VPN.docx
《VPN.docx》由会员分享,可在线阅读,更多相关《VPN.docx(39页珍藏版)》请在冰点文库上搜索。
VPN
网络安全
VPN
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。
虚拟专用网是对企业内部网的扩展。
虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
用户以前在电信部门租用的帧中继(FrameRelay)与ATM等数据网络提供固定虚拟线路(PVC-PermanentVirtualCircuit)来连接需要通讯的单位,所有的权限掌握在别人的手中。
如果用户需要一些别的服务,需要填写许多的单据,再等上相当一段时间,才能享受到新的服务。
更为重要的是两端的终端设备不但价格昂贵,而且管理也需要一定的专业技术人员,无疑增加了成本,而且帧中继、ATM数据网络也不会像Internet那样,可立即与世界上任何一个使用Internet网络的单位连接。
而在Internet上,VPN使用者可以控制自己与其他使用者的联系,同时支持拨号的用户。
所以我们说的虚拟专用网一般指的是建筑在Internet上能够自我管理的专用网络,而不是FrameRelay或ATM等提供虚拟固定线路(PVC)服务的网络。
以IP为主要通讯协议的VPN,也可称之为IP-VPN。
一个高效、成功的VPN应具备以下几个特点:
1.安全保障
虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。
在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,称之为建立一个隧道,可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全性。
在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。
企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。
ExtranetVPN将企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。
2.服务质量保证(QoS)
VPN网应当为企业数据提供不同等级的服务质量保证。
不同的用户和业务对服务质量保证的要求差别较大。
如移动办公用户,提供广泛的连接和覆盖性是保证VPN服务的一个主要因素;而对于拥有众多分支机构的专线VPN网络,交互式的内部企业网应用则要求网络能提供良好的稳定性;对于其它应用(如视频等)则对网络提出了更明确的要求,如网络时延及误码率等。
所有以上网络应用均要求网络根据需要提供不同等级的服务质量。
在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。
广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,产生网络瓶颈,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。
QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
3.可扩充性和灵活性
VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
4.可管理性
从用户角度和运营商角度应可方便地进行管理、维护。
在VPN管理方面,VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。
虽然可以将一些次要的网络管理任务交给服务提供商去完成,企业自己仍需要完成许多网络管理任务。
所以,一个完善的VPN管理系统是必不可少的。
VPN管理的目标为:
减小网络风险、具有高扩展性、经济性、高可靠性等优点。
事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
VPN的种类
VPN有三种解决方案,用户可以根据自己的情况进行选择。
这三种解决方案分别是:
远程访问虚拟网(AccessVPN)、企业内部虚拟网(IntranetVPN)和企业扩展虚拟网(ExtranetVPN),这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。
1.如果企业的内部人员移动或有远程办公需要,或者商家要提供B2C的安全访问服务,就可以考虑使用AccessVPN。
AccessVPN通过一个拥有与专用网络相同策略的共享基础设施,提供对企业内部网或外部网的远程访问。
