【大学课件】信息安全技术----系讲12.doc

第十二讲: 虚拟专用网安全协议 实现虚拟专用网通常用到的安全协议主要包括：SOCKs V5、IPSec和PPTP/L2TP。在介绍了虚拟专用网的工作原理之后，本讲将对这些安全协议作一简要介绍。A: 虚拟专用网的工作原理 虚拟专用网是一种连接，从表面上看它类似一种专用连接，但实际上是在共享网络上实现的。它常使用一种被称作“隧道”的技术，数据包在公共网络上的专用“隧道”内传输，专用“隧道”用于建立点对点的连接。来自不同数据源的网络业务经由不同的隧道在相同的体系结构上传输，并允许网络协议穿越不兼容的体系结构，还可区分来自不同数据源的业务，因而可将该业务发往指定的目的地，并接受指定等级的服务。 一个隧道的基本组成是：l 一个隧道启动器l 一个路由网络(英特网)l 一个可选的隧道交换机l 一个或多个隧道终结器 隧道启动和终止可由许多网络设备和软件来实现。例如，一个隧道可以由一台位于ISP服务点的适用于虚拟专用网的接入集中器建立，亦可由一台企业分支机构或办公室局域网的防火墙建立，该防火墙也需要适用于虚拟专用网。或者还可由一台带有模拟的PC调制解调卡和装有适用于虚拟专用网的拨号软件的的便携机来建立。一个通道可由ISP的网络接入路由器的虚拟专用网网关终止，或者由隧道终结器或企业网的交换机终止。 此外，通常还需要一台或多台安全服务器，虚拟专用网除了具备常规的防火墙和地址转换功能，还应具有数据加密，鉴别和授权的功能。安全服务器通常也提供带宽和隧道终端节点信息，在某些情况下还可提供网络规则信息和服务等级信息。要建立隧道，现在所用的安全协议主要是PPTP/L2TP协议或IPSEsec协议。下面来说明虚拟专用网的工作原理。在远程访问虚拟专用网的情况下，远程访问客户需要向远程访问服务器发送点对点协议（PPP）数据包。同样，在采用局域网对局域网的虚拟租用线路（VLL）的情况下，一个局域网上的路由器需向另一局域网的路由器发送PPP数据包。 不同的是，客户机对服务器的情况下，PPP数据包不是通过专用线路传送，而是通过共享网络的隧道进行传送。虚拟专用网的作用就如同在广域网上拉一条串行电缆。PPP协议经过协商，在远程用户和隧道终止设备之间建立一条直接连接。创建符合标准的虚拟专用网隧道经常采用下列方法：将网络协议（IP、IPX、AppleTalk等）封装到PPP协议中，典型的隧道协议是IP协议，但也可是ATM协议或帧中继协议。由于传送的是第二层协议，故该方法被称为“第二层隧道”。另一种选择是：将网络协议直接封装进隧道协议中，例如虚拟隧道协议（VTP）中。由于传送是第三层协议，故该方法被称为“第三层隧道”。 隧道启动器在隧道内封装的是在TCP/IP包中封装原生包例如IPX包。包括控制信息在内的整个IPX包都将成为TCP/IP包的负载，然后它通过英特网传输。另一端隧道终结器的软件打开包并将其发送给原来的协议进行常规处理。B: 虚拟专用网的SOCKS v5协议SOCKS v5是一个需要认证的防火墙协议。当SOCKS同SSL协议配合使用，可作为建立高度安全的虚拟专用网的基础。SOCKS协议的优势在访问控制，因此适合用于安全性较高的虚拟专用网。SOCKS现在被IETF建议作为建立虚拟专用网的标准，尽管还有一些其它协议，但SOCKS协议得到了一些著名的公司如Microsoft、Netscape、IBM的支持。SOCKS v5的优点：SOCKS v5在OSI模型的会话层控制数据流，它定义了非常详细的访问控制。在网络层只能根据源和目的IP地址允许或拒绝数据包通过，在会话层控制手段要更多一些。SOCKS v5在客户机和主机之间建立了一条虚电路，可根据对用户的认证进行监视和访问控制。SOCKS v5和SSL工作在会话层，因此能同低层协议如IPv4、IPSec、PPTP、L2TP一起使用。它能提供非常复杂的方法来保证信息安全传输。用SOCKS v5的代理服务器可隐藏网络地址结构。如果SOCKS v5同防火墙结合起来使用，数据包经一个唯一的防火墙端口(缺省的是1080)到代理服务器，代理服务器然后过滤发往目的计算机的数据，这样可以防止防火墙上存在的漏洞。