信息安全VPN与防火墙

VPN与防火墙纲要1.什么是VPN与防火墙2.VPN与防火墙的集成设计3.VPN的主要隧道协议1.什么是VPN与防火墙虚拟专用网(VirtualPrivateNetwork,VPN)是一系列特定技术和协议的总称,最通用的说法是使用隧道方式在互联网上传输私有数据,能够提供互联网上端到端安全数据传输。防火墙,它是由软硬件设备组合而成,通常处于企业的内部局域网与互联网之间,限制互联网用户对内部网络的访问以及管理内部用户访问互联网的权限。两者的区别:防火墙考虑的是阻止未经授权的传输进入或离开内部局域网,而一般不考虑传输离开内部局域网之后的安全问题;实现VPN功能的VPN网关则更多地考虑允许合法的传输进入内部局域网,并保证传输离开内部局域网后仍是安全的。2.VPN与防火墙的集成设计VPN网关和防火墙并行VPN网关和防火墙串行VPN网关和防火墙的混合配置2.VPN与防火墙的集成设计VPN网关和防火墙并行如图1所示,通过VPN网关和防火墙的传输是独立的,VPN传输从VPN网关通过,其他的从防火墙通过。2.VPN与防火墙的集成设计VPN网关和防火墙串行--防火墙在互联网一侧如图2所示,在防火墙中必须安装特殊的规则,以允许VPN传输通过防火墙。2.VPN与防火墙的集成设计VPN网关和防火墙串行--VPN网关在互联网一侧如图3所示,这种情况下的配置又有两种不同的设计思路:①VPN网关必须处理隧道传输和隧道请求,但也要针对非VPN传输实行一些访问控制。②也可以在VPN网关的互联网接口处添加包过滤器,从而限定只有VPN隧道数据流可以通过VPN网关的该接口。2.VPN与防火墙的集成设计VPN网关和防火墙的混合配置VPN网关和防火墙的混合配置都是一些复杂的高级配置,对两种安全设备的数量和质量要求比较高。有三种情况,分别阐述如下:1.VPN网关在防火墙的DMZ接口与内部路由器之间此处的防火墙是一种比较复杂的,带有非军事区域接口的防火墙。此时该防火墙有三个接口,分别与外部路由器、内部路由器和DMZ相连。2.VPN与防火墙的集成设计DMZ(DemilitarizedZone)即俗称的非军事区，其目的是把敏感的内部网络和其他提供访问服务的网络分开，阻止内网和外网直接通信，以保证内网安全。DMZ内通常放置一些不含机密信息的公用服务器，比如Web、Mail、FTP等。三：DMZ网络访问六条访问控制策略。1.内网可以访问外网2.内网可以访问DMZ3.外网不能访问内网4.外网可以访问DMZ5.DMZ不能访问内网6.DMZ不能访问外网2.VPN与防火墙的集成设计如图4所示,防火墙作为第一道防线,直接与互联网和企业内部网相连,而VPN网关位于DMZ,VPN网关的一个接口在防火墙的DMZ接口上,另一个接口在企业内部网上。2.VPN与防火墙的集成设计2VPN网关在防火墙的DMZ接口与外部路由器之间如图5所示,此处的防火墙功能和位置和图4中的防火墙相同,但VPN网关的一个接口在防火墙的DMZ接口上,另一个接口直接与互联网相连。2.VPN与防火墙的集成设计3高级的VPN网关/防火墙配置如图6所示,你可以在VPN网关之后再添加防火墙。当建立VPN隧道并且访问得到许可时,它们将通向特定的目的地。那么当VPN网关对分组解密以后,就可以用内部的防火墙查看该分组的最终目的地,从而决定是接收还是拒绝访问。2.VPN与防火墙的集成设计建立VPN网关/防火墙配置的首选方案无论采用哪种方案,在实际系统的实现时,设计人员往往会在内部路由器和VPN网关/防火墙之间加一个Hub,因为如果不加Hub,需要系统是一个具有高性能的平台。使用了Hub之后,通信量的流动与不加Hub是一样的,并且不会发生任何新的问题。英文名称：hub中文名称：集线器定义：作为网络中枢连接各类节点，以形成星状结构的一种网络设备。2.VPN与防火墙的集成设计为了增加防御的层次性,我们网络将一些互联网用户所要使用的服务,如SMTP服务、Web服务、DNS服务放在DMZ上。