VPN技术的学习总结

  • 格式:docx
  • 大小:227.93 KB
  • 文档页数:11

VPN技术的学习总结

在网络安全课程的学习过程中,我对网络安全有了一些了解和认识。特别是它的基础概念,网络安全的具体要求,安全通信模型以及目前广泛使用的安全技术等知识。其中VPN技术是目前安全通信中既能保证一定的安全性又具有经济性的一项技术,因此它目前的市场应用十分广泛。所以在学习完这门课程后,我想对所有学过的知识做一个梳理,然后把我比较感兴趣的VPN技术做深入一些的学习和整理。

1. 网络安全的基本概念

网络安全包含网络系统硬件、软件以及网络上存储和传输的信息资源的安全性。而其安全性包括计算机系统的硬件、软件、数据受到保护, 不因偶然的或恶意的原因而遭到破坏、更改、泄露, 确保系统能连续正常运行,网络服务不中断。

网络安全的威胁包括:计算机病毒,蠕虫,木马,拒绝服务攻击,逻辑炸弹,后门和隐蔽通道等。

在网络信息传输的过程中,信息的安全特性包括:机密性,完整性,可用性,不可否认性,可控性,可审查性,可恢复性。只有在满足了以上特性的信息传输才被认为是安全的。因此相对应于各个安全特性,网络安全服务需要做到的有:认证服务,访问控制服务,数据机密性服务,数据完整性服务,不可否认服务。 在认证服务中,需要提供某个实体(人或系统)的身份保证,确保通信实体就是它们所声称的实体。使用口令是一种提供认证的熟知方法,数字证书和签名也可以提供信息发送方的身份认证。认证是对付假冒攻击的有效方法;

访问控制服务中,要能够防止对系统资源(如计算资源、通信资源或信息资源)的非授权访问和非授权使用,确保只有授权的实体才能访问授权的资源。访问控制直接支持机密性、完整性、可用性以及合法使用等安全目标。访问控制系统的关键是制定访问控制策略。它是系统安全防范中应用最普遍和最重要的安全机制,可提供机密性和完整性服务。 访问控制采用最小特权原则:即在给用户分配权限时,根据每个用户的任务特点使其获得完成自身任务的最低权限,不给用户赋予其工作范围之外的任何权力。

数据机密性服务,能够保护信息不泄漏或不暴露给那些未授权掌握这一信息的实体(人或组织),确保授权实体才能理解受保护的信息,防止传输的数据遭到窃听、流量分析等被动攻击。机密性服务是通过加密机制来实现的,目前已有多种加密算法来保护数据的安全,可以根据不同的需求在网络结构的不同层次来实现。比如:若需保护全部通信业务流的机密性,可在物理层加密;若希望对端系统到端系统之间的通信进行保护,可在网络层加密。有时也可根据多个需求,在多个层次上提供加密。

数据完整性服务,是用来维护信息的一致性防止对信息的非授权篡改和破坏,使消息的接受者能判断消息是否被修改或被攻击者用假消息替换。数据完整性可以通过安全协议中的认证头AH协议,ESP协议,MAC算法等来保证。

不可否认服务,其目的是保护通信用户免遭来自系统中其他合法用户的威胁,而不是来自未知攻击者的威胁。通过公证机制的数字证书和时间戳可以保证信息发送方对发出的消息不能抵赖。

2. 虚拟专用网VPN技术

虚拟专用网VPN(Virtual Private Network)技术是在公共传输网络中采用隧道技术,形成逻辑私有的通讯网络的技术。这样对通信安全要求高的用户就不需要向网络运营商要求单独牵一条专线,可以节省不少成本。VPN可实现数据公网传输的机密性、完整性,对通信双方的身份进行认证,并可解决异构网传输问题等。VPN可工作在很多层次,如工作在链路层的链路密码技术,工作在IP层的IPSEC VPN,GRE封装,工作在传输层的SSL VPN等。

2.1. VPN系统的组成

VPN系统由以下七个部分组成,VPN服务器:接受来自VPN客户机的连接请求。VPN客户机:终端计算机或者路由器。隧道:数据传输通道,其中传输的数据必须经过封装。隧道协议:封装数据、管理隧道的通信标准。VPN连接:在VPN连接中,数据必须经过加密。传输数据:经过封装、加密后在隧道上传输的数据。公共网络:如Internet,也可以是其他共享型网络。下图一直观的显示了VPN系统的组成。 图一 VPN系统的组成

2.2. VPN系统通信流程与功能

首先,需要保护的主机发送明文信息到其VPN设备,其VPN设备根据管理员设置的规则,确定是对数据加密还是直接传送。如果是需要加密的数据,VPN 设备将其整个数据包进行加密和签名,加上新的数据报头( 包括目的地VPN设备需要的安全信息和初始化参数) 重新封装;封装后的数据包通过隧道在公网上传输;然后数据包到达目的VPN设备,收端VPN设备将数据包解封,核对签名后,将数据包解密。

实现的基本功能有五项,分别是身份鉴别:包括验证用户的身份,限制非授权用户的时候访问了什么资源。不同的用户对不同的资源应有不同的访问权限;地址管理:为每个客户分配一个地址,并保证地址对虚拟专用网外的不可见性;数据加密:保证通过公共网络传送的信息即使被他人截获也不会泄密;密钥管理:能够为VPN的客户和服务器生成和更新加密密钥;多协议支持:VPN必需能够处理公共网络常用的各种协议,包括IP、IPX等等; 2.3. VPN系统的分类

Intranet VPN:用于集团的总部和多个分支机构之间;分支机构网络是集团总部网络的可靠延伸;

