信息安全系统工程VPN和IPSEC

一、VPN概述VPN—VirtualPrivateNetwork，虚拟专用网。VPN是将物理上分布在不同地点的网络通过公用骨干网（尤其是Internet）连接而成的逻辑上的虚拟子网。为了保障信息安全，VPN技术采用了鉴别、访问控制、保密性、完整性等措施，以防止信息被泄露、篡改和复制。Virtual、Private、NetworkVirtual针对传统的“专用网络”而言。传统的专用网络往往需要建立自己的物理专用线路（如长途拨号或专线服务），而VPN则是利用公共网络资源和设备建立一个逻辑上的专用通道。尽管没有自己的专用线路，但是这个逻辑上的专用通道却可以提供和专用网络同样的功能。Virtual、Private、Network（续）Private表示VPN是被特定企业或用户私有的，并不是任何公共网络上的用户都能够使用已经建立的VPN通道，而是只有经过授权的用户才能使用。在VPN通道内传输的数据经过了加密和认证，从而保证了传输内容的机密性和完整性。Network表示VPN是一种专门的组网技术和服务，企业为了建立和使用VPN，必须购买和配备相应的网络设备。VPN的类型VPN主要有三种类型：AccessVPN：远程访问VPN；IntranetVPN：企业内部VPN；ExtranetVPN：企业扩展VPN。AccessVPNAccessVPN即移动VPN，适用于企业内部人员出差或远程办公的情况，对应于传统的远程访问网络。外地员工利用当地的ISP（InternetServiceProvider）接入Internet，就可以和企业VPN网关建立私有的隧道连接。出差员工家庭办公Internet总部网关AccessVPN（续）在传统方式中，在企业网络内部需要架设一个拨号服务器作为RAS（RemoteAccessServer），用户通过拨号到该RAS来访问企业内部网这种方式需要购买专门的RAS设备，价格昂贵；用户只能进行拨号，也不能保证通信安全，而且对于远程用户可能要支付昂贵的长途拨号费用。AccessVPN通过拨入当地的ISP进入Internet再连接企业的VPN网关，在用户和VPN网关之间建立一个安全的“隧道”，通过该隧道安全地访问远程的内部网，这样既节省了通信费用，能保证安全性。IntranetVPN如果要进行企业内部异地分支机构之间的互联，可以使用IntranetVPN，即网关对网关VPN。IntranetVPN在异地两个网络的网关之间建立了一个加密的VPN隧道，两端的内部网络可以通过该VPN隧道安全地进行通信，就好像和本地网络通信一样。IntranetVPN利用公共网络（如Internet）连接企业总部、远程办事处和分支机构，企业拥有和专用网络相同的策略，包括安全、服务质量、可管理性和可靠性等。IntranetVPN（续）总部分部网关网关Internet内部IP，如：192.168.1.1内部IP，如：192.168.1.100好像可直接通过内部IP通信公网IP公网IP采用隧道协议（如IPoverIP）进行传输，用公网IP报文承载内部IP报文ExtranetVPN如果企业希望将客户、供应商、合作伙伴连接到企业内部网，可以使用ExtranetVPN。ExtranetVPN也是一种网关对网关的VPN。总部分部网关网关网关合作伙伴InternetVPN的主要优点1、降低成本：VPN是利用了现有的Internet或其他公共网络的基础设施为用户创建安全隧道，不需要使用专门的线路，如DDN和PSTN，这样就节省了专门线路的租金。如果是采用远程拨号进入内部网络，访问内部资源，还需要支付长途话费；而采用VPN技术，只需拨入当地的ISP就可以安全地接入内部网络，这样也节省了线路话费。VPN的主要优点（续）2、易于扩展：如果采用专线连接，实施起来比较困难，在分部增多、内部网络结点越来越多时，网络结构趋于复杂，费用昂贵。如果采用VPN，只是在结点处架设VPN设备，就可以利用Internet建立安全连接，如果有新的内部网络想加入安全连接，只需添加一台VPN设备，改变相关配置即可。VPN的主要优点（续）3、保证安全：VPN技术利用可靠的加密认证技术，在内部网络之间建立隧道，能够保证通信数据的机密性和完整性，保证信息不被泄漏或暴露给未授权的实体，保证信息不被未授权的实体改变、删除或替代。在现在的网络应用中，除了让外部合法用户通过VPN访问内部资源外，还需要内部用户方便地访问Internet，这样可将VPN设备和防火墙配合，在保证网络畅通的情况下，尽可能的保证访问安全。二、VPN技术1、密码技术2、身份认证技术3、隧道技术4、密钥管理技术1、密码技术VPN利用Internet的基础设施传输企业私有的信息，因此传递的数据必须经过加密，从而确保网络上未授权的用户无法读取该信息。因此可以说密码技术是实现VPN的关键核心技术之一。2、身份认证技术VPN需要解决的首要问题就是网络上用户与设备的身份认证。从技术上说，身份认证基本上可以分成两类：非PKI体系和PKI体系的身份认证。非PKI体系的身份认证协议主要有：PAP—PasswordAuthenticationProtocolCHAP—Challenge-HandshakeAuthenticationProtocolMS-CHAP—MicrosoftCHAPRADIUS—RemoteAuthenticationDialInUserServicePKI体系的身份认证主要依赖CA（CertificateAuthority）签发的符合X.509规范的数字证书。CHAPCHAP是一种基于散列函数的认证协议，见RFC1994。CHAP协议流程：用户U认证服务器AS1）提出认证请求（N）2）发送“挑战”（R）3）应答挑战H(PW||R)1）提出认证请求（N）4）认证通过，登录系统CHAP协议流程1、U—〉AS：N用户输入用户名N，向认证服务器发出认证请求。