搜索
网络安全设备与技术VPN2010提纲什么是VPN为什么使用VPNVPN的应用类型VPN的安全技术已有的VPN解决方案VPN的概念VPN能做什么VPN用在哪些环境下VPN采用的主要技术目前流行的VPN解决方案什么是VPNVPN(VirtualPrivateNetwork)技术也就是虚拟专用网技术,顾名思义,虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。InternetLAN与LAN之间彼此孤立VPNTunnelVPNTunnelVPNTunnelLAN与LAN之间实现安全互访LAN与LAN通过VPN技术构建新的LAN虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。IETF草案理解基于IP的VPN为:“使用IP机制仿真出一个私有的广域网”:是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。为什么使用VPN用户的需求用户的需求是虚拟专用网技术诞生的直接原因随着Internet和电子商务的蓬勃发展,经济全球化的最佳途径是发展基于Internet的商务应用。随着商务活动的日益频繁,各企业开始允许其生意伙伴、供应商也能够访问本企业的局域网,从而大大简化信息交流的途径,增加信息交换速度。合作和联系是动态的,并依靠网络来维持和加强,于是各企业发现,这样的信息交流不但带来了网络的复杂性,还带来了管理和安全性的问题。因为Internet是一个全球性和开放性的、基于TCP/IP技术的、不可管理的国际互联网络,因此,基于Internet的商务活动就面临非善意的信息威胁和安全隐患。自身的的发展壮大与跨国化,企业的分支机构不仅越来越多,而且相互间的网络基础设施互不兼容也更为普遍。因此,用户的信息技术部门在连接分支机构方面也感到日益棘手。信息在传输中可能泄密数据被黑客窃听总部分支机构移动用户A黑客我的密码是CAF我的密码是CAFVPN的需求之一:数据机密性保护移动用户BInternet信息在传输中可能失真总部分支机构移动用户A黑客同意2000元成交VPN的需求之二:数据完整性保护移动用户BInternet黑客篡改数据同意5000元成交信息的来源可能伪造的总部分支机构黑客交易服务器VPN的需求之三:数据源发性保护移动用户Internet谁是真的Bob?我是Bob,请求交易“我是Bob”,请求交易信息传输的成本可能很高移动用户APSTNPSTN长途拨号:010-163市话拨号:163上海的拨号服务器上海北京的拨号服务器10010010101010数据在公网传输不安全?长途拨号,成本太高?VPN的需求之四:降低远程传输成本Internet使用VPN的优势防止数据在公网传输中被窃听防止数据在公网传输中被篡改可以验证数据的真实来源成本低廉(相对于专线、长途拨号)应用灵活、可扩展性好VPN的工作原理数据机密性保护的实现数据完整性保护的实现数据源发性保护的实现重放攻击保护的实现数据机密性保护的实现1100111001010001010010101001000100100100000100000011001110010100010100101010010001001001000001000000明文加密解密明文保证数据在传输途中不被窃取发起方接受方密文·#¥^&(%#%$%^&*(!#$%*((_%$@#$%%^*&**)%$#@数据完整性保护的实现发起方接受方1001000101010010100001000000110110001010100010101001000101010010100001000000110110001010HashHash100010101001000101010010100001000000110110001010是否一样?防止数据被篡改100010101001000101010010100001000000110110001010数据源发性保护的实现BobAlice假冒的“Bob”假冒VPNInternet101011011110100110010100验证签名,证实数据来源私钥签名私钥签名101011011110100110010100重放攻击保护的实现VPN的应用类型AccessVPN(远程访问虚拟网)AccessVPN最适用于公司内部经常有流动人员远程办公的情况。出差员工利用当地ISP提供的VPN服务,就可以和公司的VPN网关建立私有的隧道连接。CA中心或者Radius服务器可对员工进行身份授权和验证,保证连接的安全。VPN客户端企业总部VPNInternet移动用户移动用户移动用户移动用户VPN客户端VPN客户端VPN客户端IntranetVPN(企业内部虚拟网)企业的发展、机构网点的增加,使得网络的结构趋于复杂,链路费用昂贵。利用VPN特性,在Internet上组建世界范围内的IntranetVPN,保证信息在整个IntranetVPN上安全传输。企业拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。企业总部分支机构办事处InternetVPNVPNVPNExtranetVPN(企业扩展虚拟网)各个企业之间的合作关系也越来越多,信息交换日益频繁。利用VPN技术组建安全的Extranet,既可以向客户、合作伙伴提供有效的信息服务,又可以保证自身的内部网络的安全。