，用户端的计算机不作为隧道端点，而是由位于客户计算机和隧道服务器之间的远程接入服务器作为隧道客户端，成为隧道的一个端点。自愿隧道技术为每个客户创建独立的隧道，而强制隧道和隧道服务器之间建立的隧道可以被多个拨号客户共享，不必为每个客户建立一条新的隧道。因此，一条隧道中可能会传递多个客户的数据信息，只有在最后一个隧道用户断开连接之后才终止整条隧道。17.2.2隧道协议为创建隧道，隧道的客户机和服务器双方必须使用相同的隧道协议。OSI模型划分，隧道技术可以分别以第2层或第3层隧道协议为基础：第2层隧道协议对应OSI模型中的数据链路层，使用帧作为数据交换单位。PPTP、L2TP和L2F（第2层转发）都属于第2层隧道协议，都是将数据封装在点对点协议（PPP）帧中通过互联网络发送。对于像PPTP和L2TP这样的第2层隧道协议，创建隧道的过程类似于在双方之间建立会话；隧道的两个端点必须同意创建隧道并协商隧道各种配置变量，如地址分配、加密或压缩等参数。绝大多数情况下，通过隧道传输的数据都使用基于数据报的协议发送。第3层隧道协议对应OSI模型中的网络层，使用包作为数据交换单位。IPSec隧道模式属于第3层隧道协议，是将IP包封装在附加的IP报头中通过IP网络传送。第3层隧道技术通常不对隧道进行维护，而第2层隧道协议（PPTP和L2TP）必须包括对隧道的创建、维护和终止。1.点对点协议（PPP）PPP为基于点对点连接的，多协议自寻址数据包的传输提供了一个标准方法。PPP最初设计是为两个对等结构之间的IP流量的传输提供一种封装协议。在TCP/IP协议栈中它是一种关于同步调制连接的数据链路层（OSI模式中的第2层）协议。PPP主要由以下几部分组成：（1）封装：PPP封装提供了不同网络层协议同时通过统一链路的多路技术，可以封装多协议数据报。（2）链路控制协议（LCP）：PPP提供的链路控制协议LCP用于就封装格式选项自动的达成一致，处理数据包大小的变化，探测looped-back链路和其他普通的配置错误，以及终止链路。（3）网络控制协议（NCP）：一种扩展链路控制协议，用于建立、配置、测试和管理数据链路连接。17.2.2隧道协议17.2.2隧道协议为了建立点对点链路通信，PPP链路的每一端必须首先发送LCP包以便设定和测试数据链路。在链路建立之后，LCP可选设备才可以被认证。然后，PPP必须发送NCP包以便选择和设定一个或更多的网络层协议。一旦每个被选择的网络层协议都被设定好了，来自每个网络层协议的数据报就能在连路上发送了。链路将保持通信设定不变，直到外在的LCP和NCP关闭链路，或者是发生一些外部事件（如休止状态的定时器期满或者网络管理员干涉）的时候。PPP协议结构：（1）Flag：表示帧的起始或结束，由二进制序列01111110构成。（2）Address：包括二进制序列11111111，标准广播地址（注意：PPP不分配个人栈地址）。（3）Control：二进制序列00000011，要求用户数据传输采用无序帧。（4）Protocol：识别帧的Information字段封装的协议。（5）Information：0或更多八位字节，包含Protocol字段中指定的协议数据报。（6）FCS：帧校验序列（FCS）字段，通常为16位。8162440bitsVariable16-32bitsFlagAddressControlProtocolInformationFCS2.点对点隧道协议（PointtoPointTunnelingProtocol，PPTP）PPTP是一种支持多协议虚拟专用网络的网络技术。通过该协议，远程用户能够通过装有点对点协议的系统，安全访问公司网络，并能拨号连入本地ISP，通过Internet安全链接到公司网络。PPTP协议将控制包与数据包分开。控制包采用TCP控制，用于严格的状态查询及信令信息；数据包部分先封装在PPP协议中，然后封装到GRE（通用路由协议封装）V2协议中。PPTP是点对点协议（PPP）的扩展，增强了PPP的身份验证、压缩和加密机制。PPTP协议允许对IP或IPX数据流进行加密，然后封装在IP包头中通过企业IP网络或公共互联网络发送。