虚拟专用网VPN.docx
- 文档编号:8477666
- 上传时间:2023-01-31
- 格式:DOCX
- 页数:24
- 大小:225.87KB
虚拟专用网VPN.docx
《虚拟专用网VPN.docx》由会员分享,可在线阅读,更多相关《虚拟专用网VPN.docx(24页珍藏版)》请在冰豆网上搜索。
虚拟专用网VPN
虚拟专用网VPN
其实,虚拟专用网(VPNEVUA)成立,力图在全欧洲商务给VPN带来了新的市场界。
如今,许多企业都在实施电子商务战略,e-Bank、e-Business、e-wallet等业务正方兴未艾。
在一个电子商务应用环境中,计算机的资源能否充分地共享,通信网络是否足够开放,被视为一个IT系统是否具有发展前景的重要标志之一。
然而,由于TCP/IP网络的安全保障是建立在“信任”的基础上,那些被认为最机密不过的信息,在这个开放的不设防的环境里传输和交换着,一旦信任关系遭到破坏,与之相关的安全性也就不复存在。
信息系统的开放性和信息的安全性一直是一对矛盾,计算机系统在不断追求开放的同时,如何保证合法用户对系统资源的合法访问,如何防止黑客的攻击,也成为必须解决的首要问题。
VPN的出现正是为了解决两个私有网络的连接问题,这也是PPTP、L2TP等VPN的根本目的,因为这样就可以为行业或者企业提供高性能、低价位的Internet接入。
针对目前Internet上存在的诸多信息安全隐患,以及各种安全措施越来越受到企业的重视,“方案评析”栏目在本期推出了VPN技术应用专题,通过对东软、联想、天融信、Cisco等各类虚拟通道技术的应用分析,与读者共同探讨完善企业信息安全架构的最有效方法。
在信息经济时代,越来越多的机构、企业都从Internet中获得了巨大的便利。
然而与此同时,人们也必须面对Internet的开放所带来的对数据安全的挑战,如果Internet网上传输的数据得不到有效的保护,那么企业的大量重要数据将暴露在公众面前,当这些数据被不法分子所窃取并用于非法目的时,必然给企业和客户带来重大的损失。
针对这种状况,从事计算机信息安全的研究机构和企业,提出了众多解决方案,其中一种最适用于计算机网络通信安全需求的解决方案,就是VPN技术。
利用公用网络构建VPN是一个新型的网络概念,它为服务提供商(ISP)和VPN用户都将带来不少益处。
对于企业而言,利用Internet组建私有网,可以将大笔的专线费用缩减为少量的市话费用和Internet费用,据相关报道分析,仅局域网互联费用就可降低20%~40%,而远程接入费用更可减少60%~80%;对于服务提供商来说,通过向企业提供VPN增值服务,可以与企业建立更加紧密的合作关系,充分利用现有网络资源,提高业务量。
什么是VPN?
虚拟私有网络(VPN,VirtualPrivateNetwork)是一种利用公共网络来构建的私人专用网络技术,用于构建VPN的公共网络包括Internet、帧中继、ATM等。
“虚拟”这一概念是相对传统私有网络的构建方式而言的,对于广域网连接,传统的组网方式通过远程拨号连接来实现,而VPN是利用服务提供商所提供的公共网络来实现远程的广域连接。
通过VPN,企业可以以更低的成本连接远程办事机构、出差人员以及业务合作伙伴(典型的VPN架构如图1所示)
关键业务网络系统的典型架构由机构设置决定,一般而言,一个典型的关键业务网络系统包含一个总部、若干分支机构、数量不等的合作伙伴及移动远程用户等。
除远程用户外,其余各部分均为规模不等的局域网络,其中总部局域网是整个网络系统的核心,同时也是网络管理中心。
各部分之间的联接方式多种多样,包括远程拨号、专线、Internet等,而互联方式则可分为三种模式:
①个人拨号远程访问企业网络;
②远程分支机构局域网通过专线或公网和总部局域网连接;
③合作伙伴(客户、供应商)局域网,通过专线或公网和总部局域网的非控制区连接。
企业内部资源使用者只需接入本地ISP的POP(PointOfPresence,接入服务提供点),即可与总部相互通信。
利用传统的WAN组建技术,彼此之间要有专线相连才能够实现安全通信。
虚拟网组成之后,远程用户只需拥有本地ISP的上网权限,就可以访问企业内部资源,这对于流动性大、分布广泛的企业来说很有意义,特别是当企业将VPN服务延伸到合作伙伴方时便能极大地降低网络的复杂性和维护费用。
VPN怎样给信息加密?
