【网络通信安全管理员认证－中级】VPN

虚拟专用网虚拟专用网概说网络历史的回顾近十年，Internet发展平静，唯一的最大变化应该是：用户数量的激增但这一次，不是孤军奋战，带来了一个伙伴---虚拟专用网1866-先兆信息时代的开始：2700英里，海底电缆，纽芬兰和爱尔兰电报：电池………………电话无线通信：电缆通信36年之后，马可尼加拿大-英格兰计算机的出现1945，20000个电子管、数千个继电器、数十万的电容、电阻、电感ENIAC炮弹弹道UNIVAC-通用自动计算机，30万美元，人口普查1951-雷明顿.兰特，1K-2M蓝色巨人阿姆斯壮、阿尔德林登上月球计算机网络苏联-比尔.盖茨高级研究规划局（ARPA）-空间军备竞赛核袭击-生存研究斯坦福研究所、加利福尼亚大学洛杉矶、巴巴拉分校、尤他大学计算机网络1972-ARPA改名：归入美国国防部，改名为DARPA24台RayTomlinson@1976—TCP/IP入伍WORLDWIDEWEB1981-PC出现用户激增1992-WORLDWIDEWEB域名100万现在—巨大的飞跃下一个出场的将是谁？空档滑行的汽车问题的提出—企业越做越大*信息共享，却带来了安全隐患*移动信息传输，DDN,帧中继，但费用昂贵Internet大规模运用：基于分组交换，费用低廉；无所不在的接入；支持基于IP协议的各种应用；组网灵活，维护简便；设想：能否用Internet公用网路来解决？基于拨号远程独立客户机Modem电话网远程访问服务器Modem租用专线专用网数据网总部远程访问服务器分支机构服务器适配器专用通道适配器虚拟专用网（VirtualPrivateNetwork)VPN被定义为通过一公共网络(Internet)建立的临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。注解：它是对企业内部网的扩展。提供了一种在公共网络实现网络安全保密通信的方法VPN通过在共享网络当中开挖一条保密隧道的技术来仿真一条点对点连接，用于发送和接收加密的数据。虚拟--不需要占用实际的线路，而使用internet公众数据网络的长途数据线路专用—用户可以为自己制定一个最符合自己需求的网络虚拟专用网图解1虚拟专用网图解2VPN服务器(网关)内部网络互联网VPN客户远程用户虚拟专用网图解3公共网络VPN连接VPN客户机VPN服务器隧道VPN的特点1虚拟(Virtual)虚拟意味着网络的基础设施对于VPN连接来说是透明的。对于用户来说是透明的。同样底层的物理网络并非是VPN用户拥有的，而是由很多用户共享的公共网络。而且为了对上层应用透明，VPN采用协议隧道技术。由于VPN用户本身并不拥有物理网络。VPN的特点2专用(Private)VPN环境下的专用实际上指的是VPN网络中的通信信息是保密的。正如上面提到的，VPN的通信流是建立在公共网络基础之上的，因此对于一条VPN连接来说，必须采用防范措施来实现特定的安全需求。这些安全需求包括：①数据加密②数据源认证③密钥的安全产生和及时更新④分组重放攻击和欺骗攻击保护VPN的特点3网络(Network)虽然物理网络并不存在，但是我们还是应当把VPN看作是现有企业内部网的扩展，它对于其它网络或用户来说应当是可用的。这还得借助于常规的路由和寻址技术来实现。VPN优势随着互联网的快速增长，我们不禁要问:“如何才能更有效地利用和开发互联网的资源？”最初，公司通过在互联网上提供服务来提升其信息发布和访问能力。而今，由于互联网存在的各种潜在的安全威胁，各公司已逐渐转向电子商务，利用互联网的全球性来快速访问某些关键商务应用和数据。VPN为我们提供了一种更加综合和安全的解决方案。