这时如果系统中原来就有Hub的话,VPN网关/防火墙的布局就如图7所示,就存在一些潜在的问题。这种类型的设置会导致以下问题:路由选择环路、多复本数据分组和后门。2.VPN与防火墙的集成设计如图8所示这个首选配置方案,或者应该在图7中内部路由器的位置上放置相应的过滤器来使某些路由选择问题的影响降低到最小程度,当然也可以关闭服务器上的IP转发功能,这同样可以把多复本数据分组的问题降低到最小程度。3.VPN的主要隧道协议传统的企业网络，通过互联网把各地的网络服务联系在一起，所有的信息都会公布在互联网上，有可能造成信息的泄漏。传统的企业网络配置3.VPN的主要隧道协议VPN可以使用很多方式进行构建，例如:ATM/FrameRelay、SSL、SSH、GRE等。目前被广泛接受的两种VPN标准是:IPSecurity(IPSec)二层隧道协议(L2TP)，L2TP已经取代了点对点隧道协议(PPTP)和二层转发协议(L2F)。VPN企业网络配置3.VPN的主要隧道协议隧道技术是构建VPN的核心技术。隧道技术能够使信息在互联网上安全传输，但就像操作系统、应用程序、TCP/IP协议簇的实现有安全漏洞一样，隧道协议的实现也有安全方面的问题。下面以两种主要的隧道协议PPTP和IPSec为例，深入讨论它们的安全漏洞和针对它们的攻击。3.VPN的主要隧道协议针对PPTP安全问题的攻击PPTP协议有一个远程控制验证前的缓冲区溢出问题。3.VPN的主要隧道协议PPTP是用加密机制来保证数据的安全传输，但Windows中加密用的密钥是根据用户口令使用LanManager散列函数生成。3.VPN的主要隧道协议LanManager散列值的产生过程如下：3.VPN的主要隧道协议LanManager散列值的产生过程如下：3.VPN的主要隧道协议LanManager散列值的产生过程如下：3.VPN的主要隧道协议LanManager散列值的产生过程如下：3.VPN的主要隧道协议LanManager散列值的产生过程如下：3.VPN的主要隧道协议LanManager散列值的产生过程如下：3.VPN的主要隧道协议LanManager散列值的产生机制降低了其安全性的原因：3.VPN的主要隧道协议LanManager散列值的产生机制降低了其安全性的原因：3.VPN的主要隧道协议LanManager散列值的产生机制降低了其安全性的原因：3.VPN的主要隧道协议LanManager散列值的产生机制降低了其安全性的原因：3.VPN的主要隧道协议除了上述的缓冲区溢出和散列函数的漏洞以外，PPTP协议的主要安全问题包括3.VPN的主要隧道协议除了上述的缓冲区溢出和散列函数的漏洞以外，PPTP协议的主要安全问题包括3.VPN的主要隧道协议除了上述的缓冲区溢出和散列函数的漏洞以外，PPTP协议的主要安全问题包括3.VPN的主要隧道协议除了上述的缓冲区溢出和散列函数的漏洞以外，PPTP协议的主要安全问题包括3.VPN的主要隧道协议除了上述的缓冲区溢出和散列函数的漏洞以外，PPTP协议的主要安全问题包括3.VPN的主要隧道协议IPsec简介IPsec（IPSecurity）是IETF制定的三层隧道加密协议，提供了以下的安全服务：数据机密性（Confidentiality）：IPsec发送方在通过网络传输包前对包进行加密。数据完整性（DataIntegrity）：IPsec接收方对发送方发送来的包进行认证，以确保数据在传输过程中没有被篡改。数据来源认证（DataAuthentication）：IPsec在接收端可以认证发送IPsec报文的发送端是否合法。防重放（Anti-Replay）：IPsec接收方可检测并拒绝接收过时或重复的报文。3.VPN的主要隧道协议IPsec具有以下优点：支持IKE通过IKE建立和维护SA的服务，简化IPsec管理。