实验六 VPN安全通信实验.docx
《实验六 VPN安全通信实验.docx》由会员分享,可在线阅读,更多相关《实验六 VPN安全通信实验.docx(19页珍藏版)》请在冰点文库上搜索。
实验六VPN安全通信实验
实验六VPN安全通信实验
一.VPN简介
VPN是英文VirtualPrivateNetwork的缩写,可译为虚拟专用网。
它是采用隧道技术以及加密、身份认证等方法,在公共网络上构建企业网络的技术。
VPN通过采用“隧道”技术,在Internet或国际互联网工程工作组(IETF)制定的标准统一下,在公众网形成企业的安全、机密、顺畅的专用链路。
VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption&Decryption)、密钥管理技术(KeyManagement)、身份认证技术(Authentication)。
加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。
密钥管理技术的主要任务是在公用数据网上安全地传递密钥而不被窃取。
现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。
SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥;在ISAKMP中,双方都有两把密钥,分别用于公用、私用。
身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。
隧道技术是VPN的核心,隧道是指在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。
现有两种类型的网络隧道协议,一种是二层隧道协议,用于传输二层网络协议,它主要应用于构建远程访问虚拟专网(AccessVPN);另一种是三层隧道协议,用于传输三层网络协议,它主要应用于构建企业内部虚拟专网(IntranetVPN)和扩展的企业内部虚拟专网(ExtranetVPN)。
IPSec协议就是一个三层隧道协议。
隧道包括点到端和端到端隧道两种。
在点到端隧道中,隧道由远程用户的PC延伸到企业服务器(Client-LAN),两边的设备负责隧道的建立以及两点之间数据的加密和解密。
第二种隧道是端到端隧道,隧道终止于防火墙等网络边缘设备,主要是连接两端局域网(LAN-LAN)。
在数据包传输中,数据包可能通过一系列隧道,才能到达目的地。
隧道的设置是很灵活的。
以一个远程用户通过ISP访问企业网为例。
隧道开通器可以是用户的PC或者是被用户拨入的ISP路由器,隧道终端器一般是企业网络防火墙。
那么隧道是由PC到企业防火墙,或者是由ISP路由器至企业防火墙。
如果通过VPN实现互相访问的两个企业网分别使用不同的ISP服务,那么两个ISP公用网络之间也要建立相应的隧道。
VPN网络中通常还有一个或多个安全服务器。
其中最重要的是远程拨入用户安全服务器(RADIUS—RemoteAuthorizationDial-InUserService)。
VPN根据RADIUS服务器上的用户中心数据库对访问用户进行权限控制。
RADIUS服务器确认用户是否有存取权限,如果该用户没有存取权限,隧道就此终止。
同时RADIUS服务器向被访问的设备发送用户的IP地址分配、用户最长接入时间及该用户被允许使用的拨入电话号码等。
VPN和访问服务器参照这些内容,对用户进行验证,如果情况完全相符,就允许建立隧道通信。
VPN使用标准Internet安全技术,进行数据加密、用户身份认证等工作。
VPN具有虚拟特点:
VPN并不是某个公司专有的封闭线路或者是租用某个网络服务商提供的封闭线路,但同时VPN又具有专线的数据传输功能,因为VPN能够像专线一样在公共网络上处理自己公司的信息。
VPN可以说是一种网络外包,企业不再追求拥有自己的专有网络,而是将对另外一个公司的访问任务部分或全部外包给一个专业公司去做。
这类专业公司的典型代表是电信企业。
VPN具有以下优点:
(1)最小成本:
无须购买网络设备和专用线路覆盖所有远程用户
(2)责任共享:
通过购买公用网的资源,部分维护责任迁移至provider(更专业,有经验,使操作维护成本降低)。
(3)安全性:
通过加解密技术使数据在公用数据网上安全地传递密钥而不被窃取。
(4)保障Qos:
QoS是网络的一种安全机制,是用来解决网络延迟和阻塞等问题的一种技术。
当网络过载或拥塞时,QoS能确保重要业务量不受延迟或丢弃,同时保证网络的高效运行。
(5)可靠性:
如果一个VPN节点坏了,可以替换一个VPN建立起来绕过他,这种恢复工作是得VPN操作可以尽可能的延续
(6)可扩展性:
