虚拟专用网络(VPN)技术

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

第7章虚拟专用网络(VPN)技术本章学习目标:了解VPN概念及基本功能掌握VPN的工作协议了解VPN的分类了解SSLVPN的概念与作用27.1VPN技术概述虚拟专用网(VirtualPrivateNetwork,VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。7.1.1VPN的概念VPN依靠ISP(Internet服务提供商)和其他NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。VPN是对企业内部网的扩展。一般以IP为主要通讯协议。37.1VPN技术概述VPN是在公网中形成的企业专用链路。采用“隧道”技术,可以模仿点对点连接技术,依靠Internet服务提供商(ISP)和其他的网络服务提供商(NSP)在公用网中建立自己专用的“隧道”,让数据包通过这条隧道传输。对于不同的信息来源,可分别给它们开出不同的隧道。7.1.1VPN的概念(续)公共传输网络隧道一般连接通道4远程访问Internet内部网合作伙伴分支机构虚拟私有网VPN是企业网在因特网上的延伸VPN的典型应用57.1VPN技术概述隧道是一种利用公网设施,在一个网络之中的“网络”上传输数据的方法。隧道协议利用附加的报头封装帧,附加的报头提供了路由信息,因此封装后的包能够通过中间的公网。封装后的包所途经的公网的逻辑路径称为隧道。一旦封装的帧到达了公网上的目的地,帧就会被解除封装并被继续送到最终目的地。7.1.1VPN的概念(续)①隧道开通器(TI);②有路由能力的公用网络;③一个或多个隧道终止器(TT);④必要时增加一个隧道交换机以增加灵活性。隧道基本要素67.1VPN技术概述7.1.2VPN的基本功能VPN的主要目的是保护传输数据,是保护从信道的一个端点到另一端点传输的信息流。信道的端点之前和之后,VPN不提供任何的数据包保护。VPN的基本功能至少应包括:1)加密数据。以保证通过公网传输的信息即使被他人截获也不会泄露。2)信息验证和身份识别。保证信息的完整性、合理性,并能鉴别用户的身份。3)提供访问控制。不同的用户有不同的访问权限。4)地址管理。VPN方案必须能够为用户分配专用网络上的地址并确保地址的安全性。5)密钥管理。VPN方案必须能够生成并更新客户端和服务器的加密密钥。6)多协议支持。VPN方案必须支持公共因特网络上普遍使用的基本协议,包括IP、IPX等。77.1VPN技术概述7.1.3VPN的特性安全性–隧道、加密、密钥管理、数据包认证、用户认证、访问控制可靠性–硬件、软件、基础网络的可靠性可管理性–记帐、审核、日志的管理–是否支持集中的安全控制策略可扩展性–成本的可扩展性,如使用令牌卡成本高–性能,是否考虑采用硬件加速加解密速度87.1VPN技术概述7.1.3VPN的特性(续)可用性–系统对应用尽量透明–对终端用户来说使用方便互操作性–尽量采用标准协议,与其他供应商的设备能互通服务质量QoS–通过Internet连接的VPN服务质量很大程度取决于Internet的状况多协议支持9Clue远程访问Internet内部网分支机构安全网关安全网关ISP接入设备端到端数据通路的典型构成拨入段外部段(公共因特网)内部段公司的内部网络7.1.4VPN的安全性107.1.4.1端到端数据通路中存在的安全风险拨入段数据泄漏风险因特网上数据泄漏的风险安全网关中数据泄漏的风险内部网中数据泄漏的风险117.1.4.2拨入段数据泄漏风险远程访问ISP接入设备拨入段Internet拨入段用户数据以明文方式直接传递到ISP:1.攻击者可以很容易的在拨入链路上实施监听2.ISP很容易检查用户的数据3.可以通过链路加密来防止被动的监听,但无法防范恶意窃取数据的ISP。