cisp教程-vpn技术

2007‐12‐221VPN技术VPN技术中国信息安全产品测评认证中心汪洋cnitsecwy@gmail.com课程简介”本课程将使你了解到VPN的：•产生原因•昨天、今天、明天•分类•主要技术•益处•益处•发展”仅仅只是浅谈…2007‐12‐222培训大纲”第一课：由来和定义”第二课：基本技术”第三课：分类”第四课：设计原则第五课解决方案分析”第五课：解决方案分析”第六课：益处与发展第一课：VPN的由来和定义2007‐12‐223第一课：目标”VPN对应的市场需求”VPN对应的市场需求”VPN的表象”VPN的定义第一课：当代企业面临的问题”灵活迅速的信息交换”CRM和ERP”远程访问资源、无延时信息交换”非兼容网络设备”企业级合作”高级别的安全需要2007‐12‐224第一课：早期的解决方案——互联第一课：互联理念的缺陷”距离受限制”距离受限制”维护、管理困难”安装、运行、维护成本高安装行维护本高2007‐12‐225第一课：RAS连接第一课：RAS连接”只是暂时性连接”需要一个调制解调器或ISDN线路”公司扮演ISP”帐号与线路对应”每个拨号一条专线，中心需要确保有足够的电话线路2007‐12‐226第一课：RAS的是是非非”非：•安全保护：接入点、线路•ISP提供的服务很贵•难扩展”是：•当时而言可以说比较安全•当时而言，可以说比较安全•比“普通”互联网速度快第一课：VPN应运而生”20世纪90年代中期”互联网的疯狂增长”低价的网际互联”VPN简言之：•通过使用低成本的互联网线路在组织机构的分支机构间建立安全的连接2007‐12‐227第一课：理解VPN”虚拟出来的企业内部专线”加密以专有”原先再路由器上”目前：交换机防火墙以及OS”目前：交换机、防火墙以及OS第一课：VPN定义”通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。”目前还没有完整统一的定义：•定义一：在Internet上实现的一个专用网。(Novell)•定义二：VPN综合了专用和公用网络的优点，允许有多个站点的公司拥有一个假想的完全专有的网络，而使用公用网络作为其站点之间交流的线路。(Comer)•定义三：VPN是通过专用的隧道技术在公共数据网络上仿真一条点到点的专线技术。（IETF草案）2007‐12‐228第一课：VPN逻辑等价图第一课：VPN的应用场景”组织机构的覆盖多个地点的内联网”组织机构的覆盖多个地点的内联网”有非固定IP地址的家庭或现场工作人员的拨号访问”用于客户或业务合作伙伴的外联网2007‐12‐229第一课：VPN的基础设施”安全性差”安全性差”价格便宜”易扩展，普遍使用易展，普使用第一课：远看VPN2007‐12‐2210第一课：近瞧VPN第一课：工作示意图移动用户互联网分支办公室组织机构总部2007‐12‐2211第一课：VPN综述1”基本功能：•加密数据•加密数据•信息认证和身份认证•提供访问控制”安全保障：•保证通过公用网络平台传输数据的专用性和安全性•确保在VPN上传送的数据不被攻击者窥视和篡改•防止非法用户对网络资源或私有信息的访问第一课：VPN综述2”服务质量保证：•充分有效地利用有限的广域网资源•为重要数据提供可靠的带宽•为企业数据提供不同等级的服务质量保证•按照优先级分配带宽资源，实现带宽管理•预防阻塞的发生。