AccessVPN能使用户随时、随地以其所需的方式访问企业资源。
AccessVPN包括模拟、拨号、ISDN、数字用户线路(xDSL)、移动IP和电缆技术,能够安全地连接移动用户、远程工作者或分支机构。
如图1所示。
图1AceessVPN结构图
AccessVPN最适用于公司内部经常有流动人员远程办公的情况。
出差员工利用当地ISP提供的VPN服务,就可以和公司的VPN网关建立私有的隧道连接。
RADIUS服务器可对员工进行验证和授权,保证连接的安全,同时负担的电话费用大大降低。
AccessVPN对用户的吸引力在于:
*减少用于相关的调制解调器和终端服务设备的资金及费用,简化网络;
*实现本地拨号接入的功能来取代远距离接入或800电话接入,这样能显著降低远距离通信的费用;
*极大的可扩展性,简便地对加入网络的新用户进行调度;
*远端验证拨入用户服务(RADIUS)基于标准,基于策略功能的安全服务;
*将工作重心从管理和保留运作拨号网络的工作人员转到公司的核心业务上来。
2.如果要进行企业内部各分支机构的互联,使用IntranetVPN是很好的方式。
越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等,各个分公司之间传统的网络连接方式一般是租用专线。
显然,在分公司增多、业务开展越来越广泛时,网络结构趋于复杂,费用昂贵。
利用VPN特性可以在Internet上组建世界范围内的IntranetVPN。
利用Internet的线路保证网络的互联性,而利用隧道、加密等VPN特性可以保证信息在整个IntranetVPN上安全传输。
IntranetVPN通过一个使用专用连接的共享基础设施,连接企业总部、远程办事处和分支机构。
企业拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。
如图2所示。
图2IntranetVPN结构图
IntranetVPN对用户的吸引力在于:
*减少WAN带宽的费用;
*能使用灵活的拓扑结构,包括全网络连接;
*新的站点能更快、更容易地被连接;
*通过设备供应商WAN的连接冗余,可以延长网络的可用时间。
3.如果是提供B2B之间的安全访问服务,则可以考虑ExtranetVPN。
随着信息时代的到来,各个企业越来越重视各种信息的处理。
希望可以提供给客户最快捷方便的信息服务,通过各种方式了解客户的需要,同时各个企业之间的合作关系也越来越多,信息交换日益频繁。
Internet为这样的一种发展趋势提供了良好的基础,而如何利用Internet进行有效的信息管理,是企业发展中不可避免的一个关键问题。
利用VPN技术可以组建安全的Extranet,既可以向客户、合作伙伴提供有效的信息服务,又可以保证自身的内部网络的安全。
ExtranetVPN通过一个使用专用连接的共享基础设施,将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。
企业拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。
如图3所示。
图3ExtranetVPN结构图
ExtranetVPN对用户的吸引力在于:
能容易地对外部网进行部署和管理,外部网的连接可以使用与部署内部网和远端访问VPN相同的架构和协议进行部署。
主要的不同是接入许可,外部网的用户被许可只有一次机会连接到其合作人的网络。
VPN的基本要求
一般来说,企业在选用一种远程网络互联方案时都希望能够对访问企业资源和信息的要求加以控制,所选用的方案应当既能够实现授权用户与企业局域网资源的自由连接,不同分支机构之间的资源共享;又能够确保企业数据在公共互联网络或企业内部网络上传输时安全性不受破坏.因此,最低限度,一个成功的VPN方案应当能够满足以下所有方面的要求:
a)用户验证
VPN方案必须能够验证用户身份并严格控制只有授权用户才能访问VPN。
另外,方案还必须能够提供审计和记费功能,显示何人在何时访问了何种信息。
b)地址管理
VPN方案必须能够为用户分配专用网络上的地址并确保地址的安全性。
c)数据加密
对通过公共互联网络传递的数据必须经过加密,确保网络其他未授权的用户无法读取该信息。
d)密钥管理
VPN方案必须能够生成并更新客户端和服务器的加密密钥。
e)多协议支持
VPN方案必须支持公共互联网络上普遍使用的基本协议,包括IP,IPX等。
以点对点隧道协议(PPTP)或第2层隧道协议(L2TP)为基础的VPN方案既能够满足以上所有的基本要求,又能够充分利用遍及世界各地的Internet互联网络的优势。