PPTP与路由和远程访问服务程序一起安装，通过使用路由和远程访问向导，可以为远程访问和请求拨号路由连接启用PPTP端口。17.2.2隧道协议PPTP提供了对专用数据封装和加密的VPN服务：（1）封装：使用通用路由封装头文件和IP头数据包装PPP帧。在IP头文件中是与VPN客户机和VPN服务器对应的源和目标IP地址。下图显示了PPP帧的PPTP封装：（2）加密：通过使用从MS-CHAP或EAP-TLS身份验证过程中生成的密匙，PPTP帧以MPPE方式进行加密。17.2.2隧道协议17.2.2隧道协议PPTP协议结构：Length：该PPTP信息的八位总长，包括整个PPTP头。PPTPMessageType：信息类型。可能值有：控制信息、管理信息。MagicCookie：以连续的0x1A2B3C4D进行发送，目的是确保接收端与TCP数据流间的正确同步运行。ControlMessageType：可能值包括开始-控制-链接-请求，开始-控制-链接-答复，停止-控制-链接-请求，停止-控制-链接-答复，回音-请求，回音-答复。1632bitLengthPPTPMessageTypeMagicCookieControlMessageTypeReserved0ProtocolVersionReserved1FramingCapabilityBearingCapabilityMaximumChannelsFirmwareRevisionHostName（64Octets）VendorString（64Octets）CallManagement：可能值包括导出-呼叫-请求（Outgoing-Call-Request），导出-呼叫-答复（Outgoing-Call-Reply），导入-呼叫-请求（Incoming-Call-Request），导入-呼叫-答复（Incoming-Call-Reply），导入-呼叫-链接（Incoming-Call-Connected），呼叫-清除-请求（Call-Clear-Request），呼叫-断开链接-通告（Call-Disconnect-Notify），广域网-错误-通告（WAN-Error-Notify）。PPPSessionControl：设置-链路-信息（Set-Link-Info）。Reserved0&1：必须设置为0ProtocolVersion：PPTP版本号FramingCapabilities：指出帧类型，该信息发送方可以提供：异步帧支持（AsynchronousFramingSupported）；同步帧支持（SynchronousFramingSupported）。BearerCapabilities：指出承载性能，该信息发送方可以提供：模拟访问支持（AnalogAccessSupported）；数字访问支持（Digitalaccesssupported）。MaximumChannels：该PAC可以支持的个人PPP会话总数。FirmwareRevision：若由PAC出发，则包括发出PAC时的固件修订本编号；若由PNS出发，则包括PNSPPTP驱动版本。HostName：包括发行的PAC或PNS的DNS名称。VendorName：包括特定供应商字串，指当请求是由PNS提出时，使用的PAC类型或PNS软件类型。17.2.2隧道协议17.2.2隧道协议3.第二层转发协议（Level2Forwardingprotocol，L2F）L2F用于建立跨越公共网络（如Internet）的安全隧道，将ISPPOP连接到企业内部网关。这个隧道建立了一个用户与企业客户网络间的虚拟点对点连接。L2F允许高层协议的链路层隧道技术。使用这样的隧道，使得把原始拨号服务器位置和拨号协议连接终止与提供的网络访问位置分离成为可能。L2F允许在L2F中封装PPP/SLIP包。ISPNAS与家庭网关都需要共同了解封装协议，这样才能在Internet上成功地传输或接收SLIP/PPP包。L2F协议结构：1111111111111162432bitFKPS00000000CVersionProtocolSequenceMultiplexIDClientIDLe