2007‐12‐2212第一课：VPN综述3”可扩充性和灵活性：•VPN必须能够支持通过Intranet和Extranet的任何类型的数据流可以很方便地增加新节点支持多种型的数据流，可以很方便地增加新节点，支持多种类型的传输媒介，包括语音、图像和数据等”可管理性：•无论从用户角度，还是从运营商角度都应能方便地进行管理和维护•从用户角度上讲可以选择地增加身份的认证加•从用户角度上讲，可以选择地增加身份的认证、加密算法的选择、密钥的产生等方案•从运营商角度上讲，可以有效管理VPN网络•VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容第一课：总结”互联网的发展促进了VPN业务”互联网的发展促进了VPN业务”RAS相对于VPN的局限性”VPN在互联网上实现虚拟和私有特性在联网实虚和有特课间休息2007‐12‐2213第二课：VPN的基本技术第二课：目标的实需要的技术”VPN的实现需要的技术”简单了解每种技术所起的作用2007‐12‐2214第二课：数据包”包括包头和数据”包头•是一些标签•包括发送者、接受者和控制单元等数据”匿名包与加密包的发送过程”VPN将此合二为一第二课：隧道”是一种封装技术隧道技术是指包括数据封装传输和解包在内”隧道技术是指包括数据封装、传输和解包在内的全过程”隧道技术按其拓扑结构分为：•点对点隧道、点对多隧道”VPN主要采用点对点隧道”目前存在多种VPN隧道：•L2TP、PPTP、IPSec、MPLS、SSL”本质区别在于数据包是被封装在哪种数据包中2007‐12‐2215第二课：加密”对称加密：密密都密•加密和解密都是采用相同的密钥•优点：加解密速度快•缺点：密钥管理困难”非对称加密：•加密和解密采用不同密钥•加密和解密采用不同密钥•优点：密钥分配容易•缺点：加解密速度慢第二课：认证”使用者与设备身份认证技术最常用的是使用者名称与密码或卡片式认证等方式用者名称与密码或卡片式认证等方式2007‐12‐2216第二课：密钥管理”在公用数据网上安全地传递密钥而不被窃取取”SKIP与ISAKMP/ OAKLEY”SKIP主要是利用Diffie‐Hellman的演算法则，在网络上传输密钥在ISAKMP中双方都有两把密钥分别用”在ISAKMP中，双方都有两把密钥，分别用于公用和私用第二课：VPN工作示意图2007‐12‐2217第二课：总结”VPN是由它们支撑起来的第三课：VPN的分类2007‐12‐2218第三课：目标”VPN的详细分类”VPN的详细分类”每种类型的技术要点”不同类型的对比同”标准VPN工作流程第三课：VPN分类依据”按应用范围分：•远程访问VPN、内联网VPN、外联网VPN”按协议层次分：•二层、三层、四层、应用层”按体系结构分：网关到网关网关到主机主机到主机•网关到网关、网关到主机、主机到主机”按实现方式分：•自构、外构2007‐12‐2219第三课：按应用范围分类——远程访问虚拟网（AccessVPN）非VPN远程访问设置非VPN远程访问设置远程访问VPN设置组织机构总部数据服务器数据中心数据服务器RAS远程接入服务器移动用户远程用户组织机构总部数据服务器数据中心数据服务器RAS远程接入服务器移动用户远程用户数据服务器数据中心数据服务器VPN服务器移动用户远程用户VPN网关VPN网关VPN隧道互联网防火墙远程办公室远程办公室远程办公室组织机构总部远程办公室远程办公室长途拨号连接本地拨入ISP连入互联网或本地互联网连接第三课：按应用范围分类——企业内部虚拟网（IntranetVPN）使用广域网的内联网设置基于VPN的内联网设置组织机构总部广域网组织机构总部互联网VPN网关隧道隧道隧道远程分支办公室远程分支办公室远程分支办公室远程分支办公室远程分支办公室远程分支办公室隧道VPN网关2007‐12‐2220第三课：按应用范围分类——企业扩展虚拟网（ExtranetVPN）传统的外联网设置外联网VPN设置组织机构总部供应商网络1供应商网络1供应商网络1组织机构总部互联网供应商1供应商2供应商3络1供应商1供应商2供应商3第三课：按协议层次分类”数据链路层VPN•可以用于各种网络协议比如IPIPXAppleTalk等•可以用于各种网络协议，比如IP、IPX、AppleTalk等。”网络层VPN•可以适用于所有应用（即不是应用特定的）。”传输层VPN•常用于保护单独的HTTP应用通信的安全。•目前主要的web浏览器默认支持该协议。”