其它方案,包括安全IP协议(IPSec),虽然不能满足上述全部要求,但是仍然适用于在特定的环境。
本文以下部分将主要集中讨论有关VPN的概念,协议,和部件(component)。
■隧道技术基础
隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。
使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。
隧道协议将这些其它协议的数据帧或包重新封装在新的包头中发送。
新的包头提供了路由信息,从而使封装的负载数据能够通过互联网络传递。
被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。
被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。
一旦到达网络终点,数据将被解包并转发到最终目的地。
注意隧道技术是指包括数据封装,传输和解包在内的全过程。
隧道所使用的传输网络可以是任何类型的公共互联网络,本文主要以目前普遍使用Internet为例进行说明。
此外,在企业网络同样可以创建隧道。
隧道技术在经过一段时间的发展和完善之后,目前较为成熟的技术包括:
1.IP网络上的SNA隧道技术
当系统网络结构(SystemNetworkArchitecture)的数据流通过企业IP网络传送时,SNA数据桢将被封装在UDP和IP协议包头中。
2.IP网络上的NovellNetWareIPX隧道技术
当一个IPX数据包被发送到NetWare服务器或IPX路由器时,服务器或路由器用UDP和IP包头封装IPX数据包后通过IP网络发送。
另一端的IP-TO-IPX路由器在去除UDP和IP包头之后,把数据包转发到IPX目的地。
近几年不断出现了一些新的隧道技术,本文将主要介绍这些新技术。
具体包括:
1.点对点隧道协议(PPTP)
PPTP协议允许对IP,IPX或NetBEUI数据流进行加密,然后封装在IP包头中通过企业IP网络或公共互联网络发送。
2.第2层隧道协议(L2TP)
L2TP协议允许对IP,IPX或NetBEUI数据流进行加密,然后通过支持点对点数据报传递的任意网络发送,如IP,X.25,桢中继或ATM。
3.安全IP(IPSec)隧道模式
IPSec隧道模式允许对IP负载数据进行加密,然后封装在IP包头中通过企业IP网络或公共IP互联网络如Internet发送。
■隧道协议
为创建隧道,隧道的客户机和服务器双方必须使用相同的隧道协议。
隧道技术可以分别以第2层或第3层隧道协议为基础。
上述分层按照开放系统互联(OSI)的参考模型划分。
第2层隧道协议对应OSI模型中的数据链路层,使用帧作为数据交换单位。
PPTP,L2TP和L2F(第2层转发)都属于第2层隧道协议,都是将数据封装在点对点协议(PPP)帧中通过互联网络发送。
第3层隧道协议对应OSI模型中的网络层,使用包作为数据交换单位。
IPoverIP以及IPSec隧道模式都属于第3层隧道协议,都是将IP包封装在附加的IP包头中通过IP网络传送。
■隧道技术如何实现
对于象PPTP和L2TP这样的第2层隧道协议,创建隧道的过程类似于在双方之间建立会话;隧道的两个端点必须同意创建隧道并协商隧道各种配置变量,如地址分配,加密或压缩等参数。
绝大多数情况下,通过隧道传输的数据都使用基于数据报的协议发送。
隧道维护协议被用来作为管理隧道的机制。
第3层隧道技术通常假定所有配置问题已经通过手工过程完成。
这些协议不对隧道进行维护。
与第3层隧道协议不同,第2层隧道协议(PPTP和L2TP)必须包括对隧道的创建,维护和终止。
隧道一旦建立,数据就可以通过隧道发送。
隧道客户端和服务器使用隧道数据传输协议准备传输数据。
例如,当隧道客户端向服务器端发送数据时,客户端首先给负载数据加上一个隧道数据传送协议包头,然后把封装的数据通过互联网络发送,并由互联网络将数据路由到隧道的服务器端。
隧道服务器端收到数据包之后,去除隧道数据传输协议包头,然后将负载数据转发到目标网络。
■隧道协议和基本隧道要求
因为第2层隧道协议(PPTP和L2TP)以完善的PPP协议为基础,因此继承了一整套的特性。
1.用户验证
第2层隧道协议继承了PPP协议的用户验证方式。
许多第3层隧道技术都假定在创建隧道之前,隧道的两个端点相互之间已经了解或已经经过验证。
一个例外情况是IPSec协议的ISAKMP协商提供了隧道端点之间进行的相互验证。
2.令牌卡(Tokencard)支持
通过使用扩展验证协议(EAP),第2层隧道协议能够支持多种验证方法,包括一次性口令(one-timepassword),加密计算器(cryptographiccalculator)和智能卡等。