可以通过从公用网申请更多得资源达到非常容易的扩展VPN,或者协商重构VPN
其中安全性是vpn最重要的一个特性,也是各类vpn产品所必须具备和支持的要素
二.VPN的类型
前面已经提及过,根据网络类型的差异,可以把VPN分为Client-LAN和LAN-LAN两种类型。
下面我们分别简单的介绍这两种VPN。
1.Client-LAN类型的VPN
Client-LAN类型的VPN也称为AccessVPN,即远程访问方式的VPN。
它提供了一种安全的远程访问手段,例如,出差在外的员工,或有远程办公需要的分支机构等,都可以利用这种类型的VPN,实现安全的对企业内部网络资源进行远程访问。
它又分为基于Internet远程访问的VPN和基于intranet远程访问的VPN。
使用基于Internet远程访问的VPN,远程访问的客户端首先通过拨号网络连接到当地的ISP,利用ISP提供的服务通过Internet连接到企业的远程访问服务器,在采用VPN隧道协议的情况下,企业的远程访问服务器会和远程访问客户端建立一个安全的VPN连接,远程访问客户端就可以安全的使用企业内部各种授权的网络资源了,其结构如图12-1-1所示,基于Internet远程访问的VPN通常采用PPTP,L2F,L2TP等隧道协议。
图12-1-1 基于Internet远程访问的VPN拓扑结构
对于通过使用Intranet进行连接的企业内部机构及其远程分支机构,为了保护有些部门的保密信息,可以使用基于Intranet远程访问的VPN,如图12-1-2所示。
这些有安全需要的部门网络与Intranet网络也是物理上连接的,但是这个部门的网络通过VPN服务器与Intranet网络分隔。
VPN服务器并不提供直接路由连接功能,其它部门的客户端计算机,则需要与保密部门建立安全的VPN连接,并且具有访问保密部门网络资源的权限,才能访问保密部门受保护的网络资源。
这种类型的VPN通常采用IPSec协议建立加密传输数据隧道,对通过VPN进行传输的数据采用了加密,完整性检验等措施。
图12-1-2基于Intranet远程访问的VPN拓扑结构
2.LAN-LAN类型的VPN
为了在不同的局域网之间建立安全的数据传输通道,例如在企业内部各分支机构之间或者企业与其合作者之间的网络进行互联,则可以采用LAN-LAN类型的VPN。
对于物理距离较远的企业与分公司,分支机构和合作企业的网络连接,为了安全,一般租用专线,网络结构复杂,费用昂贵。
而采用LAN-LAN类型的VPN,可以利用基本的Internet和Intranet网络建立起全球范围内物理的连接,再利用VPN的隧道协议实现安全保密需要,就可以满足公司总部与分支机构以及合作企业间的安全网络连接,如图12-1-3所示。
这种类型的VPN通常采用IPSec协议建立加密传输数据隧道。
LAN-LAN类型的VPN,当用来构建内联网时称为IntranetVPN,用于企业和合作企业进行网络互联时称为ExtranetVPN。
图12-1-3LAN-LAN类型的VPN
三.安全设备IPSec应用简介
IPSec(IPSecurity)定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在IP层提供安全保障。
它是由一组RFC文档组成,它不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,它包括网络安全协议AuthenticationHeader(AH)协议和EncapsulatingSecurityPayload(ESP)协议、密钥管理协议InternetKeyExchange(IKE)协议和用于网络验证及加密的一些算法等。
关于IPsec安全协议详细内容参考实验十一|练习四IPsec-IP安全协议。
在进行配置点到网关或网关到网关VPN连接之前,双方必须保持着一个共享的密钥或是一个x.509证书,有很多种授权方法能够标识用户的身份,使得该用户能够合法的访问VPN。
在安全设备VPN设置页面中这些授权方法都是被需要的。
1.第一种授权方法:
预共享密钥
预共享密钥授权方法(或PSK)是一种很简单的授权方法,它能够快速的建立起VPN连接。
针对这种方法,你需要输入短语(可以是任何字符串,看起来与密码口令很类似),在IPSec服务器和客户端上都必须提供此短语。
与证书授权相比,PSK授权方法包括很少的几个步骤。
此种授权方法通常被用来测试VPN的连通性,也被用来熟悉建立VPN连接。
有经验的用户或许更希望在进行VPN连接之前,直接使用证书授权。
在进行点到网关VPN连接之前最好不要采纳预共享密钥授权方法,那样就会导致所有的用户都必须使用相同的共享密钥。
2.第二种授权方法:
X.509证书