VPN系统一般采用建立在网络协议堆栈上的应用层VPN技术,在系统的TDI层和协议堆栈之间增加安全扩展模块,实图2所示)。
通过这种安全现密钥管理、协商、数据加密/解密的过滤驱动程序(数据流程如扩展方式,不必修改上层的应用程序,所有要通过网络收发的数据包都必须经过该安全驱动程序的过滤。
VPN的信息安全措施主要包含下以几种:
●基于PKI(公钥基础结构)的用户授权体系PKI是一个包含数字证书、管理机构、证书管理、目录服务的安全系统。
PKI技术采用标准x.509证书,将用户的身份和自己的公共密钥绑定在一起,通过PKI技术和数字证书技术,可以有效地判明用户的身份,同时降低用户在使用基于PKI体系的应用安全系统的复杂性。
●身份验证和数据加密用户通过VPN客户端访问VPN网关时,客户端首先对用户进行双因子身份验证,即用户同时拥有用户数字证书和该证书的使用口令。
VPN客户端采用基于PKI技术的数字证书技术,完成VPN网关服务器和用户身份的双向验证。
验证通过后,VPN网关服务器产生对称会话密钥,并分发给用户。
在用户与VPN网关服务器的通信过程中,使用该会话密钥对信息进行加密传输。
身份验证和保护会话密钥在传递过程中的安全,主要通过非对称加密算法完成,VPN系统使用1024位的RSA算法,具有高度的安全性。
●数据完整性保护完善的VPN系统不但要对用户的身份进行认证,同时还要对系统中传输的数据进行认证,确认传输过程中的消息已被全部发送并且没有失真。
VPN系统对所有传输数据进行Hash摘要并对结果进行加密,以实现数字签名,有效地保证了数据在传输过程中的完整性,防止被他人篡改。
●访问权限控制企业需要利用VPN网络组织内部运营流程并与其客户及合作伙伴交换重要信息,这就要求企业VPN系统必须拥有严格的访问控制机制。
VPN技术采用细粒度的访问权限列表模型(ACL),管理员可方便地为每个VPN用户分配不同的访问特权。
ACL以用户身份特征为基础,其管理与VPN系统的技术维护无关,企业可以将制定和管理ACL的工作,交由行政部门执行,既方便公司的管理,又可有效防止网络维护人员窃取公司机密。
VPN与专线的区别在哪?