用IP协议进行数据传输的服务都可以无需修改的使用Ipsec。对数据的加密是以数据包为单位的，进一步提高IP数据包的安全性。3.VPN的主要隧道协议SA由一个三元组来唯一标识，这个三元组包括SPI（SecurityParameterIndex，安全参数索引）、目的IP地址、安全协议号（AH或ESP）。IKE（InternetKeyExchange，因特网密钥交换）协议用来建立SA（SecurityAssociation），通过IKE协商建立的SA具有生存周期，生存周期有两种定义方式：基于时间的生存周期，定义了一个SA从建立到失效的时间；基于流量的生存周期，定义了一个SA允许处理的最大流量。3.VPN的主要隧道协议IKE的交换过程3.VPN的主要隧道协议IPsec与IKE的关系3.VPN的主要隧道协议IPsec的协议实现IPsec协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，包括网络认证协议AH（AuthenticationHeader，认证头）、ESP（EncapsulatingSecurityPayload，封装安全载荷）、IKE（InternetKeyExchange，因特网密钥交换）和用于网络认证及加密的一些算法。AH协议定义了认证的应用方法，提供数据源认证和完整性保证；ESP协议定义了加密和可选认证的应用方法，提供数据可靠性保证。3.VPN的主要隧道协议IPsec安全协议数据封装格式有如下两种工作模式：传输（transport）模式：只是传输层数据被用来计算AH或ESP头，AH或ESP头以及ESP加密的用户数据被放置在原IP包头后面。通常，传输模式应用在两台主机之间的通讯，或一台主机和一个安全网关之间的通讯。隧道（tunnel）模式：用户的整个IP数据包被用来计算AH或ESP头，AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。通常，隧道模式应用在两个安全网关之间的通讯。3.VPN的主要隧道协议安全协议数据封装格式3.VPN的主要隧道协议认证算法与加密算法(1)认证算法MD5：MD5通过输入任意长度的消息，产生128bit的消息摘要。SHA-1：SHA-1通过输入长度小于2的64次方bit的消息，产生160bit的消息摘要。两者比较MD5算法的计算速度比SHA-1算法快，而SHA-1算法的安全强度比MD5算法高。3.VPN的主要隧道协议(2)加密算法DES（DataEncryptionStandard）：使用56bit的密钥对一个64bit的明文块进行加密。3DES（TripleDES）：使用三个56bit的DES密钥对明文进行加密。AES（AdvancedEncryptionStandard）：使用128bit、192bit或256bit密钥长度的AES算法对明文进行加密。三者比较这三个加密算法的安全性由高到低依次是：AES、3DES、DES，安全性高的加密算法实现机制复杂，运算速度慢。对于普通的安全要求，DES算法就可以满足需要。3.VPN的主要隧道协议工作原理IPsec虚拟接口隧道加封装原理图3.VPN的主要隧道协议工作原理IPsec虚拟接口隧道解封装原理图3.VPN的主要隧道协议IPSec有哪些漏洞(1)IPSec的ESP没有检查头部；(2)IPSec存在主动攻击方法：剪贴攻击短块攻击实现方式攻击(3)在IPSec的密钥管理协议(IKE)的说明中，任何一方都可终止会话；(4)安全联盟密钥管理协议(ISAKMP)标准并没有说明一个特定的数字签名算法。3.VPN的主要隧道协议总结隧道技术是构建VPN的核心技术，但这些隧道协议的实现本身也不是非常安全的。网络攻击者也试图利用隧道协议的安全弱点，攻击VPN本身。而一旦攻击成功，所有互联网上利用VPN技术提供的安全数据传输将不再安全。上面剖析了两种主要的V