11 第十一章 VPN v5.0c1
- 格式:pdf
- 大小:3.82 MB
- 文档页数:48
Confidentiality–通过加密算法,确保即使信息被中间人劫持,也无法看到真实内容。
Integrity–尽管信息可以具有很好的安全性和隐秘性,其他人不能很好的判定理解它的内容,但是它是可以被更改。
通过完整性验证可以让接收方来判定该内容是否被修改,并且当数据一旦被修改后来拒绝接收这些变更的信息。
Authentication–远端如何来识别收到的信息来自它所期待和可信的发送方,而不希望将这些信息发送给错误的接方。
加密(Encryption)提供数据的机密性。
加密是将用户的数据如明文转换为不可读的密文, 这个进程是通过用一种带加密密钥的加密算法来生成密文的。
为了可逆这个加密进程,以解开密文,需要知道加密的算法和密钥。
加密数据可以被通过两种方式来进行加解密:
• 对称密钥加密两端使用相同的密钥来进行加密和解密
• 非对称密钥使用私钥加密,并用特定的公钥来进行解密
密文的强度取决于密钥的加密尺寸,越大的密钥密文输出密文的越安全。
越大的密钥需要进行更多的加解密迭代轮回计算。
对称密钥加密是一种最直接的消耗最小的加密方式,其加解密都使用同一个密钥,因此发送和接收数据的双方都需要知道这个密钥。
对称密钥的尺寸一般都在40 bits 到1024 bits之间,对称密钥加密算法运行非常快,常用在大数据量的数据加密上。
由于双方都知道这个密钥,因此密钥的管理对于安全和方便使用都是重要的问题。
加密协议: RC-4, DES, AES, Blowfish
在非对称密钥/公钥加密方法中,一对特定绑定关系的密钥对被使用。
其中一个密钥是由所用者保存的私钥,另外一个被以公开的形式发布在公网上叫公钥,被用私钥加密的数据只有被公钥才可以解密。
另外,其中一个密钥是不可能被从另外一个密钥推导出来的。
公钥的加密长度一般是从512 bits 到2048 bits。
因为大的加密长度,所以其加密速度比较慢,开销比较大。
尽管如此,公钥被广泛用于设备用户的认证。
当数据在公网上加密传输时,要避免数据在该过程中被修改。
尽管黑客不能够破解算法和密钥,但是他们仍然能够通过修改该够负载的比特位来修改加密的密文。
如果这种情况发生,解密的输出将同原始文件不匹配。
因为接收者并不知道原始的数据内容所以导致被欺骗的可能存在。
哈希算法(Hashing) 通过指纹技术来解决这个问题。
类似于CRC 校验合的方法,在数据被传输前,对于明文数据运行HASH引擎,来产生一个固定长度的哈希输出值,然后这个哈希值同原始数据绑定在一起被发送给接收端。
接收端接收到数据后,运行同样的HASH算法,自己重新计算出HASH值,然后比较两个HASH 值是否一样。
如果一样就表明原始数据没有被修改,如果不一样就表明数据被进行了篡改,数据包将被丢
弃。
Hashing 是一个单向的模数学模型,它的功能是产生固定长度的输出。
有两个优势:一个是固定尺寸的hash值,另一个是从该hash值无法推导出原始数据。
加密是用来保护数据包内容在公网上传递的时候不被非法授权查看。
Hashing 验证数据是否被进行篡改,但是用什么来验证数据源的可信性呢?