第3层隧道协议也支持使用类似的方法,例如,IPSec协议通过ISAKMP/Oakley协商确定公共密钥证书验证。
3.动态地址分配
第2层隧道协议支持在网络控制协议(NCP)协商机制的基础上动态分配客户地址。
第3层隧道协议通常假定隧道建立之前已经进行了地址分配。
目前IPSec隧道模式下的地址分配方案仍在开发之中。
4.数据压缩
第2层隧道协议支持基于PPP的数据压缩方式。
例如,微软的PPTP和L2TP方案使用微软点对点加密协议(MPPE)。
IETP正在开发应用于第3层隧道协议的类似数据压缩机制。
5.数据加密
第2层隧道协议支持基于PPP的数据加密机制。
微软的PPTP方案支持在RSA/RC4算法的基础上选择使用MPPE。
第3层隧道协议可以使用类似方法,例如,IPSec通过ISAKMP/Oakley协商确定几种可选的数据加密方法。
微软的L2TP协议使用IPSec加密保障隧道客户端和服务器之间数据流的安全。
6.密钥管理
作为第2层协议的MPPE依靠验证用户时生成的密钥,定期对其更新。
IPSec在ISAKMP交换过程中公开协商公用密钥,同样对其进行定期更新。
7.多协议支持
第2层隧道协议支持多种负载数据协议,从而使隧道客户能够访问使用IP,IPX,或NetBEUI等多种协议企业网络。
相反,第3层隧道协议,如IPSec隧道模式只能支持使用IP协议的目标网络
■点对点协议
因为第2层隧道协议在很大程度上依靠PPP协议的各种特性,因此有必要对PPP协议进行深入的探讨。
PPP协议主要是设计用来通过拨号或专线方式建立点对点连接发送数据。
PPP协议将IP,IPX和NETBEUI包封装在PP帧内通过点对点的链路发送。
PPP协议主要应用于连接拨号用户和NAS。
PPP拨号会话过程可以分成4个不同的阶段。
分别如下:
阶段1:
创建PPP链路
PPP使用链路控制协议(LCP)创建,维护或终止一次物理连接。
在LCP阶段的初期,将对基本的通讯方式进行选择。
应当注意在链路创建阶段,只是对验证协议进行选择,用户验证将在第2阶段实现。
同样,在LCP阶段还将确定链路对等双方是否要对使用数据压缩或加密进行协商。
实际对数据压缩/加密算法和其它细节的选择将在第4阶段实现。
阶段2:
用户验证
在第2阶段,客户会PC将用户的身份明发给远端的接入服务器。
该阶段使用一种安全验证方式避免第三方窃取数据或冒充远程客户接管与客户端的连接。
大多数的PPP方案只提供了有限的验证方式,包括口令验证协议(PAP),挑战握手验证协议(CHAP)和微软挑战握手验证协议(MSCHAP)。
1.口令验证协议(PAP)
PAP是一种简单的明文验证方式。
NAS要求用户提供用户名和口令,PAP以明文方式返回用户信息。
很明显,这种验证方式的安全性较差,第三方可以很容易的获取被传送的用户名和口令,并利用这些信息与NAS建立连接获取NAS提供的所有资源。
所以,一旦用户密码被第三方窃取,PAP无法提供避免受到第三方攻击的保障措施。
2.挑战-握手验证协议(CHAP)
CHAP是一种加密的验证方式,能够避免建立连接时传送用户的真实密码。
NAS向远程用户发送一个挑战口令(challenge),其中包括会话ID和一个任意生成的挑战字串(arbitrarychallengestring)。
远程客户必须使用MD5单向哈希算法(one-wayhashingalgorithm)返回用户名和加密的挑战口令,会话ID以及用户口令,其中用户名以非哈希方式发送。
CHAP对PAP进行了改进,不再直接通过链路发送明文口令,而是使用挑战口令以哈希算法对口令进行加密。
因为服务器端存有客户的明文口令,所以服务器可以重复客户端进行的操作,并将结果与用户返回的口令进行对照。
CHAP为每一次验证任意生成一个挑战字串来防止受到再现攻击(replayattack).在整个连接过程中,CHAP将不定时的向客户端重复发送挑战口令,从而避免第3方冒充远程客户(remoteclientimpersonation)进行攻击。
3.微软挑战-握手验证协议(MS-CHAP)
与CHAP相类似,MS-CHAP也是一种加密验证机制。
同CHAP一样,使用MS-CHAP时,NAS会向远程客户发送一个含有会话ID和任意生成的挑战字串的挑战口令。
远程客户必须返回用户名以及经过MD4哈希算法加密的挑战字串,会话ID和用户口令的MD4哈希值。
采用这种方式服务器端将只存储经过哈希算法加密的用户口令而不是明文口令,这样就能够提供进一步的安全保障。
此外,MS-CHAP同样支持附加的错误编码,包括口令过期编码以及允许用户自己修改口令的加密的客户-服务器(client-server)附加信息。