VPN优势互联网服务供应商网络企业内联网远程用户合作伙伴分支机构VPN的分类按VPN业务类型划分：（1）IntranetVPN（内部公文流转）（2）AccessVPN（远程拨号VPN）（3）ExtranetVPN（各分支机构互联）VPN的分类•按VPN发起主体划分：（1）客户发起，也称基于客户的VPN（2）服务器发起，也称客户透明方式或基于网络的VPNVPN的分类•按隧道协议层次划分：（1）二层隧道协议：L2F/L2TP、PPTP（2）三层隧道协议：GRE、IPSec（3）介于二、三层间的隧道协议：MPLS（4）基于SOCKSV5的VPN•此外，根据VPN实现方式不同，还可进一步分为软件实现和硬件实现等。VPN的安全考虑一条典型的端对端通信链路可能包含：（1）、不受企业自身控制的设备(例如ISP的接入盒部分，互联网当中的路由器)。（2）、位于内部网和外部网之间的安全网关(防火墙，路由器)。(3)内联网，其中可能有恶意主机。(4)外部网，这些网络当中传输着大量其它网络用户信息。*窃听、内容被篡改、拒绝服务攻击等VPN的安全考虑一条端对端通路的各组成部分：可能包含一条到ISP的拨号连接，以及ISP到企业内部网的公共网络段，最后是边界网关或防火墙和企业的内联网。远程主机ISP接入盒目标主机内部网段(公司B内联网)安全网关(防火墙/路由器)拨号接入段内部网段(公司A内联网)外部网段(公共互联网)拨号段给用户提供远程接入功能拨号段的覆盖范围就是从远程用户到ISP提供的接入盒之间的网段该链路使用的协议和过程由ISP具体提供。大多数ISP支持点对点(PPP)链路协议外部网络段(Internet)互联网是由大量的实体来共同运行和维护的，它包含了不同的可区分的路由域，各自由不同的网络中心运行，通常都使用IETF定义的标准化IP协议。IP协议的主要功能就是数据分组的路由。由于IP是无连接协议，每个用户的数据包可能途径不同的路径。事实上，来自不同公司的通信流可能同时通过互联网当中的某个路由器。内部网络(Intranet)此网段位于通信路径的末端，通常由公司自身管理、运行和维护，网络通信流量也是由公司内部员工产生的。使用的协议也可能是专有的，不过如今大都使用流行的IP协议。公司认为自己的内联网是可信的，而它的合作伙伴可能认为他们的内联网是不可信的。在这种环境下，VPN应当在内部网段和互联网段都能够提供一种一致的网络安全服务。各机器和网段存在的潜在安全问题在一条端对端通路当中，有四类机器：①远程主机(拨号)②固定主机(源和目的主机，或客户机和服务器)③ISP接入盒④安全网关(防火墙和/或路由器)拨号客户的安全问题拨号客户是通信的起点，其保护主要涉及物理安全人的安全拨号网段的安全问题拨号网段把用户的数据送往ISP。如果数据是明文的(没有加密)，那么数据很容易被攻击者窃听，同时ISP也能看到这些敏感数据。互联网的安全问题在远程接入环境中，ISP需要构造一条隧道来扩展PPP连接，从而使通信连接可以到达远程ISP接入盒和安全网关。如果该隧道协议不具备强大的安全功能，一个恶意的ISP有可能创建一条伪造的假隧道，从而把用户数据发往一个伪造的网关如图：虚假隧道ISP接入盒虚假隧道假冒网关正确隧道安全网关互联网的安全问题同样，当数据在隧道当中传输时，互联网中的路由器有可能查看或修改那些没有加密的用户数据包。在用户数据包经过的路径中还可能被别的主机窃听。通过在互联网中实施链路加密可以有效抵御窃听，但是并不能让用户数据免遭恶意路由器攻击。因为在路由器处，它需要对用户数据包解密，然后依据IP协议头转发到下一个路由器。因此，IETF推荐使用IPSec协议保护隧道通信。安全网关的安全问题安全网关的主要用途就是强制访问控制策略(也就是说，只接受所希望进入的通信流，防止内部通信流离开企业内部网)。虽然防火墙或路由器通常受企业网络控制，但对于内部攻击者来说还是有很多的机会访问那些网关解密后，以明文方式在内联网中传输的数据包的。VPN、防火墙和路由器在很多应用环境中，IP分组过滤是通过防火墙和路由器来提供的。对于VPN连接需要穿越防火墙或者路由器的情况(如图所示)，防火墙或路由器的配置需要进行适当的修改以允许VPN通信流量通过防火墙或路由器。