Extranet VPN:为集团的供货商、重要客户和消费者等商业伙伴提供访问权限;电子商务是Extranet VPN的一种特殊形式;

Access VPN:为移动用户远程访问集团总部网络提供服务;

2.4. 关键技术

隧道技术:VPN的核心技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道由隧道协议形成,常用的有2 、3层隧道协议。

密码技术(由下面三项技术组成)

加解密技术:将认证信息、通信数据等转换为密文的相关技术,其可靠性主要取决于加解密的算法及强度。

密钥管理技术:如何在公用网上安全地传递密钥而不被窃取。

身份认证技术:在正式的隧道连接开始之前需要确认用户的身份,以便系统进一步实施资源访问控制或用户授权。

2.5. 身份认证方法

PAP(Password Authentication Protocol ):是一种简单的明文用户名/口令认证方式。

CHAP(Challenge Handshake Authentication Protocol询问握手身份验证协议):是一种挑战响应式协议。它是PPP(MODEM或ADSL拨号)中普遍使用的认证协议。 MS-CHAP:是微软针对Windows系统设计的,采用MPPE加密用户密码和数据。

RADIUS(Remote Authentication Dial In User Service,远程用户拨号认证系统 ):最初是由Livingston公司提出的,原先的目的是为拨号用户进行认证和计费。后来经过多次改进,形成了一项通用的认证计费协议。

2.6. 具体通信协议与方法

2.6.1. 点对点隧道协议(PPTP)

PPTP(point – to – point Tunneling Protocol)是1996年Microsoft

和Ascend等在PPP协议上开发的支持Client-to-LAN类型的VPN连接。PPTP 使用 PPP 拨号连接,通过对PPP 分组的封装传输,将PPP 链接逻辑地延伸到远程用户与企业总部的PPTP服务器之间,从而借用PPP 协议成熟的机制对用户进行身份鉴别、访问授权以及网络配置,同时,通过PPTP封装传输,也使得使用企业内部地址的分组,能成功地穿越IP 异构网络,到达企业总部,以此达到资源共享。 PPTP只能在两端点间建立单一隧道。

PPTP工作模式分为被动和主动两种模式。被动模式中,PPTP会话通过一个一般位于ISP 处的前端处理器发起,客户端不需安装任何PPTP软件,ISP 为用户提供相应的服务,这种方式降低了对客户的要求,但限制了客户对Internet 其他部分的访问。主动模式中,客户与网络另一端的服务器直接建立PPTP隧道,不需ISP 的参与,不需位于ISP 处的前端处理器,ISP 只提供透明的传输通道。这种方式的优点是客户对PPTP有绝对的控制。

PPTP隧道机制的特点有,PPTP不提供数据安全性保证,它必须借助PPP 的加密机制,如MPPE (Window自带),或者与其它安全协议如IPsec )结合使用,才能为隧道通信提供安全保护;由于PPP协议本身支持多协议传输,PPTP因此支持多协议传输; PPTP不支持多隧道复用,但通过呼叫ID 能支持对隧道的会话复用; PPTP通过GRE头中的序列号支持有限的分组排序功能; PPTP协议的系统开销适中;除了有限的流量控制功能,PPTP也基本不能提供QoS 保障。

2.6.2. 第2层转发L2F(Layer 2 Forward)协议

L2F(Layer 2 Forward)协议由Cisco公司提出,通过对PPP或SLIP分组的封装传输,能使PPP/SLIP分组在多种网络(如ATM、帧中继和IP网络)中传输。其标准于1998年提交IETF,发布在RFC 2341。L2F协议设计了L2F封装头, 形成L2F分组。 L2F分组可在任何能提供点到点链接的底层媒体上发送。当L2F分组在IP网络上发送时,L2F分组将作为UDP协议的上层协议数据单元被封装成为UDP报文,经过IP协议发送。

以下是一个典型的L2F协议的实现:

图二 L2F协议的典型实现

远程用户通过ISDN/PSTN 网与NAS建立PPP 连接。 VPN客户机通过VPN拨号向NAS服务器发送请求,希望建立与远程HGW的VPN连接。 NAS根据用户名称等信息向HGW发送隧道建立连接请求,实现与HGW之间通过IP 网、帧中继或其它网络建立L2F 隧道,总部局域网通过HGW与外界连接。即远程用户与NAS之间建立一条PPP

链接。这条链接被NAS与HGW之间的L2F 隧道逻辑地延伸到HGW。

2.6.3. 第2层隧道协议( L2TP)

因特网工程任务组(IETF)希望统一虚拟拨号的标准,由此产生了L2TP(Layer 2 Tunneling Protocol)协议。它由微软、Ascend、Cisco、3COM等公司参予制定,结合了PPTP和L2F两种协议的优点,成为IETF标准RFC 2661。 L2TP是典型的被动式隧道协议,可让用户从客户机或接入服务器发起VPN连接。 L2TP协议设计了L2TP封装头,设计思想类似于L2F头。封装形成的L2TP分组可在任何能提供点到点链接的媒体上发送,如IP网、ATM和帧中继。当L2TP分组在IP网上进行发送时,L2TP分组被封装入UDP报文,再递交给IP协议进行发送。

而L2TP协议的工作流程如下:远程用户通过PSTN或ISDN网,向ISP发起PPP链接请求。在ISP的呈现点 POP处,LAC接受此连接,建立远程用户到LAC的PPP链接。远程用户与LAC互换LCP配置信息,并可能实现如CHAP身份鉴别信息的局部交换;

ISP的LAC依据CHAP应答中的名字信息,确定是否对此远程用户提供虚拟的拨号访问服务。若需要,则由名字信息确定该用户的总部所在地,即目的LNS;