使用MS-CHAP,客户端和NAS双方各自生成一个用于随后数据加密的起始密钥。
MS-CHAP使用基于MPPE的数据加密,这一点非常重要,可以解释为什么启用基于MPPE的数据加密时必须进行MS-CHAP验证。
在第2阶段PPP链路配置阶段,NAS收集验证数据然后对照自己的数据库或中央验证数据库服务器(位于NT主域控制器或远程验证用户拨入服务器)验证数据的有效性。
阶段3:
PPP回叫控制(callbackcontrol)
微软设计的PPP包括一个可选的回叫控制阶段。
该阶段在完成验证之后使用回叫控制协议(CBCP)如果配置使用回叫,那么在验证之后远程客户和NAS之间的连接将会被断开。
然后由NAS使用特定的电话号码回叫远程客户。
这样可以进一步保证拨号网络的安全性。
NAS只支持对位于特定电话号码处的远程客户进行回叫。
阶段4:
调用网络层协议
在以上各阶段完成之后,PPP将调用在链路创建阶段(阶段1)选定的各种网络控制协议(NCP).例如,在该阶段IP控制协议(IPCP)可以向拨入用户分配动态地址。
在微软的PPP方案中,考虑到数据压缩和数据加密实现过程相同,所以共同使用压缩控制协议协商数据压缩(使用MPPC)和数据加密(使用MPPE)。
■数据传输阶段
一旦完成上述4阶段的协商,PPP就开始在连接对等双方之间转发数据。
每个被传送的数据报都被封装在PPP包头内,该包头将会在到达接收方之后被去除。
如果在阶段1选择使用数据压缩并且在阶段4完成了协商,数据将会在被传送之间进行压缩。
类似的,如果如果已经选择使用数据加密并完成了协商,数据(或被压缩数据)将会在传送之前进行加密。
点对点隧道协议(PPTP)
PPTP是一个第2层的协议,将PPP数据帧封装在IP数据报内通过IP网络,如Internet传送。
PPTP还可用于专用局域网络之间的连接。
RFC草案“点对点隧道协议”对PPTP协议进行了说明和介绍。
该草案由PPTP论坛的成员公司,包括微软,Ascend,3Com,和ECI等公司在1996年6月提交至IETF。
可在如下站点http:
//www.ietf.orghttp:
//www.ietf.org参看草案的在线拷贝.PPTP使用一个TCP连接对隧道进行维护,使用通用路由封装(GRE)技术把数据封装成PPP数据桢通过隧道传送。
可以对封装PPP桢中的负载数据进行加密或压缩。
图7所示为如何在数据传递之前组装一个PPTP数据包。
第2层转发(L2F)
L2F是Cisco公司提出隧道技术,作为一种传输协议L2F支持拨号接入服务器将拨号数据流封装在PPP帧内通过广域网链路传送到L2F服务器(路由器)。
L2F服务器把数据包解包之重新注入(inject)网络。
与PPTP和L2TP不同,L2F没有确定的客户方。
应当注意L2F只在强制隧道中有效。
(自愿和强制隧道的介绍参看“隧道类型”)。
第2层隧道协议(L2TP)
L2TP结合了PPTP和L2F协议。
设计者希望L2TP能够综合PPTP和L2F的优势。
L2TP是一种网络层协议,支持封装的PPP帧在IP,X.25,帧中继或ATM等的网络上进行传送。
当使用IP作为L2TP的数据报传输协议时,可以使用L2TP作为Internet网络上的隧道协议。
L2TP还可以直接在各种WAN媒介上使用而不需要使用IP传输层。
草案RFC“第2层隧道协议”对L2TP进行了说明和介绍。
该文档于1998年1月被提交至IETF。
可以在以下网站http:
//www.ietf.orghttp:
//www.ietf.org获得草案拷贝。
IP网上的L2TP使用UDP和一系列的L2TP消息对隧道进行维护。
L2TP同样使用UDP将L2TP协议封装的PPP帧通过隧道发送。
可以对封装PPP帧中的负载数据进行加密或压缩。
图8所示为如何在传输之前组装一个L2TP数据包。
PPTP与L2TP
PPTP和L2TP都使用PPP协议对数据进行封装,然后添加附加包头用于数据在互联网络上的传输。
尽管两个协议非常相似,但是仍存在以下几方面的不同:
1.PPTP要求互联网络为IP网络。
L2TP只要求隧道媒介提供面向数据包的点对点的连接。
L2TP可以在IP(使用UDP),帧中继永久虚拟电路(PVCs),X.25虚拟电路(VCs)或ATMVCs网络上使用。
2.PPTP只能在两端点间建立单一隧道。
L2TP支持在两端点间使用多隧道。
使用L2TP,用户可以针对不同的服务质量创建不同的隧道。
3.L2TP可以提供包头压缩。
当压缩包头时,系统开销(overhead)占用4个字节,而PPTP协议下要占用6个字节。
4.L2TP可以提供隧道验证,而PPTP则不支持隧道验证。
但是当L2TP或PPTP与IPSEC共同使用时,可以由IPSEC提供隧道验
升级会员 