与传统的电信专线网络相比,VPN虚拟专网具备以下优势
●廉价的网络接入VPN虚拟专网利用免费的Internet资源将企业在全省乃至全国的各分支机构进行互联,各节点全部采用本地电话或本地专线接入方式,大大节省了长途拨号及长途专线的连接费用(VPN与专线访问的比较如下表所示)。
●严格的用户认证VPN系统全部采用CA认证体制(采用非对称密钥证书体系),即在企业信息中心VPN控制平台建立全省统一的认证授权系统,所有企业客户端都有自己的私有证书、用户名及密码,使接入用户与VPN虚拟专网、VPN网关进行双向身份鉴别,同时客户端还支持双因素身份认证。
每次用户登录都将有严格的审计日志记录,以便于日后的审计与稽核,同时VPN系统增加了用户操作的数字签名,即数据交易的不可抵赖性,这种技术一般用于银行的金融业务交易。
所以与普通专线相比,其强制认证措施确保了企业内网服务的访问与稽核安全。
●高强度的数据保密由于数据全部通过互联网进行传输,所以必须进行数据加密与数据完整性保护。
VPN虚拟专网一般提供128位以上的对称加密措施,非对称密码算法使用1024位,并采用网络协议堆栈上的应用层VPN技术,全部采用一次一密体制,数据安全性极高。
同时VPN虚拟专网采用MD5数据摘要算法,用以保护数据传输过程的完整性。
而普通电信专线不提供任何形式的加密措施,所以VPN技术虽然构建在Internet之上,但其高强度的加密措施使得数据传输的安全性要比普通电信专线高得多。
虚拟专用网VPN系列讲座
(一)
VPN--虚拟专用网(VirtualPrivateNetwork)是专用网络在公共网络如Internet上的扩展。
VPN通过私有隧道技术在公共网络上仿真一条点到点的专线,从而达到安全的数据传输目的。
基于Internet的VPN也称为IP-VPN。
单纯仿真一条点到点的连接,数据只要经过封装,再加上一个提供路由信息的报头就可以了。
而如果要仿真一条专线,为保证传输数据的安全,通常还要对数据进行加密处理。
VPN连接必须同时包含数据封装和加密两方面。
图一、VPN示意图
有了VPN,用户在家里或在路途中也可以利用Internet或其他公共网络对企业服务器进行远程访问。
从用户的角度来看,VPN就是在用户计算机即VPN客户机和企业服务器即VPN服务器之间点到点的连接,由于数据通过一条仿真专线传输,用户感觉不到公共网络的实际存在,能够像在专线上一样处理企业内部信息。
换言之,虚拟专用网不是真正的专用网络,但却能够实现专用网络的功能。
VPN可以使企业通过公共网络在公司总部和各远程分部以及客户之间建立快捷,安全、可靠的信息通信。
这种连接方式在概念上等同于传统广域网WAN的运作。
VPN技术的出现,使企业不再依赖于昂贵的长途拨号以及长途专线服务,而代之以本地ISP提供的VPN服务。
从企业中心站点铺设至当地ISP的专线要比传统WAN解决方案中的长途专线短得多,因而成本也低廉得多。
VPN的构成一个典型VPN的组成部分如图二所示:
图二、VPN的构成
VPN服务器:
接受来自VPN客户机的连接请求。
VPN客户机:
可以是终端计算机也可以是路由器。
隧道:
数据传输通道,在其中传输的数据必须经过封装。
VPN连接:
在VPN连接中,数据必须经过加密。
隧道协议:
封装数据、管理隧道的通信标准。
传输数据:
经过封装、加密后在隧道上传输的数据。
公共网络:
如Internet,也可以是其他共享型网络。
注:
隧道里也可以发送未经加密的数据,但在这种情况下,专用数据没有经过加密处理而以易读形式在公共网络上传输,因而不属于VPN连接。
虚拟专用网VPN系列讲座
(二)
一、点对点隧道协议PPTP(Point-to-PointTunnelingProtocol)
PPTP将PPP(Point-to-PointProtocol)帧封装进IP数据报中,通过IP网络如Internet或37。
其他企业专用Intranet等发送。
PPTP具体文档请参阅RFC26
PPTP通过PPTP控制连接来创建、维护、终止一条隧道,并使用通用路由封装GRE(GenericRoutingEncapsulation)对PPP帧进行封装。
封装数据前,PPP帧的有效载荷即有效传输首先必须经过加密、压缩或是两者的混合处理。