使用X.509证书与VPN服务器连接是一种很安全的授权方法。
为了使用X.509证书,在IPSec服务器主机上既要生成证书,又要安装证书,或者直接使用来自其它CA的证书。
安全设备主机系统中的X.509证书及其执行可以通过Openssl被熟练的掌握和操作。
X.509证书取决于他们的类型,可以包含公/私钥对、口令和能够标识实体的信息,这些证书都需要CA(证书颁发机构)确认,用户可以通过web浏览器从CA获取证书,为了能够确认一台主机证书的合法性,需要把该证书交给适当的CA进行确认。
在安全设备主机系统中,其本身就是CA。
四.实验任务
图12-1-4描述了企业网络的实际环境:
企业总部位于Z地,企业边界防火墙有三个网络接口,第一个接口与Internet相连接,该接口是企业对外唯一可见的接口,第二个网络接口与企业的DMZ区相连,第三个网络接口与企业网络连接。
由于业务上的需要,企业需要派人到异地X和Y地移动办公,移动办公人员则需要通过Internet与企业内部网络进行通信,访问内部资源。
由于Internet是个开放的网络体系,所以移动用户与企业间的信息大部分都是以明文的方式传输的(暂不考虑通过安全协议进行数据通信),此时就需要一种手段能够保证移动用户与企业间的数据传输是安全可靠的,并且与传输的具体内容、上层协议类型无关,除了在移动用户与企业间架设企业专用的网络线路外,另外一种非常好的方式就是VPN(VirtualPrivateNtwork,虚拟专用网)专线。
图12-1-4 企业网络环境描述
本实验在企业网络结构下进行,依次要完成下述任务:
(1)搭建企业网络环境,并设置安全策略。
(2)在企业边界防火墙上架设IPSec服务器(采用两种授权方式)。
(3)外网主机运行IPSec客户端软件,配置参数,并与企业内网、DMZ区主机通信。
实验角色分配描述:
主机AB为企业内部网络主机、CD为DMZ区服务器。
主机E为X地移动用户,他要通过VPN与企业DMZ区服务器进行数据传输;主机F为Y地移动用户,他要通过VPN与企业内部网络主机进行数据传输。
由企业内网主机A或B完成IPSec服务器的配置工作。
利用winXP可以直接构建一个VPN服务器,现在以winXP操作系统,宽带连接来构建一个虚拟专用网络。
步骤如下:
二、实验步骤
第一步:
VPN服务器的建立
教大家用XP系统来建立VPN服务器,当然了这个VPN服务器建议临时用用是可以的,你要是长远的使用VPN拨号,那么建议你还是用server2003系统来架设,因为2003稳定,安全性好比XP系统不知道好多少。
网上邻居属性,创建一个新连接。
新建连接向导,下一步。
选择设置高级连接,下一步。
选择接受传入的连接。
选择允许虚拟专用连接,下一步。
用户设置,有2个方法。
创建用户方法1:
我的电脑-右键管理–本地用户和组–用户–右键–添加你想要的账户。
创建方法2:
直接点添加,来设置你想要的账户。
添加完成后出现你刚刚添加的用户。
出现网络软件,这里要设置TCP/IP协议,创建VPN获取内网地址的范围,选择TCP/IP[/color],然后属性。
出现地址池,应为XP的这个地址选择比较简单,建议你设置一个获取IP的范围,不建议用:
DHCP。
注意了这里写的IP地址一定要是空闲的IP,没被使用的IP,不然会产生冲突。
OK点完成了。
网络连接里面出现:
传入的连接。
咱们现在来建立一个VPN拨号连接,还是网上邻居属性–常见新连接
选择连接到我的工作场所的网络
选择虚拟专用连接
名称随便你写,当然如果你的连接很多,那么还是写规范点便宜管理
填写VPN外网IP地址
最后完成,出现刚刚建立的拨号方式。
双击他填写账户和密码,这玩意和ADSL拨号一样的。
成功建立连接
下面是我用内网的机器和外网的机器拨号VPN测试的,内网系统是中文版的,外网的是英文版的。
用IPconfig/all查看下信息,刚刚我设置的VPN–IP池是172.18.8.105-108,这个获取到的是172.18.8.105-108
内网测试访问
内网测试访问
英文系统外网拨号连接VPN
注意看IP,已经连到我的内网了,还记我建立的时候设置的VPN–IP池吗
这个是别人来连接我的VPN,显示出来的情况,说明咱的VPN服务器OK了。
基本上到这里差不多就完成了,大家要注意的就是前面地址池里填的地址一定要空闲的。
如果你家的电脑是拨号上网的,那么建立VPN客服端的时候IP选择你的动态IP就可以访问你了,如果是内网就填写内网IP,想要外网连接上就得在路由器上设置映射了。
还有一点,如果你连接上了但是不能上网,那是因为你使用的是默认网关,把前面的勾去掉就可以了。
点击虚拟专用网络的属性再点击“网络”选择TCP协议的属性再选择高级然后把里面的“在远程网络上使用默认网关”前面的勾去掉。
升级会员 