几章总结下来,摸出点道道,每一章基本都是以概述、类型与实现技术,主要产品与技术指标、实际应用四部分构成
核心部分通常是实现技术部分,也是最大的考点,所以要有所侧重
概述
- VPN是英文字母Virtual Private Network的缩写,中文翻译就是虚拟专用网
- 基本技术原理是将徐娅经过公共网传递的报文加密处理后,在由公共网络放送到目的地
- 利用VPN技术能够在不可信任的公共网络上构建一条专用的安全通道
提供的安全功能
- 保密性服务(Confidentiality):防止传输的信息被监听
- 完整性服(Integrity):防止传输的信息被修改
- 认证服务(换成可用性就是密码学三目标了):提供用户和设备的访问认证,防止非法接入
技术风险
- Virtual Private Network产品实代码实现的安全缺陷。涉及多种协议、密码算法,编程处理不当,极易导致代码安全缺陷,从而使得vpn产品出现安全问题
- Virtual Private Network密码算法安全缺陷
- Virtual Private Network管理不当导致木马泄露,非授权访问等问题
Virtual Private Network类型和实现技术
Virtual Private Network类型
- Virtual Private Network有多种实现技术,按照VPN在TCP/IP协议层的实现方式,可以将其分为链路层VPN,网络层VPN,传输层VPN。
- 链路层VPN实现方式有ATM,Frame relay,多标签协议交换,MPLS等
- 网络层VPN实现方式有受控路由过滤,隧道技术
- 传输层VPN则通过SSL来实现
密码算法
- 核心是密码算法,利用密码算法来实现保密性。除了国外的DES,AES,IDE,RSA等,国产商用密码算法SM1,SM4分组算法,SM3杂凑算法等也都可以应用到VPN
密钥管理
- VPN加解密都离不开密钥,所以密钥分发管理很重要。分发有两种,一种是通过手工配置;一种是通过密钥交换协议动态分发。前者可靠但是更新慢,后者基于软件更新快,可以提高安全性。
- 目前主要的密钥交换与管理标准有SKIP(互联网简单密钥管理协议,simple key internet protocal),和ISAKMP/Oakley(记不动)
认证访问控制
- 一般VPN连接包含两种形式的认证
- 用户身份认证:连接建立前对客户机进行身份认证,可能还会有双向认证
- 数据完整性和合法性认证:需要检查传输的信息是否来自可信源,并且确认在传输过程中信息是否经过篡改
IPSec
- 是Internet Protocol Security的缩写。在TCP/IP协议中,由于IP协议的安全脆弱性,如地址仿冒、易受篡改,窃听等,internet工程组成立了IPsec工作组,制定了安全阀方案。主要是认证头(Authentication Header,简称AH)、封装安全有效负荷(Encapsulatin Security Payload,简称ESP)以及密钥交换协议
- IP AH(完整性)
- 即认证头协议,目的是把证IP包的完整性和提供数据源认证,为IP数据报文提供无连接的完整性、数据源鉴别和抗重放攻击服务
- 基本方法是把IP包部分内容用加密算法和Hash算法进行混合运算,生成一个完整性校验值,简称ICV(Intergrity Check Value),将其附加在IP包中
- 在TCP/IP通信过程中,IP包发送之前都事先计算好每个IP包的ICV,按照IPAH的协议规定重新构造包含ICV的新IP包,再发送到接收方
- 接收方收到后,会根据AH信息验证ICV从而确保IP包的完整性和来源
- IP ESP(保密性)
- 是一种安全协议,用途在于保证IP包的保密性,而IP AH不能提供IP包的保密性服务
- 基本方法是将IP包作加密处理,对整个IP包或IP的数据域作封装处理,并生成带有ESP协议信息的IP包,然后将新的IP包发送到通信的接收方
- 接收方收到后,解密并去除ESP头
- 有两种工作模式:透明模式和隧道模式