PPTP协议假定在PPTP客户机和PPTP服务器之间有连通且可用的IP网络。
因此如果PPTP客户机本身已经是某IP网络的组成部分,那么即可通过该IP网络与PPTP服务器取得连接;而如果PPTP客户机尚未连入网络,譬如在Internet拨号用户的情形下,PPTP客户机必须首先拨打NAS以建立IP连接。
这里所说的PPTP客户机也就是使用PPTP协议的VPN客户机,而PPTP服务器亦即使用PPTP协议的VPN服务器。
在创建基于PPTP的VPN连接过程中,使用的认证机制与创建PPP连接时相同。
此类认证机制主要有:
扩展身份认证协议EAP(ExtensibleAuthenticationProtocol)、微软询问握手认证协议MS-CHAP(MicrosoftChallenge-HandshakeAuthenticationProtocol)、CHAP、Shiva口令字认证协议SPAP(ShivaPasswordAuthenticationProtocol)和口令字认证协议PAP(PasswordAuthenticationProtocol)。
PPTP继承PPP有效载荷的加密和压缩。
在Windows2000中,由于PPP帧使用微软点对点加密技术MPPE(MicrosoftPoint-to-PointEncryption)进行加密,因此认证机制必须采用EAP或MS-CHAP。
MPPE只提供连接加密,而不提供端-端加密。
端-端加密属于应用层的加密技术,如果应用中要求实现端-端加密,则可在PPTP隧道建立之后,使用IPSec对两端的IP数据流进行加密处理。
基于Internet的PPTP服务器即使用PPTP协议的VPN服务器,它的一个接口在Internet上,另一个接口在Intranet上。
二、PPTP控制连接与隧道维护
PPTP控制连接建立在PPTP客户机IP地址和PPTP服务器IP地址之间,PPTP客户机使用动态分配的TCP端口号,而PPTP服务器则使用保留TCP端口号1723。
PPTP控制连接携带PPTP呼叫控制和管理信息,用于维护PPTP隧道,其中包括周期性地发送回送请求和回送应答消息,以期检测出客户机与服务器之间可能出现的连接中断。
PPTP控制连接数据包包括一个IP报头,一个TCP报头和PPTP控制信息,数据包格式见图八。
图八所示的PPTP控制连接数据包还包括数据链路层报头和报尾。
图八、PPTP控制连接数据包
三、PPTP数据封装
PPTP数据的隧道化过程采用多层封装的方法。
图九显示了封装后在隧道中传输的数据包格式。
[[TheNo.9Picture.]]
图九、在隧道中传输的PPTP数据包格式
1)PPP帧的封装:
初始PPP有效载荷如IP数据报、IPX数据报或NetBEUI帧等经过加密后,添加PPP报头,封装形成PPP帧。
PPP帧再进一步添加GRE报头,经过第二层封装形成GRE报文。
GRE是采用第47号IP协议的客户端协议,为在IP网络上进行数据封装提供了一种简单,轻巧的通用机制。
有关GRE详细文档可参见RFC1701和RFC1702。
在GRE报头中,协议类型即PPP帧的EtherType值应设置为0x880B。
2)GRE报文的封装PPP有效载荷的第三层封装是在GRE报文外,再添加IP报头。
IP报头包含数据包源端及目的端IP地址。
3)数据链路层封装数据链路层封装是IP数据报多层封装的的最后一层,依据不同的外发物理网络再添加相应的数据链路层报头和报尾。
例如,如果IP数据报将在以太网上传输,则用以太网报头和报尾对IP数据报进行数据链路层封装;如果IP数据报将在点-点WAN上传输,如模拟电话网或ISDN等,则用PPP报头和报尾对IP数据报进行数据链路层封装。
4)PPTP数据包的接收处理PPTP客户机或PPTP服务器在接收到PPTP数据包后,将做如下处理:
1.处理并去除数据链路层报头和报尾
2.处理并去除IP报头
3.处理并去除GRE和PPP报头
4.如果需要的话,对PPP有效载荷即传输数据进行解密或解压缩。
5.对传输数据进行接收或转发处理
四、PPTP数据包和Windows2000网络体系结构
下图描述了某使用模拟modem进行远程访问的VPN连接中,VPN客户机端数据报在Windows2000网络体系结构中的封装流程。
[[TheNo.10Picture.]]