数据源的认证是通过HMAC来完成的。
发送者在数据上附加了加密的预共享密钥,然后执行HASH运算。
如果为了使HASH值匹配,则接收者需要在执行HASH计算前附加一个同样的密钥值于数据中。
HASH密钥自身从来不同数据一起进行传输。
数据源的认证通过HMAC来完成。
发送者在需发送数据上附加预共享密钥,然后执行HASH运算,将HASH 运算值附加到需发送数据发出,接收者收到数据后需要在执行HASH计算前附加一个同样的密钥值于数据中,然后将计算出的HASH值与收到的数据包所附加HASH值做比对。
由于密钥自身不同数据一起进行传输,所以通过HMAC可以保证通过验证的数据为可信来源发送的数据。
HMAC(HASH算法)
1. 发送者附加预共享密钥于数据上,然后执Hash运算
2. 发送者将数据和计算出的HASH值发送给接收方
3. 接收方分离数据和hash值
4. 接收方在数据上附加预共享密钥,然后进行hash 运算
5. 接受方比较自己的HASH值计算结果,如果匹配,数据没有被修改;如果不匹配,那么就是数据自身被改动或KEY不匹配,因此数据包将被丢弃
• 阶段1
–两个对等的通话方建立一个安全的认证的通道
–Diffie-Hellman 密钥算法用于产生一个与对端网关一致的对称密钥
–运行于以下的两种模式
• Main mode –用于两个对端都有静态的IP地址
• Aggressive mode –当一端实动态分配的IP地址时候
• 阶段2
–安全集合协商要使用到Phase 1安全通道
–Proxy-ID 用于验证关于VPN的SA
–Diffie-Hellman 密钥交换算法可以用来创建
perfect forward secrecy (PFS)
–Phase 2 模式又叫快速模式
第二阶段SA是单向的,在两个对等体之间的双向通信,最少需要两个安全联盟来分别对两个方向的数据流进行安全保护。
SA的生存时间由所要保护的传输数据的数据量或时间来决定。
配置策略指定哪些流量通过VPN转发,并指明转发所使用隧道,如果需双向策略,可以根据提示自动生成反向策略,然后根据需求到相应反向策略中修改。
配置策略前需先定义本地及对端内网IP地址簿。
VPN策略通常需要置顶以免被其他策略覆盖。
在路由配置模式下,通常配置有源NAT规则实现访问互联网时做源地址转换。
为了避免VPN访问也被做SNAT转换,此时需要在SNAT规则添加本地网络访问对端内网不做SNAT的规则并置于首位。
tunnel接口可以不配置IP地址。
为解决远程用户安全访问私网数据的问题,Hillstone安全网关提供基于SSL 的远程登录解决方案——Secure Connect VPN,简称为SCVPN。
SCVPN 功能可以通过简单易用的方法实现信息的远程连通。
不同型号的安全网关默认情况下支持的同时在线最大VPN 客户端数不同,如果想增加支持的客户端数,请向代理商购买相应的许可证。
SCVPN 客户端程序为Hillstone Secure Connect,用户可以通过浏览器下载该客户端。
Hillstone Secure Connect 可在以下操作系统中运行:Windows 2000/2003/ XP /Vista/7。
通过客户端与设备端的连接,即可实现数据的加密通信。
该客户端的主要作用包括:
♦从所在PC 获得接口和路由信息;
♦显示与连接状态、数据流统计数据以及接口和路由信息;
♦显示应用程序日志信息;
♦调用客户端更新程序进行客户端更新。
AAA服务器可以是local,也可以通过AD、LDAP、Radius等外置认证服务器验证,指定认证服务器后需要添加用户。
绑定接口为用户登录SSL VPN时所使用接口,通常为untrust域所在接口。
隧道接口的IP 地址必须与地址池的IP 地址在同一网段,且不被地址池包含。
当客户端拨入SSL VPN 设备连接成功后,设备端会从所配置地址池里取出一个地址分配给客户端。
为避免下发地址时与本地或接入网络地址冲突,通常配置生僻少用的私网地址池。
当客户端拨入SSL VPN 设备连接成功后,设备端会从所配置地址池里取出一个地址分配给客户端。
为避免下发地址时与本地或接入网络地址冲突,通常配置生僻的地址池。
隧道路由指需要通过SSL VPN访问网段,可以添加多条,登录时下发路由到客户端。
缺省配置下发默认路由到客户端,即登录SSL VPN后除本地网段的所有访问都通过SSL VPN实现。