搜索
广州大学1第6章VPN与IPSec4学时广州大学26.1VPN定义•VPN–虚拟专用网(VirtualPrivateNetworks,VPN)广州大学3VPN的定义VPN——VirtualPrivateNetwork出差员工隧道专线办事处分支机构合作伙伴异地办事处总部广州大学4IntranetVPNInternet/ISPIPATM/FR隧道总部研究所办事处分支机构广州大学5ExtranetVPNInternet/ISPIPATM/FR隧道总部异地办事处分支机构合作伙伴广州大学66.1VPN定义•VPN–Virtual•虚拟意味着网络的基础设施对于VPN连接来说是透明的。同样底层的物理网络并非是VPN用户拥有的,而是由很多用户共享的公共网络。而且为了对上层应用透明,VPN采用协议隧道技术。广州大学76.1VPN定义•VPN–Private•VPN环境下的专用实际上指的是VPN网络中的通信信息是保密的。•对于一条VPN连接来说,必须采用防范措施来实现特定的安全需求。这些安全需求包括:•①数据加密•②数据源认证•③密钥的安全产生和及时更新•④分组重放攻击和欺骗攻击保护广州大学86.1VPN定义•VPN–Networks•虽然物理网络并不存在,但是我们还是应当把VPN看作是现有企业内部网的扩展,它对于其它网络或用户来说应当是可用的。这还得借助于常规的路由和寻址技术来实现。广州大学96.2VPN优势•高效安全而低廉广州大学10图6-2虚拟专用网(VPN)互联网服务供应商网络企业内联网远程用户合作伙伴分支机构广州大学116.3VPN的安全考虑•一条典型的端对端通信链路可能包含:–(1)不受企业自身控制的设备(例如ISP的接入盒部分,互联网当中的路由器)。–(2)位于内部网和外部网之间的安全网关(防火墙,路由器)。–(3)内联网,其中可能有恶意主机。–(4)外部网,这些网络当中传输着大量其它网络用户信息。广州大学12图6-3一条典型端对端通路的构成远程主机ISP接入盒目标主机内部网段(公司B内联网)安全网关(防火墙/路由器)拨号接入段内部网段(公司A内联网)外部网段(公共互联网)广州大学136.3VPN的安全考虑•1.拨号段:–拨号段的覆盖范围就是从远程用户到ISP提供的接入盒之间的网段。该链路使用的协议和过程由ISP具体提供。大多数ISP支持点对点(PPP)链路协议。广州大学146.3VPN的安全考虑•2.外部网络段(Internet)–互联网是由大量的实体来共同运行和维护的,它包含了不同的可区分的路由域,各自由不同的网络中心运行。广州大学156.3VPN的安全考虑•3.内部网络(Intranet)–此网段位于通信路径的末端,通常由公司自身管理、运行和维护,网络通信流量也是由公司内部员工产生的。使用的协议也可能是专有的,不过如今大都使用流行的IP协议。–但是随着电子商务的发展,有越来越多的应用需要访问其它公司(合作伙伴,供应商)内部服务器的数据,因此,有时候也很难确定内联网当中的哪些通信流是可信的。比如,公司认为自己的内联网是可信的,而它的合作伙伴可能认为他们的内联网是不可信的。在这种环境下,VPN应当在内部网段和互联网段都能够提供一种一致的网络安全服务。广州大学166.3VPN的安全考虑•在一条端对端通路当中,有四类机器:–①远程主机(拨号)–②固定主机(源和目的主机,或客户机和服务器)–③ISP接入盒–④安全网关(防火墙和/或路由器)广州大学176.3VPN的安全考虑•在一条端对端通路当中,有四类机器:–①远程主机(拨号)–②固定主机(源和目的主机,或客户机和服务器)–③ISP接入盒–④安全网关(防火墙和/或路由器)广州大学186.3VPN的安全考虑•通路中潜在的安全问题–拨号客户的安全问题•拨号客户是通信的起点,其保护主要涉及物理安全。–拨号网段的安全问题•拨号网段把用户的数据送往ISP。如果数据是明文的(没有加密),那么数据很容易被攻击者窃听,同时ISP也能看到这些敏感数据。