图十、PPTP数据包的封装流程
具体步骤如下:
1.IP数据报、IPX数据报或NetBEUI帧由各自协议提交给对应于VPN连接的虚拟接口。
该接口符合网络驱动程序接口规范NDIS。
2.NDIS将数据报提交给NDISWAN,由NDISWAN负责对数据进行加密、压缩处理后,添加PPP报头进行第一步封装。
该PPP报头仅含一个PPP协议标识域,不附加任何帧校正序列FCS或其他标记。
3.NDISWAN将PPP帧提交给PPTP协议驱动程序,该驱动程序负责在PPP帧外添加GRE报头进行第二步封装。
该GRE报头中,CallID域的值唯一地标识了一条隧道。
4.PPTP协议驱动程序将GRE报文提交给TCP/IP协议驱动程序。
5.TCP/IP协议驱动程序再对GRE报文添加IP报头进行第三步封装,封装后提交给拨往本地ISP的拨号连接接口,该接口符合网络驱动程序接口规范NDIS。
6.NDIS再次将数据报提交给NDISWAN,NDISWAN给数据报添加PPP报头、报尾进行最后的数据链路层封装。
7.NDISWAN将最终形成的PPP帧提交给与拨号硬件相对应的WAN微端口驱动程序。
(例如modem连接中的异步端口)
虚拟专用网VPN系列讲座(三)
一、第二层隧道协议L2TP和IP安全IPSec
第二层隧道协议L2TP(LayerTwoTunnelingProtocol)是PPTP和第二层转发L2F两种技术的结合,后者是由Cisco公司提出的隧道技术。
为了避免PPTP和L2F两种互不兼容的隧道技术在市场上彼此竞争从而给用户造成困惑,带来不方便,IETF要求将两种技术结合在单一隧道协议中,并在该协议中糅合PPTP和L2F两者的优点,由此产生了L2TP。
有关L2TP协议标准详见RFC2661。
L2TP协议将PPP帧封装后,可通过IP,X.25,帧中继或ATM等网络进行传送。
目前,仅定义了基于IP网络的L2TP。
在IP网络中L2TP采用用户数据报协议UDP封装和传送PPP帧。
L2TP隧道协议可用于Internet,也可用于其他企业专用Intranet中。
IP网上的L2TP不仅采用UDP封装用户数据,还通过UDP消息对隧道进行维护。
PPP帧的有效载荷即用户传输数据,可以经过加密、压缩或两者的混合处理,但需要指出的是,与PPTP不同,在Windows2000中,L2TP客户机不采用MPPE对L2TP连接进行加密,L2TP连接加密由IPSecESP提供。
在Windows2000中,创建一条未经IPSec加密的L2TP连接是有可能的,但在这种情形下,由于用户私有数据没有经过加密处理,因此该L2TP连接不属于VPN连接。
非加密L2TP连接一般用于临时性的对基于IPSec的L2TP连接进行故障诊断和排除,在这种情况下,可以省略IPSec认证和协商过程。
与PPTP类似,L2TP协议假定在L2TP客户机和L2TP服务器之间有连通且可用的IP网络。
因此如果L2TP客户机本身已经是某IP网络的组成部分,那么即可通过该IP网络与L2TP服务器取得连接;而如果L2TP客户机尚未连入网络,譬如在Internet拨号用户的情形下,L2TP客户机必须首先拨打NAS建立IP连接。
这里所说的L2TP客户机也就是使用L2TP隧道协议和IPSec安全协议的VPN客户机,而L2TP服务器亦即使用L2TP隧道协议和IPSec安全协议的VPN服务器。
创建L2TP隧道时必须使用与PPP连接相同的认证机制,诸如EAP,MS?