Internet企业总部分支机构合作伙伴合作伙伴VPN的安全技术四项技术VPN主要采用四项技术来保证安全隧道技术(Tunneling)加解密技术(Encryption&Decryption)密钥管理技术(KeyManagement)认证技术(Authentication)隧道技术隧道技术的基本过程是在源局域网与公用网的接口处将局域网发送的数据(可以是ISO七层模型中的数据链路层或网络层数据)作为负载封装在一种可以在公用网上传输的数据格式中,在目的局域网与公用网的接口处将公用网的数据解封装后,取出负载即源局域网发送的数据向目的局域网传输。网络隧道技术指的是利用一种网络协议来传输另一种网络协议,利用网络隧道协议来实现这种功能。由于封装与解封装只在两个接口处由设备按照隧道协议配置进行,局域网中的其他设备将不会觉察到这一过程。被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。隧道技术-协议三层隧道协议主要有GenericRoutingEncapsulation(GRE)协议IPSec协议加解密技术1现代密码学中,加密算法被分为对称加密算法和非对称加密算法。对称加密算法采用同一个密钥进行加密和解密,优点是速度快,但密钥的分发与交换不便于管理。对称加密算法:国际数据加密算法(IDEA:InternationalDataEncryptionAlgorithm):128位长密钥,把64位的明文块加密成64位的密文块。DES和3DES加密算法(TheDataEncryptionStandard):DES有64位长密钥,实际上只使用56位密钥。AES:Rijndial加密算法加解密技术2使用不对称加密算法加密时,通讯各方使用两个不同的密钥,一个是只有发送方知道的私有密钥,另一个则是对应的公开密钥,任何人都可以获得公开密钥。私有密钥和公开密钥在加密算法上相互关联,一个用于数据加密,另一个用于数据解密。由于不对称加密运算量大,一般用于加密对称加密算法中使用的密钥。不对称加密还有一个重要用途即数字签名。密钥管理技术密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP两种。SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥;在ISAKMP中,双方都有两把密钥,分别用于公用、私用。认证技术认证技术可以区分真实数据与伪造、被篡改过的数据。认证协议一般都要采用一种称为摘要的技术。摘要技术主要是采用HASH函数将一段长的报文通过函数变换,映射为一段短的报文即摘要。验证数据的完整性。发送方将数据报文和报文摘要一同发送,接收方通过计算报文摘要,与发来摘要比较,相同则说明报文未经修改。用户认证。该功能实际上是上一种功能的延伸。当一方希望验证对方,但又不希望验证秘密在网络上传送,这时一方可以发送一段随机报文,要求对方将秘密信息连接上该报文作摘要后发回,接收方可以通过验证摘要是否正确来确定对方是否拥有秘密信息,从而达到验证对方的目的。常用的HASH函数有MD5,SHA-1等。已有的VPN解决方案IP安全协议IPSec(IPSecurity)是一组开放协议的总称,特定的通信方之间在IP层通过加密与数据源验证,以保证数据包在Internet网上传输时的私有性、完整性和真实性。IPSec通过AH(AuthenticationHeader)和ESP(EncapsulatingSecurityPayload)这两个安全协议来实现。IPSecVPN网络层的VPN解决方案。网络层是可实现端到端安全通信的最低层,它为所有应用层数据提供透明的安全保护,用户无需修改应用层协议。IPSec的工作模式传输模式:只对IP数据包的有效负载进行加密或认证。此时,继续使用以前的IP头部,只对IP头部的部分域进行修改,而IPSec协议头部插入到IP头部和传输层头部之间隧道模式:对整个IP数据包进行加密或认证。此时,需要新产生一个IP头部,IPSec头部被放在新产生的IP头部和以前的IP数据包之间,从而组成一个新的IP头部。IPSec的工作模式IP包头AH包头ESP包头上层协议(数据)IP包头上层协议(数据)IP包头AH包头ESP包头上层协议(数据)IP包头上层协议(数据)安全网关IP包头•隧道模式•传输模式IPSec的三个主要协议1)ESP(EncapsulatingSecurityPayload)。ESP协议主要用来处理对IP数据包的加密。ESP是与具体的加密算法相独立的,几乎支持各种对称密钥加密算法,默认为3DES和DES。2)AH(AuthenticationHeader)。AH只涉及到认证,不涉及到加密。3)IKE(InternetKeyExchange)。IKE协议主要是对密钥交换进行管理,它主要包括三个功能:①对使用的协议、加密算法和密钥进行协商;②方便的密钥交换机制(这可能需要周期性的进行);③跟踪对以上这些约定的实施。AH(AuthenticationHeader)AH是一个用于提供IP数据包完整性和认证的机制。其完整性是保证数据报不被无意的或恶意的方式改变通过在整个IP数据报中实施一个消息文摘计算来提供完整性和认证服务提供反重放保护使用IP协议号51ESP提供IP数据报的完整性和可信性服务,ESP是在RFC2406中定义的。保证数据的完整性,使用散列算法,验证不包括IP头提供反重放保护使用IP协议号50ESP协议是设计以两种模式工作的:隧道(Tunneling)模式和传输(Transport)模式IPSec协议结构图IPSec安全体系ESP协议AH协议加密算法认证算法DOIIKE协议SSLVPN应用层的VPN解决方案采用SSL(SecureSocketLayer,安全套接字层)协议,通过浏览器和远程内部网进行加密通信,其包括网关设备和用户的www浏览器。支持WEB、FTP、MAIL等应用无需担心网络中是否存在NAT设备(如防火墙)不需要安装客户端软件,用户使用简单加密通道SSLVPN远程用户认证服务器IE浏览