•在远程用户和ISP之间的链路层加密可以有效对付被动窃听,但还是无法防止一个恶意ISP获得这些数据。广州大学196.3VPN的安全考虑•通路中潜在的安全问题–互联网的安全问题•在远程接入环境中,ISP需要构造一条隧道来扩展PPP连接,从而使通信连接可以到达远程ISP接入盒和安全网关。如果该隧道协议不具备强大的安全功能,一个恶意的ISP有可能创建一条伪造的假隧道,从而把用户数据发往一个伪造的网关,见图6-4。广州大学20图6-4外部网段(Internet)的安全问题ISP接入盒虚假隧道假冒网关正确隧道安全网关广州大学216.3VPN的安全考虑•安全网关的安全问题–安全网关的主要用途就是强制访问控制策略(也就是说,只接受所希望进入的通信流,防止内部通信流离开企业内部网)。虽然防火墙或路由器通常受企业网络控制,但对于内部攻击者来说还是有很多的机会访问那些网关解密后,以明文方式在内联网中传输的数据包的。–非加密认证可以对进出网关的通信流提供某些保护。常见技术有口令、分组过滤、网络地址转换。不过这些技术也分别有其对抗措施,例如地址欺骗,而且新的攻击技术也正在被慢慢开发出来。每次当一种新的分组过滤器被设计出来阻止一种已知攻击的时候,相应的新攻击又会很快出现,如此周而复始。–由于基于加密认证技术相对需要很长的突破时间,而且其实施代价已经变得不再是那么遥不可及,因而我们应当考虑采用加密所带来的强大保护功能来抵御各种黑客攻击。广州大学226.3VPN的安全考虑•VPN、防火墙和路由器–在很多应用环境中,IP分组过滤是通过防火墙和路由器来提供的。对于VPN连接需要穿越防火墙或者路由器的情况(如图6-5所示),防火墙或路由器的配置需要进行适当的修改以允许VPN通信流量通过防火墙或路由器。广州大学23图6-5允许VPN通信穿越防火墙内部网PERMITUDP500PERMITAHESPPERMITL2TP互联网其它内部子网VPN防火墙/路由器ISPISP防火墙/路由器VPN广州大学246.3VPN的安全考虑•Intranet的安全问题–大量的研究表明有很多攻击确实来自内部网。当来自其它网络的数据在网络内部传输时,不仅需要考虑内部网的安全威胁,还要考虑这些来自外部网络的数据安全性。我们必须确保这两者都是安全的。广州大学256.3VPN的安全考虑•小结–网络通信链路的安全威胁可以说是无处不在:在拨号接入段,在ISP的接入盒,在互联网,在防火墙或路由器以及企业的内联网。–以往的安全解决方案大都是为了解决某一特定安全问题而提出的,没有一种整体安全框架可以解决所有这些安全问题。–IP安全体系结构(IPSec)是第一个综合的一致解决方案。它可以提供端对端(End-to-End)或者段对段(Segment-by-Segment)的保护。广州大学266.4常见VPN应用环境•VPN通常用于以下三种网络环境:–1.远程接入–2.LAN-LAN通信–3.可控的内联网接入广州大学276.4常见VPN应用环境•1.远程接入–企业VPN允许移动用户通过因特网拨号进入它们本地的因特网服务供应商(ISP)来接入企业LAN,通常使用远程接入隧道协议,如L2TP,PPTP或L2F。图6-6使用的是IPSec安全协议。广州大学28图6-6远程接入VPN内联网移动客户路由器服务器互联网防火墙ISPISP认证加密广州大学296.4常见VPN应用环境•2.LAN-LAN通信–同企业LAN没有恒定WAN连接的小型子公司可以使用VPN来接入到本企业的内联网,如图6-7所示。该种方式的内联网互连可以确保通信安全,且其费用相对专线连接要低得多。广州大学30图6-7LAN-LANVPN内联网路由器服务器互联网防火墙ISPISP认证加密防火墙路由器内联网客户端广州大学316.4常见VPN应用环境•3.可控的内联网接入–企业LAN还可以利用VPN技术实现对保密网络当中的特定子网实施可控制接入,如图6-8所示。–通常用于企业同其合作伙伴或供应商之间的安全通信。