PSTN搭线监听攻击者ISPISP窃听到了ISP处已解密成明文明文传输127.4.1.3因特网上数据泄漏的风险Internet内部网恶意修改通道终点到:假冒网关外部段(公共因特网)ISP接入设备原始终点为:安全网关1.数据在到达终点之前要经过许多路由器,明文传输的报文很容易在路由器上被查看和修改2.监听者可以在其中任一段链路上监听数据3.逐段加密不能防范在路由器上查看报文,因为路由器需要解密报文选择路由信息,然后再重新加密发送4.恶意的ISP可以修改通道的终点到一台假冒的网关远程访问搭线监听攻击者ISPISP窃听正确通道137.4.1.4安全网关中数据泄漏的风险Internet内部网ISP接入设备远程访问安全网关1.数据在安全网关中是明文的,因而网关管理员可以直接查看机密数据2.网关本身可能会受到攻击,一旦被攻破,流经安全网关的数据将面临风险14Internet7.1.4.5内部网中数据泄漏的风险远程访问内部网安全网关ISP接入设备内部段公司的内部网络1.内部网中可能存在不信任的主机、路由器等2.内部员工可以监听、篡改、重定向企业内部网的数据报文3.来自企业网内部员工的其他攻击方式157.2VPN协议VPN主要采用以下四项技术来保证安全:◆隧道技术◆加解密技术◆密钥管理技术◆使用者与设备身份认证技术7.2.1VPN安全技术加解密技术、密钥管理技术、使用者与设备身份认证技术在第四章已作介绍,VPN只是对这几种技术的应用。下面重点介绍隧道技术167.2VPN协议7.2.2VPN的隧道协议VPN中的隧道是由隧道协议形成的,VPN使用的隧道协议主要有三种:点到点隧道协议(PPTP)、第二层隧道协议(L2TP)以及IPSec。PPTP和L2TP集成在windows中,所以最常用。PPTP协议允许对IP、IPX或NetBEUI数据流进行加密,然后封装在IP包头中通过企业IP网络或公共因特网络发送。L2TP协议允许对IP,IPX或NetBEUI数据流进行加密,然后通过支持点对点数据报传递的任意网络发送,如IP,X.25,帧中继或ATM。IPSec隧道模式允许对IP负载数据进行加密,然后封装在IP包头中通过企业IP网络或公共IP因特网络如Internet发送。177.2VPN协议7.2.2VPN的隧道协议NSRC、NDST是隧道端点设备的IP地址公网上路由时仅仅考虑NSRC、NDST原始数据包的DST、SRC对公网透明DSTSRCDATANDSTNSRCDSTSRCDATA187.2VPN协议7.2.2VPN的隧道协议Point-to-PointTunnelProtocol,2层协议,需要把网络协议包封装到PPP包,PPP数据依靠PPTP协议传输PPTP通信时,客户机和服务器间有2个通道,一个通道是tcp1723端口的控制连接,另一个通道是传输GRE(GenericRoutingEncapsulation,通用路由封装协议)PPP数据包的IP隧道PPTP没有加密、认证等安全措施,安全的加强通过PPP协议的MPPE(MicrosoftPoint-to-PointEncryption)实现windows中集成了PPTPServer和Client,适合中小企业支持少量移动工作者如果有防火墙的存在或使用了地址转换,PPTP可能无法工作1.点到点隧道协议(PPTP)197.2VPN协议7.2.2VPN的隧道协议把网络数据包封装在PPP协议中,PPP协议的数据包放到隧道中传输L2TPRFC2661定义在Cisco公司的L2F和PPTP的基础上开发windows中集成2.第二层隧道协议(L2TP)207.2VPN协议7.2.2VPN的隧道协议3.IPSec协议–3层协议,直接传输网络协议数据包–基于TCP/IP的标准协议,集成到IPv6中,仅仅传输IP协议数据包–提供了强大的安全、加密、认证和密钥管理功能–适合大规模VPN使用,需要认证中心(CA)来进行身份认证和分发用户的公共密钥IPSec数据包的格式IP包头AH包头ESP包头上层协议(数据)217.2VPN协议7.2.2VPN的隧道协议3.IPSec协议(续)IPSec的工作模式传输模式:只对IP数据包的有效负载进行加密或认证。