VPN、防火墙和路由器内部网PERMITUDP500PERMITAHESPPERMITL2TP互联网其它内部子网VPN防火墙/路由器ISPISP防火墙/路由器VPN常见VPN应用环境VPN通常用于以下三种商业网络环境。1.远程接入2.LAN-LAN通信（外联网接入）3.可控的内联网接入远程接入企业VPN允许移动用户通过因特网拨号进入它们本地的因特网服务供应商(ISP)来接入企业LAN，通常使用远程接入隧道协议，如L2TP，PPTP或L2F。图中使用的是IPSec安全协议。远程接入内联网移动客户路由器服务器互联网防火墙ISPISP认证加密LAN-LAN通信同企业LAN没有恒定WAN连接的小型子公司可以使用VPN来接入到本企业的内联网，如图所示。该种方式的内联网互连可以确保通信安全，且其费用相对专线连接要低得多。LAN-LAN通信内联网路由器服务器互联网防火墙ISPISP认证加密防火墙路由器内联网客户端可控的内联网接入企业LAN还可以利用VPN技术实现对保密网络当中的特定子网实施可控制接入，如图所示。在这种模式中，VPN客户端连接到一个VPN服务器，该服务器作为客户端和子网内主机的网关。这种VPN通常用于企业同其合作伙伴或供应商之间的安全通信。例如供应商内联网内的某工作站可以同企业内某特定服务器(或防火墙)建立一条VPN连接。由此，工作站和服务器(或防火墙)可以互相认证身份，同时确保通信信息是保密的。如果VPN隧道是在防火墙处终止，那么还可以在企业内联网的DMZ(非军事区，指内网和外网的安全过渡子网)中对通信信息进行额外的安全检查，如病毒查杀或内容过滤。可控的内联网接入路由器企业内联网互联网防火墙ISPISP认证加密防火墙路由器合作伙伴内联网VPN数据安全性认证(Authentication)*该要素确保所连接的远程设备的正确性。认证是通过VPN隧道双方事先配置好的共享秘密或者用户名和口令来完成的。*基于IPSec的VPN认证使用一个共享秘密和因特网密钥交换(InternetKeyExchange，IKE)协议来实现，如图所示。IKE利用共享秘密来产生一个密钥。认证加密的VPN隧道VPN安全的基石：用户认证认证基于PPTP的VPN认证使用一个用户名和口令。它使用以下几种协议来完成：①PAP(PasswordAuthenticationProtocol)：口令认证协议②CHAP(ChallengeHandshakeAuthenticationProtocol)：挑战握手认证协议③MS-CHAP(MicrosoftEncryptedCHAP)：微软加密挑战握手认证协议加密(Encryption)(1)基于IPSec的VPN使用DES或者3DES加密算法。加密后的数据分组使用封装安全有效载荷(EncapsulatingSecurityPayload，ESP)协议进行封装。当数据到达目的地，这些分组被拆封，然后解密。基于PPTP的VPN使用微软的点对点加密(MicrosoftPoint-to-PointEncryption，MPPE)和RC4加密算法作为链路加密，并提供网络安全。作为隧道数据的PPTP帧利用通用路由协议(GenericRoutingEncryption，GRE)进行封装。完整性(Integrity)要素确保任何对数据的修改都可以被检测出来。这可以通过对所传输的数据进行哈希函数和校验和运算来完成。一个VPN至少提供如下功能（1）数据加密；（2）信息认证和身份认证；（3）访问权限控制。VPN中的关键技术隧道访问控制密码算法密钥管理用户鉴别网络管理隧道技术VPN系统被设计成通过Internet提供安全的点到点(或端到端)的“隧道”。隧道是在公共通信网络上构建的一条数据路径，可以提供与专用通信线路等同的连接特性。VPN隧道对要传输的数据用隧道协议进行封装，这样可以使数据穿越公共网络(通常是指Internet)。整个数据包的封装和传输过程称为挖隧道。数据包所通过的逻辑连接称为一条隧道。在VPN中,PPP数据包流由一个LAN上的路由器发出,通过共享I