–如果VPN隧道是在防火墙处终止,那么还可以在企业内联网的DMZ(非军事区,指内网和外网的安全过渡子网)中对通信信息进行额外的安全检查,如病毒查杀或内容过滤。广州大学32图6-8可控制内联网接入VPN路由器企业内联网互联网防火墙ISPISP认证加密防火墙路由器合作伙伴内联网广州大学336.5VPN安全策略•网络安全策略规定了什么样的通信是允许的,什么样的通信是必须禁止的。•VPN安全策略则描述了某一特定通信情形(Profile)的保护特性。•同样要注意的是,要确保受保护的通信流必须经过VPN,而不是其它的不安全信道。广州大学346.5VPN安全策略•一条VPN安全策略描述了所要保护的通信情形(源和目的,协议和端口)以及保护本身的安全需求(认证、加密、变换、密钥长度和生存期等等)。•VPN策略可以按照每个设备单独定义,但是必须以中心目录方式实现,以提供更好的可伸缩性和管理性。广州大学356.6VPN数据安全性•6.6.1认证(Authentication)–该要素确保所连接的远程设备的正确性。认证是通过VPN隧道双方事先配置好的共享秘密或者用户名和口令来完成的。–基于IPSec的VPN认证使用一个共享秘密和因特网密钥交换(InternetKeyExchange,IKE)协议来实现,如图6-9所示。IKE利用共享秘密来产生一个密钥。广州大学36图6-9VPN认证加密的VPN隧道VPN安全的基石:用户认证广州大学376.6VPN数据安全性•6.6.1认证(Authentication)–基于PPTP的VPN认证使用一个用户名和口令。它使用以下几种协议来完成:•①PAP(PasswordAuthenticationProtocol):口令认证协议•②CHAP(ChallengeHandshakeAuthenticationProtocol):挑战握手认证协议•③MS-CHAP(MicrosoftEncryptedCHAP):微软加密挑战握手认证协议广州大学386.6VPN数据安全性•6.6.2加密(Encryption)–(1)基于IPSec的VPN使用DES或者3DES加密算法。加密后的数据分组使用封装安全有效载荷(EncapsulatingSecurityPayload,ESP)协议进行封装。当数据到达目的地,这些分组被拆封,然后解密。广州大学396.6VPN数据安全性•6.6.2加密(Encryption)–(2)基于PPTP的VPN使用微软的点对点加密(MicrosoftPoint-to-PointEncryption,MPPE)和RC4加密算法作为链路加密,并提供网络安全。作为隧道数据的PPTP帧利用通用路由协议(GenericRoutingEncryption,GRE)进行封装。广州大学406.6VPN数据安全性•6.6.3完整性(Integrity)–通过对所传输的数据进行哈希函数和校验和运算(SHA-1或MD5算法)来完成。广州大学416.7VPN协议•VPN是基于一种称为隧道(Tunneling)的技术。VPN隧道对要传输的数据用IP协议进行封装,这样可以使数据穿越公共网络(通常是指Internet)。整个数据包的封装和传输过程称为挖隧道。数据包所通过的逻辑连接称为一条隧道。广州大学426.7VPN协议•隧道使得远程用户成为企业网络的一个虚拟节点。•从用户的角度来看,信息是在一条专用网络连接上传输,而不管实际的隧道所在物理网络的结构。•为了实现认证和加密机制,隧道两端都必须有隧道服务器和客户端软件,而且两端必须使用相同的隧道协议。广州大学436.7VPN协议•三种最常见的也是最为广泛实现的隧道技术:–点对点隧道协议(Point-to-PointTunnelingProtocol,PPTP)–第二层隧道协议(Layer2TunnelingProtocol,L2TP)–IP安全协议(IPSec)。广州大学446.7VPN协议•6.7.1PPTP–PPTP是由微软