- 透明模式只保护IP包中的数据域
- 隧道模式保护IP包的包头和数据域,所以隧道模式下将创建新的IP包头并把旧的IP包作为新的IP包数据
- 密钥交换协议
- 基于IPsec技术的主要优点是透明性,安全服务队提供不需要更改应用程序。但是带来的问题是增加网络安全管理难度和降低网络传输性能
- 即通信双方安全关联以及事先建立成功,建立安全关联的方法可以手动或自动
- 手动比较简单,事先对AH安全密钥,ESP的安全密钥等参数达成一致并写入双方数据库中
- 自动配置就是双方的安全关联的各种参数有KDC(key distributed center)和通信双方共同商议,商定过程中所遵循的一个共同的协议就是密钥管理协议
SSL
- 是secure socket layers的缩写,是一种应用于传输层的安全协议,以用于构建客户端和服务端之间的安全通道。该协议由netscape开发,包含握手协议,密码规格变更协议,报警协议和记录层协议。
- 握手协议用于身份鉴别和安全参数协商
- 密码规格变更协议用于通知安全参数的变更
- 报警协议用于关闭通知和对错误进行报警
- 记录层协议用于传输数据的分段,压缩和解压缩,加密解密,完整性校验等
- 它是介于应用层和TCP层之间的安全通信协议,目的在于两个应用层之间相互通信时,使被传送的信息具有保密性和可靠性
- 工作原理是将应用层的信息加密或签证处理后经TCP/IP网络送至对方,收方验证无误后解密还原信息
- 它本身是一个分层协议
- 最底层为SSL记录协议,位于传输层(TCP)之上,用途是把不同的较高层协议封装后再传送。
- 另一层协议使SSL握手协议,由三种协议组成,包含握手协议,密码规格变更协议和报警协议,用途是两个应用程序开始传送或接收数据取ian,为其提供服务器和客户端之间相互认证的服务
- 它主要提供三种安全通信服务
- 保密式通信:握手协议产生密钥后才开始进行加解密数据,加解密使用对称式算法,如DES,AES等
- 点对点之间的身份认证:采用非对称加密算法,如RSA,DSS等
- 可靠性通信:信息传送时包含信息完整性检查,使用由密钥保护的消息认证码(Message Authentication Code,简称MAC),计算采用安全杂凑函数(hash)如SHA,MD5
- SSL记录协议处理过程如下
- SSL将数据分割成可管理的区块长度
- 选择是否要把已经分割的数据压缩
- 加上消息认证码(MAC)
- 将数据加密,生成即将发送的消息
- 接收端收到消息解密、验证、解压缩,再重组后传送到较高层
PPTP
- 全称point-to-point tunneling protocol:点到点安全隧道协议。该协议的目标是给电话上网的用户提供VPN安全服务,是PPP(点对点)协议的扩展。
L2TP
- 全称:Layer2 Tunneling Protocol:用于保护设置L2TP-enabled的客户端和服务端的通信。客户端要求安全L2TP软件,采用专用的隧道协议,运行在UDP的1701端口
Virtual Private Network的主要产品与技术指标
- 产品就是之前的IPSec VPN和SSL VPN
- IPSec工作模式仅仅支持隧道模式和传输模式,隧道模式适用于主机和网关,传输模式仅适用于主机
- SSL分为客户端-服务端模式、网关-网关模式两种
VPN技术应用
根据VPN用途,主要分三种,远程访问虚拟网(Access VPN),企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(Extranet VPN)
远程安全访问
- 主要解决远程用户安全办公问题,利用VPN技术接入内网,常用的就是学校Virtual Private Network,用来接入内网
构建内部安全专网
- 由于业务发展,企业办公分散,所以通过VPN将内网连接,实现内部信息安全共享和企业办公自动化
外部网络安全互联
- 由于企业合作伙伴的主机和网络分布不同,传统上专线连接实现信息交换,建设维护困难,现在可以利用VPN技术,把合作伙伴网络连接到企业内网