CHAP,CHAP,SPAP,和PAP。
基于Internet的L2TP服务器亦即使用L2TP协议的拨号服务器,它的一个接口在外部网络Internet上,另一个接口在目标专用网络Intranet上。
L2TP隧道维护控制消息和隧道化用户传输数据具有相同的包格式。
二、基于L2TP控制消息的隧道维护
与PPTP不同,L2TP不是通过一条单独的TCP连接来进行隧道维护。
L2TP客户机和服务器之间的呼叫控制和管理均以发送UDP消息的方式进行。
在Windows2000中,L2TP客户机和服务器都使用UDP1701端口。
注:
在Windows2000中,L2TP客户机和服务器始终使用UDP1701端口,但Windows2000L2TP服务器也支持使用非1701UDP端口的L2TP客户机。
IP网上的L2TP控制消息以UDP数据报形式发送。
在Windows2000实现中,L2TP控制消息即UDP数据报经过IPSecESP的加密,见下图:
图十一、L2TP控制消息
由于UDP提供的是无连接的数据包服务,因此L2TP采用将消息序列化的方式来保证L2TP消息的按序递交。
在L2TP控制消息中,Next-Received字段(类似于TCP中的确认字段)和Next-Sent字段(类似于TCP中序列号字段)用于维持控制消息的序列化。
无序数据包将被丢弃。
Next-Received字段和Next-Sent字段同样用于用户传输数据的按序递交和流控制。
L2TP支持一条隧道内的多路呼叫。
在L2TP的控制消息中以及L2TP数据帧的报头内,TunnelID标识了一条隧道而CallID标识了该隧道内的一路呼叫。
下表列出了一些主要的L2TP控制消息。
表二、L2TP控制消息
L2TP控制消息的确切格式,请参阅L2TPInternet草案。
三、L2TP数据封装
L2TP用户传输数据的隧道化过程采用多层封装的方法。
图十二显示了封装后在隧道中传输的基于IPSec的L2TP数据包格式。
图十二、L2TP数据包封装
1)L2TP封装初始PPP有效载荷如IP数据报、IPX数据和L2TP报头的封装。
2)UDP封装L2TP帧进一步添加UDP报头进行UDP封装,在UDP报头中,源端和目的端端口号均设置为1701。
3)IPSec封装基于IPSec安全策略,UDP消息通过添加IPSec封装安全负载ESP报头、报尾和IPSec认证报尾(Authtrailer),进行IPSec加密封装。
4)IP封装在IPSec数据报外再添加IP报头进行IP封装,IP报头中包含VPN客户机和服务器的源端和目的端IP地址。
5)数据链路层封装数据链路层封装是L2TP帧多层封装的的最后一层,依据不同的外发物理网络再添加相应的数据链路层报头和报尾。
例如,如果L2TP帧将在以太网上传输,则用以太网报头和报尾对L2TP帧进行数据链路层封装;如果L2TP帧将在点-点WAN上传输,如模拟电话网或ISDN等,则用PPP报头和报尾对L2TP帧进行数据链路层封装。
6)基于IPSec的L2TP隧 将做如下解封装处理:
1.处理并去除数据链路层报头和报尾
2.处理并去除IP报头
3.用IPSecESP认证报尾对IP有效载荷和IPSecESP报头进行认证
4.用IPSecESP报头对数据报的加密部分进行解密
5.处理UDP报头并将数据报提交给L2TP协议
6.L2TP协议依据L2TP报头中TunnelID和CallID分解出某条特定的L2TP隧道
7.依据PPP报头分解出PPP有效载荷,并将它转发至相关的协议驱动程序做进一步处理
四、基于IPSec的L2TP数据包和Windows2000网络体系结构
下图描述了某使用modem进行远程访问的VPN连接中,VPN客户机端L2TP数据包在Windows2000网络体系结构中的封装流程。
图十三、L2TP数据包的封装流程
具体步骤如下:
1.IP数据报、IPX数据报或NetBEUI帧由各自协议提交给对应于VPN连接的虚拟接口。
该接口符合网络驱动程序接口规范NDIS。
2.NDIS将数据报提交给NDISWAN,NDISWAN可选择对数据进行压缩处理后,添加PPP报头进行第一步封装。
该PPP报头仅含一个PPP协议标识域,不附加任何帧校正序列FCS或其他标记。
3.NDISWAN将PPP帧提交给L2TP协议驱动程序,该驱动程序负责在PPP帧外添加L2TP报头进行第二步封装。
在L2TP报头中,Tunne1ID和CallID的组合标识了一条隧道。
4.L2TP协议驱动程序再将封装后的数据报提交给TCP/IP协议驱动程序,并告之驱动程序,将L2TP数据报作为UDP消息发送,两端UDP端口号均为1701。
5.TCP/IP协议驱动程序对报文添加IP报头和UDP报头。
然后由IPSec对报文进行分析,选择与之相匹配的安全策略,并在此安全策略的基础上,给数据报的UDP消息部分添加相应的ESP报头、报尾,进行
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 虚拟 专用网 VPN