应用层VPN•为单个应用提供保护，通常只保护应用数据部分（SSH)2007‐12‐2221第三课：二层的主要隧道协议”二层隧道协议主要有三种:•PPTP：微软、Ascend、3COM 等公司支持。•L2F：Cisco、北方电信等公司支持，在Cisco路由器中有支持。•L2TP：由IETF 起草，微软、Ascend 、Cisco、3COM 等公司参与，结合了上面两个协议的优点，成为二层隧道协议的的工业标准。”MPLS：Multi‐Protocol Label Switching第三课：PPTP2基于RSA进行PPTP认证由微软最先提出，提供PPTP客户机和PPTP服务器之间的加密通信Internet或IP网络PPTP服务器2.基于RSA进行PPTP认证3.基于RC4对数据加密1.拨号，建立PPP连接2007‐12‐2222第三课：L2F”L2F是可以在多种介质上建立多协议的安全虚拟专用网（VPN）的通信方式虚拟专用网（VPN）的通信方式”远端用户能够透过任何拨号方式接入公共IP网络。第三课：L2TP以网络厂商为主提出，在IP网络或分组网络中直接建立安全的IP连接Internet 或IP网络LNSPSTNL2TPNetworkServer网络中直接建安全的连接FR/ATM等交换网络PSTNLNS2007‐12‐2223第三课：MPLS根据标签进行快速路由和交换由和交换普通IP报以普通方式进行路由和交换第三课：区分2层方法的主要因素”身份验证机制的可用性”支持高级网络功能，例如网络地址转换（NAT）”在拨号模式中为隧道双方提供IP地址的动态分配。支持公钥基础设施（PKI）”支持公钥基础设施（PKI）2007‐12‐2224第三课：隧道协议比较zPPTP要求互联网络为IP网络，而L2TP可以包括帧中继虚电路等IP、帧中继、X.25虚电路和ATM等zPPTP只能在两端点间建立单一隧道，而L2TP支持两端点间使用多隧道（用户可以为不同服务质量创建不同隧道）zL2TP可以提供包头压缩，从而减少传输数据量可以提供包头压缩，从而减少传输数据量zL2TP可以提供隧道验证，而PPTP不支持z都对传输数据不加密。第三课：IPsecVPN”传统的TCP/IP并不安全IETF设计I”IETF设计Ipsec：•协议框架‐‐‐RFC1825•安全协议‐‐‐AH协议（RFC1826) 、ESP协议（RFC1827）”IPSec的安全协议由三个主要的协议组成：AH协议ESP协议和IKE协议AH协议、ESP协议和IKE协议”Ipsec提供的安全服务：访问控制、数据完整性、数据源鉴别（身份认证）……2007‐12‐2225第三课：IPSec协议体系覆盖了整个技术概念和安全考虑，提供了IPSec协议集理解的基础定义了协议、数据头部格式以及它们提供的服务，为包头和数据提供完整性保护和用户鉴别，也可以选择提供重放攻击保护和访问保护。详述和跟踪了定义密钥管理体制的标准，可为IPSec（AH/ESP）协议生成密钥。记录协商的安全参数信息第三课：通讯模式”传输模式”传输模式”隧道模式2007‐12‐2226第三课：传输模式”主机与主机的安全通信”只保护IP报文的有效负载，不会隐藏路由信息”只保护IP报文的有效负载，不会隐藏路由信息”不需要创建新的IP包头”优点：•即使内网中的其它用户，也不能理解传输于主机A和主机B之间的数据•分担了IPSec处理负荷”缺点：缺点•对外暴露IP地址和网络拓扑•需要IPSec的主机必须安装该软件，需要较大的资金和技术支持•缺乏访问控制机制第三课：传输模式示意图互联网原IP包头传输数据（TCP, UDP, ICMP等）IPv4主机1主机2传输模式VPN原IP包头IPSec头传输数据（TCP, UDP, ICMP等）IPsec尾（仅用于ESP）2007‐12‐2227第三课：隧道模式”通信的一端或两端是网关的情况”内部子网被认为是可信的子网内的通信以明文方式进行但子网之间的通信受”子网内的通信以明文方式进行，但子网之间的通信受IPSec机制的安全保护”对整个IP报文提供保护”需要为每个