SOCKS v5能为认证、加密和密钥管理提供“插件”模块，可让用户很自由地采用他们所需要的技术。SOCKS v5可根据规则过滤数据流，包括Java Applet 和Active控件。缺点：因为SOCKS v5通过代理服务器来增加一层安全性，因此其性能往往比低层协议差。尽管比网络层和传输层的方案要更安全，但要比低层协议制定更为复杂的安全管理策略。 基于SOCKS v5的虚拟专用网最适合用于客户机到服务器的连接模式，适合用于外部网虚拟专用网。C: 虚拟专用网的IPSec协议IPSec协议是一个范围广泛，开放的虚拟专用网安全协议。IPSec适应向IPv6迁移，它提供所有在网络层上的数据保护，提供透明的安全通信。IPSec用密码技术从三个方面来保证数据的安全。l 认证，用于对主机和端点进行身份鉴别。l 完整性检查，用于保证数据在通过网络传输时没有被修改。l 加密，用加密IP地址和数据以保证私有性。IPSec协议可以设置成在两种模式下运行：一种是隧道模式，一种是传输模式。在隧道模式下，IPSec把IPv4数据包封装在安全的IP帧中，这样保护从一个防火墙到另一个防火墙时的安全性。在隧道模式下，信息封装是为了保护端到端的安全性，即在这种模式下不会隐藏路由信息。隧道模式是最安全的，但会带来较大的系统开销。IPSec现在还不完全成熟，但它得到了一些路由器厂商和硬件厂商的大力支持。预计它今后将成为虚拟专用网的主要标准。IPSec有扩展能力以适应未来商业的需要。在1997年底，IETF安全工作组完成了IPSec的扩展，在IPSec协议中加上ISAKMP(Internet Security Association and Key Management Protocol)协议，其中还包括一个密钥分配协议Oakley。ISAKMP/Oakley支持自动建立加密信道，密钥的自动安全分发和更新。IPSec也可用于连接其它层已存在的通信协议，如支持安全电子交易SET(Secure Electronic Transaction)协议和SSL(Secure Socket Layer)协议。即使不用SET或SSL，IPSec都提供认证和加密手段以保证信息的传输。优点：它定义了一套用于认证、保护私有性和完整性的标准协议。IPSec支持一系列加密算法如DES、三重DES、IDEA。它检查传输的数据包的完整性，以确保数据没有被修改。IPSec用来在多个防火墙和服务器之间提供安全性。IPSec可确保运行在TCP/IP协议上的VPNs之间的互操作性。缺点：IPSec在客户机/服务器模式下实现有一些问题，在实际应用中，需要公钥来完成。IPSec需要已知范围的IP地址或固定范围的IP地址，因此在动态分配IP地址时不太适合于IPSec。除了TCP/IP协议外，IPSec不支持其它协议。除了包过滤之外，它没有指定其它访问控制方法。可能它的最大缺点是微软公司对IPSec的支持不够。 IPSec最适合可信的LAN到LAN之间的虚拟专用网，即内部网虚拟专用网。D: 虚拟专用网的PPTP/L2TP协议点对点隧道协议PPTP是微软公司提出来的，PPTP已被嵌入到NT4和Windows98操作系统中，并被用于Microsoft的路由和远程访问服务，它是数据链路层上的协议。PPTP用IP包来封装PPP协议，用简单的包过滤和微软域网络控制来实现访问控制。L2TP (Layer 2 Tunneling Protocol) 协议是PPTP协议和Cisco公司的L2F(Layer 2 Forwarding)组合而成，可用于基于英特网的远程拨号方式访问。它有能力为使用PPP协议的客户端建立拨号方式的虚拟专用网连接。L2TP也可用于传输多种协议数据，如NetBIOS。 当PPTP和L2TP一起使用时，还可提供较强的访问控制能力。优点：PPTP/L2TP对用微软操作系统的用户来说很方便，因为微软已把它作为路由软件的一部分。PPTP/L2TP支持其它网络协议，如Novell的IPX，NetBEUI和Apple Talk协议，还支持流量控制。它通过减少丢弃包来改善网络性能，这样可减少重传。缺点：PPTP和L2TP将不安