2、AS—〉U：R认证服务器首先检索数据库，若无与之匹配的用户名N，则拒绝用户的认证请求；否则选择随机数R作为挑战信息传给用户，同时提示用户输入口令。3、U—〉AS：H(PW||R)用户输入口令PW并计算H(PW||R)，然后将H(PW||R)作为应答信息传给认证服务器。CHAP协议流程（续）4、AS—〉U：验证用户，确定是否允许登录。认证服务器根据自己存储的用户口令PW计算H(PW||R)，然后与接收到的应答信息进行比较。如果二者相等，则通过对用户的身份认证，登录成功；否则认证用户身份非法，拒绝登录请求。5、登录成功后的周期性验证在随后的通信过程中，认证服务器周期性地发送新的挑战信息给用户，重复步骤(2)～(4)，以便随时验证用户身份的合法性，防止入侵者进行插入信道攻击，接管会话过程。3、隧道技术隧道所谓“隧道”就是一种封装技术，它利用一种网络传输协议，将其他协议产生的数据报文封装在它自己的报文中在网络中传输。生成隧道的协议有两种：第二层隧道协议，典型包括L2F：Layer2Forwarding，RFC2341；PPTP：PointtoPointTunnelingProtocol，RFC2637；L2TP：LayerTwoTunnelingProtocol，RFC2661。第三层隧道协议，典型包括IPSec：IPSecurity，目前最常用的VPN解决方案；GRE：GeneralRoutingEncapsulation，RFC2784。隧道协议任何隧道协议的数据包格式都是由乘客协议、封装协议和传输协议三部分组成。例如，L2TP协议的格式如下：PPP（数据）L2TPUDPIP传输协议封装协议乘客协议隧道协议（续）乘客协议指用户要传输的数据，也就是被封装的数据，可以是IP、PPP、SLIP等，这是用户真正要传输的数据。如果是IP协议，其中包含的地址有可能是保留IP地址。封装协议封装协议用于建立、保持和拆卸隧道，如PPTP、L2TP、GRE就属于封装协议。传输协议乘客协议被封装后应用传输协议实际进行传输。典型的传输协议仍然是IP。隧道协议（续）为了理解隧道，可以用邮政系统做比较：乘客协议就是写的信，信的语言可以是汉语、英语、法语等，具体如何解释由写信人、读信人自己负责。这就对应于多种乘客协议，对乘客协议数据的解释由隧道双方负责。封装协议就是信封，可能是平信、挂号或者是EMS。这对应于多种封装协议，每种封装协议的功能和安全级别有所不同。传输协议就是信的运输方式，可以是陆运、海运或者空运，这对应于不同的传输协议。隧道分类根据隧道的端点是用户计算机还是拨号接入服务器（或网关），隧道可以分成两种：自愿隧道和强制隧道。自愿隧道（VoluntaryTunnel）客户计算机可以通过发送VPN请求来配置和创建一条自愿隧道，此时用户端计算机作为隧道的客户方成为隧道的一个端点。客户计算机上必须安装有隧道客户软件。强制隧道（CompulsoryTunnel）强制隧道由支持VPN的拨号接入服务器（或网关）来配置和创建。在强制隧道中，客户端的计算机不作为隧道端点，而是由位于客户计算机和服务器之间的拨号接入服务器（或网关）作为隧道客户端，成为隧道的端点。（强制）隧道例子Internet安全网关1安全网关222.13.2.5927.168.3.6011.143.1.25463.168.2.25463.168.2/2411.143.1/2411.143.1.163.168.2.1主机21主机11AH隧道AHAH内部头通信终点内部头通信终点外部头（IP）终点外部头（IP）终点隧道端点访问主机21源IP:11.143.1.1目的IP:63.168.2.1封装隧道内部源IP:11.143.1.1内部目的IP:63.168.2.1外部源IP:22.13.2.59外部目的IP:27.168.3.60解封源IP:11.143.1.1目的IP:63.168.2.14、密钥管理技术在VPN应用中密钥分发与管理非常重要，常用的密钥分发有两种方法：1）通过手工配置方式。2）采用密钥交换协议动态分发。手工配置方式：只适合于简单网络情况，密钥更新不能太频繁。自动化的密钥交换协议：采用软件方式动态生成密钥，保证密钥在公网上安全地传输而不被窃取，适合于复杂网络情况，而且密钥可快速更新。目前主要的协议有：SKIP：SimpleKeyManagementforIP；ISAKMP：InternetSecurityAssociationandKeyManagementProtocol（RFC2408）/Oakley（RFC2412）。三、第二层隧道协议—PP2P和L2TP第二层隧道协议用于传输第二层网络协议，它主要应用于构建AccessVPN。第二层隧道协议主要有3种：1、L2F：由Cisco、Nortel等公司支持的协议，Cisco路由器中支持此协议；2、PPTP：由Microsoft、Ascend、3COM等公司支持的协议，WindowsNT4.0以上版本中支持此协议；3、L2TP：二层隧道协议的工业标准，由IETF起草并由Microsoft、Ascend、Cisco、3COM等公司参与制定，它结合了上述两个协议的优点。1、PPTP协议PPTPPointtoPointTunnelingProtocol（点到点隧道协议），在RFC2637中定义。该协议将PPP数据包封装在IP数据包内，通过IP网络（如Internet或Intranet）进行传送。PPTP可看作是PPP协议的一种扩展它提供了一种在Internet上建立多协议的VPN的通信方式，远端用户能够通过任何支持PPTP的ISP访问公司的专用网络。PPTP的协议报文PPTP客户端和服务器之间的报文有两种：1、控制报文：负责PPTP隧道的建立、维护和断开；2、数据报文：负责传输用户的真