此时,继续使用以前的IP头部,只对IP头部的部分域进行修改,而IPSec协议头部插入到IP头部和传输层头部之间。隧道模式:对整个IP数据包进行加密或认证。此时,需要新产生一个IP头部,IPSec头部被放在新产生的IP头部和以前的IP数据包之间,从而组成一个新的IP头部。IP包头AH包头ESP包头上层协议(数据)IP包头上层协议(数据)IP包头AH包头ESP包头上层协议(数据)IP包头上层协议(数据)安全网关IP包头227.2VPN协议7.2.2VPN的隧道协议3.IPSec协议(续)IPSec的三个主要协议SA(SecurltyAssociation安全关联)。所谓安全关联是指安全服务与它服务的载体之间的一个“连接”。AH和ESP都需要使用SA,而IKE的主要功能就是SA的建立和维护。只要实现AH和ESP都必须提供对SA的支持。1)ESP(EncapsulatingSecurityPayload)。ESP协议主要用来处理对IP数据包的加密。ESP是与具体的加密算法相独立的,几乎支持各种对称密钥加密算法,默认为3DES和DES。2)AH(AuthenticationHeader)。AH只涉及到认证,不涉及到加密。3)IKE(InternetKeyExchange)。IKE协议主要是对密钥交换进行管理,它主要包括三个功能:①对使用的协议、加密算法和密钥进行协商;②方便的密钥交换机制(这可能需要周期性的进行);③跟踪对以上这些约定的实施。23负载安全封装(ESP)认证数据:一个变长字段,也叫IntegrityCheckValue,由SA初始化时指定的算法来计算。长度=整数倍32位比特下一头部:8比特,标识认证头后面的下一个负载类型填充字段:8比特,大多数加密加密算法要求输入数据包含整数各分组,因此需要填充负载数据:包含由下一头部字段给出的变长数据SPI:32比特,用于标识有相同IP地址和相同安全协议的不同SA。由SA的创建者定义,只有逻辑意义ESP认证ESP尾负载ESP头IP头填充(0~255字节)下一头部填充长度认证数据(变长的)负载数据(变长的)序列号安全参数索引(SPI)填充长度:8比特,给出前面填充字段的长度,置0时表示没有填充下一头部填充长度认证数据(变长的)填充(0~255字节)负载数据(变长的)序列号安全参数索引(SPI)32位ESP头部ESP尾部ESP认证数据加密的认证的序列号:32比特,一个单项递增的计数器,用于防止重放攻击,SA建立之初初始化为0,序列号不允许重复24传输模式下的ESP工作原理Internet负载IP头部HostAHostBVPN网关VPN网关负载IP头部经过IPSec核心处理以后经过IPSec核心处理以后ESP认证ESP尾负载ESP头IP头加密数据认证数据ESP认证ESP尾负载ESP头IP头ESP认证ESP尾负载ESP头IP头加密数据认证数据25通道模式下的ESP工作原理Internet负载IP头HostAHostBVPN网关1VPN网关2负载IP头经过IPSec核心处理以后经过IPSec核心处理以后SourceIP=VPN网关1DestinationIP=VPN网关2SourceIP=HostADestinationIP=HostB负载ESP认证ESP尾IP头ESP头新IP头负载ESP认证ESP尾IP头ESP头新IP头26认证头部(AH)保留负载长度认证数据(完整性校验值ICV)变长序列号安全参数索引(SPI)下一头部负载AH头部IP头部认证数据:一个变长字段,也叫IntegrityCheckValue,由SA初始化时指定的算法来计算。长度=整数倍32位比特保留负载长度认证数据(完整性校验值ICV)变长序列号安全参数索引(SPI)下一头部下一头部:8比特,标识

1 / 64
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功